JP7000863B2 - マルウェア検査支援プログラム、マルウェア検査支援方法および通信装置 - Google Patents
マルウェア検査支援プログラム、マルウェア検査支援方法および通信装置 Download PDFInfo
- Publication number
- JP7000863B2 JP7000863B2 JP2018000319A JP2018000319A JP7000863B2 JP 7000863 B2 JP7000863 B2 JP 7000863B2 JP 2018000319 A JP2018000319 A JP 2018000319A JP 2018000319 A JP2018000319 A JP 2018000319A JP 7000863 B2 JP7000863 B2 JP 7000863B2
- Authority
- JP
- Japan
- Prior art keywords
- information processing
- processing device
- address
- packet
- malware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2105—Dual mode as a secondary aspect
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Description
・ハニーネットワークシステム2の端末22からマルウェアに感染した端末15CへのARP(Address Resolution Protocol)フレームを遮断し、企業ネットワークシステム1の端末15A、15B…から端末15CへのARPフレームを通過させる。
・ハニーネットワークシステム2のNATルータ20からのARPフレームは通常通りに転送する。
・マルウェアに感染した端末15Cから端末15A、15B…への通信は、ハニーネットワークシステム2の端末22A、22Bへ転送(出力ポート変更)する。この際に、送信先MACアドレスを端末15Cのものから端末22A、22B…のものへ書き換える。
・ハニーネットワークシステム2の端末22からマルウェアに感染した端末15Cへの通信は、送信元MACアドレスを端末22のものから端末15のものへ書き換える。
・マルウェアに感染した端末15Cからサーバ14への通信は、ハニーネットワークシステム2のNATルータ20へ転送(出力ポート変更)する。この際に、送信先MACアドレスをNATルータ12のものからNATルータ20のものへ書き換える。
・ハニーネットワークシステム2のサーバ23からマルウェアに感染した端末15Cへの通信は、送信元MACアドレスをNATルータ20のものからNATルータ12のものへ書き換える。
・マルウェアに感染した端末15Cから外部ネットワーク3宛の通信は、そのまま通過させる(通常モードと同様に通信経路を維持する)。
前記第1のシステムに属しマルウェアが検知された第1の情報処理装置から、第2の情報処理装置宛のパケットを受信した場合に、前記パケットの宛先アドレスを、前記第2のシステムに属する第3の情報処理装置に対応するアドレスに変更して、前記第3の情報処理装置へ送信する、
処理をコンピュータに実行させることを特徴とするマルウェア検査支援プログラム。
ことを特徴とする付記1に記載のマルウェア検査支援プログラム。
ことを特徴とする付記1に記載のマルウェア検査支援プログラム。
前記送信する処理は、前記第1の情報処理装置から、前記第1のシステムに属する第2の情報処理装置宛のパケットを受信した場合に、前記パケットの宛先アドレスを、前記第2のシステムに属する、前記第2の情報処理装置を模した第3の情報処理装置に対応するアドレスに変更して、前記第3の情報処理装置へ送信する、
ことを特徴とする付記1に記載のマルウェア検査支援プログラム。
ことを特徴とする付記1に記載のマルウェア検査支援プログラム。
前記第1のシステムに属しマルウェアが検知された第1の情報処理装置から、第2の情報処理装置宛のパケットを受信した場合に、前記パケットの宛先アドレスを、前記第2のシステムに属する第3の情報処理装置に対応するアドレスに変更して、前記第3の情報処理装置へ送信する、
処理をコンピュータが実行することを特徴とするマルウェア検査支援方法。
ことを特徴とする付記6に記載のマルウェア検査支援方法。
ことを特徴とする付記6に記載のマルウェア検査支援方法。
前記送信する処理は、前記第1の情報処理装置から、前記第1のシステムに属する第2の情報処理装置宛のパケットを受信した場合に、前記パケットの宛先アドレスを、前記第2のシステムに属する、前記第2の情報処理装置を模した第3の情報処理装置に対応するアドレスに変更して、前記第3の情報処理装置へ送信する、
ことを特徴とする付記6に記載のマルウェア検査支援方法。
ことを特徴とする付記6に記載のマルウェア検査支援方法。
前記第1のシステムに属しマルウェアが検知された第1の情報処理装置から、第2の情報処理装置宛のパケットを受信した場合に、前記パケットの宛先アドレスを、前記第2のシステムに属する第3の情報処理装置に対応するアドレスに変更して、前記第3の情報処理装置へ送信する送信部と、
を有することを特徴とする通信装置。
ことを特徴とする付記11に記載の通信装置。
ことを特徴とする付記11に記載の通信装置。
前記送信する処理は、前記第1の情報処理装置から、前記第1のシステムに属する第2の情報処理装置宛のパケットを受信した場合に、前記パケットの宛先アドレスを、前記第2のシステムに属する、前記第2の情報処理装置を模した第3の情報処理装置に対応するアドレスに変更して、前記第3の情報処理装置へ送信する、
ことを特徴とする付記11に記載の通信装置。
ことを特徴とする付記11に記載の通信装置。
2…ハニーネットワークシステム
3…外部ネットワーク
4…C&Cサーバ
5…外部ルータ
6…インターネット
10…オープンフロー・スイッチ
11…オープンフロー・コントローラー
12、20…NATルータ
13A、13B、13C、13D、21A、21B…ネットワーク
14、14A、14B、23、23A,23B…サーバ
15、15A、15B、15C、22、22A、22B…端末
101…通信部
101A、101B…ポート
102…制御部
102A…受信処理部
102B…送信処理部
103…記憶部
103A…フローテーブル
201…CPU
202…媒体読取装置
203…インタフェース装置
204…通信装置
205…RAM
206…ハードディスク装置
207…バス
211…プログラム
212…各種データ
Claims (6)
- 第1のシステムまたは第2のシステムに属する情報処理装置が送信したパケットを受信し、
前記第1のシステムに属しマルウェアが検知された第1の情報処理装置から、第2の情報処理装置宛のパケットを受信した場合に、前記パケットの宛先アドレスを、前記第2のシステムに属する第3の情報処理装置に対応するアドレスに変更して、前記第3の情報処理装置へ送信し、前記第1の情報処理装置から受信したパケットが外部ネットワーク宛である場合に、前記パケットの宛先アドレスを変更せずに送信する、
処理をコンピュータに実行させることを特徴とするマルウェア検査支援プログラム。 - 前記送信する処理は、前記第2のシステムに属する前記第3の情報処理装置または第4の情報処理装置から前記第1の情報処理装置宛のパケットを受信した場合に、送り元アドレスを、前記第1のシステムに属する第5の情報処理装置に対応するアドレスに変更して、前記第1の情報処理装置へ送信する、
ことを特徴とする請求項1に記載のマルウェア検査支援プログラム。 - 前記第2のシステムは、前記第1のシステムを模したシステムであり、
前記送信する処理は、前記第1の情報処理装置から、前記第1のシステムに属する第2の情報処理装置宛のパケットを受信した場合に、前記パケットの宛先アドレスを、前記第2のシステムに属する、前記第2の情報処理装置を模した第3の情報処理装置に対応するアドレスに変更して、前記第3の情報処理装置へ送信する、
ことを特徴とする請求項1に記載のマルウェア検査支援プログラム。 - 前記変更するアドレスはMACアドレスである、
ことを特徴とする請求項1に記載のマルウェア検査支援プログラム。 - 第1のシステムまたは第2のシステムに属する情報処理装置が送信したパケットを受信し、
前記第1のシステムに属しマルウェアが検知された第1の情報処理装置から、第2の情報処理装置宛のパケットを受信した場合に、前記パケットの宛先アドレスを、前記第2のシステムに属する第3の情報処理装置に対応するアドレスに変更して、前記第3の情報処理装置へ送信し、前記第1の情報処理装置から受信したパケットが外部ネットワーク宛である場合に、前記パケットの宛先アドレスを変更せずに送信する、
処理をコンピュータが実行することを特徴とするマルウェア検査支援方法。 - 第1のシステムまたは第2のシステムに属する情報処理装置が送信したパケットを受信する受信部と、
前記第1のシステムに属しマルウェアが検知された第1の情報処理装置から、第2の情報処理装置宛のパケットを受信した場合に、前記パケットの宛先アドレスを、前記第2のシステムに属する第3の情報処理装置に対応するアドレスに変更して、前記第3の情報処理装置へ送信し、前記第1の情報処理装置から受信したパケットが外部ネットワーク宛である場合に、前記パケットの宛先アドレスを変更せずに送信する送信部と、
を有することを特徴とする通信装置。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018000319A JP7000863B2 (ja) | 2018-01-04 | 2018-01-04 | マルウェア検査支援プログラム、マルウェア検査支援方法および通信装置 |
US16/226,816 US11418537B2 (en) | 2018-01-04 | 2018-12-20 | Malware inspection apparatus and malware inspection method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018000319A JP7000863B2 (ja) | 2018-01-04 | 2018-01-04 | マルウェア検査支援プログラム、マルウェア検査支援方法および通信装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019121910A JP2019121910A (ja) | 2019-07-22 |
JP7000863B2 true JP7000863B2 (ja) | 2022-01-19 |
Family
ID=67060088
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018000319A Active JP7000863B2 (ja) | 2018-01-04 | 2018-01-04 | マルウェア検査支援プログラム、マルウェア検査支援方法および通信装置 |
Country Status (2)
Country | Link |
---|---|
US (1) | US11418537B2 (ja) |
JP (1) | JP7000863B2 (ja) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016092763A (ja) | 2014-11-11 | 2016-05-23 | 株式会社日立システムズ | ネットワーク制御システム、ネットワーク制御方法及びプログラム |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4780413B2 (ja) | 2007-01-12 | 2011-09-28 | 横河電機株式会社 | 不正アクセス情報収集システム |
JP5697206B2 (ja) | 2011-03-31 | 2015-04-08 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 不正アクセスに対する防御をするシステム、方法およびプログラム |
US9495188B1 (en) * | 2014-09-30 | 2016-11-15 | Palo Alto Networks, Inc. | Synchronizing a honey network configuration to reflect a target network environment |
US10284598B2 (en) * | 2016-01-29 | 2019-05-07 | Sophos Limited | Honeypot network services |
US20180375897A1 (en) * | 2017-06-26 | 2018-12-27 | Formaltech, Inc. | Automated network device cloner and decoy generator |
-
2018
- 2018-01-04 JP JP2018000319A patent/JP7000863B2/ja active Active
- 2018-12-20 US US16/226,816 patent/US11418537B2/en active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016092763A (ja) | 2014-11-11 | 2016-05-23 | 株式会社日立システムズ | ネットワーク制御システム、ネットワーク制御方法及びプログラム |
Also Published As
Publication number | Publication date |
---|---|
US20190207952A1 (en) | 2019-07-04 |
US11418537B2 (en) | 2022-08-16 |
JP2019121910A (ja) | 2019-07-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8780836B2 (en) | Network system, controller, and network control method | |
JP5648926B2 (ja) | ネットワークシステム、コントローラ、ネットワーク制御方法 | |
JP5532458B2 (ja) | コンピュータシステム、コントローラ、及びネットワーク監視方法 | |
US8667574B2 (en) | Assigning a network address for a virtual device to virtually extend the functionality of a network device | |
CN105743878B (zh) | 使用蜜罐的动态服务处理 | |
US8898265B2 (en) | Determining data flows in a network | |
US20060109850A1 (en) | IP-SAN network access control list generating method and access control list setup method | |
JP4231773B2 (ja) | Vrの機密性を維持したvrrp技術 | |
JP2008271242A (ja) | ネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システム | |
JP2011159247A (ja) | ネットワークシステム、コントローラ、ネットワーク制御方法 | |
JP2010239591A (ja) | ネットワークシステム、中継装置、およびネットワーク制御方法 | |
US20110276673A1 (en) | Virtually extending the functionality of a network device | |
JP4746978B2 (ja) | ローカルネットワーク及び遠隔ネットワークの運用方法、ソフトウェアモジュール、およびゲートウェイ | |
JP7000863B2 (ja) | マルウェア検査支援プログラム、マルウェア検査支援方法および通信装置 | |
US20210176271A1 (en) | Non-transitory computer-readable storage medium, malware inspection support method, and communication device | |
JP7028543B2 (ja) | 通信システム | |
JP7107153B2 (ja) | マルウェア検査支援プログラム、マルウェア検査支援方法および通信装置 | |
JP2020108011A (ja) | マルウェア検査支援プログラム、マルウェア検査支援方法および通信装置 | |
WO2006123456A1 (ja) | パケット処理装置、通信システム、パケット処理方法、および当該方法を実行させるプログラム | |
JP6510217B2 (ja) | ネットワーク制御システム | |
JP3976060B2 (ja) | ネットワーク装置 | |
JP7114769B2 (ja) | 通信システム | |
JP3692943B2 (ja) | 通信クライアント装置 | |
JP2002236627A (ja) | ファイアウォールの動的ポート変更方法 | |
JP2005328281A (ja) | ネットワークシステム及び通信方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201008 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210721 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210914 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211108 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20211124 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211207 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7000863 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |