JP6418232B2 - ネットワーク管理装置、ネットワークシステム、ネットワーク管理方法およびプログラム - Google Patents
ネットワーク管理装置、ネットワークシステム、ネットワーク管理方法およびプログラム Download PDFInfo
- Publication number
- JP6418232B2 JP6418232B2 JP2016507292A JP2016507292A JP6418232B2 JP 6418232 B2 JP6418232 B2 JP 6418232B2 JP 2016507292 A JP2016507292 A JP 2016507292A JP 2016507292 A JP2016507292 A JP 2016507292A JP 6418232 B2 JP6418232 B2 JP 6418232B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- identification information
- information
- network management
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/64—Hybrid switching systems
- H04L12/6418—Hybrid transport
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Description
本発明の第1の実施の形態について、図面を参照して詳細に説明する。図1は、本発明の第1の実施の形態に係るネットワーク管理装置100の機能構成の一例を示す機能ブロック図である。ネットワーク管理装置100は、ネットワークの構成を管理する装置である。ネットワーク管理装置100は、例えば、SDN(Software−Defined Networking)コントローラ等によって実現される。
ネットワーク管理装置100は、図1に示す通り、仮装情報生成部120と、正規情報生成部130と、ネットワーク構成情報管理部140と、仮装情報登録部150と、を備えている。
正規情報生成部130は、複数の端末(300、400)のうち、ネットワーク通信装置200を介してネットワーク管理装置100に接続された端末(接続端末)に対し、ネットワーク管理装置100が正規の情報として管理する正規のネットワーク構成情報(正規の識別情報)を生成する。正規のネットワーク構成情報とは、ネットワーク管理装置100が管理するネットワーク上において、端末を識別する情報である。正規のネットワーク構成情報は、例えば、上記端末が、ネットワーク管理装置100に接続された他の端末と通信を行う際に、そのまま利用することができる情報である。上記そのまま利用することができる情報とは、例えば、IPアドレス、MACアドレス、ホスト名等が挙げられるが、本実施の形態はこれに限定されるものではない。
仮装情報生成部120は、複数の端末(300、400)のうち、ネットワーク通信装置200を介してネットワーク管理装置100に接続された接続端末に対し、仮装(フェイク、トラップ)のネットワーク構成情報(仮装の識別情報)を生成する。仮装のネットワーク構成情報とは、正規のネットワーク構成情報とは異なる情報であって、ネットワーク管理装置100が仮装の情報として管理する情報である。仮装のネットワーク構成情報は、ランダムな情報である。仮装のネットワーク構成情報とは、端末が他の端末と通信を行う際にそのまま利用することができない情報である。また、仮装のネットワーク構成情報は、正規のネットワーク構成情報と一対一で対応するものであり、重複するものではない。仮装のネットワーク構成情報として、例えば、ランダムに生成されたホスト名、IPアドレス、MACアドレス等が挙げられるが、本実施の形態はこれに限定されるものではない。
ネットワーク構成情報管理部140は、仮装のネットワーク構成情報と正規のネットワーク構成情報とを関連付けて管理する手段である。ネットワーク構成情報管理部140は、図示しない記憶手段に上記ネットワーク構成情報を互いに関連付けて記憶してもよい。
仮装情報登録部150は、仮装情報生成部120から仮装のネットワーク構成情報を受け取ると、当該仮装のネットワーク構成情報を端末に登録する。例えば、仮装情報生成部120が生成した仮装のネットワーク構成情報が、IPアドレス、MACアドレスおよびホスト名である場合、仮装情報登録部150は、上記IPアドレス、MACアドレスおよびホスト名を、ネットワーク管理装置100に接続された端末に登録する。なお、上記端末にネットワーク構成情報が既に登録されている場合、仮装情報登録部150は、既に登録されているネットワーク構成情報を仮装情報生成部120から供給された仮装のネットワーク構成情報に書き換えてもよい。
本実施の形態に係るネットワーク管理装置100によれば、悪意のあるユーザによって侵入された端末からの、他の装置に対する不正アクセスを防ぐことができる。
本発明の第2の実施の形態について、図面を参照して詳細に説明する。なお、上述した第1の実施の形態で説明した図面に含まれる部材と同じ機能を有する部材については、同じ符号を付し、その詳細な説明を省略する。
端末判定部110は、ネットワーク通信装置200に接続された端末が、当該ネットワーク通信装置200に新規に接続された端末か、以前に接続された端末かを判定する。
(1)ネットワーク通信装置200の物理ポート番号、
(2)イーサネット(登録商標)の種別、
(3)VLAN(Virtual LAN(Local Area Network))のID(IDentifier)、
(4)VLANの優先制御値、
(5)IPのプロトコル種別、
(6)IPのToS(Type Of Service)情報、
(7)TCP/UDP(Transmission Control Protocol/User Datagram Protocol)の送信元ポート番号、
(8)TCP/UDPの宛先ポート番号。
通信判定部160は、端末判定部110によって、ネットワーク管理装置101に接続された端末(接続端末と呼ぶ)が新規に接続された端末でないと判定されたとき、当該接続端末が、ネットワーク管理装置101に接続されている他の端末(宛先端末と呼ぶ)と通信可能か否かを判定する。具体的には、通信判定部160は、入力パケットに含まれる端末識別情報と、宛先識別情報とに基づいて、ネットワーク構成情報管理部140によって管理された情報(つまり、ネットワーク構成情報記憶部170に格納されている情報)を参照して、端末間の通信可否を判定する。
ネットワーク構成情報記憶部170は、互いに関連付けられた仮装のネットワーク構成情報と正規のネットワーク構成情報とを格納する手段である。ネットワーク構成情報記憶部170は、ネットワーク構成情報管理部140によって管理されている。なお、本実施の形態においては、ネットワーク構成情報記憶部170がネットワーク管理装置101に含まれる構成について説明を行うが、ネットワーク構成情報記憶部170は、ネットワーク管理装置101とは別個の装置で実現されるものであってもよい。
次に、図5を参照して、ネットワーク管理装置101の処理の流れについて説明を行う。図5は、ネットワーク管理装置101の処理の流れの一例を示すフローチャートである。ネットワーク通信装置200に端末300が接続され、ネットワーク通信装置200がネットワーク管理装置101に対し、入力パケットを送信すると、ネットワーク管理装置101は、図5に示す通り、以下のステップS51〜ステップS61の処理を行う。
本実施の形態に係るネットワーク管理装置101によれば、悪意のあるユーザによって侵入された端末からの、他の装置に対する不正アクセスを防ぐことができる。
本実施の形態に係るネットワーク構成情報管理部140が管理する正規のネットワーク構成情報および仮装のネットワーク構成情報が、夫々、IPアドレス、MACアドレスおよびホスト名を含むことを例に説明を行ったが、本発明はこれに限定されるものではない。正規のネットワーク構成情報および仮装のネットワーク構成情報は、夫々、ポート番号を含んでもよい。本変形例では、図6を参照して、正規および仮装のネットワーク構成情報にポート番号が含まれることについて説明を行う。
本発明の第3の実施の形態について、図面を参照して詳細に説明する。上述した第2の実施の形態では、通信判定部160は、接続端末と宛先端末とが、同一のサブネットに属するか否かを確認することにより、接続端末と宛先端末とが通信可能か否かを確認した。しかしながら、接続端末と宛先端末とが通信可能か否かを確認する方法は、これに限定されるものではない。本実施の形態では、接続端末と宛先端末とが通信可能か否かを確認する別の方法について説明する。なお、上述した第2の実施の形態で説明した図面に含まれる部材と同じ機能を有する部材については、同じ符号を付し、その詳細な説明を省略する。
本発明の第4の実施の形態について、図面を参照して詳細に説明する。上述した第2の実施の形態では、正規情報生成部130が生成する正規のネットワーク構成情報は、IPアドレス、MACアドレス、ホスト名といった、ネットワーク上の通信にそのまま利用可能な情報であったが、本実施の形態はこれに限定されるものではない。正規情報生成部130が生成する正規のネットワーク構成情報は、通信にそのまま利用可能な情報でなくてもよい。本実施の形態では、正規情報生成部130が生成する正規のネットワーク構成情報の一例について説明する。なお、上述した第2の実施の形態で説明した図面に含まれる部材と同じ機能を有する部材については、同じ符号を付し、その詳細な説明を省略する。
本実施の形態に係るネットワーク管理装置103は、本実施の形態において生成した正規のネットワーク構成情報に対して、第3の実施の形態で説明した、ネットワーク構成情報管理部140が管理する情報(関係情報および動作情報)を用いて、接続端末と宛先端末とが通信可能か否かを確認してもよい。本変形例においては、この方法について説明する。なお、上述した各実施の形態で説明した図面に含まれる部材と同じ機能を有する部材については、同じ符号を付し、その詳細な説明を省略する。
本発明の第5の実施の形態について、図面を参照して詳細に説明する。なお、上述した第2の実施の形態で説明した図面に含まれる部材と同じ機能を有する部材については、同じ符号を付し、その詳細な説明を省略する。
本実施の形態に係るネットワーク管理装置105によれば、定期的に、接続端末に登録された仮装のネットワーク構成情報が変わるので、より好適に、感染端末からの悪意のある活動を困難にすることができる。したがって、ネットワーク管理装置105は、ネットワークシステム3の安全性をより高めることができる。
本発明の第6の実施の形態について、図面を参照して詳細に説明する。なお、上述した第1および第2の実施の形態で説明した図面に含まれる部材と同じ機能を有する部材については、同じ符号を付し、その詳細な説明を省略する。
感染端末検知部600は、端末判定部110によって、ネットワーク管理装置106に接続された接続端末が新規に接続された端末でないと判定されたとき、端末判定部110が受信した入力パケットを、当該端末判定部110から受け取る。そして、感染端末検知部600は、受け取った入力パケットに含まれる宛先識別情報がネットワーク構成情報管理部140によって管理されているか否かを確認する。具体的には、感染端末検知部600は、宛先識別情報に含まれる、宛先のIPアドレス、MACアドレス、ホスト名等がネットワーク構成情報記憶部170に格納されているか否かを確認する。
以上のように、本実施の形態に係るネットワーク管理装置106によれば、感染端末検知部600が、端末判定部110が受信した入力パケットに含まれる宛先識別情報がネットワーク構成情報管理部140によって管理されているかを確認する。そして、当該宛先識別情報がネットワーク構成情報管理部140によって管理されていないとき、接続端末がマルウェア感染端末であると検知する。そして、感染端末検知部600は、当該接続端末を、ネットワークから切り離す。
なお、図1、3、9および11に示したネットワーク管理装置の各部は、図12に例示するハードウェア資源で実現してもよい。すなわち、図12に示す構成は、RAM(Random Access Memory)111、ROM(Read Only Memory)112、通信インタフェース113、記憶媒体114およびCPU115を備える。CPU115は、ROM112または記憶媒体114に記憶された各種ソフトウェアプログラム(コンピュータプログラム)を、RAM111に読み出して実行することにより、ネットワーク管理装置の全体的な動作を司る。すなわち、上記各実施形態において、CPU115は、ROM112または記憶媒体114を適宜参照しながら、ネットワーク管理装置が備える各機能(各部)を実行するソフトウェアプログラムを実行する。
端末と通信装置を介して接続するネットワーク管理装置であって、
当該ネットワーク管理装置が管理するネットワーク上において、前記端末を識別する識別情報であって、当該ネットワーク管理装置が正規の情報として管理する正規の識別情報を生成する正規情報生成手段と、
前記正規の識別情報とは異なる仮装の識別情報であって、他の端末との通信にそのまま用いることができない仮装の識別情報を生成する仮装情報生成手段と、
前記正規の識別情報および前記仮装の識別情報を、関連付けて管理する管理手段と、
前記仮装の識別情報を、前記端末に登録する登録手段と、を備える、ネットワーク管理装置。
前記仮装の識別情報を所定の間隔で変更するために、変更対象の仮装の識別情報が登録された端末に対し、新たな仮装の識別情報を生成する仮装情報再生成手段を更に備え、
前記管理手段は、前記変更対象の仮装の識別情報が登録された端末を示す正規の識別情報と、前記生成された新たな仮装の識別情報とを関連付けて管理し、
前記登録手段は、前記変更対象の仮装の識別情報が登録された端末に対し、当該端末に登録された仮装の識別情報を、前記生成された新たな仮装の識別情報に変更する、付記1に記載のネットワーク管理装置。
前記仮装情報再生成手段は、前記所定のグループごとに、前記新たな仮装の識別情報を、当該グループごとに定められた間隔で生成する、付記2に記載のネットワーク管理装置。
前記通信装置を介して接続された端末が、前記ネットワーク管理装置に新規に接続された端末か否かを判定する第1の判定手段と、
前記第1の判定手段によって、前記ネットワーク管理装置に接続された端末が新規に接続された端末でないと判定されたとき、当該端末が前記他の端末と通信可能か否かを判定する第2の判定手段と、を更に備え、
前記第1の判定手段によって、前記ネットワーク管理装置に接続された端末が新規に接続された端末であると判定されたとき、前記正規情報生成手段および前記仮装情報生成手段は、夫々、前記正規の識別情報および前記仮装の識別情報を生成し、
前記第2の判定手段は、前記端末が前記他の端末と通信可能であると判定したとき、当該端末から送信された入力パケットを、前記他の端末に転送する、付記1から3の何れか1つに記載のネットワーク管理装置。
前記入力パケットには、当該入力パケットを送信した端末を識別する端末識別情報と、当該端末が通信を行う前記他の端末を識別する宛先識別情報とが含まれており、
前記第1の判定手段は、前記入力パケットを前記端末から受信し、当該入力パケットに含まれる前記端末識別情報が前記管理手段によって管理されているかを確認することにより、当該端末が、前記ネットワーク管理装置に新規に接続された端末か否かを判定し、
前記第2の判定手段は、前記端末識別情報と、前記宛先識別情報とに基づいて、前記端末が前記他の端末と通信可能か否かを判定する、付記4に記載のネットワーク管理装置。
前記端末識別情報が、前記登録手段によって前記端末に登録された前記仮装の識別情報であり、当該仮装の識別情報が前記管理手段によって管理されているとき、前記第1の判定手段は、当該端末識別情報によって示される端末が、前記ネットワーク管理装置に新規に接続された端末ではないと判定する、付記5に記載のネットワーク管理装置。
前記宛先識別情報が、前記登録手段によって前記他の端末に登録された仮装の識別情報であり、
前記第2の判定手段は、前記管理手段によって当該宛先識別情報に関連付けられた、前記他の端末の正規の識別情報と、前記端末の正規の識別情報とを用いて、前記端末が前記他の端末と通信可能か否かを判定する、付記5または6に記載のネットワーク管理装置。
前記第1の判定手段が受信した前記入力パケットに含まれる前記宛先識別情報が前記管理手段によって管理されているかを確認し、当該宛先識別情報が前記管理手段によって管理されていないとき、前記端末がマルウェア感染端末であると検知する検知手段を更に備え、
前記第2の判定手段は、前記検知手段によって、当該宛先識別情報が前記管理手段によって管理されていると確認されたとき、前記端末が前記宛先識別情報によって示される前記他の端末と通信可能か否かを判定する、付記5から7の何れか1つに記載のネットワーク管理装置。
前記正規情報生成手段は、前記正規の識別情報として、IP(Internet Protocol)アドレスを生成し、
前記第2の判定手段は、前記端末と前記他の端末とが同一のサブネットに含まれるか否かを確認することにより、当該端末と当該他の端末とが通信可能か否かを判定する、付記4から8の何れか1つに記載のネットワーク管理装置。
前記管理手段は、更に、前記端末の正規の識別情報と、前記他の端末の正規の識別情報との間の関係性を示す関係情報と、当該関係情報で示される端末間の動作を示す動作情報とを関連付けて管理し、
前記第2の判定手段は、前記動作情報を用いて前記端末が前記他の端末と通信可能か否かを判定する、付記4から8の何れか1つに記載のネットワーク管理装置。
前記正規情報生成手段は、前記正規の識別情報として、前記端末を一意に特定する文字列と、当該端末が属するグループを示す情報とを生成し、
前記第2の判定手段は、前記端末と前記他の端末とが同一のグループに属するか否かを確認することにより、当該端末と当該他の端末とが通信可能か否かを判定する、付記4から8の何れか1つに記載のネットワーク管理装置。
前記正規情報生成手段は、前記正規の識別情報として、前記端末を一意に特定する文字列と、当該端末が属するグループを示す情報とを生成し、
前記管理手段は、更に、前記端末および前記他の端末間、前記端末と前記他の端末が属するグループとの間、前記端末が属するグループと前記端末との間、および、前記端末が属するグループと前記他の端末が属するグループと間の少なくとも何れかの関係性を示す関係情報と、当該関係情報で示される対象の間の動作を示す動作情報とを関連付けて管理し、
前記第2の判定手段は、前記動作情報を用いて前記端末が前記他の端末と通信可能か否かを判定する、付記4から8の何れか1つに記載のネットワーク管理装置。
前記管理手段によって管理された情報を記憶する記憶手段を更に備える、付記1から12の何れか1つに記載のネットワーク管理装置。
複数の端末と、
ネットワークを管理するネットワーク管理装置と、
前記複数の端末の夫々と前記ネットワーク管理装置とを接続する通信装置と、を備え、
前記ネットワーク管理装置は、
前記複数の端末のうち、前記通信装置を介して当該ネットワーク管理装置に接続された端末に対し、当該ネットワーク管理装置が管理するネットワーク上において、前記複数の端末の夫々を識別する識別情報であって、当該ネットワーク管理装置が正規の情報として管理する正規の識別情報を生成する正規情報生成手段と、
前記ネットワークに接続された端末に対し、前記正規の識別情報とは異なる仮装の識別情報であって、当該端末が他の端末との通信にそのまま用いることができない仮装の識別情報を生成する仮装情報生成手段と、
前記正規の識別情報および前記仮装の識別情報を、関連付けて管理する管理手段と、
前記仮装の識別情報を、前記ネットワークに接続された端末に登録する登録手段と、を備える、ネットワークシステム。
端末と通信装置を介して接続するネットワーク管理装置のネットワーク管理方法であって、
前記ネットワーク管理装置が管理するネットワーク上において、前記端末を識別する識別情報であって、当該ネットワーク管理装置が正規の情報として管理する正規の識別情報を生成し、
前記正規の識別情報とは異なる仮装の識別情報であって、他の端末との通信にそのまま用いることができない仮装の識別情報を生成し、
前記正規の識別情報および前記仮装の識別情報を、関連付けて管理し、
前記仮装の識別情報を、前記端末に登録する、ネットワーク管理方法。
端末と通信装置を介して接続するネットワーク管理装置を含むコンピュータに、
当該ネットワーク管理装置が管理するネットワーク上において、前記端末を識別する識別情報であって、当該ネットワーク管理装置が正規の情報として管理する正規の識別情報を生成する処理と、
前記正規の識別情報とは異なる仮装の識別情報であって、他の端末との通信にそのまま用いることができない仮装の識別情報を生成する処理と、
前記正規の識別情報および前記仮装の識別情報を、関連付けて管理する処理と、
前記仮装の識別情報を、前記端末に登録する処理と、を実行させるプログラム。
付記16に記載のプログラムを記憶する、コンピュータ読み取り可能な記録媒体。
100〜106 ネットワーク管理装置
110 端末判定部
120 仮装情報生成部
130 正規情報生成部
140 ネットワーク構成情報管理部
150 仮装情報登録部
160 通信判定部
170 ネットワーク構成情報記憶部
200 ネットワーク通信装置
300 端末
400 端末
500 仮装情報再生成部
600 感染端末検知部
Claims (15)
- 端末と通信装置を介して接続するネットワーク管理装置であって、
当該ネットワーク管理装置が管理するネットワーク上において、前記端末を識別する識別情報であって、当該ネットワーク管理装置が正規の情報として管理する正規の識別情報を生成する正規情報生成手段と、
前記正規の識別情報とは異なる仮装の識別情報であって、他の端末との通信にそのまま用いることができない仮装の識別情報を生成する仮装情報生成手段と、
前記正規の識別情報および前記仮装の識別情報を、関連付けて管理する管理手段と、
前記仮装の識別情報を、前記端末に登録する登録手段と、
前記通信装置を介して接続された端末が、前記ネットワーク管理装置に新規に接続された端末か否かを判定する第1の判定手段と、
前記第1の判定手段によって、前記ネットワーク管理装置に接続された端末が新規に接続された端末でないと判定されたとき、当該端末が前記他の端末と通信可能か否かを判定する第2の判定手段と、を備え、
前記第1の判定手段によって、前記ネットワーク管理装置に接続された端末が新規に接続された端末であると判定されたとき、前記正規情報生成手段および前記仮装情報生成手段は、夫々、前記正規の識別情報および前記仮装の識別情報を生成し、
前記第2の判定手段は、前記端末が前記他の端末と通信可能であると判定したとき、当該端末から送信された入力パケットを、前記他の端末に転送する、
ネットワーク管理装置。 - 前記仮装の識別情報を所定の間隔で変更するために、変更対象の仮装の識別情報が登録された端末に対し、新たな仮装の識別情報を生成する仮装情報再生成手段を更に備え、
前記管理手段は、前記変更対象の仮装の識別情報が登録された端末を示す正規の識別情報と、前記生成された新たな仮装の識別情報とを関連付けて管理し、
前記登録手段は、前記変更対象の仮装の識別情報が登録された端末に対し、当該端末に登録された仮装の識別情報を、前記生成された新たな仮装の識別情報に変更する、
請求項1に記載のネットワーク管理装置。 - 前記仮装情報再生成手段は、前記所定のグループごとに、前記新たな仮装の識別情報を、当該グループごとに定められた間隔で生成する、
請求項2に記載のネットワーク管理装置。 - 前記入力パケットには、当該入力パケットを送信した端末を識別する端末識別情報と、当該端末が通信を行う前記他の端末を識別する宛先識別情報とが含まれており、
前記第1の判定手段は、前記入力パケットを前記端末から受信し、当該入力パケットに含まれる前記端末識別情報が前記管理手段によって管理されているかを確認することにより、当該端末が、前記ネットワーク管理装置に新規に接続された端末か否かを判定し、
前記第2の判定手段は、前記端末識別情報と、前記宛先識別情報とに基づいて、前記端末が前記他の端末と通信可能か否かを判定する、
請求項1から3のいずれか1項に記載のネットワーク管理装置。 - 前記端末識別情報が、前記登録手段によって前記端末に登録された前記仮装の識別情報であり、当該仮装の識別情報が前記管理手段によって管理されているとき、前記第1の判定手段は、当該端末識別情報によって示される端末が、前記ネットワーク管理装置に新規に接続された端末ではないと判定する、
請求項4に記載のネットワーク管理装置。 - 前記宛先識別情報が、前記登録手段によって前記他の端末に登録された仮装の識別情報であり、
前記第2の判定手段は、前記管理手段によって当該宛先識別情報に関連付けられた、前記他の端末の正規の識別情報と、前記端末の正規の識別情報とを用いて、前記端末が前記他の端末と通信可能か否かを判定する、
請求項4または5に記載のネットワーク管理装置。 - 前記第1の判定手段が受信した前記入力パケットに含まれる前記宛先識別情報が前記管理手段によって管理されているかを確認し、当該宛先識別情報が前記管理手段によって管理されていないとき、前記端末がマルウェア感染端末であると検知する検知手段を更に備え、
前記第2の判定手段は、前記検知手段によって、当該宛先識別情報が前記管理手段によって管理されていると確認されたとき、前記端末が前記宛先識別情報によって示される前記他の端末と通信可能か否かを判定する、
請求項4から6の何れか1項に記載のネットワーク管理装置。 - 前記正規情報生成手段は、前記正規の識別情報として、IP(Internet Protocol)アドレスを生成し、
前記第2の判定手段は、前記端末と前記他の端末とが同一のサブネットに含まれるか否かを確認することにより、当該端末と当該他の端末とが通信可能か否かを判定する、
請求項1から7の何れか1項に記載のネットワーク管理装置。 - 前記管理手段は、更に、前記端末の正規の識別情報と、前記他の端末の正規の識別情報との間の関係性を示す関係情報と、当該関係情報で示される端末間の動作を示す動作情報とを関連付けて管理し、
前記第2の判定手段は、前記動作情報を用いて前記端末が前記他の端末と通信可能か否かを判定する、
請求項1から7の何れか1項に記載のネットワーク管理装置。 - 前記正規情報生成手段は、前記正規の識別情報として、前記端末を一意に特定する文字列と、当該端末が属するグループを示す情報とを生成し、
前記第2の判定手段は、前記端末と前記他の端末とが同一のグループに属するか否かを確認することにより、当該端末と当該他の端末とが通信可能か否かを判定する、
請求項1から7の何れか1項に記載のネットワーク管理装置。 - 前記正規情報生成手段は、前記正規の識別情報として、前記端末を一意に特定する文字列と、当該端末が属するグループを示す情報とを生成し、
前記管理手段は、更に、前記端末および前記他の端末間、前記端末と前記他の端末が属するグループとの間、前記端末が属するグループと前記端末との間、および、前記端末が属するグループと前記他の端末が属するグループと間の少なくとも何れかの関係性を示す関係情報と、当該関係情報で示される対象の間の動作を示す動作情報とを関連付けて管理し、
前記第2の判定手段は、前記動作情報を用いて前記端末が前記他の端末と通信可能か否かを判定する、
請求項1から7の何れか1項に記載のネットワーク管理装置。 - 前記管理手段によって管理された情報を記憶する記憶手段を更に備える、
請求項1から11の何れか1項に記載のネットワーク管理装置。 - 複数の端末と、
ネットワークを管理するネットワーク管理装置と、
前記複数の端末の夫々と前記ネットワーク管理装置とを接続する通信装置と、を備え、
前記ネットワーク管理装置は、
前記複数の端末のうち、前記通信装置を介して当該ネットワーク管理装置に接続された端末に対し、当該ネットワーク管理装置が管理するネットワーク上において、前記複数の端末の夫々を識別する識別情報であって、当該ネットワーク管理装置が正規の情報として管理する正規の識別情報を生成する正規情報生成手段と、
前記ネットワークに接続された端末に対し、前記正規の識別情報とは異なる仮装の識別情報であって、当該端末が他の端末との通信にそのまま用いることができない仮装の識別情報を生成する仮装情報生成手段と、
前記正規の識別情報および前記仮装の識別情報を、関連付けて管理する管理手段と、
前記仮装の識別情報を、前記ネットワークに接続された端末に登録する登録手段と、
前記通信装置を介して接続された端末が、前記ネットワーク管理装置に新規に接続された端末か否かを判定する第1の判定手段と、
前記第1の判定手段によって、前記ネットワーク管理装置に接続された端末が新規に接続された端末でないと判定されたとき、当該端末が前記他の端末と通信可能か否かを判定する第2の判定手段と、を備え、
前記第1の判定手段によって、前記ネットワーク管理装置に接続された端末が新規に接続された端末であると判定されたとき、前記正規情報生成手段および前記仮装情報生成手段は、夫々、前記正規の識別情報および前記仮装の識別情報を生成し、
前記第2の判定手段は、前記端末が前記他の端末と通信可能であると判定したとき、当該端末から送信された入力パケットを、前記他の端末に転送する、
ネットワークシステム。 - 端末と通信装置を介して接続するネットワーク管理装置のネットワーク管理方法であって、
前記ネットワーク管理装置が管理するネットワーク上において、前記端末を識別する識別情報であって、当該ネットワーク管理装置が正規の情報として管理する正規の識別情報を生成し、
前記正規の識別情報とは異なる仮装の識別情報であって、他の端末との通信にそのまま用いることができない仮装の識別情報を生成し、
前記正規の識別情報および前記仮装の識別情報を、関連付けて管理し、
前記仮装の識別情報を、前記端末に登録し、
前記通信装置を介して接続された端末が、前記ネットワーク管理装置に新規に接続された端末か否かを判定し、
前記ネットワーク管理装置に接続された端末が新規に接続された端末であると判定されたとき、前記正規の識別情報および前記仮装の識別情報を生成し、
前記ネットワーク管理装置に接続された端末が新規に接続された端末でないと判定されたとき、当該端末が前記他の端末と通信可能か否かを判定し、
前記端末が前記他の端末と通信可能であると判定したとき、当該端末から送信された入力パケットを、前記他の端末に転送する、
ネットワーク管理方法。 - 端末と通信装置を介して接続するネットワーク管理装置を含むコンピュータに、
当該ネットワーク管理装置が管理するネットワーク上において、前記端末を識別する識別情報であって、当該ネットワーク管理装置が正規の情報として管理する正規の識別情報を生成する処理と、
前記正規の識別情報とは異なる仮装の識別情報であって、他の端末との通信にそのまま用いることができない仮装の識別情報を生成する処理と、
前記正規の識別情報および前記仮装の識別情報を、関連付けて管理する処理と、
前記仮装の識別情報を、前記端末に登録する処理と、
前記通信装置を介して接続された端末が、前記ネットワーク管理装置に新規に接続された端末か否かを判定する第1の判定処理と、
前記第1の判定処理によって、前記ネットワーク管理装置に接続された端末が新規に接続された端末でないと判定されたとき、当該端末が前記他の端末と通信可能か否かを判定する第2の判定処理とを実行させ、更に、
前記第1の判定処理によって、前記ネットワーク管理装置に接続された端末が新規に接続された端末であると判定されたとき、前記正規の識別情報および前記仮装の識別情報を生成する処理を実行させ、
前記第2の判定処理によって、前記端末が前記他の端末と通信可能であると判定したとき、当該端末から送信された入力パケットを、前記他の端末に転送する処理、
を実行させるプログラム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014049856 | 2014-03-13 | ||
JP2014049856 | 2014-03-13 | ||
PCT/JP2015/000696 WO2015136842A1 (ja) | 2014-03-13 | 2015-02-16 | ネットワーク管理装置、ネットワークシステム、ネットワーク管理方法および記録媒体 |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2015136842A1 JPWO2015136842A1 (ja) | 2017-04-06 |
JP6418232B2 true JP6418232B2 (ja) | 2018-11-07 |
Family
ID=54071305
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016507292A Active JP6418232B2 (ja) | 2014-03-13 | 2015-02-16 | ネットワーク管理装置、ネットワークシステム、ネットワーク管理方法およびプログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US10516665B2 (ja) |
JP (1) | JP6418232B2 (ja) |
WO (1) | WO2015136842A1 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11271989B2 (en) * | 2016-09-27 | 2022-03-08 | Red Hat, Inc. | Identifying a component cluster |
CN107220538A (zh) * | 2017-06-27 | 2017-09-29 | 广东欧珀移动通信有限公司 | 支付类应用程序管理方法、装置及移动终端 |
JP7120030B2 (ja) * | 2019-01-09 | 2022-08-17 | 富士通株式会社 | 検知装置、検知方法、および、検知プログラム |
Family Cites Families (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5500852A (en) * | 1994-08-31 | 1996-03-19 | Echelon Corporation | Method and apparatus for network variable aliasing |
US5852724A (en) * | 1996-06-18 | 1998-12-22 | Veritas Software Corp. | System and method for "N" primary servers to fail over to "1" secondary server |
US6601093B1 (en) * | 1999-12-01 | 2003-07-29 | Ibm Corporation | Address resolution in ad-hoc networking |
JP4683442B2 (ja) * | 2000-07-13 | 2011-05-18 | 富士通フロンテック株式会社 | 処理装置および集積回路 |
WO2003094366A2 (en) * | 2002-05-06 | 2003-11-13 | Qualcomm Incorporated | System and method for registering ip address of wireless communication device |
JP4003634B2 (ja) * | 2002-12-17 | 2007-11-07 | 株式会社日立製作所 | 情報処理装置 |
EP1718034A1 (en) * | 2005-04-25 | 2006-11-02 | Thomson Multimedia Broadband Belgium | Process for managing resource address requests and associated gateway device |
US8094666B2 (en) * | 2005-06-30 | 2012-01-10 | Telefonaktiebolaget L M Ericsson (Publ) | Mapping an original MAC address of a terminal to a unique locally administrated virtual MAC address |
US20070201490A1 (en) * | 2005-07-13 | 2007-08-30 | Mahamuni Atul B | System and method for implementing ethernet MAC address translation |
US7639792B2 (en) * | 2005-11-23 | 2009-12-29 | Att Knowledge Ventures, L.P. | System and method for location management and emergency support for a voice over internet protocol device |
JP4601704B2 (ja) * | 2006-03-23 | 2010-12-22 | 富士通株式会社 | パケット中継装置 |
TWI307232B (en) * | 2006-06-09 | 2009-03-01 | Hon Hai Prec Ind Co Ltd | Wireless local area network with protection function and method for preventing attack |
JP5062134B2 (ja) | 2008-10-15 | 2012-10-31 | 日本電気株式会社 | 情報拡散システム、情報拡散装置、情報拡散方法、および情報拡散プログラム |
US8800025B2 (en) * | 2009-11-10 | 2014-08-05 | Hei Tao Fung | Integrated virtual desktop and security management system |
EP2652906A4 (en) * | 2010-12-15 | 2014-03-19 | Zanttz Inc | NETWORK PACING ENGINE |
US20130097046A1 (en) * | 2011-10-14 | 2013-04-18 | Balachander Krishnamurthy | System and Method of Providing Transactional Privacy |
US8910296B2 (en) * | 2011-10-31 | 2014-12-09 | Cisco Technology, Inc. | Data privacy for smart services |
US8959573B2 (en) * | 2012-05-01 | 2015-02-17 | Harris Corporation | Noise, encryption, and decoys for communications in a dynamic computer network |
JP6082529B2 (ja) * | 2012-05-23 | 2017-02-15 | ローム株式会社 | 送信回路およびそれを集積化した集積回路、ならびに、送信装置、位置測位システム、送信方法 |
US9185071B2 (en) * | 2012-12-31 | 2015-11-10 | Telefonaktiebolaget L M Ericsson (Publ) | Methods and systems for seamless network communications between devices running internet protocol version 6 and internet protocol version 4 |
US9137211B2 (en) * | 2013-05-16 | 2015-09-15 | Cisco Technology, Inc. | Application services based on dynamic split tunneling |
US9674213B2 (en) * | 2015-10-29 | 2017-06-06 | Duo Security, Inc. | Methods and systems for implementing a phishing assessment |
-
2015
- 2015-02-16 JP JP2016507292A patent/JP6418232B2/ja active Active
- 2015-02-16 WO PCT/JP2015/000696 patent/WO2015136842A1/ja active Application Filing
- 2015-02-16 US US15/124,787 patent/US10516665B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US20170034166A1 (en) | 2017-02-02 |
JPWO2015136842A1 (ja) | 2017-04-06 |
WO2015136842A1 (ja) | 2015-09-17 |
US10516665B2 (en) | 2019-12-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5713445B2 (ja) | 通信監視システム及び方法及び通信監視装置及び仮想ホスト装置及び通信監視プログラム | |
CN109347830B (zh) | 一种网络动态防御系统及方法 | |
CN105262738A (zh) | 一种路由器及其防arp攻击的方法 | |
JP6138714B2 (ja) | 通信装置および通信装置における通信制御方法 | |
Nur et al. | Record route IP traceback: Combating DoS attacks and the variants | |
CN105991595A (zh) | 网络安全防护方法及装置 | |
TW201407405A (zh) | 在一動態電腦網路中過濾通信之防火牆 | |
JP6793056B2 (ja) | 通信装置及びシステム及び方法 | |
US11671405B2 (en) | Dynamic filter generation and distribution within computer networks | |
JP2020017809A (ja) | 通信装置及び通信システム | |
US20130298220A1 (en) | System and method for managing filtering information of attack traffic | |
CN112688900B (zh) | 一种防御arp欺骗和网络扫描的局域网安全防护系统及方法 | |
JP2008113409A (ja) | トラフィック制御システム及び管理サーバ | |
CN108234473A (zh) | 一种报文防攻击方法及装置 | |
JPWO2016189843A1 (ja) | セキュリティシステム、セキュリティ方法、及びプログラムを記憶する記録媒体 | |
JP6418232B2 (ja) | ネットワーク管理装置、ネットワークシステム、ネットワーク管理方法およびプログラム | |
CN106878326A (zh) | 基于反向检测的IPv6邻居缓存保护方法及其装置 | |
CN105490995A (zh) | 一种在nvo3网络中nve转发报文的方法和设备 | |
JP2017175462A (ja) | 通信制御装置、通信制御方法、及びプログラム | |
CN107690004B (zh) | 地址解析协议报文的处理方法及装置 | |
Gomez et al. | Controller-oblivious dynamic access control in software-defined networks | |
KR20110029340A (ko) | 분산 서비스 거부 공격의 방어 시스템 | |
JP5509999B2 (ja) | 不正接続防止装置及びプログラム | |
JP7120030B2 (ja) | 検知装置、検知方法、および、検知プログラム | |
KR102056641B1 (ko) | Arp 포이즈닝 공격을 해결하기 위한 sdn 컨트롤러 및 그 동작 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180115 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180807 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180830 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180911 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180924 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6418232 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |