JP6463661B2 - ネットワーク制御装置、及びネットワーク制御方法 - Google Patents

ネットワーク制御装置、及びネットワーク制御方法 Download PDF

Info

Publication number
JP6463661B2
JP6463661B2 JP2015187715A JP2015187715A JP6463661B2 JP 6463661 B2 JP6463661 B2 JP 6463661B2 JP 2015187715 A JP2015187715 A JP 2015187715A JP 2015187715 A JP2015187715 A JP 2015187715A JP 6463661 B2 JP6463661 B2 JP 6463661B2
Authority
JP
Japan
Prior art keywords
countermeasure
handling
information
network
policy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2015187715A
Other languages
English (en)
Other versions
JP2017063336A (ja
Inventor
一郎 来間
一郎 来間
磯部 義明
義明 磯部
智仁 吉田
智仁 吉田
武康 木城
武康 木城
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Systems Ltd
Original Assignee
Hitachi Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Systems Ltd filed Critical Hitachi Systems Ltd
Priority to JP2015187715A priority Critical patent/JP6463661B2/ja
Publication of JP2017063336A publication Critical patent/JP2017063336A/ja
Application granted granted Critical
Publication of JP6463661B2 publication Critical patent/JP6463661B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ネットワーク制御装置、及びネットワーク制御方法に関する。
特許文献1には、「VLAN機能を有するレイヤー2スイッチを備えたネットワークを対象として検疫処理を行う検疫装置であって、前記レイヤー2スイッチの特定のポートに、VLAN機能を有していない集線装置を介して、1台の端末が接続されている場合に、前記集線装置への新たな端末の接続を検出する、端末検出部と、前記新たな端末の接続が検出された場合に、前記特定のポートをトランクポートに設定し、更に、前記特定のポートに、設定されたタグが付加されたイーサーネット(登録商標)フレームのみを転送する第1のVLAN、及び前記タグが付加されていないイーサーネット(登録商標)フレームのみを転送する第2のVLANを設定する、スイッチ制御部と、を備えている。」と記載されている。
特開2012−080216号公報
情報通信機器の普及に伴い、サイバー攻撃の多様化/複雑化が進んでいる。とくに標的型攻撃と呼ばれるタイプの攻撃は、従来の愉快犯的な無差別攻撃と異なり明確な目的を持ち、特定の個人や組織を標的として情報の窃取や改竄等を行う。昨今、政府機関や企業等を対象とした標的型攻撃による被害が実際に発生しており、社会問題となっている。
標的型攻撃の一例を以下に述べる。攻撃者は、まずメールへの添付やWebサイトからのダウンロード等の手法を利用し、標的となるクライアント端末にマルウェアを侵入させる。クライアント端末に侵入したマルウェアは、当該クライアント端末が接続するネットワークの調査、攻撃者が用意した外部C&C(Command and Control)サーバからの新た
なマルウェアのダウンロードによる攻撃機能の補強等の各種の動作を行う。そして攻撃者は、最終的にマルウェアを介して標的とする情報や資産性の高い情報にアクセスし、窃取や改竄等を行う。
こうした標的型攻撃に対しては、例えば、「ネットワーク上でのマルウェアの活動を検知し対処する」、「マルウェアが機密情報を外部に送信するのを防ぐ」といった複数のセキュリティ対策を組み合わせた多重防御が有効とされている。上記のような対策を施し、ネットワークにマルウェアが侵入し活動している兆候をインシデントとして検知した場合、ネットワークに設けられた防御システムは、例えば、次のように対処する。
まず上記防御システムは、証拠保全や他の装置へ攻撃を防ぐこと等を目的として、マルウェアに感染している可能性のある端末を本番系のネットワークから切り離して調査環境に置き、当該端末を調査する。調査によりマルウェアを特定すると、上記防御システムは、マルウェアの活動履歴を取得するとともに感染端末からマルウェアを除去し、マルウェアの活動内容を出力する。マルウェアの存在を知った管理者は、クリーンな端末をネットワークに再接続する等の対応をとる。
ここでこうした対処を迅速かつ効率的に行うためには、予めインシデントの状況に応じ
た対処方針を用意しておき、対処方針に基づく隔離及び調査に必要な通信経路の設定をネットワークの制御により一括して行うことが有効である。尚、上記対処方針には、例えば、マルウェア感染端末とネットワーク内の他の機器との全ての通信の遮断、マルウェア感染端末とネットワーク内の他の機器との一部の通信の遮断、マルウェア感染端末を遠隔から詳細に調査するためのログイン経路の確立、マルウェア感染端末が送受信するパケットの取得経路の確立、マルウェア感染端末の挙動を観察するためのダミーサーバへの通信経路の確立等がある。
但し、ネットワークを構成している機器の種類は様々であるため、その機能や配置形態によっては上記のような対処を全て実施できるとは限らない。例えば、リピータハブのような従来(レガシー)タイプの機器は、ACL(Access Control List)による各種制御
機能やVLAN(Virtual Local Area Network)等の機能を備えていない。また昨今、注目されているSDN(Software-Defined Networking)技術に対応したネットワーク機器
は、従来のネットワーク機器よりも柔軟にパケット制御方法を設定することが可能であり、従来のネットワーク機器では実現できない高度な対処も可能になる。但し現状ではSDN対応機器は高価であり導入実績も少なく、当面は従来タイプのネットワーク機器とSDN対応機器とが混在する状態が続くと考えられ、こうした混在環境でのインシデントに対する効率的な対処方法が重要になると考えられる。
ここで上記特許文献1には、機能が異なる複数のネットワーク機器が混在する環境でのインシデントの対処方法について記載されている。具体的には、レイヤー2スイッチのポートに、VLAN機能を有していない集線装置を介して、複数の端末が接続された場合に、各端末に対して個別に検疫を実行する検疫システムについて記載されている。上記検疫システムは、VLAN機能を持たないネットワーク機器が接続されているレイヤー2スイッチのポートをトランクポートにすることで、端末が送受信するパケットをL2レイヤーで識別可能にする。但しこの手法では、VLANタグが付加されたパケットを送受信する機能を端末が備えている必要がある。また未検疫の端末がVLANタグ付きのパケットを解析もしくは送受信する機能を備えていた場合、完全な隔離が達成できない可能性がある。
本発明はこうした背景に鑑みてなされたもので、機能の異なる複数のネットワーク機器を含んで構成されるネットワークシステムにおいて、発生したインシデントに対して効率よく対処することが可能な、ネットワーク制御装置、及びネットワーク制御方法を提供することを目的としている。
上記目的を達成するための本発明のうちの一つは、機能の異なるネットワーク機器を含んで構成されるネットワークを制御する装置であって、前記ネットワーク機器の機能に関する情報であるネットワーク機器情報を記憶するネットワーク機器情報記憶部と、前記ネットワークにおいて発生したインシデントに対する対処方針に関する情報である対処方針情報を記憶する対処方針情報記憶部と、前記ネットワーク機器情報及び前記対処方針情報に基づき、前記インシデントに対処するための前記ネットワーク機器の設定に関する情報である設定情報を一つ以上生成する対処設定情報生成部と、を備え、前記対処設定情報生成部は、前記設定情報の生成に際し、発生したインシデントに関する情報であるインシデント情報を前記対処方針と対応づけることにより、前記インシデントに対する対処の方法に関する情報である対処方法を一つ以上生成し、前記対処方法は、前記ネットワーク機器間で送受信されるパケットの送信元と受信先を特定する情報を含み、前記対処設定情報生成部は、前記設定情報の生成に際し、前記送信元から前記受信先に至る経路である対処経路を一つ以上探索し、前記対処方針は、前記ネットワークを流れるパケットに加える更新処理を指定する情報を含み、前記対処設定情報生成部は、前記設定情報の生成に際し、前記対処経路上の前記ネットワーク機器への前記更新処理の割り当てである対処処理配置を、前記ネットワーク機器情報に基づき可能な割り当て方の組み合わせを探索して一つ以上生成し、前記対処方針情報は、前記対処処理配置と前記対処経路との対応を示す情報、前記対処経路と前記対処方法との対応を示す情報、前記対処方針と前記対処方法との対応を示す情報、及び前記インシデントに対する対処の目的を示す情報である対処目的と前記対処方針との対応を示す情報を含み、前記対処設定情報生成部は、前記対処目的ごとに対応する前記対処処理配置を選択することにより生成される情報である対処候補を一つ以上生成する。
その他、本願が開示する課題、及びその解決方法は、発明を実施するための形態の欄、及び図面により明らかにされる。
本発明によれば、機能の異なる複数のネットワーク機器を含んで構成されるネットワークシステムにおいて、発生したインシデントに対して効率よく対処することが可能になる
一実施形態として示すネットワークシステム1の構成を示す図である。 ネットワーク制御装置111のハードウェア構成の一例を示す図である。 ネットワーク制御装置111が備える機能、及びネットワーク制御装置111が記憶するデータを示す図である。 ネットワーク機器情報管理テーブル400の一例である。 トポロジ情報テーブル500の一例である。 ネットワーク変数テーブル600の一例である 機能マスタテーブル700の一例である。 機能対応テーブル800の一例である。 機能割り当てテーブル900の一例である。 リソース情報テーブル1000の一例である。 対処目的テーブル1100の一例である。 対処方針テーブル1200の一例である。 対処変数テーブル1300の一例である。 対処方針評価項目テーブル1400の一例である。 処理配置評価項目テーブル1500の一例である。 インシデントテーブル1600の一例である。 対処方法テーブル1700の一例である。 対処経路テーブル1800の一例である。 対処処理配置テーブル1900の一例である。 対処候補テーブル2000の一例である。 ネットワーク情報設定画面2100の一例である。 対処設定画面2200の一例である。 対処設定画面2200の一例である。 評価項目設定画面2400の一例である。 評価項目設定画面2400の一例である。 対処候補設定画面2600の一例である。 情報取得設定処理S2700を説明するフローチャートである。 インシデント検知時処理S2800を説明するフローチャートである。 対処設定情報生成処理S2802の詳細を説明するフローチャートである。 インシデント情報取得/登録処理S2901の詳細を説明するフローチャートである。 対処方法生成処理S2902の詳細を説明するフローチャートである。 対処経路生成処理S2903の詳細を説明するフローチャートである。 対処処理配置生成処理S2904の詳細を説明するフローチャートである。 対処候補生成処理S2905の詳細を説明するフローチャートである。 対処候補判定処理S2906の詳細を説明するフローチャートである。 対処候補評価スコア算出処理S2907の詳細を説明するフローチャートである。
以下、図面を参照しつつ実施形態について説明する。尚、以下の説明において、同一又は類似の構成について同一の符号を付すことにより重複した説明を省略することがある。また「ネットワークスイッチ」のことを「スイッチ」と略記する。
<システム構成>
図1に実施形態として説明するネットワークシステム1の概略的な構成を示している。同図に示すように、ネットワークシステム1は、サービス系ネットワーク51、管理系ネットワーク52、サービス系ネットワーク51に接続するネットワーク機器(スイッチ151〜155、リピータハブ156、端末161〜162、サーバ装置163、調査端末164、ダミーサーバ165、及びキャプチャサーバ166)、管理系ネットワーク52に接続する、ネットワーク制御装置111、トポロジアナライザ112、及びインシデント検知装置113を含む。
サービス系ネットワーク51は、管理系ネットワーク52に接続するネットワーク制御装置111による制御対象となるネットワークであり、例えば、LAN(Local Area Network)、WAN(Wide Area Network)、インターネット(Internet)等である。以下、
サービス系ネットワーク51はIPネットワークであるとして説明する。
上記ネットワーク機器のうち、スイッチ151〜155は、例えば、レイヤー2スイッチ、レイヤー3スイッチ、ルータ、SDNスイッチ(SDN:Software-Defined Networking
)等であり、いずれもネットワーク制御装置111からの監視や制御が可能なインテリジェントな機能(情報処理装置としての機能)を備える。スイッチ151は、ルータとしても機能し、サービス系ネットワーク51をインターネット191に接続する。端末161〜162、サーバ装置163、調査端末164、ダミーサーバ165、及びキャプチャサーバ166は、いずれも情報処理装置(コンピュータ)を用いて構成される。尚、以下では、端末161を、マルウェアの感染が予想される端末であるとして説明する。
尚、同図に示したサービス系ネットワーク51の構成は一例であり、サービス系ネットワーク51を構成するネットワーク機器の種類や数は同図に示すものに限られない。ネットワーク機器は、インターネット191を介して接続される機器であってもよい。またネットワーク機器はハードウェアとして構成されたものに限られず、例えば、SDNに対応したネットワーク機器のように仮想的に実現されるものであってもよい。
管理系ネットワーク52は、サービス系ネットワーク51の管理に用いられるネットワークであり、例えば、LANである。尚、同図に示した管理系ネットワーク52の構成は一例であり、管理系ネットワーク52を構成する機器の種類や数は同図に示すものに限られない。ネットワーク制御装置111、トポロジアナライザ112、及びインシデント検知装置113は、いずれも情報処理装置(コンピュータ)を用いて構成される。これらは夫々が独立したハードウェアによって実現されるものであってもよいし、これらの2つ以上が共通のハードウェアによって実現されるものであってもよい。以下、管理系ネットワーク52はIPネットワークであるとして説明する。
ネットワーク制御装置111は、管理系ネットワーク52を介して、ネットワーク機器に関する情報の取得やネットワーク機器の動作の設定を行う。ネットワーク制御装置111は、サービス系ネットワーク51においてマルウェア等を用いたサイバー攻撃によるインシデントが発生した際、管理系ネットワーク52を介して、当該インシデントに関する情報(以下、インシデント情報と称する。)やサービス系ネットワーク51におけるネットワーク機器の接続に関する情報(以下、トポロジ情報と称する。)を取得する。ネットワーク制御装置111は、サービス系ネットワーク51を構成するネットワーク機器の設定を行うことで、特定の端末が行う通信を制御する。
ネットワーク制御装置111は、ネットワークシステム1の管理者等(以下、ユーザと称する。)によって予め設定された対処方針、及び予め取得したネットワーク情報を参照し、インシデントに対する対処方法の候補(以下、対処候補と称する。)を複数生成し、
生成した各対処候補について、夫々の望ましさを評価し、評価した結果を提示する。ネットワークシステム1は、提示した対処候補からユーザが選択した対処候補に基づき、ネットワーク機器の設定を行う。
インシデント検知装置113は、サービス系ネットワーク51においてセキュリティに関するインシデントが発生すると、管理系ネットワーク52を介して、サービス系ネットワーク51を構成するネットワーク機器からインシデント情報を取得し、取得したインシデント情報を管理系ネットワーク52を介してネットワーク制御装置111に通知する。
トポロジアナライザ112は、管理系ネットワーク52を介して、サービス系ネットワーク51を構成するネットワーク機器からトポロジ情報を取得し、取得したトポロジ情報を管理系ネットワーク52を介してネットワーク制御装置111に通知する。
図2にネットワーク制御装置111のハードウェア構成の一例を示す。同図に示すように、ネットワーク制御装置111は、プロセッサ201、主記憶装置202、補助記憶装置203、入力装置204、出力装置205、及び通信装置206を備える。これらは図示しないバス等の通信手段を介して通信可能に接続されている。
プロセッサ201は、例えば、CPU(Central Processing Unit)やMPU(Micro Processing Unit)を用いて構成される。主記憶装置202は、揮発性もしくは不揮発性の記憶素子を用いて構成された、プログラムやデータを記憶する装置であり、例えば、ROM(Read Only Memory)、RAM(Random Access Memory)、NVRAM(Non Volatile
RAM)等である。プロセッサ201及び主記憶装置202は情報処理装置を構成する。補助記憶装置203は、例えば、SSD(Solid State Drive)、ハードディスクドライブ
、光学式記憶装置、記録媒体の読取/書込装置等である。補助記憶装置203に記憶されているプログラムやデータは主記憶装置202に随時ロードされる。
入力装置204は、ユーザから情報を取得するユーザインタフェースであり、例えば、キーボード、マウス、タッチパネル、操作ボタン、カードリーダ、音声入力装置等である。出力装置205は、ユーザに情報を提供するユーザインタフェースであり、例えば、LCD(Liquid Crystal Display)、グラフィックカード、音声出力装置(アンプ、スピーカ等)、印字/印刷装置等である。通信装置206は、管理系ネットワーク52に接続する他の機器と通信する有線方式又は無線方式の通信インタフェースであり、例えば、NIC(Network Interface Card)、無線通信モジュール等を用いて構成される。
図3にネットワーク制御装置111が備える機能、及びネットワーク制御装置111が記憶するデータを示している。同図に示すように、ネットワーク制御装置111は、表示/操作部121、ネットワーク機器情報取得部122、インシデント情報取得部123、対処設定情報生成部124、及びネットワーク機器設定部125の各機能を備える。これらの機能は、ネットワーク制御装置111のハードウェアによって、もしくは、ネットワーク制御装置111のプロセッサ201が、主記憶装置202(又は補助記憶装置203)に記憶されているプログラムを読み出して実行することにより実現される。
同図に示すように、ネットワーク制御装置111は、ネットワーク機器情報131、対処方針情報132、及びインシデント情報133の各データを記憶する。これらのデータは、例えば、ネットワーク制御装置111(もしくはこれに通信可能に接続された情報処理装置)において動作するDBMS(Data Base Management System)によって管理され
るデータベースのテーブルとして管理される。
上記機能のうち、表示/操作部121は、例えば、サービス系ネットワーク51の構成
情報やインシデントへの対処方針等の情報をユーザが入力/設定するためのユーザインタフェースや、前述した対処候補をユーザに提示し選択を促すためのユーザインタフェースを提供する。
ネットワーク機器情報取得部122は、管理系ネットワーク52を介して、サービス系ネットワーク51に接続するネットワーク機器が備える機能に関する情報(以下、ネットワーク機器情報と称する。)を取得する。ネットワーク機器情報には、例えば、スイッチ151〜156に関する情報、端末161〜162に関する情報、サーバ装置163に関する情報、調査端末164に関する情報、ダミーサーバ165に関する情報、キャプチャサーバ166に関する情報等がある。
インシデント情報取得部123は、前述したインシデント情報をインシデント検知装置113等を介してサービス系ネットワーク51から取得する。
対処設定情報生成部124は、ネットワーク機器情報取得部122やインシデント情報取得部123が取得した情報に基づき、サービス系ネットワーク51において発生したインシデントに対する対処候補を生成し、生成した対処候補の夫々について望ましさを評価する。
ネットワーク機器設定部125は、対処設定情報生成部124が生成した対処候補に基づき、サービス系ネットワーク51を構成しているネットワーク機器に対して、それらのネットワーク機器に対処候補に対応した動作をさせるための情報(以下、設定情報と称する。)を送信する。
ネットワーク制御装置111が管理する上記データのうち、ネットワーク機器情報131は、サービス系ネットワーク51を構成しているネットワーク機器の情報(ネットワーク機器を特定する情報、ネットワーク機器の構成に関する情報、ネットワーク機器が備える機能に関する情報、ネットワーク機器間の接続関係を示す情報等。)を含む。対処方針情報132は、サービス系ネットワーク51において発生したインシデントに対する対処方法を決定するために用いる情報を含む。インシデント情報133は、サービス系ネットワーク51において発生したインシデントに関する情報を含む。
===データ構成===
ネットワーク制御装置111が管理(記憶)する、ネットワーク機器情報131、対処方針情報132、及びインシデント情報133について詳細に説明する。
以下では、ネットワーク機器情報131の例として、ネットワーク機器情報管理テーブル400、トポロジ情報テーブル500、ネットワーク変数テーブル600、機能マスタテーブル700、機能対応テーブル800、機能割り当てテーブル900、及びリソース情報テーブル1000を示す。
また対処方針情報132の例として、対処目的テーブル1100、対処方針テーブル1200、対処変数テーブル1300、対処方針評価項目テーブル1400、及び処理配置評価項目テーブル1500を示す。
またインシデント情報133の例として、インシデントテーブル1600、対処方法テーブル1700、対処経路テーブル1800、対処処理配置テーブル1900、及び対処候補テーブル2000を示す。
<ネットワーク機器情報>
図4は、ネットワーク機器情報131の一つとして示すネットワーク機器情報管理テーブル400の一例である。ネットワーク機器情報管理テーブル400には、ネットワーク制御装置111が、管理系ネットワーク52を介して制御可能なネットワーク機器に関する情報が管理される。同図に示すように、ネットワーク機器情報管理テーブル400は、ネットワーク機器ID401、管理アドレス402、型番403、及びタイプ404の各項目を有する一つ以上のレコードで構成される。ネットワーク機器情報管理テーブル400のレコードの数は、ネットワーク制御装置111が制御対象とするネットワーク機器の数に応じて増減する。
上記項目のうち、ネットワーク機器ID401には、ネットワーク機器の識別子(以下、ネットワーク機器IDと称する。)が設定される。管理アドレス402には、管理系ネットワーク52において当該ネットワーク機器に付与されているネットワークアドレス(本例ではIPアドレス)が設定される。型番403には、当該ネットワーク機器の型番403が設定される。タイプ404には、当該ネットワーク機器の種類を示す情報(以下、タイプと称する。)が設定される。本実施形態では、同図では、レイヤー2スイッチ等のレガシータイプのスイッチには上記タイプとして「Legacy」が、SDNに対応したスイッチには上記タイプとして「SDN」が、夫々設定されている。
図5は、ネットワーク機器情報131の一つとして示すトポロジ情報テーブル500の一例である。トポロジ情報テーブル500には、ネットワーク機器情報管理テーブル400の各ネットワーク機器の、サービス系ネットワーク51における接続関係を示す情報(以下、トポロジ情報と称する。)が管理される。同図に示すように、トポロジ情報テーブル500は、トポロジID501、ネットワーク機器ID502、インタフェース503、対向ネットワーク機器ID504、対向インタフェース505、STP状態506、通信速度507、及び所属LAN508の各項目からなる一つ以上のレコードで構成される。トポロジ情報テーブル500のレコード数は、ネットワーク機器間のリンクの数に応じて増減する。
上記項目のうち、トポロジID501には、ネットワーク機器の接続関係(組み合わせ)ごとに付与される識別子(以下、トポロジIDと称する。)が設定される。ネットワーク機器ID502には、ネットワーク機器IDが設定される。インタフェース503には、当該ネットワーク機器が備える通信インタフェース(例えば、ポート)を特定する情報が設定される。対向ネットワーク機器ID504には、当該ネットワーク機器と接続するネットワーク機器(以下、対向ネットワーク機器と称する。)のネットワーク機器IDが設定される。対向インタフェース505には、対向スイッチの通信インタフェース(例えば、ポート)を特定する情報が設定される。STP状態506(STP: Spanning Tree Protocol)には、当該ネットワーク機器と対向ネットワーク機器とが現在、通信可能な状態
にあるか否かを示す情報が設定される。通信速度507には、当該ネットワーク機器と対向ネットワーク機器との間の通信速度507の理論値を示す情報が設定される。所属LAN508には、当該ネットワーク機器が所属しているネットワーク(例えば、VLAN機能やルーティング機能によって分轄された個々のネットワーク)の識別子が設定される。
図6は、ネットワーク機器情報131の一つとして示すネットワーク変数テーブル600の一例である。ネットワーク変数テーブル600には、ネットワーク制御装置111が、サービス系ネットワーク51の監視や制御に用いる変数や変数に代入されている値が管理される。同図に示すように、ネットワーク変数テーブル600は、変数名601、値602、説明603の各項目を有する一つ以上のレコードで構成される。ネットワーク変数テーブル600のレコード数は、ネットワーク制御装置111が取り扱う変数の数に応じて増減する。
上記項目のうち、変数名601には、変数ごとに付与される識別子(例えば、変数名)が設定される。値602には、当該変数に現在代入されている値が設定される。説明603には、当該変数に関する情報(当該変数の説明等)が設定される。
図7は、ネットワーク機器情報131の一つとして示す機能マスタテーブル700の一例である。機能マスタテーブル700には、サービス系ネットワーク51を構成するネットワーク機器が備える機能を抽象化して表現した情報が管理される。同図に示すように、機能マスタテーブル700は、機能ID701、サブID702、入力条件703、更新処理704、出力705、及び設定用スクリプトURI706の各項目を有する一つ以上のレコードで構成される。機能マスタテーブル700の一つのレコードは抽象化して表現された一つの機能に対応している。
上記項目のうち、機能ID701には、ネットワーク機器が備える機能ごとに付与される識別子(以下、機能IDと称する。)が設定される。サブID702には、複数の機能が連携して動作する場合に、連携して動作する機能群を区別するための識別子(以下、サブIDと称する。)が設定される。入力条件703には、当該機能の処理対象となるパケットの条件を示す情報が設定される(当該条件を満たすパケットが当該機能の処理の対象となる。)。更新処理704には、当該機能の処理対象となるパケットに対して行われる処理(当該パケットに加えられる更新処理)を示す情報が設定される。出力705には、当該機能の処理対象となるパケットの出力先となる通信インタフェース(例えば、ポート)を示す情報が設定される。設定用スクリプトURI706には、当該機能をネットワーク機器に設定するためのコマンドを生成するスクリプトの所在を示す情報(本例では、URI(Uniform Resource Identifier))が設定される。
図8は、ネットワーク機器情報131の一つとして示す機能対応テーブル800の一例である。機能対応テーブル800には、サービス系ネットワーク51を構成するネットワーク機器と、各ネットワーク機器が備える機能とを対応付けた情報が管理される。同図に示すように、機能対応テーブル800は、ネットワーク機器ID801と機能ID802の各項目を有する一つ以上のレコードで構成される。上記項目のうち、ネットワーク機器ID801には前述したネットワーク機器IDが、機能ID802には前述した機能IDが、夫々設定される。
図9は、ネットワーク機器情報131の一つとして示す機能割り当てテーブル900の一例である。機能割り当てテーブル900には、サービス系ネットワーク51を構成するネットワーク機器に現在設定されている(割り当てられている)機能を示す情報が管理される。同図に示すように、機能割り当てテーブル900は、ネットワーク機器ID901、機能ID902、及び変数903の各項目からなる一つ以上のレコードで構成される。機能割り当てテーブル900のレコード数は、ネットワーク機器に現在設定されている機能の数に伴い増減する。
上記項目のうち、ネットワーク機器ID901には前述したネットワーク機器IDが設定される。機能ID902には当該スイッチに割り当てられている機能の前述した機能IDが設定される。変数903には当該機能に関する変数に現在代入されている値を示す情報が設定される。
図10は、ネットワーク機器情報131の一つとして示すリソース情報テーブル1000の一例である。リソース情報テーブル1000には、サービス系ネットワーク51における資源(リソース)の割り当てに関する情報(以下、リソース情報と称する。)が管理される。同図に示すように、リソース情報テーブル1000は、リソースID1001、
リソース種別1002、範囲1003、及び使用状態1004の各項目からなる一つ以上のレコードで構成される。リソース情報テーブル1000のレコード数は、サービス系ネットワーク51における資源(リソース)の変化に伴い増減する。
上記項目のうち、リソースID1001には、リソースの識別子(以下、リソースIDと称する。)が設定される。リソース種別1002には、当該リソースの種別を示す情報(以下、リソース種別と称する。)が設定される。範囲1003には、当該リソースの割り当て可能な範囲を示す情報が設定される。使用状態1004には、当該リソースが現在、使用中であるか否かを示す情報が設定される。
<対処方針情報>
図11は、対処方針情報132の一つとして示す対処目的テーブル1100の一例である。対処目的テーブル1100は、サービス系ネットワーク51において発生したインシデントに対する対処の目的を示す情報(以下、対処目的と称する。)が管理される。同図に示すように、対処目的テーブル1100は、対処目的ID1101、説明1102、及び対処目的評価スコア1103の各項目からなる一つ以上のレコードで構成される。
上記項目のうち、対処目的ID1101には、対処目的ごとに付与される識別子(以下、対処目的IDと称する。)が設定される。説明1102には、当該対処目的に関する情報(対処目的の説明等)が設定される。対処目的評価スコア1103には、当該対処目的の重要度を示す値(以下、対処目的評価スコアと称する。)が設定される。
図12は、対処方針情報132の一つとして示す対処方針テーブル1200の一例である。対処方針テーブル1200は、サービス系ネットワーク51において発生したインシデントに対して、ネットワークの設定変更等の具体的な対処方法を決定する際の雛形となる情報(以下、対処方針と称する。)が管理されるテーブルである。同図に示すように、対処方針テーブル1200は、対処方針ID1201、識別条件1202、終点1203、更新処理1204、対処目的ID1205、対処方針評価項目1206、及び簡易メモ1207の各項目からなる一つ以上のレコードで構成される。対処方針テーブル1200のレコード数は、設定する対処方針の数に伴い増減する。
上記項目のうち、対処方針ID1201には、対処方針ごとに付与される識別子(以下、対処方針IDと称する。)が設定される。識別条件1202には、当該対処方針の処理対象とするパケットを識別する条件を示す情報が設定される。終点1203には、当該対処方針の処理対象となるパケットの最終的な転送先を示す情報が設定される。更新処理1204には、当該対処方針が適用される際に当該対処方針の処理対象となるパケットに対して行われる処理(更新処理等)を示す情報が設定される。対処目的ID1205には、当該対処方針に対応づけられる対処目的を示す情報が設定される。対処方針評価項目1206には、当該対処方針とその望ましさを評価するための項目(以下、対処方針評価項目と称する。)との対応を示す情報が設定される。簡易メモ1207には、当該対処方針に関する情報(当該対処方針の説明等)が設定される。
図13は、対処方針情報132の一つとして示す対処変数テーブル1300の一例である。対処変数テーブル1300には、対処方針に関する処理で使用する変数(以下、対処変数と称する。)に代入する値が管理される。同図に示すように、対処変数テーブル1300は、変数名1301、アドレス1302、接続インタフェース1303、及び説明1304の各項目からなる一つ以上のレコードで構成される。対処変数テーブル1300のレコード数は、設定する対処変数の数に伴い増減する。
上記項目のうち、変数名1301には、対処変数の識別子(例えば、変数名)が設定される。アドレス1302には、当該変数に設定される情報(本例ではIPアドレス)が設定される。接続インタフェース1303には、当該変数に設定される情報(本例ではトポロジID501)が設定される。説明1304には、当該変数に関する情報(例えば、当該変数の用途の説明等)を示す情報が設定される。
図14は、対処方針情報132の一つとして示す対処方針評価項目テーブル1400の一例である。対処方針評価項目テーブル1400には、前述した対処方針評価項目に関する情報が管理される。同図に示すように、対処方針評価項目テーブル1400は、対処方針評価項目ID1401、説明1402、及び対処方針評価スコア1403の各項目からなる一つ以上のレコードで構成される。対処方針評価項目テーブル1400のレコード数は、設定する対処方針評価項目の数に伴い増減する。
上記項目のうち、対処方針評価項目ID1401には、対処方針の評価項目の識別子(以下、評価項目IDと称する。)が設定される。説明1402は、当該評価項目に関する情報(例えば、当該評価項目の説明情報等)が設定される。対処方針評価スコア1403には、当該対処方針の望ましさを定量化した値(以下、対処方針評価スコアと称する。)が設定される。
図15は、対処方針情報132の一つとして示す処理配置評価項目テーブル1500の一例である。処理配置評価項目テーブル1500には、後述する対処処理配置に対してその望ましさの算出に用いる項目(以下、処理配置評価項目と称する。)が管理される。同図に示すように、処理配置評価項目テーブル1500は、処理配置評価項目ID1501、説明1502、算出用スクリプトURI1503、及び処理配置評価重み1504の各項目からなる一つ以上のレコードで構成される。処理配置評価項目テーブル1500のレコード数は、設定する処理配置評価項目の数に伴い増減する。
上記項目のうち、処理配置評価項目ID1501には、処理配置評価項目ごとに付与される識別子(以下、処理配置評価項目IDと称する。)が設定される。説明1502には、当該処理配置評価項目の内容を示す情報が設定される。算出用スクリプトURI1503には、処理配置評価項目についての評価値(以下、処理配置評価項目評価値と称する。)を算出するためのスクリプトの所在(本例ではURI)が設定される。処理配置評価重み1504には、算出された上記処理配置評価項目評価値に対して重み付けをするための係数が設定される。
<インシデント情報>
図16は、インシデント情報133の一つとして示すインシデントテーブル1600の一例である。インシデントテーブル1600には、サービス系ネットワーク51において発生したインシデントに関する情報が管理される。同図に示すように、インシデントテーブル1600は、インシデントID1601、対象端末ID1602、接続インタフェース1603、及び状況1604の各項目からなる一つ以上のレコードで構成される。インシデントテーブル1600のレコード数は、現在管理中のインシデント数に伴い増減する。
上記項目のうち、インシデントID1601には、インシデントごとに付与される識別子(以下、インシデントIDと称する。)が設定される。対象端末アドレス1602には、対処の対象となる端末(本例では端末161)を特定する情報(本例では端末161のIPアドレス)が設定される。接続インタフェース1603には、当該対象端末161から最も少ないホップ数で到達するネットワーク機器(例えば、スイッチ151〜155)の通信インタフェース(例えば、ポート)を特定する情報が設定される。状況1604に
は、当該インシデントの対処の状況を示す情報が設定される。
図17は、インシデント情報133の一つとして示す対処方法テーブル1700の一例である。対処方法テーブル1700には、対処方針をインシデントに対応づけて具体化した情報(以下、対処方法と称する。)が管理される。同図に示すように、対処方法テーブル1700は、対処方法ID1701,インシデントID1702、及び対処方針ID1703の各項目からなる一つ以上のレコードで構成される。対処方法テーブル1700のレコード数は、管理中のインシデントの数に伴い増減する。
上記項目のうち、対処方法ID1701には、対処方法の識別子(以下、対処方法IDと称する。)が設定される。インシデントID1702には、当該対処方法に対応づけられたインシデントのインシデントIDが設定される。対処方針ID1703には、当該対処方法に対応づけられた対処方針の対処方針IDが設定される。
図18は、インシデント情報133の一つとして示す対処経路テーブル1800の一例である。対処経路テーブル1800には、対処方法を実現するためのサービス系ネットワーク51における具体的な経路(以下、対処経路と称する。)を示す情報が管理される。
同図に示すように、対処経路テーブル1800は、対処経路ID1801、対処方法ID1802、及び制御経路1803の各項目からなる一つ以上のレコードで構成される。対処経路テーブル1800のレコード数は、管理中の対処方法の数に伴い増減する。
上記項目のうち、対処経路ID1801には、対処経路ごとに付与される識別子(以下、対処経路IDと称する。)が設定される。対処方法ID1802には、当該対処経路に対応する対処方法の対処方法IDが設定される。制御経路1803には、対処経路を、サービス系ネットワーク51におけるネットワーク機器(ネットワーク機器ID)のリスト(組み合わせ)として表現した情報が設定される。
図19は、インシデント情報133の一つとして示す対処処理配置テーブル1900の一例である。対処処理配置テーブル1900には、各対処経路に対し、対応する対処方法に指定されているパケットの更新処理のネットワーク機器への具体的な割り当てを示す情報(以下、対処処理配置と称する。)が管理される。同図に示すように、対処処理配置テーブル1900は、対処処理配置ID1901、対処経路ID1902、更新処理配置1903、及び処理機能設定1904の各項目からなる一つ以上のレコードで構成される。対処処理配置テーブル1900のレコード数は、管理中の対処経路の数に伴い増減する。
上記項目のうち、対処処理配置ID1901には、対処処理配置の識別子(以下、対処処理配置IDと称する。)が設定される。対処経路ID1902には、当該対処処理配置に対応づけられている対処経路の対処経路IDが設定される。更新処理配置1903は、パケットの更新処理の割り当てを示す情報が設定される。処理機能設定1904には、上記割り当ての可否についての判定結果や上記更新処理の具体的な設定値等の情報が設定される。
図20は、インシデント情報133の一つとして示す対処候補テーブル2000の一例である。対処候補テーブル2000には、対処目的を具体化する対処処理配置の組み合わせ(前述した対処候補に相当)が管理される。同図に示すように、対処候補テーブル2000は、対処候補ID2001、目的/対処処理配置対応2002、及び対処候補評価スコア2003の各項目からなる一つ以上のレコードで構成される。対処候補テーブル2000のレコード数は、対処目的テーブル1100、インシデントテーブル1600、及び対処処理配置テーブル1900のうちの少なくともいずれかのレコードの数の増減に伴い増減する。
上記項目のうち、対処候補ID2001には、対処候補ごとに付与される識別子(以下、対処候補IDと称する。)が設定される。目的/対処処理配置対応2002には、対処目的と対処処理配置とを対応づけた情報が設定される。対処候補評価スコア2003には、目的/対処処理配置対応2002に基づき算出される、当該対処候補の望ましさを示す値(以下、対処候補評価スコアと称する。)が設定される。
===ユーザインタフェース===
続いて、表示/操作部121が提供するユーザインタフェースの例を示す。
図21は、表示/操作部121が提供するユーザインタフェースの一つとして示すネットワーク情報設定画面2100の一例である。ユーザは、ネットワーク情報設定画面2100を利用して、サービス系ネットワーク51に関する情報をネットワーク機器情報131としてネットワーク制御装置111に設定することができる。
同図に示すように、ネットワーク情報設定画面2100には、タブ2140、プレビュー画面2110、ネットワーク機器一覧2120、及びネットワーク機器情報編集欄2130が設けられている。
このうちタブ2140は、出力装置205に表示させる画面の切り替えに用いられる。ユーザは、タブ2140の一つを選択することにより、当該ネットワーク情報設定画面2100や後述する対処設定画面2200、評価項目設定画面2400、及び対処候補設定画面2600のいずれかを出力装置205に表示させることができる。
プレビュー画面2110には、ネットワーク制御装置111が、ネットワーク機器情報管理テーブル400及びトポロジ情報テーブル500に基づき生成するサービス系ネットワーク51の構成図が表示される。
ネットワーク機器一覧2120には、ネットワーク機器情報管理テーブル400の内容が表示される。ユーザは、ネットワーク機器一覧2120からネットワーク機器を選択することができる。ネットワーク機器情報編集欄2130には、ネットワーク機器一覧2120から選択されたネットワーク機器に関する詳細が表示される。
ネットワーク制御装置111は、ユーザが更新ボタン2121を選択すると、管理系ネットワーク52に接続しているネットワーク機器やトポロジアナライザ112等からネットワーク機器情報を取得する。ネットワーク制御装置111は、取得したネットワーク機器情報を、ネットワーク機器情報131として記憶する。またネットワーク制御装置111は、取得したネットワーク機器情報に基づき、当該ネットワーク情報設定画面2100の表示内容を更新する。尚、ユーザは編集ボタン2122を選択することで、ネットワーク機器情報編集欄2130に表示されている内容を編集(ネットワーク機器情報131を編集)することもできる。
図22及び図23は、表示/操作部121が提供するユーザインタフェースの一つとして示す対処設定画面2200の一例である。ユーザは、この対処設定画面2200を利用して、対処方針や対処目的に関する情報を入力し、対処方針情報132として設定することができる。これらの図に示すように、対処設定画面2200には、前述したタブ2140、対象選択欄2210、対処一覧2220、及び対処編集欄2230が設けられている。
このうち対象選択欄2210にはプルダウンメニュー2211が設けられている。ユー
ザは、プルダウンメニュー2211を利用して、閲覧や編集の対象を選択することができる。
図22は、ユーザがプルダウンメニュー2211を操作して「対処方針」を選択した場合に相当する。同図に示すように、対処一覧2220には、対処方針テーブル1200の内容が表示されている。対処一覧2220から対処方針の一つが選択されると、選択された対処方針に対応する対処方針テーブル1200の内容が対処編集欄2230に表示される。ユーザは対処編集欄2230の内容を編集することで対処方針テーブル1200の内容を更新することができる。
図23は、プルダウンメニュー2211を操作して「対処目的」を選択した場合に相当する。同図に示すように、対処一覧2220には、対処目的テーブル1100の内容が表示されている。対処一覧2220から対処目的の一つが選択されると、選択された対処目的に対応する対処目的テーブル1100の内容が対処編集欄2230に表示される。ユーザは対処編集欄2230の内容を編集することで対処目的テーブル1100の内容を更新することができる。
図24及び図25は、表示/操作部121が提供するユーザインタフェースの一つとして示す評価項目設定画面2400の一例である。ユーザは、この評価項目設定画面2400を利用して、評価項目に関する情報を対処方針情報132として設定することができる。これらの図に示すように、評価項目設定画面2400には、前述したタブ2140、対象評価項目選択欄2410、評価項目一覧2420、及び評価項目編集欄2430が設けられている。
このうち対象評価項目選択欄2410にはプルダウンメニュー2411が設けられている。ユーザは、プルダウンメニュー2411を利用して、閲覧や編集の対象を選択することができる。
図24は、ユーザがプルダウンメニュー2411を操作して「対処方針」を選択した場合に相当する。この場合、評価項目一覧2420には、対処方針評価項目テーブル1400の内容が表示される。ユーザが評価項目一覧2420から評価項目を一つ選択し、編集ボタン2421を選択すると、選択した評価項目の内容が評価項目編集欄2430に表示される。ユーザは、評価項目編集欄2430の内容を編集することで対処方針評価項目テーブル1400の内容を更新することができる。またユーザは、新規作成ボタン2422を選択することで、対処方針評価項目テーブル1400に新規のレコードを追加することができる。ユーザは、削除ボタン2423を選択することで、対処方針評価項目テーブル1400の任意のレコードを削除することができる。
図25は、ユーザがプルダウンメニュー2411を操作して「対処処理配置」を選択した場合に相当する。この場合、評価項目一覧2420には、処理配置評価項目テーブル1500の内容が表示される。ユーザが評価項目一覧2420から処理配置評価項目を一つ選択し、編集ボタン2421を選択すると、選択した処理配置評価項目の内容が評価項目編集欄2430に表示される。ユーザは、評価項目編集欄2430の内容を編集することで処理配置評価項目テーブル1500の内容を更新することができる。またユーザは、新規作成ボタン2422を選択することで、処理配置評価項目テーブル1500に新規のレコードを追加することができる。ユーザは、削除ボタン2423を選択することで、処理配置評価項目テーブル1500の任意のレコードを削除することができる。
図26は、表示/操作部121が提供するユーザインタフェースの一つとして示す対処候補設定画面2600の一例である。ユーザは、この対処候補設定画面2600を利用し
て、インシデントの対処に用いる対処候補を選択する。
同図に示すように、対処候補設定画面2600には、対象インシデント選択欄2610、対処候補選択欄2620、対処目的・処理配置選択欄2630、及びプレビュー画面2640が設けられている。
対象インシデント選択欄2610にはプルダウンメニュー2611が設けられている。ユーザは、プルダウンメニュー2611を利用して、インシデントテーブル1600のインシデントの一つを選択することができる。
対処候補選択欄2620には、対処候補テーブル2000から取得される、対象インシデント選択欄2610にて選択されたインシデントに対応づけられている対処候補の一覧が表示される。ユーザは、表示されている対処候補の中から、インシデントの対処に用いる対処候補を選択することができる。
対処候補が選択されると、対処目的・処理配置選択欄2630には対処候補テーブル2000の目的/対処処理配置対応2002の一覧が表示される。ユーザが対処目的・処理配置の組み合わせの一つを選択すると、上記選択した組み合わせに対応する対処処理配置の詳細を示した図がプレビュー画面2640に表示される。
尚、以上では、ユーザインタフェースとしてGUI(Graphical User Interface)によるものを例示したが、これに限定されず、ユーザインタフェースは、例えば、CLI(Command Line Interface)を利用するものやファイルのアップロードやダウンロードを利用するものであってもよい。
===処理例===
続いて、以上に説明した構成からなるネットワークシステム1において行われる処理について説明する。
図27は、ネットワーク機器情報131や対処方針情報132の設定に関してネットワーク制御装置111が行う処理(以下、情報取得設定処理S2700と称する。)を説明するフローチャートである。以下、同図とともに情報取得設定処理S2700について説明する。
ネットワーク制御装置111のネットワーク機器情報取得部122は、トポロジアナライザ112等を介して、サービス系ネットワーク51を構成しているネットワーク機器からネットワーク情報を取得し、取得した情報をネットワーク機器情報131として記憶する(S2701)。当該処理は、例えば、予め設定されたタイミング行ってもよいし、ユーザの操作指示等に応じて任意のタイミングで行ってもよい。
ユーザは、表示/操作部121を介して、前述したネットワーク機器情報及びインシデント情報をネットワーク制御装置111に入力する(S2711)。ネットワーク制御装置111は、入力された上記情報を、夫々、ネットワーク機器情報131、対処方針情報132として記憶する(S2712)。ユーザは、表示/操作部121を介して、ネットワーク機器情報131及び対処方針情報132を参照することができる。
図28は、ネットワーク制御装置111が、サービス系ネットワーク51において発生したインシデントを検知した場合に行う処理(以下、インシデント検知時処理S2800と称する。)を説明するフローチャートである。以下、同図とともにインシデント検知時処理S2800について説明する。
同図に示すように、ネットワーク制御装置111のインシデント情報取得部123は、インシデント検知装置113を介してインシデント情報を取得し、取得したインシデント情報を対処設定情報生成部124に送信する(S2801)。
続いて、ネットワーク制御装置111の対処設定情報生成部124は、インシデント情報取得部123から受信したインシデント情報をインシデント情報133として記憶する。また対処設定情報生成部124は、ネットワーク機器情報131及び対処方針情報132に基づき、発生したインシデントに対する対処方法、対処経路、及び対処処理配置を生成し、生成した対処方法、対処経路、及び対処処理配置に基づき対処候補を生成する。また対処設定情報生成部124は、生成した対処候補の夫々について対処候補評価スコアを算出し、算出した対処候補及び対処候補評価スコアを表示/操作部121に送信する(S2802)。以下、当該処理を対処設定情報生成処理S2802と称する。
表示/操作部121は、対処設定情報生成部124から受信した対処候補及び対処候補評価スコアを出力装置205に出力(表示)してユーザに提示する(S2803)。
ユーザは、表示/操作部121が提供するユーザインタフェースを介して対処候補を選択する(S2804)。表示/操作部121は、ユーザが選択した対処候補を対処設定情報生成部124に送信する(S2805)。
対処設定情報生成部124は、表示/操作部121から受信した対処候補に基づき、選択する対処候補を決定し、インシデント情報133を更新する(S2806)。また対処設定情報生成部124は、採用した対処候補に基づきネットワーク機器の設定を変更するよう、ネットワーク機器設定部125に指示を送信する(S2807)。ネットワーク機器設定部125は、指示に応じてネットワーク機器情報131を更新する(S2808)。
ネットワーク機器設定部125は、対処設定情報生成部124から受信した指示に応じて、各スイッチ151〜155に設定変更指示を送信する(S2808)。
図29は、図28の対処設定情報生成処理S2802の詳細を説明するフローチャートである。以下、同図とともに対処設定情報生成処理S2802について説明する。
まずネットワーク制御装置111の対処設定情報生成部124は、インシデント情報取得部123からインシデント情報を取得し、取得したインシデント情報をインシデント情報133として記憶する。以下、この処理をインシデント情報取得/登録処理S2901と称する。対処設定情報生成部124は、上記インシデント情報として、例えば、端末161のネットワークアドレス(IPアドレス)や端末161が接続されているネットワーク機器の通信インタフェース(例えば、スイッチ153が備えるポートの識別子)を取得する。
続いて、対処設定情報生成部124は、対処方針テーブル1200を参照し、インシデント情報取得/登録処理S2901で取得したインシデント情報に対処方針を対応させることにより対処方法を生成し、生成した対処方法を対処方法テーブル1700に記憶する。以下、この処理を対処方法生成処理S2902と称する。対処設定情報生成部124は、対処方針テーブル1200の対処方針における変数に、上記インシデント情報から取得される具体的な値を代入することにより対処方針を具体化して対処方法を生成する。
このように対処設定情報生成部124は、インシデント情報に基づき対処方針を具体化
して対処方法を生成するので、発生したインシデントに対処するための対処方針に沿った対処方法を自動的に生成することができる。
続いて、対処設定情報生成部124は、対処設定情報生成部124が生成した対処方法について対処経路を生成し、生成した対処経路を対処経路テーブル1800に記憶する。以下、この処理を対処経路生成処理S2903と称する。対処設定情報生成部124は、例えば、対処方法に指定されているパケットの送信元と受信先に基づき、パケットが送信元から受信先に至る途中経路のバリエーションを探索して複数の経路を生成し、生成した経路を対処経路とする。
このように対処設定情報生成部124は、対処方法に基づき途中経路のバリエーションを探索して複数の対処経路を生成するので、対処方法に対応する対処経路を自動的に生成することができる。
続いて、対処設定情報生成部124は、生成した対処経路の夫々について更新処理配置1903を複数生成し、生成した更新処理配置1903を対処処理配置テーブル1900に記憶する。以下、この処理を対処処理配置生成処理S2904と称する。対処設定情報生成部124は、例えば、対処経路上のネットワーク機器の、対処方針に指定されている更新処理(パケットに加える更新処理)の割り当てを、ネットワーク機器情報131に基づき可能な組み合わせを探索して複数生成し、生成した組み合わせを対処処理配置とする。
このように対処設定情報生成部124は、更新処理のネットワーク機器への割り当てを、ネットワーク機器情報131に基づき可能な組み合わせを探索することにより生成するので、ネットワークを構成する個々のネットワーク機器が備える機能を考慮しつつ更新処理のネットワーク機器への割り当てを生成することができる。
続いて、対処設定情報生成部124は、対処処理配置テーブル1900を参照し、対処目的ごとに対処処理配置を選択して対処候補を複数生成し、生成した対処候補を対処候補テーブル2000に記憶する。以下、この処理を対処候補生成処理S2905と称する。対処設定情報生成部124は、例えば、対処目的の夫々について、対応する対処方針の一つから生成された対処処理配置の一つを選択し、対処目的の夫々について対処処理配置の組み合わせを探索して複数生成し、対処候補とする。
このように対処設定情報生成部124は、対処目的の夫々について対処処理配置の組み合わせ方を探索して対処候補を生成するので、対処目的と対処処理配置とを組合せた形で対処候補をユーザに提示することができる。
続いて、対処設定情報生成部124は、生成した対処候補の夫々について実現可能性を判定して対処候補テーブル2000を更新する。以下、この処理を対処候補判定処理S2906と称する。対処設定情報生成部124は、例えば、対処処理配置及びその生成元の対処方法に指定されているパケットの制御方法と、ネットワーク機器情報131から取得されるネットワーク機器が備える機能とを対照(比較)することによりパケットの制御方法が実現可能か否かを判定し、対処候補の実現可能性を判定する。
このように対処設定情報生成部124は、対処候補の夫々について、サービス系ネットワーク51を構成している個々のネットワーク機器が備える機能を考慮して対処候補の実現可能性を判定するので、現状のネットワーク機器の構成に則して対処候補の実現可能性を判定することができる。
続いて、対処設定情報生成部124は、生成した対処候補の夫々について対処候補評価スコアを算出して対処候補テーブル2000を更新する。以下、この処理を対処候補評価スコア算出処理S2907と称する。対処設定情報生成部124は、例えば、対処処理配置の生成元の対処方針に設定されている対処方針評価スコア1403、対処方針に対応する対処目的に設定されている対処目的評価スコア1103、及び対処処理配置から求められる評価スコア(後述の対処処理配置評価スコア)に基づき、対処候補の優先度である対処候補評価スコアを求める。
このように対処設定情報生成部124は、各対処方針の優先度(対処方針評価スコア1403)、各対処目的の優先度(対処目的評価スコア1103)、及び各対処処理配置の優先度(対処処理配置評価スコア)に基づき、対処候補の優先度を求めるので、対処方針、対処目的、及び対処処理配置の夫々の優先度を考慮した形で対処候補の優先度をユーザに提示することができる。
続いて、対処設定情報生成部124は、対処候補を対処候補評価スコア2003でソートし、表示/操作部121に出力する(S2908)。
図30は、図29に示したインシデント情報取得/登録処理S2901の詳細を説明するフローチャートである。以下、同図とともにインシデント情報取得/登録処理S2901について説明する。以下では、マルウェアの感染が予想される端末161(以下、隔離対象端末とも称する。)が関係するインシデントが発生した場合を例として説明する。
対処設定情報生成部124は、発生したインシデントの情報をインシデント検知装置113から取得する(S3001)。上記インシデント情報は、例えば、端末161のIPアドレスや端末161に関する他の情報を含む。
続いて、対処設定情報生成部124は、インシデントテーブル1600に新規のレコードを追加し、追加したレコードの内容を設定する。例えば、対処設定情報生成部124は、インシデントID1601に未使用のIDを、対象端末アドレス1602に端末161のIPアドレスを、夫々設定する(S3002)。対処設定情報生成部124が必要に応じて端末161のIPアドレス以外の情報をさらにインシデントテーブル1600に設定してもよい。
続いて、対処設定情報生成部124は、端末161のトポロジ情報テーブル500のネットワーク機器ID502及び所属LAN508と、ネットワーク変数テーブル600の変数名601及び値602を参照し、各スイッチが接続しているLANのIPアドレス帯を取得する。続いて、トポロジアナライザ112に、取得したIPアドレス帯のIPアドレスとMACアドレスとを対応付けた情報を要求し、端末161のIPアドレスに対応づけられているMACアドレスを取得する(S3003)。
続いて、対処設定情報生成部124は、取得したIPアドレス帯と端末161のIPアドレスとを比較し、端末161が所属するLANに接続されているスイッチ(スイッチ151〜155)の一覧を取得する。対処設定情報生成部124は、取得した各スイッチ(スイッチ151〜155)に対し、トポロジアナライザ112を介して指示を送信し、各スイッチ(スイッチに151〜155)に保存されているMACアドレステーブルを取得する。そして対処設定情報生成部124は、MACアドレステーブル及びトポロジ情報テーブル500を参照し、端末161のMACアドレスを送信元とするパケットが入力された通信インタフェース(例えば、ポート)の一覧を取得する(S3004)。
続いて、対処設定情報生成部124は、インタフェースの一覧の中で、トポロジ情報テ
ーブル500において対向インタフェース505が登録されていないインタフェースを特定し、特定したインタフェースを端末161から最小のホップ数で接続されているインタフェースであるとみなして、インシデントテーブル1600の接続インタフェース1603に設定する(S3005)。
続いて、対処設定情報生成部124は、追加したインシデントテーブル1600のレコードの状況1604に「未対処」を設定する(S3006)。
図31は、図29に示した対処方法生成処理S2902の詳細を説明するフローチャートである。以下、同図とともに対処方法生成処理S2902について説明する。
対処設定情報生成部124は、対処方針テーブル1200及びインシデントテーブル1600を参照し、対処方針テーブル1200から対処方針の一覧を、インシデントテーブル1600からインシデントの一覧を、夫々取得する。対処設定情報生成部124は、対処方法テーブル1700に、取得したインシデントの一覧の夫々について取得した対処方針の一覧を対応づけたレコードを新規に生成する。対処設定情報生成部124は、生成した各レコードの対処方法ID1701には未使用の対処方法IDを、インシデントID1702にはインシデントIDを、対処方針ID1703には対処方針IDを、夫々設定する(S3101〜S3103)。
図32は、図29に示した対処経路生成処理S2903の詳細を説明するフローチャートである。以下、同図とともに対処経路生成処理S2903について説明する。
同図に示すように、対処設定情報生成部124は、ネットワーク機器情報管理テーブル400からネットワーク機器の一覧を、トポロジ情報テーブル500からインタフェースの一覧を、夫々取得する。続いて、対処設定情報生成部124は、取得したインタフェース一覧の夫々について、STP状態506に基づき、現在通信可能な状態にあるインタフェースを選出する(S3201)。
続いて、対処設定情報生成部124は、対処方法テーブル1700から対処方法の一覧を取得し、取得した対処方法の夫々について、以下のS3202〜S3205の処理を実行する。
対処設定情報生成部124は、対処方法(対処方法ID1701)に対処方針ID1703を介して対処方針テーブル1200に対応付けられている対処方針の識別条件1202、終点1203、及び更新処理1204の各変数に対応する値を、ネットワーク変数テーブル600、リソース情報テーブル1000、及び対処変数テーブル1300から取得する。続いて、対処設定情報生成部124は、各対処方法(対処方法ID1701)にインシデントID1702を介して対応付けられているインシデントに、インシデントテーブル1600の接続インタフェース1603を介して対応付けられているインタフェースを「始点」として取得する。また対処設定情報生成部124は、各対処方法(対処方法ID1701)に対応づけられている対処方針ID1703に、対処方針の終点1203を介して対応付けられた変数に、対処変数の接続インタフェース1603を介して対応付けられたインタフェースを終点として取得する。そして対処設定情報生成部124は、上記始点から上記終点に至る経路を生成(前述した通信可能な状態にあるインタフェースとして識別したインタフェースのみを経由する経路)を生成し、生成した経路を制御経路とする(S3203)。尚、経路の選び方により、制御経路は複数になりうる。経路の生成は任意のアルゴリズムを用いて行うことができる。
続いて、対処設定情報生成部124は、対処経路テーブル1800に、生成した制御経
路1803の夫々に対応するレコードを新規に追加し、追加したレコードに内容を設定する(対処経路ID1801には未使用のIDを、対処方法ID1802には対応する対処方法を、制御経路1803には生成した制御経路を設定する。)(S3204)。
図33は、図29に示した対処処理配置生成処理S2904の詳細を説明するフローチャートである。以下、同図とともに対処処理配置生成処理S2904について説明する。
同図に示すように、対処設定情報生成部124は、対処経路テーブル1800に設定されている各対処経路について、以下のS3301〜S3304の処理を実行する。
まず対処設定情報生成部124は、各対処経路に対し、対処経路テーブル1800の対処方法ID1802、及び対処方法テーブル1700の対処方針ID1703を参照し、対応する対処方針テーブル1200の更新処理1204を取得する。そして対処設定情報生成部124は、取得した更新処理1204を、対処経路上に存在するネットワーク機器に割り当て、対処処理配置テーブル1900の更新処理配置1903の内容を生成する(S3302)。尚、対処経路上に存在するネットワーク機器の割り当て方を変更することで、生成される更新処理配置1903は複数になりうる。上記割り当てには任意のアルゴリズムを用いて行うことができる。
対処設定情報生成部124は、対処処理配置テーブル1900に、生成した更新処理配置ごとに新規レコードを追加する。そして対処設定情報生成部124は、生成したレコードの対処処理配置ID1901には未使用の対処処理配置IDを、対処経路ID1902には対応する対処経路の対処経路IDを、夫々設定する(S3303)。尚、この段階では処理機能設定1904は未設定の状態である。
図34は、図29に示した対処候補生成処理S2905の詳細を説明するフローチャートである。以下、同図とともに対処候補生成処理S2905について説明する。
対処設定情報生成部124は、対処処理配置テーブル1900から対処処理配置1901に対応する対処経路ID1902を取得し、対処経路テーブル1800から対処経路ID1902に対応する対処方法1802を取得し、対処方法テーブル1700から上記対処方法に対応する対処方針1703を取得し、対処方針テーブル1200から上記対処方針に対応する対処目的1205を取得する。そして対処設定情報生成部124は、対処目的テーブル1100に格納されている各対処目的と対処処理配置の組み合わせを目的/対処処理配置対応2002とした新規レコードを対処候補テーブル2000に追加する(S3401)。尚、この段階では、対処候補ID2001は未使用の値を設定し、対処候補評価スコア2003は未設定の状態である。
図35は、図29に示した対処候補判定処理S2906の詳細を説明するフローチャートである。以下、同図とともに対処候補判定処理S2906について説明する。
同図に示すように、対処設定情報生成部124は、対処処理配置テーブル1900を参照し、各対処処理配置に対して以下のS3501〜S3506の処理を繰り返し実行する。
まず対処設定情報生成部124は、対処経路テーブル1800を参照し、対処処理配置に対応する対処経路を取得する。そして対処設定情報生成部124は、対処経路上の各ネットワーク機器について以下の処理を行う。
まず対処設定情報生成部124は、対処方法テーブル1700を参照し、対処経路に対
応する対処方法を取得し、対処方針テーブル1200を参照して上記対処方法に対応する対処方針を取得し、対処変数テーブル1300、リソース情報テーブル1000、及びネットワーク変数テーブル600を参照して変数の値を取得し、取得した上記対処方針の変数に代入する。また対処設定情報生成部124は、取得した上記対処方針の識別条件1202、上記対処処理配置の更新処理配置1903、上記対処経路及びトポロジ情報テーブル500から取得されるパケットの入力元の通信インタフェース(例えば、ポート)及び出力先の通信インタフェース、の組み合わせを取得し、取得した組み合わせを各ネットワーク機器でのパケットの処理とする(S3502)。
続いて、対処設定情報生成部124は、機能マスタテーブル700を参照して上記パケット処理に対応する入力条件703、更新処理704、及び出力705の組み合わせを選択し、機能対応テーブル800を参照してネットワーク機器に機能が対応付けられているか否かを判定する(S3503)。対処設定情報生成部124が、対処経路上の全てのネットワーク機器に対して機能が対応付けられていると判定した場合(S3503:YES
)、処理はS3504に進む。上記以外の場合(S3503:NO)、処理はS3505に進む。
S3504では、対処設定情報生成部124は、S3503で取得した各ネットワーク機器でのパケットに対する更新処理を実現する機能を、ネットワーク機器ID401、機能ID701、及び変数の具体値、の組み合わせにより表現し、対処処理配置テーブル1900の処理機能設定1904に設定する(S3504)。
S3505では、対処設定情報生成部124は、処理機能設定1904の値に「Impossible」を設定する。
続いて、対処設定情報生成部124は、各対処候補について以下のS3507〜S3510の処理を繰り返し実行する。
まず対処設定情報生成部124は、対処処理配置テーブル1900を参照し、対処候補テーブル2000の目的/対処処理配置対応2002の各値に対応する処理機能設定1904を取得する。対処設定情報生成部124は、取得した処理機能設定1904の夫々に対し、競合する設定の有無を判定する。例えば、同じ入力条件に対して違う処理を行う設定が同一のネットワーク機器に対して設定されている場合、対処設定情報生成部124は設定が競合していると判定する。また対処設定情報生成部124は、機能割り当てテーブル900を参照し、既存のネットワーク機器の設定との競合の有無を判定する(S3508)。対処設定情報生成部124が競合がないと判定した場合(S3508:ない)、処理はS3510へ進み、次の対処候補について同様の処理を行う。対処設定情報生成部124が競合があると判定した場合(S3508:ある)、処理はS3509に進む。
S3509では、対処設定情報生成部124は、対処候補テーブル2000の対処候補評価スコア2003に「Impossible」を設定する(S3509)。
図36は、図29に示した対処候補評価スコア算出処理S2907の詳細を説明するフローチャートである。以下、同図とともに対処候補評価スコア算出処理S2907について説明する。
同図に示すように、対処設定情報生成部124は、対処候補テーブル2000を参照し、各対処候補について以下のS3601〜S3608の処理を繰り返し実行する。
対処設定情報生成部124は、対処候補評価スコア2003を参照し、値が「Impossib
le」であるか否かを判定する(S3602)。対処設定情報生成部124が、対処候補評価スコア2003が「Impossible」であると判定した場合(S3602:NO)、処理はS3608に進み、次の対処候補に対して処理を続行する。対処設定情報生成部124が、対処候補評価スコア2003が「Impossible」でないと判定した場合(S3602:YES)、処理はS3603に進む。
S3603では、対処設定情報生成部124は、目的/対処処理配置対応2002を参照し、目的と対処処理配置の組み合わせの夫々について、以下の処理を繰り返し実行する。
まず対処設定情報生成部124は、対処処理配置の処理機能設定1904を参照し、値が「Impossible」であるか否かを判定する(S3604)。対処設定情報生成部124が、処理機能設定1904が「Impossible」であると判定した場合(S3604:NO)、処理はS3606へ進み、次の目的と対処処理配置の組み合わせに対して処理を続行する。対処設定情報生成部124が、処理機能設定1904が「Impossible」でないと判定した場合(S3604:YES)、処理はS3605へ進む。
S3605では、対処設定情報生成部124は、対処目的テーブル1100を参照し、上記目的に対応する対処目的評価スコア1103の値を取得する。そして対処設定情報生成部124は、対処処理配置テーブル1900を参照して上記対処処理配置に対応する対処経路を取得し、取得した対処経路に対応する対処方法を対処経路テーブル1800から取得し、取得した対処方法に対応する対処方針を対処方法テーブル1700から取得し、取得した対処方針に対応する対処方針評価項目を対処方針テーブル1200から取得し、取得した対処方針評価項目の夫々に対応する対処方針評価スコアを対処方針評価項目テーブル1400から取得し、取得した対処方針評価スコアの合計を算出する。続いて、対処設定情報生成部124は、算出用のスクリプトを処理配置評価項目テーブル1500から取得し、上記対処処理配置を各スクリプトに与えて実行し、出力された値の合計を算出することで、対処処理配置評価スコアを取得する。そして対処設定情報生成部124は、上記対処目的評価スコア、上記対処方針評価スコア、上記対処処理配置評価スコアの積を算出し、算出した値を対処候補テーブル2000の目的/対処処理配置対応2002の夫々の評価スコアとする。
S3607では、対処設定情報生成部124は、上記目的/対処処理配置対応2002の夫々の評価スコアを合計し、合計した値を対処候補テーブル2000の対処候補評価スコア2003に設定する。
尚、以上では、評価スコアの算出方法として積と和を用いたが、評価スコアは任意の方法(関数等)を用いて算出してよい。
以上に説明したように、本実施形態のネットワーク制御装置111は、ネットワーク機器情報131及び対処方針情報132に基づき、発生したインシデントに対処するための設定情報を生成するので、サービス系ネットワーク51を構成している個々のネットワーク機器が備える機能を考慮しつつ対処方針に則した形で設定情報を生成することができる。そのため、ネットワーク制御装置111は、サービス系ネットワーク51に新たな機器や機能を追加することなく、発生したインシデントに対して効率よく適切に対処することができる。
以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は上記の実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることはいうまでもない。例えば、上記の実施の形態は本発明を分かりやすく説
明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また上記実施形態の構成の一部について、他の構成の追加・削除・置換をすることが可能である。
また上記の各構成、機能、処理部、処理手段等は、それらの一部または全部を、例えば、集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリやハードディスク、SSD(Solid State Drive)等の記録装置、また
はICカード、SDカード、DVD等の記録媒体に置くことができる。
また上記の各図において、制御線や情報線は説明上必要と考えられるものを示しており、必ずしも実装上の全ての制御線や情報線を示しているとは限らない。実際にはほとんど全ての構成が相互に接続されていると考えてもよい。
例えば、以上に説明した実施形態では、対処設定情報生成部124が対処候補評価スコア2003を算出した後(図28の対処設定情報生成処理S2802)、ユーザが表示/操作部121を介して対処候補の一覧を参照し(S2803)、適用する対処候補を選択しているが(S2804)、対処設定情報生成部124が対処候補評価スコア2003を算出した後、対処候補評価スコア2003が最大のものを選択し、これを適用するまでの処理を自動的に行うようにしてもよい。この場合、例えば、図28のS2803で結果を表示/操作部121に出力する代わりに対処設定情報生成部124が対処候補評価スコア2003が最大のものを選択し、その後はS2806に進むようにする。このようにすることで、インシデントが多発した場合にユーザの業務負荷を緩和することができる。またインシデントに対して迅速に対処することができる。
1 ネットワークシステム、51 サービス系ネットワーク、52 管理系ネットワーク、111 ネットワーク制御装置、112 トポロジアナライザ、113 インシデント検知装置、121 表示/操作部、122 ネットワーク機器情報取得部、123 インシデント情報取得部、124 対処設定情報生成部、125 ネットワーク機器設定部、131 ネットワーク機器情報、132 対処方針情報、133 インシデント情報、151〜155 スイッチ、161,162 端末、400 ネットワーク機器情報管理テーブル、500 トポロジ情報テーブル、600 ネットワーク変数テーブル、700 機能マスタテーブル、800 機能対応テーブル、900 機能割り当てテーブル、1000 リソース情報テーブル、1100 対処目的テーブル、1200 対処方針テーブル、1300 対処変数テーブル、1400 対処方針評価項目テーブル、1500 処理配置評価項目テーブル、1600 インシデントテーブル、1700 対処方法テーブル、1800 対処経路テーブル、1900 対処処理配置テーブル、2000 対処候補テーブル、2100 ネットワーク情報設定画面、2200 対処設定画面、2400
評価項目設定画面、2600 対処候補設定画面、1103 対処目的評価スコア、1403 対処方針評価スコア、2003 対処候補評価スコア

Claims (14)

  1. 機能の異なるネットワーク機器を含んで構成されるネットワークを制御する装置であって、
    前記ネットワーク機器の機能に関する情報であるネットワーク機器情報を記憶するネットワーク機器情報記憶部と、
    前記ネットワークにおいて発生したインシデントに対する対処方針に関する情報である対処方針情報を記憶する対処方針情報記憶部と、
    前記ネットワーク機器情報及び前記対処方針情報に基づき、前記インシデントに対処するための前記ネットワーク機器の設定に関する情報である設定情報を一つ以上生成する対処設定情報生成部と、
    を備え
    前記対処設定情報生成部は、前記設定情報の生成に際し、発生したインシデントに関する情報であるインシデント情報を前記対処方針と対応づけることにより、前記インシデントに対する対処の方法に関する情報である対処方法を一つ以上生成し、
    前記対処方法は、前記ネットワーク機器間で送受信されるパケットの送信元と受信先を特定する情報を含み、
    前記対処設定情報生成部は、前記設定情報の生成に際し、前記送信元から前記受信先に至る経路である対処経路を一つ以上探索し、
    前記対処方針は、前記ネットワークを流れるパケットに加える更新処理を指定する情報を含み、
    前記対処設定情報生成部は、前記設定情報の生成に際し、前記対処経路上の前記ネットワーク機器への前記更新処理の割り当てである対処処理配置を、前記ネットワーク機器情報に基づき可能な割り当て方の組み合わせを探索して一つ以上生成し、
    前記対処方針情報は、前記対処処理配置と前記対処経路との対応を示す情報、前記対処経路と前記対処方法との対応を示す情報、前記対処方針と前記対処方法との対応を示す情報、及び前記インシデントに対する対処の目的を示す情報である対処目的と前記対処方針との対応を示す情報を含み、
    前記対処設定情報生成部は、前記対処目的ごとに対応する前記対処処理配置を選択することにより生成される情報である対処候補を一つ以上生成する、
    ネットワーク制御装置。
  2. 請求項に記載のネットワーク制御装置であって、
    前記対処方針は、前記ネットワークを流れるパケットに加える更新処理を指定する情報を含み、
    前記対処設定情報生成部は、前記設定情報の生成に際し、前記更新処理と前記ネットワーク機器情報とを対照することにより前記対処候補を実現可能か否かを判定する
    ネットワーク制御装置。
  3. 請求項に記載のネットワーク制御装置であって、
    前記対処方針の夫々について設定された優先度を記憶し、
    前記対処設定情報生成部は、前記優先度に基づき前記対処候補の優先度を求める
    ネットワーク制御装置。
  4. 請求項に記載のネットワーク制御装置であって、
    前記対処方針の夫々ついて一つ以上の評価項目と前記評価項目の夫々の優先度を記憶し、
    前記対処設定情報生成部は、前記評価項目の夫々の前記優先度に基づき前記対処候補の前記優先度を算出する
    ネットワーク制御装置。
  5. 請求項に記載のネットワーク制御装置であって、
    前記対処設定情報生成部は、前記対処目的の夫々について優先度を記憶し、前記優先度に基づき前記対処候補の優先度を求める
    ネットワーク制御装置。
  6. 請求項に記載のネットワーク制御装置であって、
    前記対処処理配置の夫々について優先度の算出手順を記憶し、
    前記対処設定情報生成部は、前記算出手順に従い前記対処処理配置の夫々の優先度を求め、求めた前記優先度に基づき前記対処候補の優先度を求める
    ネットワーク制御装置。
  7. 請求項1に記載のネットワーク制御装置であって、
    前記対処方針の夫々について設定された優先度である対処方針評価スコアを記憶し、
    前記対処目的の夫々について設定された優先度である対処目的評価スコアを記憶し、
    前記対処処理配置の夫々について設定された優先度である対処処理配置評価スコアを記憶し、
    前記対処設定情報生成部は、前記対処方針評価スコア、対処目的評価スコア、及び対処処理配置評価スコアに基づき、前記対処候補の優先度である対処候補評価スコアを求める、
    ネットワーク制御装置。
  8. 機能の異なるネットワーク機器を含んで構成されるネットワークを制御するネットワーク制御装置が、
    前記ネットワーク機器の機能に関する情報であるネットワーク機器情報を記憶する処理と、
    前記ネットワークにおいて発生したインシデントに対する対処方針に関する情報である対処方針情報を記憶する処理と、
    前記ネットワーク機器情報及び前記対処方針情報に基づき、前記インシデントに対処するための前記ネットワーク機器の設定に関する情報である設定情報を一つ以上生成する処理と、
    前記設定情報の生成に際し、発生したインシデントに関する情報であるインシデント情報を前記対処方針と対応づけることにより、前記インシデントに対する対処の方法に関する情報である対処方法を一つ以上生成する処理と、
    前記設定情報の生成に際し、前記ネットワーク機器間で送受信されるパケットの送信元から受信先に至る経路である対処経路を一つ以上探索する処理と、
    前記設定情報の生成に際し、前記ネットワークを流れるパケットに加える更新処理の前記対処経路上の前記ネットワーク機器への割り当てである対処処理配置を、前記ネットワーク機器情報に基づき可能な割り当て方の組み合わせを探索して一つ以上生成する処理と、
    前記対処方針情報として、前記対処処理配置と前記対処経路との対応を示す情報、前記対処経路と前記対処方法との対応を示す情報、前記対処方針と前記対処方法との対応を示す情報、及び前記インシデントに対する対処の目的を示す情報である対処目的と前記対処方針との対応を示す情報を記憶する処理と、
    前記対処目的ごとに対応する前記対処処理配置を選択することにより生成される情報である対処候補を一つ以上生成する処理と、
    を実行する、
    ネットワーク制御方法。
  9. 請求項に記載のネットワーク制御方法であって、
    前記対処方針は、前記ネットワークを流れるパケットに加える更新処理を指定する情報を含み、
    前記ネットワーク制御装置が、前記設定情報の生成に際し、前記更新処理と前記ネットワーク機器情報とを対照することにより前記対処候補を実現可能か否かを判定する処理
    を更に実行する、ネットワーク制御方法。
  10. 請求項に記載のネットワーク制御方法であって、
    前記ネットワーク制御装置が、
    前記対処方針の夫々について設定された優先度を記憶する処理と、
    前記優先度に基づき前記対処候補の優先度を求める処理と、
    を更に実行する、ネットワーク制御方法。
  11. 請求項10に記載のネットワーク制御方法であって、
    前記ネットワーク制御装置が、
    前記対処方針の夫々ついて一つ以上の評価項目と前記評価項目の夫々の優先度を記憶する処理と、
    前記評価項目の夫々の前記優先度に基づき前記対処候補の前記優先度を算出する処理と、
    を更に実行する、ネットワーク制御方法。
  12. 請求項に記載のネットワーク制御方法であって、
    前記ネットワーク制御装置が、前記対処目的の夫々について優先度を記憶し、前記優先度に基づき前記対処候補の優先度を求める処理
    を更に実行する、ネットワーク制御方法。
  13. 請求項に記載のネットワーク制御方法であって、
    前記対処処理配置の夫々について優先度の算出手順を記憶し、
    前記ネットワーク制御装置が、前記算出手順に従い前記対処処理配置の夫々の優先度を求め、求めた前記優先度に基づき前記対処候補の優先度を求める処理
    を更に実行する、ネットワーク制御方法。
  14. 請求項8に記載のネットワーク制御方法であって、
    前記ネットワーク制御装置が、
    前記対処方針の夫々について設定された優先度である対処方針評価スコアを記憶する処理と、
    前記対処目的の夫々について設定された優先度である対処目的評価スコアを記憶する処理と、
    前記対処処理配置の夫々について設定された優先度である対処処理配置評価スコアを記憶する処理と、
    前記対処方針評価スコア、対処目的評価スコア、及び対処処理配置評価スコアに基づき、前記対処候補の優先度である対処候補評価スコアを求める処理と、
    を更に実行する、ネットワーク制御方法。
JP2015187715A 2015-09-25 2015-09-25 ネットワーク制御装置、及びネットワーク制御方法 Expired - Fee Related JP6463661B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015187715A JP6463661B2 (ja) 2015-09-25 2015-09-25 ネットワーク制御装置、及びネットワーク制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015187715A JP6463661B2 (ja) 2015-09-25 2015-09-25 ネットワーク制御装置、及びネットワーク制御方法

Publications (2)

Publication Number Publication Date
JP2017063336A JP2017063336A (ja) 2017-03-30
JP6463661B2 true JP6463661B2 (ja) 2019-02-06

Family

ID=58430262

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015187715A Expired - Fee Related JP6463661B2 (ja) 2015-09-25 2015-09-25 ネットワーク制御装置、及びネットワーク制御方法

Country Status (1)

Country Link
JP (1) JP6463661B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6874604B2 (ja) * 2017-08-30 2021-05-19 沖電気工業株式会社 対処者支援装置、対処者支援プログラム、及び対処者支援方法
US11588846B2 (en) 2018-01-22 2023-02-21 Nec Corporation Network control device and network control method
JP7099352B2 (ja) 2019-02-14 2022-07-12 オムロン株式会社 制御システム

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4238834B2 (ja) * 2005-03-04 2009-03-18 日本電気株式会社 ネットワーク管理システムおよびネットワーク管理プログラム
JP4459890B2 (ja) * 2005-11-04 2010-04-28 株式会社日立製作所 情報処理装置、インシデント対応装置の制御方法、及びプログラム
JP2008083751A (ja) * 2006-09-25 2008-04-10 Hitachi Information Systems Ltd 不正アクセス対応ネットワークシステム
JP2009010438A (ja) * 2007-06-26 2009-01-15 Mitsubishi Electric Corp ネットワーク管理装置及びネットワーク管理方法及びプログラム
JP5743809B2 (ja) * 2011-08-26 2015-07-01 株式会社日立製作所 網管理システムおよび網管理方法
JP2015219859A (ja) * 2014-05-21 2015-12-07 株式会社日立システムズ ネットワーク制御システム及びネットワーク制御方法
JP6379013B2 (ja) * 2014-11-11 2018-08-22 株式会社日立システムズ ネットワーク制御システム、ネットワーク制御方法及びプログラム

Also Published As

Publication number Publication date
JP2017063336A (ja) 2017-03-30

Similar Documents

Publication Publication Date Title
US20220038353A1 (en) Technologies for annotating process and user information for network flows
US11159383B1 (en) Systems and methods for deploying a cloud management system configured for tagging constructs deployed in a multi-cloud environment
CA3044909C (en) Computer network security configuration visualization and control system
US10841279B2 (en) Learning network topology and monitoring compliance with security goals
KR102175193B1 (ko) 자동 장치 탐지를 위한 시스템 및 방법
US6173418B1 (en) Computer for gathering log data
US7849497B1 (en) Method and system for analyzing the security of a network
US9584393B2 (en) Device and related method for dynamic traffic mirroring policy
US20160191568A1 (en) System and related method for network monitoring and control based on applications
EP3891953A1 (en) Automatic generation of security rules for network micro and nano segmentation
US20150350161A1 (en) Network Traffic Analysis to Enhance Rule-Based Network Security
WO2014085952A1 (zh) 一种策略处理的方法及网络设备
GB2405563A (en) Automatic security intrusion mitigation
JP6463661B2 (ja) ネットワーク制御装置、及びネットワーク制御方法
JP2017147575A (ja) 制御プログラム、制御装置、および、制御方法
CN114172718B (zh) 安全策略配置方法、装置、电子设备及存储介质
EP4205316A1 (en) Securing network resources from known threats
CN106789486A (zh) 共享接入的检测方法及装置
JP7017163B2 (ja) ネットワーク制御装置およびネットワーク制御方法
US8826425B2 (en) System and method for automatically discovering security classification of hosts
KR20180058592A (ko) Sdn 제어기
KR20180058593A (ko) Sdn 화이트박스 스위치
KR102267411B1 (ko) 컴플라이언스를 이용한 데이터 보안 관리 시스템
JP7238515B2 (ja) ネットワーク制御装置、システム、方法、及びプログラム
CN107135096A (zh) 堡垒机出口链路优化系统及方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171117

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180815

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180918

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181101

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20181225

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190104

R150 Certificate of patent or registration of utility model

Ref document number: 6463661

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees