JP7059726B2 - 通信システム、通信制御装置、通信制御方法及び通信制御プログラム - Google Patents

通信システム、通信制御装置、通信制御方法及び通信制御プログラム Download PDF

Info

Publication number
JP7059726B2
JP7059726B2 JP2018051806A JP2018051806A JP7059726B2 JP 7059726 B2 JP7059726 B2 JP 7059726B2 JP 2018051806 A JP2018051806 A JP 2018051806A JP 2018051806 A JP2018051806 A JP 2018051806A JP 7059726 B2 JP7059726 B2 JP 7059726B2
Authority
JP
Japan
Prior art keywords
communication
address
processing device
unauthorized
communication control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018051806A
Other languages
English (en)
Other versions
JP2019165337A (ja
Inventor
龍輔 黛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2018051806A priority Critical patent/JP7059726B2/ja
Priority to US16/293,805 priority patent/US11159485B2/en
Publication of JP2019165337A publication Critical patent/JP2019165337A/ja
Application granted granted Critical
Publication of JP7059726B2 publication Critical patent/JP7059726B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、通信システム、通信制御装置、通信制御方法及び通信制御プログラムに関する。
近年、企業など組織体においては、組織体内で有線および無線通信によるLAN(Local Area Network)を構築し(組織内LANと呼ぶ)、組織体内で使用する各端末を組織内LANを介して互いに接続可能とすることが一般的に行われている。組織内LANのようなネットワーク内の各端末に対する不正な攻撃に対応するため、統合脅威管理(UTM;Unified Threat Management)システムと呼ばれる、ネットワークの中と外を繋ぐ通信を監視し、様々な振る舞いや脅威を検知するシステムが存在する。
特許文献1は、ネットワークの外にある検知装置から受け取った不正攻撃サーバのグローバルアドレスに基づいて、ネットワーク内の通信を監視し、各通信におけるグローバルアドレスと、不正攻撃サーバのグローバルアドレスとを照合して、一致する通信における相手方となるローカルアドレスを特定し、エッジデバイス(SDN(Software-Defined Network)スイッチ)で端末の通信を遮断する通信制御装置が開示されている。
上述した通信制御装置は、組織内LAN内の通信を監視し、不正なサーバと判断された外部のサーバと通信をしている端末を特定して遮断する。しかしながら、不正攻撃サーバと判定されるサーバが健全な被攻撃サーバである場合、被攻撃サーバと通信している健全な端末を誤って遮断してしまうという問題があった。また、通信制御装置は、不正な通信をしていると判断された端末の通信を遮断・隔離してしまうため、利便性が損なわれるという問題があった。
本発明は、上記に鑑みてなされたものであって、不正な通信を行っている端末以外の端末の通信を遮断することを防ぎ、利便性を損なうことなく、ネットワークのセキュリティを保全することを目的とする。
上述した課題を解決し、目的を達成するために、本発明にかかる通信システムは、同一のネットワークに設けられた通信制御装置と通信処理装置とを含む通信システムであって、前記通信制御装置は、前記ネットワークにおける不正通信が検知されたとき、当該不正通信の発信元端末のIPアドレスとして通知されたIPアドレスが割り当てられている前記通信処理装置に対してPacket-inメッセージを送信するよう指示し、当該通信処理装置から送信されたPacket-inメッセージが不正通信であるか否かを判定し、当該通信処理装置から送信されたPacket-inメッセージが不正通信である場合に、当該Packet-inメッセージを送信した前記通信処理装置に設けられた端末のIPアドレスの通信を遮断する処理を実行させる第1の通信制御ルールを生成し、前記通信処理装置に送信することを特徴とするものである。
図1は、実施形態に係る通信システムの構成の一例を示すブロック図である。 図2は、通信処理装置接続リストの一例を示す図である。 図3は、実施形態に係る通信処理装置の構成の一例を概念的に示す図である。 図4は、実施形態に係る通信制御装置のハードウェア構成の一例を示すブロック図である。 図5は、実施形態に係る通信制御装置の機能を説明するための機能ブロックの一例を示す図である。 図6は、実施形態に係る通信処理装置のハードウェア構成の一例を示す図である。 図7は、実施形態に係る通信処理装置の機能を説明するための機能ブロックの一例を示す図である。 図8は、不正端末情報の一例を示す第1図である。 図9は、不正端末情報の一例を示す第2図である。 図10は、通信制御処理の一例を示すフローチャートである。 図11は、不正通信の発信元端末のIPアドレスとして推定されたIPアドレスaの判定処理の第1例を示す図である。 図12は、不正通信の発信元端末のIPアドレスとして推定されたIPアドレスaの判定処理の第2例を示す図である。 図13は、不正通信の発信元端末のIPアドレスaの通信を遮断する通信処理装置の決定処理の第1例を示す図である。 図14は、不正通信の発信元端末のIPアドレスaの通信を遮断する通信処理装置の決定処理の第2例を示す図である。 図15は、通信制御ルールを構成するフローテーブルの一例を示す第1図である。 図16は、通信制御ルールを構成するフローテーブルの一例を示す第2図である。
以下に添付図面を参照して、通信システム、通信制御装置、通信制御方法及び通信制御プログラムの実施形態を詳細に説明する。
図1は、実施形態に係る通信システムの構成の一例を示すブロック図である。図1に示す例において、通信システム1は、通信制御装置10と、通信処理装置20a,20b,20c,20dと、端末30a,30b,30c,30dと、検知装置40とを含む。
通信処理装置20a,20b,20c,20dは、端末30a,30b,30c,30d毎に設けられている。通信処理装置20aは、端末30aに対応して設けられている。通信処理装置20bは、端末30bに対応して設けられている。通信処理装置20cは、端末30cに対応して設けられている。通信処理装置20dは、端末30dに対応して設けられている。なお、通信処理装置20a,20b,20c,20d及び端末30a,30b,30c,30dは、それぞれさらに多数を含んでもよい。
図1に示す例において、通信処理装置20a及び通信処理装置20bは、中継装置4を介してネットワーク3上の通信制御装置10に接続されている。また、図1に示す例において、通信処理装置20c及び通信処理装置20dは、中継装置4を介さず、直接ネットワーク3上の通信制御装置10に接続されている。
ネットワーク3は、例えば組織内LAN等のプライベートネットワークである。ネットワーク3は、例えばインターネットのようなグローバルネットワークであるネットワーク2に、ゲートウェイ5を介して相互接続されている。
中継装置4は、ネットワークアドレス変換(NAPT;Network Address Port Translation)機能を有している。通信処理装置20a及び通信処理装置20bは、中継装置4の1つのWAN側IPアドレス(図1に示す例では、「192.168.0.10」)を共有する。具体的に、通信処理装置20a及び通信処理装置20bからデータを送信する場合、中継装置4は、通信処理装置20aのIPアドレス(図1に示す例では、「172.16.0.100」)及び通信処理装置20bのIPアドレス(図1に示す例では、「172.16.0.110」)を、中継装置4の1つのWAN側IPアドレスを送信元として変換する。反対に、通信処理装置20a又は通信処理装置20bがデータを受信する場合、中継装置4は、WAN側IPアドレスを通信処理装置20a又は通信処理装置20bのIPアドレスを受信先として変換する。
検知装置40は、ネットワーク3上に設けられている。図1に示す例において、検知装置40は、ゲートウェイ5とネットワーク3との間に接続されている。
通信制御装置10は、検知装置40と同一のネットワークであるネットワーク3上に設けられている。通信制御装置10は、通信処理装置20a,20b,20c,20dとの間で、例えば「OpenFlow(登録商標)(オープンフロー)」と呼ばれる、Software Defined Networkingプロトコルで通信接続を確立している。通信制御装置10は、通信処理装置20a,20b,20c,20dに対して、例えば、後述する通信制御ルールの変更等を指示することができる。
ここで、OpenFlowについて説明する。OpenFlowは、仮想化されたネットワーク上での通信を制御する手法(プロトコル)の一つである。OpenFlowは、通信をエンド・ツー・エンドのフローとして捉えて、そのフロー単位に経路制御、負荷分散、最適化等を行うことができる。具体的には、OpenFlowは、データ通信経路の中継機器等において自立分散的に各データパケットを解析して転送するのではなく、集中制御型に変えることで実現する。
OpenFlowでは、データの解析と転送先判断及び決定制御とを行う「コントロール・プレーン」と、パケットの物理的な伝送を担う部分である「データ・プレーン」とを分離する。OpenFlowでは、コントロール・プレーンを司る通信制御装置10が通信制御ルールを指示し、データ・プレーンを担う通信処理装置20a,20b,20c,20dが通信制御装置10の指示に従ってパケットの転送を行う。より具体的には、通信処理装置20a,20b,20c,20dは、通信制御装置10が追加及び書き換えを行う、通信処理装置20a,20b,20c,20dが持つフローテーブルが有するフローエントリに従って、パケットの転送を行う。
通信処理装置20a,20b,20c,20dは、パケットのヘッダの情報に基づきパケットを識別する。ヘッダは、「受信ポート」、「送信元MAC(Media Access Control)アドレス」、「宛先MACアドレス」、「プロトコル種別」、「VLAN(Virtual Local Area Network) ID」、「VLAN PCP(VLAN Priority Code Point)値」、「送信元IPアドレス」、「宛先IPアドレス」、「プロトコル番号」、「ToS(Type of Service)値」、「送信元ポート番号」および「宛先ポート番号」の、12種類のヘッダフィールドを含む。識別に使用しないヘッダフィールドには、ワイルドカードを指定することで、任意のヘッダフィールドを識別条件として用いることができる。
通信制御装置10は、通信システム1の起動後に、通信処理装置20a,20b,20c,20dとの間にOpenFlow(OF)チャネルと呼ばれる通信経路が確立されると、フローテーブルおよびフローエントリを通信処理装置20a,20b,20c,20dに転送する。通信処理装置20a,20b,20c,20dは、OFチャネル確立後、Modify-Stateメッセージに伴い通信制御装置10から転送されたフローテーブル及びフローエントリを、初期設定のフローテーブル及びフローエントリとして、メモリに記憶させる。
ここで、OpenFlowにおいては、同じルールを持つ通信の集合体を「フロー」と称する。例えば、宛先IPアドレスが同一のIPアドレスであり、且つ、各々同一の処理がなされる一連のパケットの通信は、1つのフローを構成する。通信制御装置10は、ユーザにより定義されたフローを通信処理装置20a,20b,20c,20dに指示する。通信処理装置20a,20b,20c,20dは、指示されたフローをフローエントリとして、フローテーブルに登録する。フローエントリは、パケットを判別する条件(Match)と、条件に従い判別されたパケットを受信した場合の動作(Action)との組み合わせを含む。フローテーブルは、0以上のフローエントリが登録される。すなわち、通信処理装置20a,20b,20c,20dの初期状態では、フローテーブルにはフローエントリが含まれない。
このような仕組みを用いることで、上述したネットワークの仮想化を制御するためのツールなどとしてOpenFlowを活用できる。
図2は、通信処理装置接続リストの一例を示す図である。通信制御装置10には、図2に示す通信処理装置接続リストが保存される。図2において、通信処理装置接続リストとしては、通信処理装置20a,20b,20c,20dのスイッチラベルと、IPアドレスと、スイッチ固有のIDであるDatapath IDとが関連付けられている。
通信処理装置20a,20b,20c,20dは、通信制御装置10のIPアドレス(図1に示す例では、「192.168.0.2」)が予め設定されている。通信処理装置20a,20b,20c,20dは、通信システム1の起動後に、通信制御装置10のIPアドレスとポート番号を用いて、通信制御装置10との間にOFチャネルを確立する。OFチャネルが確立すると、通信制御装置10は、接続元として、通信処理装置20a,20b,20c,20dに対し、それぞれのIPアドレスと、スイッチ固有のIDであるDatapath IDとを問い合わせ、図2に示す通信処理装置接続リストとして保存する。
図3は、実施形態に係る通信処理装置の構成の一例を概念的に示す図である。図3に例示される通信処理装置20は、上述した通信処理装置20a,20b,20c,20dに対応する。以下、上述した通信処理装置20a,20b,20c,20dを総称する場合は、通信処理装置20と称する。
図3において、通信処理装置20は、プロセスとして稼働するOFS200と、物理インターフェースまたは仮想インターフェースによる第1接続部201aおよび第2接続部201bとを含む。OFS200は、第1接続部201aおよび第2接続部201bと論理的にポート接続され、それぞれ管理番号としてポート番号「1」およびポート番号「2」が割り当てられている。
OFS200は、フローテーブル210を含む。フローテーブル210は、通信制御装置10によって追加及び書き換えが行われる通信制御ルールを構成する。フローテーブル210は、0以上のフローエントリを含む。
通信処理装置20aの例では、端末30aが第2接続部201bに接続され、中継装置4が第1接続部201aに接続されている。通信処理装置20bの例では、端末30bが第2接続部201bに接続され、中継装置4が第1接続部201aに接続される。通信処理装置20cの例では、端末30cが第2接続部201bに接続され、ネットワーク3が第1接続部201aに接続される。通信処理装置20dの例では、端末30dが第2接続部201bに接続され、ネットワーク3が第1接続部201aに接続される。以下、上述した端末30a,30b,30c,30dを総称する場合は、端末30と称する。
通信処理装置20は、端末30とネットワーク3との間の通信を仲介する。通信制御装置10は、OpenFlowに規定されるModify-Stateメッセージを、ネットワーク3を介して送信し、通信処理装置20が有するフローテーブル210が含むフローエントリを設定することができる。
上述したように、中継装置4が通信制御装置10と通信処理装置20a及び通信処理装置20bとの間に存在するとき、通信処理装置20a及び通信処理装置20bから通信制御装置10への通信は、中継装置4のWAN側IPアドレスが送信元として変換されてしまう。このとき、通信制御装置10は、通信処理装置20a及び通信処理装置20bのIPアドレスとして、本来割り当てられている通信処理装置20aのIPアドレス(図1に示す例では、「172.16.0.100」)及び通信処理装置20bのIPアドレス(図1に示す例では、「172.16.0.110」)を、共に中継装置4のWAN側IPアドレス(図1に示す例では、「192.168.0.10」)と認識する。
通信制御装置10と通信処理装置20a,20b,20c,20dとは、TCP接続を維持しているため、ネットワーク3上にNAPT機能を有する中継装置4が存在する場合でも、Datapath IDを指定することで、特定の通信処理装置(ここでは、通信処理装置20a又は通信処理装置20b)に対して、通信制御ルールの変更等を指示することができる。
通信処理装置20は、端末30から第2接続部201bを介してパケットが入力されると、パケットの先頭に記述されたヘッダの情報を読み込み、読み込んだヘッダ情報を解析する。ヘッダは、パケットの通信に適用されるプロトコル毎に付与されており、通信処理装置20は、OSI参照モデル(Open Systems Interconnection reference model)におけるトランスポート層以下のヘッダから特定の情報を抽出することができる。通信処理装置20が抽出するヘッダ情報の例としては、送信元および宛先のMAC(Media Access Control)アドレス、IP(Internet Protocol)アドレス、TCP(Transmission Control Protocol)またはUDP(User Datagram Protocol)のポート番号などがある。
通信処理装置20は、ヘッダ情報から抽出したこれらの情報を、フローテーブル210に含まれるフローエントリに定義される条件(Match)と照合する。より具体的に、通信処理装置20は、フローテーブル210におけるフローエントリの優先度(Priority)が高い順に、条件(Match)の照合が行われる。
通信処理装置20は、フローテーブル210から、入力されたパケットと条件(Match)が一致するフローエントリが検出された時点で、条件(Match)の照合を中断し、検出されたフローエントリに応じた動作(Action)を実行する。
一方、通信処理装置20は、フローテーブル210から、入力されたパケットと条件が一致するフローエントリが見つからなかった場合、通信制御装置10に、入力されたパケットを含むPacket-inメッセージを通知して、処理を問い合わせる。
なお、Packet-inメッセージは、フローテーブル中に条件が一致するフローエントリが見つからなかった場合に、受信したパケットを通信制御装置10に送るために用いられるメッセージである。したがって、Packet-inメッセージは、未知の送信元からのパケットの入力を通知するメッセージとして用いることができる。
通信処理装置20は、パケットに対して、単に伝送または破棄するだけでなく、ヘッダ情報の書き換えを行うこともできる。宛先や送信元のアドレスを書き換えることで、NAT(Network Address Translation)やルータのような既存ネットワーク機器と同等の機能を実現することもできるし、既存のネットワーク機器では実現が難しい動的な通信制御を、用途に応じて実現することもできる。
図4は、実施形態に係る通信制御装置のハードウェア構成の一例を示すブロック図である。図4において、通信制御装置10は、CPU(Central Processing Unit)1000と、ROM(Read Only Memory)1001と、RAM(Random Access Memory)1002と、ストレージ1003と、データI/F1004と、通信I/F1005とを含み、これらがバス1010により互いに通信可能に接続される。このように、通信制御装置10は、一般的なコンピュータと同様の構成により実現できる。
ストレージ1003は、ハードディスクドライブや不揮発性半導体メモリ(フラッシュメモリ)などの不揮発性の記憶媒体により構成され、CPU1000が動作するための各種プログラムやデータが格納される。また、ROM1001は、例えば通信制御装置10が起動、動作するために用いるプログラムやデータが予め記憶される。CPU1000は、ストレージ1003やROM1001に格納されるプログラムに従い、RAM1002をワークエリアとして用いて動作し、通信制御装置10の全体の動作を制御する。通信I/F1005は、CPU1000の指示に従い、ネットワーク3を介した通信を制御する。データI/F1004は、外部の機器との間でデータの入出力を行うためのインターフェースであって、例えばUSB(Universal Serial Bus)を適用できる。
図5は、実施形態に係る通信制御装置の機能を説明するための機能ブロックの一例を示す図である。図5において、通信制御装置10は、接続部110と、制御部111と、記憶部112と、カウンタ113とを含む。これら接続部110、制御部111、記憶部112及びカウンタ113は、CPU1000上で動作するプログラムが動作することにより構成される。これに限らず、これら接続部110、制御部111、記憶部112及びカウンタ113を、互いに協働して動作するハードウェア回路により構成してもよい。
接続部110は、物理インターフェースまたは仮想インターフェースにより実現される。接続部110は、通信I/F1005を制御してネットワーク3に接続し、ネットワーク3を介した通信を行う。また、接続部110は、IPアドレス(図1に示す例では、「192.168.0.2」)が予め設定されている。記憶部112は、図2に示す通信処理装置接続リストや、後述する中継装置WAN側IPアドレスリストが記憶される。
制御部111は、通信制御装置10の全体の動作を制御する。制御部111は、所定に定義されたフローに従い、通信処理装置20が有するフローテーブル210に適用するためのフローエントリを生成する。制御部111は、生成したフローエントリを通信処理装置20に転送する。通信処理装置20は、転送されたフローエントリを、通信処理装置20が有するOFS200に含まれるフローテーブル210に書き込む。カウンタ113は、制御部111の指示に応じてカウンタ値を更新する。
通信制御装置10における各機能を実現するための通信制御プログラムは、インストール可能な形式または実行可能な形式のファイルでCD(Compact Disk)、フレキシブルディスク(FD)、DVD(Digital Versatile Disk)などのコンピュータで読み取り可能な記録媒体に記録して提供される。これに限らず、当該通信制御プログラムを、インターネットなどのネットワークに接続されたコンピュータ上に格納し、当該ネットワークを介してダウンロードさせることにより提供してもよい。また、当該通信制御プログラムをインターネットなどのネットワークを経由して提供または配布するように構成してもよい。
上述のようにして提供されコンピュータに格納された通信制御プログラムは、例えば、当該コンピュータから、データI/F1004を介して通信制御装置10に供給されてストレージ1003またはROM1001に記憶される。
当該通信制御プログラムは、上述した各部(接続部110、制御部111、記憶部112及びカウンタ113)を含むモジュール構成となっている。実際のハードウェアとしては、CPU1000がROM1001やストレージ1003などの記憶媒体から当該通信制御プログラムを読み出して実行することにより、上述した各部がRAM1002などの主記憶装置上にロードされ、接続部110、制御部111、記憶部112及びカウンタ113が主記憶装置上に生成されるようになっている。
これに限らず、例えば、接続部110、制御部111、記憶部112及びカウンタ113の基本的な機能を提供するプログラムがROM1001又はストレージ1003に予め記憶され、通信制御装置10に対して、これら接続部110、制御部111、記憶部112及びカウンタ113の動作を定義するパラメータなどを供給するようにもできる。
図6は、実施形態に係る通信処理装置のハードウェア構成の一例を示す図である。図6において、通信処理装置20は、CPU2000と、ROM2001と、RAM2002と、通信I/F2004及び通信I/F2005とを含み、これらがバス2010により互いに通信可能に接続される。なお、これに限らず、ROM2001、RAM2002、ならびに、通信I/F2004及び通信I/F2005は、CPU2000に対して直接的に接続し、バス2010を省略してもよい。
ROM2001は、CPU2000が動作するために用いるプログラムやデータが予め記憶される。CPU2000は、ROM2001に格納されるプログラムに従い、RAM2002をワークエリアとして用いて動作し、通信処理装置20の全体の動作を制御する。通信I/F2004及び通信I/F2005は、それぞれ上述した第1接続部201aおよび第2接続部201bに対応するハードウェア回路であって、それぞれCPU2000の指示に従い通信を制御する。図6の例では、通信I/F2004がネットワーク3に接続され、通信I/F2005が端末30に接続されることが想定されている。
図7は、実施形態に係る通信処理装置の機能を説明するための機能ブロックの一例を示す図である。なお、図7において、上述した図3と対応する部分には同一の符号を付して、詳細な説明を省略する。図7において、通信処理装置20は、OFS200と、第1接続部201aと、第2接続部201bとを含む。また、OFS200は、解析部212と、処理部213と、記憶部215とを含む。
これらOFS200、第1接続部201aおよび第2接続部201b、ならびに、OFS200に含まれる解析部212、処理部213及び記憶部215は、CPU2000上で動作するプログラムにより構成される。これに限らず、これらOFS200、第1接続部201a及び第2接続部201b、ならびに、OFS200に含まれる解析部212、処理部213及び記憶部215の一部または全部を、互いに協働して動作するハードウェア回路により構成してもよい。
OFS200において、解析部212は、第1接続部201aおよび第2接続部201bに入力されたパケットを解析し、ヘッダ情報を抽出する。処理部213は、解析部212の解析結果に応じて、第1接続部201aおよび第2接続部201bに入力されたパケットを処理する。記憶部215は、処理部213が解析部212の解析結果に応じてパケットを処理する際に用いるフローテーブル210の、記憶媒体(例えばRAM2002)に対する記憶および読み出しを実行する。
上述した構成において、検知装置40は、ネットワーク2とネットワーク3との間の通信またはネットワーク3内の通信を監視し、宛先やポート、通信の内容等の静的な不正や、DoS(Denial of Service)攻撃等のサイバー攻撃や感染活動など動的な不正を検知する。以下、上述のような不正な通信を「不正通信」と称する。なお、サイバー攻撃としては、DoS攻撃の他に、例えば、DDoS(Distributed Denial of Service)攻撃、ポートスキャン(Port Scan)攻撃、PoD(Ping of Death)攻撃等が考えられる。本開示は、サイバー攻撃の種類に限定されない。
検知装置40は、ネットワーク3上における不正通信を検知したとき、不正通信の発信元端末の情報(以下、「不正端末情報」と称する)を通信制御装置10に送信する。通信制御装置10は、当該不正端末情報を元に、不正通信を仲介している通信処理装置20を特定し、当該通信処理装置20に対し、不正通信の発信元端末の通信を遮断するよう指示する。
図8は、不正端末情報の一例を示す第1図である。図9は、不正端末情報の一例を示す第2図である。図8は、不正通信の発信元端末が端末30cである場合の不正端末情報の一例を示している。図9は、不正通信の発信元端末が中継装置4の配下の(すなわち、中継装置4がゲートウェイとなるネットワークにおける)端末30a又は端末30bである場合の不正端末情報の一例を示している。図8及び図9では、ゲートウェイ5の内側の何れかの端末30が不正プログラムに感染し、外部サーバ6(IPアドレス「123.45.67.89」)に対してDoS攻撃を行う不正通信を、検知装置40が検知した例を示している。
図8及び図9において、不正端末情報としては、不正通信の内容を示すアラートラベル(図8及び図9に示す例では、「DoS攻撃」)と、不正通信の発信元端末のIPアドレスと、攻撃先アドレス(ここでは、外部サーバ6のIPアドレス「123.45.67.89」)とが関連付けられている。
検知装置40は、不正通信を検知した際、図8及び図9に示す不正端末情報を、通信制御装置10に送信する。
図8に示すように、不正通信の発信元端末が検知装置40及び通信制御装置10と同一のネットワーク3内の端末(ここでは、端末30c)である場合には、不正端末情報に含まれる不正通信の発信元端末のIPアドレス(ここでは、「192.168.0.200」)に基づき、不正通信の発信元端末(ここでは、端末30c)を特定することができる。この場合、通信制御装置10は、少なくとも通信処理装置20cに対して、端末30cのIPアドレス「192.168.0.200」の通信を遮断するように指示することで、ネットワーク3上における不正通信を防ぐことができる。
これに対し、図9に示すように、不正通信の発信元端末が中継装置4の配下の(すなわち、中継装置4がゲートウェイとなるネットワークにおける)端末(ここでは、端末30a又は端末30b)である場合には、不正通信の発信元端末のIPアドレスとして、中継装置4のWAN側IPアドレスである「192.168.0.10」が通知される。この場合、通信制御装置10は、通信処理装置20a及び通信処理装置20bに対して端末30a及び端末30bの通信を遮断するように指示することで、ネットワーク3上における不正通信を防ぐことができるが、不正通信の発信元端末ではない端末30a又は端末30bの通信まで遮断されるため、利便性が著しく損なわれる。このため、ネットワーク3上に中継装置4によってアドレス変換される端末が複数存在する場合でも、不正通信の発信元端末を特定し、不正通信の発信元端末に対応する通信処理装置20に対して不正通信の発信元端末のIPアドレスの通信を遮断可能であることが望ましい。
図10は、通信制御処理の一例を示すフローチャートである。図10に示す例では、検知装置40が不正通信を検知してから、通信システム1によって不正通信の発信元端末のIPアドレスの通信が遮断されるまでの処理を示している。
図10において、通信システム1が動作すると、検知装置40は、ネットワーク3上における不正通信の監視を開始する。
ネットワーク3上において不正通信を検知すると(ステップS10)、検知装置40は、通信制御装置10に対し、例えば図8又は図9に示す不正端末情報を送信する(ステップS11)。このとき、不正端末情報として、少なくとも、不正通信の発信元端末のIPアドレスとして推定されるIPアドレスaと、宛先(攻撃先)アドレスである外部サーバ6のIPアドレスとが通知される。なお、図8又は図9に示すように、不正端末情報として、不正通信の内容を示すアラートラベルが通知される態様であっても良い。
続いて、通信制御装置10の制御部111は、不正通信の発信元端末のIPアドレスとして推定されたIPアドレスaの判定処理を行う(ステップS12)。具体的に、通信制御装置10の制御部111は、IPアドレスaが中継装置4のWAN側IPアドレスであるか否かを判定する。
図11は、不正通信の発信元端末のIPアドレスとして推定されたIPアドレスaの判定処理の第1例を示す図である。図11では、予め通信制御装置10の記憶部112に中継装置4のWAN側IPアドレスを登録しておく例を示している。
図1に示す例では、ネットワーク3上の中継装置4が1つである場合について例示したが、ネットワーク3上に中継装置4が複数存在する構成である場合、複数の中継装置4のWAN側IPアドレスをリスト登録する態様であっても良い。
図11において、通信制御装置10の制御部111は、予め記憶部112に登録された中継装置4のWAN側IPアドレスリスト(以下、「中継装置WAN側IPアドレスリスト」と称する)を参照し(ステップS12a-1)、当該中継装置WAN側IPアドレスリストに不正通信の発信元端末のIPアドレスとして通知されたIPアドレスaが存在するか否かを判定する(ステップS12a-2)。
図12は、不正通信の発信元端末のIPアドレスとして推定されたIPアドレスaの判定処理の第2例を示す図である。図12において、通信制御装置10の制御部111は、記憶部112に記憶された通信処理装置接続リスト(図2参照)を参照し(ステップS12b-1)、当該通信処理装置接続リストに不正通信の発信元端末のIPアドレスとして通知されたIPアドレスaが存在するか否かを判定する(ステップS12b-2)。
図11において、中継装置WAN側IPアドレスリストに不正通信の発信元端末のIPアドレスとして通知されたIPアドレスaが存在しない場合(ステップS12a-2;No)、又は、図12において、通信処理装置接続リストに不正通信の発信元端末のIPアドレスとして通知されたIPアドレスaが存在しない場合(ステップS12b-2;No)、図10に戻り、通信制御装置10の制御部111は、IPアドレスaを不正通信の発信元端末のIPアドレスとして不正通信の発信元端末を特定する(ステップS13)。
続いて、通信制御装置10の制御部111は、不正通信の発信元端末のIPアドレスとして特定されたIPアドレスaの通信を遮断する通信処理装置xを決定する(ステップS14)。
図13は、不正通信の発信元端末のIPアドレスaの通信を遮断する通信処理装置の決定処理の第1例を示す図である。
図13において、通信制御装置10の制御部111は、接続部110を介して、全ての通信処理装置20(ここでは、通信処理装置20a,20b,20c,20d)に対し、不正通信の発信元端末のIPアドレスaを送信元とする通信を監視するように指示する(ステップS14a-1)。
全ての通信処理装置20のうちの何れか(ここでは、通信処理装置x)が不正通信の発信元端末のIPアドレスaを送信元とする通信を検知し、通信制御装置10に通知する(ステップS14a-2)。例えば図8に示す例では、通信処理装置20cが不正通信の発信元端末のIPアドレスa(ここでは、端末30cのIPアドレス「192.168.0.200」)を送信元とする通信を検知し、通信制御装置10に通知する。
図10に戻り、通信制御装置10の制御部111は、不正通信の発信元端末のIPアドレスaを送信元とする通信を検知した通信処理装置x(図8に示す例では、通信処理装置20c)に対し、接続部110を介して、不正通信の発信元端末のIPアドレスaの通信を遮断する遮断指示を通知し(ステップS15)、処理を終了する。
図14は、不正通信の発信元端末のIPアドレスaの通信を遮断する通信処理装置の決定処理の第2例を示す図である。
図14において、通信制御装置10の制御部111は、全ての通信処理装置20a,20b,20c,20dを不正通信の発信元端末のIPアドレスaの通信を遮断する通信処理装置xとする(ステップS14b)。
図10に戻り、通信制御装置10の制御部111は、全ての通信処理装置x(通信処理装置20a,20b,20c,20d)に対し、接続部110を介して、不正通信の発信元端末のIPアドレスaの通信を遮断する遮断指示を通知し(ステップS15)、処理を終了する。
図11において、中継装置WAN側IPアドレスリストに不正通信の発信元端末のIPアドレスとして通知されたIPアドレスaが存在する場合(ステップS12a-2;Yes)、又は、図12において、通信処理装置接続リストに不正通信の発信元端末のIPアドレスとして通知されたIPアドレスaが存在する場合(ステップS12b-2;Yes)、通信制御装置10の制御部111は、図2に示す通信処理装置接続リストを参照し、不正通信の発信元端末のIPアドレスとして通知されたIPアドレスa(図9に示す例では、「192.168.0.10」)に該当する通信処理装置20(図2に示す例では、通信処理装置20a,20b)をリストアップし(ステップS16)、リストアップしたn個(nは、1以上の整数)の各通信処理装置を、「1」から「b」(bは、n以下の整数)までナンバリングする。
通信制御装置10の制御部111は、カウンタ113におけるカウンタ値i(iは、b以下の整数)を「1」にセットし(ステップS17)、続いて、カウンタ値iが「b」未満であるか否かを判定する(ステップS18)。
カウンタ値iが「b」未満である場合(ステップS18;Yes)、通信制御装置10の制御部111は、接続部110を介して、通信処理装置iに対してPacket-inメッセージを送信するよう指示する(ステップS19)。Packet-inメッセージは、通信処理装置を通過する段階のパケットの情報がそのまま通知される。このため、中継装置4によるNAPT変換機能の影響を受けない。
続いて、通信制御装置10の制御部111は、通信処理装置iから送信されたPacket-inメッセージを検知装置40に入力する(ステップS20)。
検知装置40は、通信処理装置iから送信されたPacket-inメッセージに含まれるパケットを監視し、不正通信であるか否かを判定する(ステップS21)。
通信処理装置iから送信されたPacket-inメッセージに含まれるパケットが不正通信でないと判定された場合(ステップS21;No)、通信制御装置10の制御部111は、カウンタ113におけるカウンタ値iをカウントアップし(ステップS22)、ステップS18の処理に戻る。
通信処理装置iから送信されたPacket-inメッセージに含まれるパケットが不正通信であると判定された場合(ステップS21;Yes)、検知装置40は、通信制御装置10に対し、不正通信の発信元端末のIPアドレスc(図1に示す例では、端末30aのIPアドレス「172.16.0.200」又は端末30bのIPアドレス「172.16.0.210」)を含む不正端末情報を送信する(ステップS23)。
不正通信であると判定されたパケットが含まれるPacket-inメッセージは、通信処理装置iから送信されたものであるので、通信制御装置10の制御部111は、記憶部112に記憶された通信処理装置接続リスト(図2参照)を参照し、通信処理装置iのDatapath IDを指定して、不正通信の発信元端末のIPアドレスcの通信を遮断する遮断指示を通知する(ステップS24)。その後、通信制御装置10の制御部111は、接続部110を介して、通信処理装置に対するPacket-inメッセージの送信指示を解除し(ステップS25)、処理を終了する。
なお、ステップS18においてカウンタ値iが「b」以上である場合には(ステップS18;No)、ステップS10の処理において不正通信を誤検出したことが考えられる。この場合には、通信制御装置10の制御部111は、接続部110を介して、通信処理装置に対するPacket-inメッセージの送信指示を解除し(ステップS25)、処理を終了する。
また、上述した処理において、ステップS19からステップS21までの処理は、通信処理装置iのカウンタ値iをカウントアップして行う実施する例を示したが、ステップS16の処理においてリストアップされた通信処理装置に対して、並列して行われる態様であっても良い。
また、上述した処理において、ステップS24の処理は、不正通信であると判定されたパケットを含むPacket-inメッセージを送信した通信処理装置iに対し、不正通信の発信元端末のIPアドレスcの通信を遮断する遮断指示を通知する例を示したが、ステップS16においてリストアップしたn個の各通信処理装置に対し、不正通信の発信元端末のIPアドレスcの通信を遮断する遮断指示を通知する態様であっても良い。
通信システム1は、上述した通信制御処理を実施することにより、ネットワーク3に中継装置4が設けられている場合でも、不正通信の発信元端末を特定して通信を遮断することができる。これにより、不正通信の発信元端末以外の端末の通信を遮断することを防ぐことができ、利便性を損なうことなく、ネットワーク3のセキュリティを保全することができる。
なお、図10、図11、図12では、ステップS12において、IPアドレスaが中継装置4のWAN側IPアドレスであるか否かを判定し、IPアドレスaが中継装置4のWAN側IPアドレスではない場合には(ステップS12a-1、ステップS12b-1;No)、IPアドレスaを不正通信の発信元端末のIPアドレスとして不正通信の発信元端末を特定し(ステップS13)、IPアドレスaの通信を遮断する(ステップS14,S15)例を示したが、これらステップS12,S13,S14,S15を設けず、ステップS11の後にステップS16以降の処理を実行する態様であっても良い。なお、この場合には、ステップS10において、検知装置40がネットワーク3上において不正通信を検知すると、ステップS16以降の処理を実行することとなり、処理の負荷が大きくなる。処理の負荷を軽減するためには、図10、図11、図12に示すように、ステップS12,S13,S14,S15の処理を設けることが望ましい。
次に、通信制御装置10の制御部111が、不正通信の発信元端末のIPアドレスの通信を遮断する通信処理装置(例えば、上述した通信処理のステップS15における通信処理装置x、又は、ステップS24における通信処理装置i)に対して、不正通信の発信元端末のIPアドレスの通信を遮断する遮断指示を通知する際の通信制御ルールについて説明する。
図15は、通信制御ルールを構成するフローテーブルの一例を示す第1図である。図15に示すフローテーブルは、2つのフローエントリを含み、各フローエントリは、「Match(条件)」、「Action(処理内容)」および「Priority(優先度)」の各項目を含む。
項目「Match(条件)」は、そのフローエントリにおけるマッチングルールが記述される。項目「Action(処理内容)」は、入力されたフローが、そのフローエントリの項目「Match(条件)」に記述されるマッチングルールに合致したフローであると判定された場合に、通信処理装置20の処理部213が当該フローに対して行う処理が記述される。なお、フローは、上述したように、同じルールを持つ通信の集合体であり、より具体的には、例えば項目「Match(条件)」に記述されるマッチングルールに基づき判別するための条件が同一のパケットの集合である。
項目「Priority(優先度)」は、各フローエントリの優先度が記述される。優先度は、値が大きいほど高く、値「1」が最も低い優先度とされる。
図15に示す例では、2つのフローエントリのうち、1行目のフローエントリの優先度が「10」、2行目のフローエントリの優先度が「1」とされている。
図15に示す例において、2つのフローエントリのうち、1行目のフローエントリは、項目「Match(条件)」に、送信元のIPアドレスsrc_ipが不正通信の発信元端末のIPアドレスip_aであることが記述されている(src_ip=ip_a)。また、項目「Action(処理内容)」は、当該IPアドレスのパケットを破棄する処理(Drop)が記述されている。また、項目「Priority(優先度)」は、値「10」が記述されている。
また、図15に示す例において、2つのフローエントリのうち、2行目のフローエントリは、項目「Match(条件)」に、任意のIPアドレスであることが記述されている(any)。また、項目「Action(処理内容)」に、通常のL2/L3スイッチとして動作することが記述されている。また、項目「Priority(優先度)」は、値「1」が記述されている。
図15に示す例では、まず、2行目のフローエントリよりも優先度が高い1行目のフローエントリが参照され、1行目のフローエントリに定義される項目「Match(条件)」の記述(src_ip=ip_a)に一致する場合、すなわち、送信元のIPアドレスsrc_ipが不正通信の発信元端末のIPアドレスip_aであるとき(src_ip=ip_a)、通信処理装置20は、当該IPアドレスのパケットを破棄する処理(Drop)を行う。
1行目のフローエントリに定義される項目「Match(条件)」の記述(src_ip=ip_a)に一致しない場合、すなわち、送信元のIPアドレスsrc_ipが不正通信の発信元端末のIPアドレスip_aでないとき、1行目のフローエントリよりも優先度が低い2行目のフローエントリが参照され、通信処理装置20は、通常のL2/L3スイッチとして動作する。
通信制御装置10の制御部111は、上述した通信処理のステップS15において、図15に示す1行目のフローエントリを、不正通信の発信元端末のIPアドレスの通信を遮断する処理を実行させる通信制御ルール(第2通信制御ルール)として生成し、通信処理装置xに送信する。また、通信制御装置10の制御部111は、上述した通信処理のステップS24において、図15に示す1行目のフローエントリを、不正通信の発信元端末のIPアドレスの通信を遮断する処理を実行させる通信制御ルール(第1通信制御ルール)として生成し、通信処理装置iに送信する。これにより、不正通信の発信元端末のIPアドレスip_aから送信されたパケットのみ破棄され、不正通信の発信元端末のIPアドレスの通信が遮断される。
図16は、通信制御ルールを構成するフローテーブルの一例を示す第2図である。図16では、図15に示す2つのフローエントリよりも優先度が高いフローエントリを含む例を示している。
図16に示す例では、図15に示す2つのフローエントリよりも優先度が高いフローエントリを含む例を示している。当該フローエントリは、項目「Match(条件)」として、宛先IPアドレスdst_ipが特定のIPアドレスip_opであることが記述され(dst_ip=ip_op)、項目「Action(処理内容)」に、通常のL2/L3スイッチとして動作することが記述され、項目「Priority(優先度)」の値として、3つのフローエントリのうち最も優先度が高い値「20」が記述されている。
通信制御装置10の制御部111は、上述した通信処理のステップS15又はステップS24において、図16に示す2行目のフローエントリ(第1通信制御ルール、第2通信制御ルール)に追加して、図16に示す1行目のフローエントリを、特定のIPアドレスip_opに対する通信を許可する処理を実行させる通信制御ルール(第3通信制御ルール)として生成するようにしても良い。
図16に示す例において、特定のIPアドレスip_opとして宛先IPアドレスdst_ipの端末の遠隔サポートを行うオペレータ端末のIPアドレスを設定することで、例えば、不正通信の発信元端末のウィルス駆除等の遠隔サポートが可能となる。
なお、上述の実施形態は、本発明の好適な実施の例ではあるがこれに限定されるものではなく、本発明の要旨を逸脱しない範囲において種々の変形による実施が可能である。
1 通信システム
2 ネットワーク
3 ネットワーク
4 中継装置
5 ゲートウェイ
6 外部サーバ
10 通信制御装置
20,20a,20b,20c,20d 通信処理装置
30,30a,30b,30c,30d 端末
40 検知装置
110 接続部
111 制御部
112 記憶部
113 カウンタ
200 OFS
201a 第1接続部
201b 第2接続部
210 フローテーブル
212 解析部
213 処理部
215 記憶部
特許第6083009号公報

Claims (9)

  1. 同一のネットワークに設けられた通信制御装置と通信処理装置とを含む通信システムであって、
    前記通信制御装置は、
    前記ネットワークにおける不正通信が検知されたとき、当該不正通信の発信元端末のIPアドレスとして通知されたIPアドレスが割り当てられている前記通信処理装置に対してPacket-inメッセージを送信するよう指示し、当該通信処理装置から送信されたPacket-inメッセージが不正通信であるか否かを判定し、当該通信処理装置から送信されたPacket-inメッセージが不正通信である場合に、当該Packet-inメッセージを送信した前記通信処理装置に設けられた端末のIPアドレスの通信を遮断する処理を実行させる第1の通信制御ルールを生成し、前記通信処理装置に送信する、
    ことを特徴とする通信システム。
  2. 前記通信制御装置は、
    前記ネットワークにおける不正通信が検知されたとき、当該不正通信の発信元端末のIPアドレスが、ネットワークアドレス変換機能を有する機器のIPアドレスであるか否かを判定し、当該不正通信の発信元端末のIPアドレスが、前記ネットワークアドレス変換機能を有する機器のIPアドレスでない場合に、前記不正通信の発信元端末のIPアドレスの通信を遮断する処理を実行させる第2の通信制御ルールを生成し、前記通信処理装置に送信する、
    ことを特徴とする請求項1に記載の通信システム。
  3. 前記不正通信を検知し、当該不正通信の発信元端末のIPアドレスを含む不正端末情報を前記通信制御装置に送信する検知装置を備え、
    前記通信制御装置は、
    前記不正端末情報に基づき、前記第1の通信制御ルール又は前記第2の通信制御ルールを生成する、
    ことを特徴とする請求項2に記載の通信システム。
  4. 前記通信制御装置は、
    特定のIPアドレスに対する通信を許可する処理を実行させる第3の通信制御ルールを、前記第1の通信制御ルール又は前記第2の通信制御ルールに追加して生成する、
    ことを特徴とする請求項2又は3に記載の通信システム。
  5. 前記通信制御装置は、
    前記第3の通信制御ルールの優先度が前記第1の通信制御ルール又は前記第2の通信制御ルールの優先度よりも高く設定されている、
    ことを特徴とする請求項4に記載の通信システム。
  6. 同一のネットワークに設けられた通信処理装置を介して、前記ネットワークにおける通信を制御する通信制御装置であって、
    前記通信制御装置は、
    前記ネットワークにおける不正通信が検知されたとき、当該不正通信の発信元端末のIPアドレスとして通知されたIPアドレスが割り当てられている前記通信処理装置に対してPacket-inメッセージを送信するよう指示し、当該通信処理装置から送信されたPacket-inメッセージが不正通信であるか否かを判定し、当該通信処理装置から送信されたPacket-inメッセージが不正通信である場合に、当該Packet-inメッセージを送信した前記通信処理装置に設けられた端末のIPアドレスの通信を遮断する処理を実行させる第1の通信制御ルールを生成し、前記通信処理装置に送信する制御部を備える、
    ことを特徴とする通信制御装置。
  7. 前記制御部は、
    前記ネットワークにおける不正通信が検知されたとき、当該不正通信の発信元端末のIPアドレスが、ネットワークアドレス変換機能を有する機器のIPアドレスであるか否かを判定し、当該不正通信の発信元端末のIPアドレスが、前記ネットワークアドレス変換機能を有する機器のIPアドレスでない場合に、前記不正通信の発信元端末のIPアドレスの通信を遮断する処理を実行させる第2の通信制御ルールを生成し、前記通信処理装置に送信する、
    ことを特徴とする請求項6に記載の通信制御装置。
  8. 通信制御装置が同一のネットワークに設けられた通信処理装置を介して前記ネットワークにおける通信を制御する通信制御方法であって、
    前記ネットワークにおける不正通信を検知するステップと、
    前記不正通信の発信元端末のIPアドレスとして通知されたIPアドレスが割り当てられている前記通信処理装置に対してPacket-inメッセージを送信するよう指示するステップと、
    前記通信処理装置から送信されたPacket-inメッセージが不正通信であるか否かを判定するステップと、
    前記通信処理装置から送信されたPacket-inメッセージが不正通信である場合に、当該Packet-inメッセージを送信した前記通信処理装置に設けられた端末のIPアドレスの通信を遮断する処理を実行させる通信制御ルールを生成するステップと、
    前記通信制御ルールを前記通信処理装置に送信するステップと、
    を含むことを特徴とする通信制御方法。
  9. 同一のネットワークに設けられた通信処理装置を介して、前記ネットワークにおける通信を制御する通信制御装置に搭載されるコンピュータに実行させるための通信制御プログラムであって、
    前記ネットワークにおける不正通信が検知されたとき、当該不正通信の発信元端末のIPアドレスとして通知されたIPアドレスが割り当てられている前記通信処理装置に対してPacket-inメッセージを送信するよう指示する処理と、
    前記通信処理装置から送信されたPacket-inメッセージが不正通信であるか否かを判定する処理と、
    前記通信処理装置から送信されたPacket-inメッセージが不正通信である場合に、当該Packet-inメッセージを送信した前記通信処理装置に設けられた端末のIPアドレスの通信を遮断する処理を実行させる通信制御ルールを生成する処理と、
    前記通信制御ルールを前記通信処理装置に送信する処理と、
    を前記コンピュータに実行させるための通信制御プログラム。
JP2018051806A 2018-03-19 2018-03-19 通信システム、通信制御装置、通信制御方法及び通信制御プログラム Active JP7059726B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2018051806A JP7059726B2 (ja) 2018-03-19 2018-03-19 通信システム、通信制御装置、通信制御方法及び通信制御プログラム
US16/293,805 US11159485B2 (en) 2018-03-19 2019-03-06 Communication system, communication control apparatus, and communication control method using IP addresses for relay server managing connections

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018051806A JP7059726B2 (ja) 2018-03-19 2018-03-19 通信システム、通信制御装置、通信制御方法及び通信制御プログラム

Publications (2)

Publication Number Publication Date
JP2019165337A JP2019165337A (ja) 2019-09-26
JP7059726B2 true JP7059726B2 (ja) 2022-04-26

Family

ID=67906315

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018051806A Active JP7059726B2 (ja) 2018-03-19 2018-03-19 通信システム、通信制御装置、通信制御方法及び通信制御プログラム

Country Status (2)

Country Link
US (1) US11159485B2 (ja)
JP (1) JP7059726B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11489872B2 (en) * 2018-05-10 2022-11-01 Jayant Shukla Identity-based segmentation of applications and containers in a dynamic environment
CN111049840B (zh) * 2019-12-17 2022-04-26 锐捷网络股份有限公司 一种报文检测方法及装置
WO2022013908A1 (ja) * 2020-07-13 2022-01-20 日本電信電話株式会社 通信中継装置、通信中継システム、通信中継方法、および、プログラム

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015194604A1 (ja) 2014-06-18 2015-12-23 日本電信電話株式会社 ネットワークシステム、制御装置、通信装置、通信制御方法および通信制御プログラム

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100502068B1 (ko) * 2003-09-29 2005-07-25 한국전자통신연구원 네트워크 노드의 보안 엔진 관리 장치 및 방법
EP2176767A1 (fr) * 2005-06-14 2010-04-21 Patrice Guichard Procede et dispositif de protection de donnees et de systeme informatique
US20070022474A1 (en) * 2005-07-21 2007-01-25 Mistletoe Technologies, Inc. Portable firewall
US8966619B2 (en) * 2006-11-08 2015-02-24 Verizon Patent And Licensing Inc. Prevention of denial of service (DoS) attacks on session initiation protocol (SIP)-based systems using return routability check filtering
US8365272B2 (en) * 2007-05-30 2013-01-29 Yoggie Security Systems Ltd. System and method for providing network and computer firewall protection with dynamic address isolation to a device
US8572717B2 (en) * 2008-10-09 2013-10-29 Juniper Networks, Inc. Dynamic access control policy with port restrictions for a network security appliance
US9565213B2 (en) * 2012-10-22 2017-02-07 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US10728287B2 (en) * 2013-07-23 2020-07-28 Zscaler, Inc. Cloud based security using DNS
US9083730B2 (en) * 2013-12-06 2015-07-14 At&T Intellectual Property I., L.P. Methods and apparatus to identify an internet protocol address blacklist boundary
US9769038B1 (en) * 2014-06-03 2017-09-19 Narus, Inc. Attributing network address translation device processed traffic to individual hosts
US9832118B1 (en) * 2014-11-14 2017-11-28 Amazon Technologies, Inc. Linking resource instances to virtual networks in provider network environments
US9866576B2 (en) * 2015-04-17 2018-01-09 Centripetal Networks, Inc. Rule-based network-threat detection
US10212183B2 (en) * 2015-05-13 2019-02-19 Canon Kabushiki Kaisha Information processing apparatus that prevents unauthorized access thereto, method of controlling the information processing apparatus, and storage medium
JP2017027353A (ja) 2015-07-22 2017-02-02 株式会社リコー 情報処理システム、出力装置、通信装置及びプログラム
KR20170060280A (ko) * 2015-11-24 2017-06-01 한국전자통신연구원 탐지 규칙 자동 생성 장치 및 방법
US20190081952A1 (en) * 2016-02-15 2019-03-14 Michael C. Wood System and Method for Blocking of DNS Tunnels
JP6083009B1 (ja) 2016-05-11 2017-02-22 アライドテレシスホールディングス株式会社 Sdnコントローラ
CN108574667B (zh) * 2017-03-09 2021-01-15 华为技术有限公司 一种业务流的控制方法及装置

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015194604A1 (ja) 2014-06-18 2015-12-23 日本電信電話株式会社 ネットワークシステム、制御装置、通信装置、通信制御方法および通信制御プログラム

Also Published As

Publication number Publication date
JP2019165337A (ja) 2019-09-26
US11159485B2 (en) 2021-10-26
US20190288986A1 (en) 2019-09-19

Similar Documents

Publication Publication Date Title
US8863269B2 (en) Frontend system and frontend processing method
JP5532458B2 (ja) コンピュータシステム、コントローラ、及びネットワーク監視方法
US7146421B2 (en) Handling state information in a network element cluster
CN108353068B (zh) Sdn控制器辅助的入侵防御系统
US10735282B1 (en) Apparatus, system, and method for debugging network devices based on the contents of dropped packets
JP7059726B2 (ja) 通信システム、通信制御装置、通信制御方法及び通信制御プログラム
US8340092B2 (en) Switching system and method in switching system
JP5305045B2 (ja) スイッチングハブ及び検疫ネットワークシステム
US20100183011A1 (en) Sequential frame forwarding
EA004423B1 (ru) Система, устройство и способ быстрой фильтрации и обработки пакетов
JP6422677B2 (ja) ネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法
JP6256773B2 (ja) セキュリティシステム
JP6662136B2 (ja) 中継装置、通信システム、中継方法及び中継プログラム
JP7150552B2 (ja) ネットワーク防御装置およびネットワーク防御システム
US11159533B2 (en) Relay apparatus
KR100468374B1 (ko) 네트워크 유해 트래픽 제어 장치 및 방법
JP7028543B2 (ja) 通信システム
WO2019123523A1 (ja) 通信装置、通信システム、通信制御方法、プログラム
JP4321375B2 (ja) アクセス制御システム、アクセス制御方法、およびアクセス制御プログラム
JP2007142841A (ja) 攻撃パケット迂回システム、方法、およびトンネル機能付きルータ
JP7114769B2 (ja) 通信システム
JP6441721B2 (ja) 制御装置、制御方法及びプログラム
JP7068514B2 (ja) 受信データ判定方法、通信装置、および、プログラム
FI126032B (en) Detection of threats in communication networks
JP2019164566A (ja) 遠隔管理システム、管理装置、遠隔管理方法、及び遠隔管理プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210118

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20211018

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211026

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211210

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220315

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220328

R151 Written notification of patent or utility model registration

Ref document number: 7059726

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151