JP7067796B2 - パケット転送装置、パケット転送方法、及びパケット転送プログラム - Google Patents
パケット転送装置、パケット転送方法、及びパケット転送プログラム Download PDFInfo
- Publication number
- JP7067796B2 JP7067796B2 JP2019160329A JP2019160329A JP7067796B2 JP 7067796 B2 JP7067796 B2 JP 7067796B2 JP 2019160329 A JP2019160329 A JP 2019160329A JP 2019160329 A JP2019160329 A JP 2019160329A JP 7067796 B2 JP7067796 B2 JP 7067796B2
- Authority
- JP
- Japan
- Prior art keywords
- policy
- communication
- packet transfer
- information
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、パケット転送装置、パケット転送方法、及びパケット転送プログラムに関し、特に通信パケットのスキャンを行う技術に関する。
セキュリティを確保するため、ネットワーク上の通信パケットをスキャンする場合がある。DPI(Deep Packet Inspection)は、通信パケットをスキャンする技術の一つであり、通信パケットのヘッダ部だけではなくデータ部をも検査することを特徴とする。DPIは、動作コストが大きいため、通信の遅延を引き起こす場合がある。したがって、スキャンの種類・レベルを適切に設定する必要がある。
特許文献1は、通信パケットに対して、送信元の端末ごとに異なる種類のスキャンを適用する技術を開示している。1台のセキュリティ機器に複数の通信端末が接続されている場合であっても、セキュリティ機器の仮想化技術により異なる種類のスキャンに対応することが可能となる。
上記のように通信の遅延を防ぐために、通信パケットのスキャンを適切に設定する必要がある。しかし、関連する技術においては、通信端末の動作状況に応じてスキャン動作を動的に制御することは行うことはできないという問題があった。
本開示は上記課題を解決するためにされたものであって、通信装置の動作状況に応じてスキャン動作を動的に制御できるパケット転送装置、パケット転送方法、及びパケット転送プログラムを提供することを目的とする。
本開示にかかるパケット転送装置は、通信装置の状態に関する装置情報を取得し、前記装置情報に基づいて前記通信装置と他の通信装置との間の通信パケットのスキャンに適用されるポリシーを取得するポリシー取得手段と、前記ポリシーを適用し、前記通信パケットのスキャンを行う検知手段と、を備えるものである。
本開示にかかるパケット転送方法は、通信装置の状態に関する装置情報を取得し、前記装置情報に基づいて、前記通信装置と他の通信装置との間の通信パケットのスキャンに適用されるポリシーを取得し、前記ポリシーに基づいて、前記通信パケットのスキャンを行う、ものである。
本開示にかかるパケット転送プログラムは、通信装置の状態に関する装置情報を取得し、前記装置情報に基づいて、前記通信装置と他の通信装置との間の通信パケットのスキャンに適用されるポリシーを設定し、前記ポリシーに基づいて、前記通信パケットのスキャンを行う、処理をコンピュータに対して実行させる、ものである。
本開示によれば、通信装置の状況に応じてスキャン動作を動的に変更できるパケット転送装置、パケット転送方法、及びパケット転送プログラムを提供することを提供することができる。
以下、図面を参照して実施の形態について説明する。各図面においては、同一の要素には同一の符号が付されており、必要に応じて重複説明は省略される。
<実施の形態1>
図1は、本実施の形態にかかるパケット転送装置100を含む通信システム200の構成例を示す構成図である。通信システム200は、パケット転送装置100、通信装置5A、5B、および、他の通信装置20を備える。通信装置5A、5Bは、パケット転送装置100を介して、他の通信装置20と通信する。
図1は、本実施の形態にかかるパケット転送装置100を含む通信システム200の構成例を示す構成図である。通信システム200は、パケット転送装置100、通信装置5A、5B、および、他の通信装置20を備える。通信装置5A、5Bは、パケット転送装置100を介して、他の通信装置20と通信する。
図2は、本実施の形態にかかるパケット転送装置100の構成を示す構成図である。パケット転送装置100は、ポリシー取得部101および検知部102を備える。
ポリシー取得部101は、通信装置5A、5Bの状態に関する装置情報を取得する。通信装置の状態に関する装置情報とは、例えば、通信装置5A、5Bの通信量、稼動状況、ユーザー情報、アプリケーション情報、OS名である。ポリシー取得部は、さらに、IPアドレス、MACアドレスを取得してもよい。
稼動状況は、例えば、通信装置5A、5BのCPU使用率やメモリ使用率に基づいて定められる稼働率である。ユーザー情報は、通信装置5A、5Bを利用しているユーザーに関する情報である。ユーザー情報は、例えば、役職、システム管理者であるか否か等を示す。アプリケーション情報は、通信装置5A、5Bで使用されているアプリケーションに関する情報である。OS名は、通信装置5A、5BにインストールされているOS(Operating System)の名称である。
ポリシー取得部101は、通信装置5A、5Bと通信することにより装置情報を取得してもよい。例えば、ポリシー取得部101は、稼動状況やアプリケーション情報を、通信装置5A、5Bから受信してもよい。
ポリシー取得部101は、通信装置5A、5Bの通信をモニタすることにより装置情報を取得してもよい。例えば、ポリシー取得部101は、通信パケットのヘッダ情報から、OS名を取得してもよい。例えば、ポリシー取得部101は、通信装置5Aの通信をモニタすることにより通信装置5Aの通信量を取得してもよい。
ポリシー取得部101は、通信装置の状態に関する装置情報に基づいて、通信装置5A、5Bと他の通信装置20との間の通信パケットのスキャンに適用されるポリシーを取得する。ポリシー取得部101は、検出パターン等が表形式で保存されたデータを参照し、必要な情報を抽出することによりポリシーを取得してもよい。
ポリシーは、DPI機能等によるスキャンに使用される情報であり、スキャンの対象、検出パターン等が定義される。ポリシーは、OSごとに異なる種類が設定されてもよい。
なお、スキャンとは、通信パケットに検出パターンが含まれるか否かを調査することである。パケット転送装置100は、通信パケットに検出パターンが含まれているか否かにより、通信パケットを通過させるか否かの判定を行う。パケット転送装置は、判定結果に基づいて、通信パケットを転送あるいは破棄する処理を行う。
ポリシーは、ホワイトリストを含んでもよい。ホワイトリストは、スキャンを行わない対象を表す。ホワイトリストでは、例えば、アプリケーションが指定される。通信装置5Aの特定のアプリケーションが行う通信については、スキャンを行わないという場合に利用される。
ポリシーは、スキャンレベルに基づいて設定されてもよい。スキャンレベルは、スキャン対象となる検出パターンの量を示す指標である。スキャンレベルは、例えば、1から3までの数値である。例えば、レベルが1、つまりスキャンレベルが低い場合はスキャンを行わず、レベルが3、つまりスキャンレベルが高い場合は想定される全ての脅威に対応したスキャンを行う。かかる場合、レベルが2の場合は、出現頻度の高い脅威に対してのみスキャンを行うことが考えられる。
ポリシー取得部101は、通信装置の状態に関する装置情報に基づいてポリシーを取得する。通信装置5A、5Bの通信量が多い場合には通信不能となる可能性があることから、スキャンレベルを低くすることが考えられる。通信装置5A、5Bの稼動率が低い場合には、危険な動作をしている可能性は低いと考えてレベルを低くすることが考えられる。ポリシー取得部101は、ユーザーごとに異なるスキャンレベルに基づいて、ポリシーを取得してもよい。ポリシー取得部101は、現在使用されているアプリケーションをホワイトリストに設定してもよい。また、OSごとに異なる種類のポリシーが設定されてもよい。
検知部102は、ポリシー取得部101が取得したポリシーに基づいて、通信パケットのスキャンを行う。すなわち、検知部102は、通信パケットの送信元あるいは送信先となる通信装置5A、5Bを識別し、識別した通信装置5A、5Bに対応するポリシーにしたがって通信パケットをスキャンする。検知部102は、DPI機能によるスキャンを行っても良い。DPIは、通信パケットのヘッダ部だけでなくデータ部をも検査する検査方法である。
本実施の形態によると、パケット転送装置は、通信装置の状態に基づいて生成されたポリシーにしたがってスキャンを行うことができる。したがって、パケット転送装置は、通信装置の状態に基づいて動的にスキャン動作を制御することが可能となる。
<実施の形態2>
図3は、本実施の形態にかかるパケット転送装置100を含む通信システム200の構成例を示す構成図である。通信システム200は、パケット転送装置100、クライアント端末111A、111B、及び、ウェブサーバ122を備える。クライアント端末111A、111Bは、LAN113に属している。LAN113は、LAN(Local Area Network)である。ウェブサーバ122は、インターネット121上のウェブサーバである。
図3は、本実施の形態にかかるパケット転送装置100を含む通信システム200の構成例を示す構成図である。通信システム200は、パケット転送装置100、クライアント端末111A、111B、及び、ウェブサーバ122を備える。クライアント端末111A、111Bは、LAN113に属している。LAN113は、LAN(Local Area Network)である。ウェブサーバ122は、インターネット121上のウェブサーバである。
パケット転送装置100は、LANインタフェース105及びWANインタフェース104を備えている。WANインタフェース104は、WAN(Wide Area Network)とのインタフェースである。パケット転送装置100は、LANインタフェース105を介して、LAN113上のクライアント端末111A、111Bと接続される。パケット転送装置100は、WANインタフェース104を介して、インターネット121上のウェブサーバ122と接続される。すなわち、クライアント端末111A、111Bとウェブサーバ122との通信は、LANインタフェース105、後述するルーティング部103を経由し、WANインタフェース104に転送され、インターネット121を通して行われる。
図4は、本実施の形態にかかるパケット転送装置100の構成を示す構成図である。パケット転送装置100は、LANインタフェース105、WANインタフェース104、ルーティング部103、ポリシー取得部101、ポリシーテーブル記憶部107、及び、DPIモジュール106を備える。
LANインタフェース105は、LANとのインタフェースである。WANインタフェース104は、WANとのインタフェースである。LANインタフェース105とWANインタフェース104とは、ルーティング部103を介して相互に接続される。
ルーティング部103は、フロー管理モジュール141を備える。フロー管理モジュール141は、ポリシー取得部101とDPIモジュール106に接続する。フロー管理モジュール141の動作については、後述する。
ポリシー取得部101は、後述する端末情報オブジェクト301とデバイス別ポリシー401を作成・管理する。
図5は、端末情報オブジェクト301の例を示す概略図である。端末情報オブジェクト301は、端末名311によって個別のオブジェクトとして識別され、321-341のkey値を持つ。現在の状態321は、クライアント端末111A、111Bの稼動状態を表す。例えば、クライアント端末111A、111Bの稼動率が高い場合にActive、端末の稼動率が低い場合にInactiveと設定される。
OS名322は、クライアント端末111A、111BにインストールされたOSの名前を表す。IPアドレス323及びMACアドレス324は、それぞれクライアント端末111A、111Bの持つIPアドレス及びMACアドレスをあらわす。
ユーザー定義情報326は、ユーザーにより自由に定義できる値であり、レベル331とホワイトリスト332の要素を備える。レベル331は、端末に適用されるセキュリティの強度を示し、例えば1から5までの数値で表される。数が大きい場合、適用されるセキュリティの強度は高い。ホワイトリスト332は、この端末の通信においてスキャンされないものを示し、アプリケーション341など複数の対象を設定することができる。パケット転送装置100は、ユーザー定義情報326をMACアドレス等と関連付けて記憶していてもよい。
通信量325は、クライアント端末111A、111Bの通信量である。通信量325は、クライアント端末111A、111Bの通信量とパケット転送装置100が処理可能なクライアント端末111A、111Bの1台あたりの通信量とを比較することによって定められてもよい。
図6は、デバイス別ポリシー401の例を示す概略図である。デバイス別ポリシー401は、端末411、IPアドレス412、MACアドレス413、適用ポリシー414から構成される。IPアドレス412、MACアドレス413は、端末情報オブジェクト301と関連付けられる。端末411は、クライアント端末111A、111Bを識別する情報である。
適用ポリシー414は、端末411が行う通信に対して適用されるポリシーである。ポリシーとは、スキャン機能が用いる情報である。ポリシーには、活用されるスキャン機能によりスキャンの対象となるトラフィック、利用されるパーサ、スキャンレベルが定義される。また、ポリシーには、誤検知の可能性のあるものを含むか否か、一部のOSへの攻撃パターンを含むか否か等の検出パターンが定義される。ポリシーは2つの数字の組合せで表され、1番目の数字がレベルを表し、2番目の数字がスキャンの種類を表す。図6の端末411Aが送信したパケットは、“11”および“15”のポリシーに基づいてスキャンが行われる。このように、1つの端末に対して、2つのポリシーが適用される場合がある。
ポリシー取得部101は、フロー管理モジュール141、DPIモジュール106、及び、ポリシーテーブル記憶部107と接続される。
ポリシーテーブル記憶部107は、後述するポリシーテーブル501を記憶する。ポリシーテーブル501は、以下に説明するようにLevel511およびType512によりポリシーを定めるテーブルである。
図7は、ポリシーテーブル501の概要を示す概略図である。ポリシーテーブル501は、Level511とType512とから構成される。また、ポリシーテーブル501は、Level511とType512との組合せにより一意に定まるポリシーを備える。Level511が1でType512が5の場合、ポリシーを“15”と表す。Level511が1でType512が1の場合、ポリシーは“11”と表す。
Level511が高い値であるほど、スキャンレベルが高いポリシーが設定される。Type512は、スキャンの種類を表す。例えば、OSの種類の違いにより、想定される攻撃パターンが異なることから、スキャンの対象となる検出パターンは異なる。また、ネットワークの利用パターンにより異なる種類のスキャンが適用される場合がある。すなわち、ネットワークの利用パターンやOSの種別に応じて異なる種類のType512が設定され、異なる種類のポリシーが適用されることとなる。
DPIモジュール106は、クライアント識別機能131および検知部102を備える。DPIモジュール106及び検知部102の動作については、後述する。
図8は、本実施の形態にかかるパケット転送装置100の動作を示すシーケンス図である。クライアント端末111からのトラフィックは、パケット転送装置100内のフロー管理モジュール141に送られる(ステップS221)。フロー管理モジュール141は、セッション情報を保持したまま(ステップS201)、パケットデータをDPIモジュール106に転送する(ステップS222)。セッション情報とは、クライアント端末111とウェブサーバ122とが行う通信セッションに関する情報である。
DPIモジュール106は、パケットデータをクライアント識別機能131で識別し、クライアント情報を判定する(ステップS202)。装置情報、IPアドレス323及びMACアドレス324は、ポリシー取得部101に送られる(ステップS223)。装置情報には、OS名322、通信量325が含まれる。
ポリシー取得部101は、IPアドレス323、MACアドレス324から、デバイス別ポリシー401のなかに一致するものがあるか検索する(ステップS203)。一致する端末がある場合、ポリシー取得部101は、登録されたポリシーをDPIモジュール106に送信する(ステップS226)。
一致する端末がない場合、ポリシー取得部101は、端末情報オブジェクト301を作成する(ステップS204)。ポリシー取得部101は、装置情報、IPアドレス、MACアドレスおよびユーザー定義情報326を組合せて端末情報オブジェクト301を作成する。ユーザー定義情報326は、MACアドレスと関連付けた形式で記憶されており、ポリシー取得部101は、MACアドレスに基づいてユーザー定義情報326を取得可能である。
ポリシー取得部101は、ポリシーテーブル記憶部107の情報を参照する(ステップS224)。ポリシーテーブル記憶部107は、テーブルの内容を返信する(ステップS225)。
ポリシー取得部101は、このテーブルの範囲で、オブジェクトの値から、主に、ユーザー定義情報326、現在の状態321、または、通信量325等に応じて、Level511を決定する。ポリシー取得部101は、主に、OS名322、MACアドレス324から判断される端末の種類に応じてType512を決定する。ポリシー取得部101は、Level511及びType512に基づいて、最適なポリシーを決定する(ステップS205)。最適なポリシーとは、適用ポリシー414である。ポリシー取得部101は、デバイス別ポリシー401に適用ポリシー414を登録する(ステップS206)。
ポリシー取得部101は、DPIモジュール106から送られてきたクライアント情報に対応するポリシーをDPIモジュール106へ送信する(ステップS226)。DPIモジュール106は、このポリシーに沿って検知部102によりパケットデータをスキャンし(ステップS207)、トラフィックの通過判定をフロー管理モジュール141へ送信する(ステップS227)。トラフィックの通過判定は、スキャン結果に基づいて定められる。
フロー管理モジュール141は、判定に基づき、トラフィックをブロックし、あるいは通過させる処理を行う。トラフィックをブロックする場合、フロー管理モジュール141は、通信終了通知をクライアント端末111に送信し(ステップS228)、セッション情報を破棄する(ステップS208)。トラフィックをブロックしない場合、フロー管理モジュールは、トラフィックをウェブサーバ122へ転送する(ステップS229)。
以下、本実施の形態の効果について説明する。関連する技術においては、ネットワーク品質の課題と運用上の課題とが存在していた。
まず、ネットワーク品質の課題について説明する。DPI機能は、一般的にCPUやメモリへの負荷が大きい。したがって、ネットワーク上の全てのトラフィックをスキャンし安全性の検証を行うことは、Latency(待ち時間)の増加等によりネットワーク品質を低下させる。これを回避するためには、通信の一部のみをスキャンする方法、安全なサイトを識別しスキャン対象から外す方法(ホワイトリスト方式)が考えられる。しかし、前者は安全面の問題があり、後者は対策が一部のトラフィックにしか有効ではないという問題がある。
次に運用上の課題について、説明する。DPI機能は、トラフィック情報のみから判定を行うため、ユーザーの意図した操作を誤検知してしまう擬陽性の問題が現れやすい。例えば、悪意ある第3者が行うパスワードクラックの辞書攻撃によるログインの試行と、ユーザーが行う脆弱なパスワードを使用したホストへのログインの操作とは、ホストの利用者からは明らかな区別ができるが、トラフィック情報からは区別が付かないことがある。
本実施の形態は、ネットワーク上のトラフィックをDPIモジュールによりスキャンする際に、対象のホストの情報や現在の稼動状況を参照し、スキャン動作を動的に変更・制御することで最適なスキャンを行うことを特徴とする。本実施の形態では、ホスト端末の種類、稼動状況、運用状態をDPIモジュールに通知することでパケット転送装置がホスト端末の状態に応じて最適なDPI機能を実行する。
本実施の形態によれば、クライアントの種類・稼動状況に応じて、必要なポリシーをポリシー取得部101が算出することができる。算出されたポリシーを適用することで、速度・効果の両面で高いスキャン効率を得ることが可能となる。
本実施の形態によれば、不必要なスキャン動作を減らすことで誤検知の可能性をへらすことが可能となる。スキャンレベルが高い場合には誤検知の可能性があるパターンに対してもスキャンを行うこととなるが、本実施の形態によりスキャンレベルを下げることができるからである。
変形例1
本変形例では、クライアント端末111が、トラフィック(パケット)とは別に、現在のユーザー情報を自発的にポリシー取得部101に送信する。ポリシー取得部101が最適なポリシーを決定するための情報を増やすことで、より適したポリシーを適用することが可能となる。ユーザー情報とは、利用者個人を特定するID情報である。クライアント端末111は、さらに、IPアドレス、MACアドレス等を送信してもよい。ID情報は、例えば、役職等であり、ポリシーを定めるために用いられる。
本変形例では、クライアント端末111が、トラフィック(パケット)とは別に、現在のユーザー情報を自発的にポリシー取得部101に送信する。ポリシー取得部101が最適なポリシーを決定するための情報を増やすことで、より適したポリシーを適用することが可能となる。ユーザー情報とは、利用者個人を特定するID情報である。クライアント端末111は、さらに、IPアドレス、MACアドレス等を送信してもよい。ID情報は、例えば、役職等であり、ポリシーを定めるために用いられる。
図9は、本変形例の動作を示すシーケンス図である。クライアント端末111は、ユーザー情報をポリシー取得部101に送信する(ステップS621)。ポリシー取得部101は、デバイス別ポリシー401に一致するものがあるか検索を行う(ステップS601)。一致するものがある場合、ポリシー取得部101は、ユーザー情報を読み取り、端末情報オブジェクト301を更新する(ステップS602)。一致するものがない場合、ポリシー取得部101は、ユーザー情報をもとに端末情報オブジェクト301を作成する(ステップS603)。
端末情報オブジェクト301の作成あるいは更新後、ポリシー取得部101は、ステップS224と同様にポリシーテーブル記憶部107を参照する(ステップS622)。ポリシー取得部101は、ステップS225と同様にポリシーテーブル記憶部107の内容を受信した後(ステップS623)、ステップS205と同様にオブジェクトに最適なポリシーを決定し(ステップS604)、ステップS206と同様にデバイス別ポリシーを更新する(ステップS605)。
変形例2
本変形例では、変形例1で送信する情報に、利用しているアプリケーション、アクティブなウィンドウ情報、プロセス情報などの運用状態、稼動状態を含める。ポリシー取得部101は、ユーザーの意図する作業をブロックしないようにポリシーを選定することが可能となる。例えば、ポリシー取得部101は、アプリケーションをホワイトリストに設定したポリシーを取得してもよい。
本変形例では、変形例1で送信する情報に、利用しているアプリケーション、アクティブなウィンドウ情報、プロセス情報などの運用状態、稼動状態を含める。ポリシー取得部101は、ユーザーの意図する作業をブロックしないようにポリシーを選定することが可能となる。例えば、ポリシー取得部101は、アプリケーションをホワイトリストに設定したポリシーを取得してもよい。
変形例3
本変形例では、ポリシー取得部101が、ネットワーク上の装置に対する脆弱性調査を行う。脆弱性調査とは、対象とするシステムのセキュリティホール等の脆弱性を発見することであり、例えば、ポートスキャンである。ポリシー取得部101は、調査結果を考慮してポリシーを選定する。すなわち、ポリシー取得部101は、装置に対するリスクの高い攻撃への対策を優先するポリシーを取得する。例えば、脆弱性のあるTypeに対してLevelの高いポリシーを取得することや、脆弱性のある端末に対してLevelの高いポリシーを取得することが考えられる。
本変形例では、ポリシー取得部101が、ネットワーク上の装置に対する脆弱性調査を行う。脆弱性調査とは、対象とするシステムのセキュリティホール等の脆弱性を発見することであり、例えば、ポートスキャンである。ポリシー取得部101は、調査結果を考慮してポリシーを選定する。すなわち、ポリシー取得部101は、装置に対するリスクの高い攻撃への対策を優先するポリシーを取得する。例えば、脆弱性のあるTypeに対してLevelの高いポリシーを取得することや、脆弱性のある端末に対してLevelの高いポリシーを取得することが考えられる。
変形例4
本変形例では、ポリシー取得部101は、ネットワーク内の端末情報を複合的に分析し、ネットワーク全体に対して適したポリシーを適用する。例えば、ポリシー取得部101は、ネットワーク内の全てのOSをリストアップし、ネットワーク上に存在しないOSに対する攻撃パターンに対するスキャンを除外するポリシーを生成する。つまり、ポリシー取得部101は、通信装置が接続されたネットワーク上の全ての通信装置から装置情報を取得し、ネットワーク上の通信装置に対して想定されない脅威に対するスキャンを行わないようにポリシーを取得する。想定されない脅威とは、例えば、全ての通信装置で使用されていない通信方法に関する検出パターン等である。
本変形例では、ポリシー取得部101は、ネットワーク内の端末情報を複合的に分析し、ネットワーク全体に対して適したポリシーを適用する。例えば、ポリシー取得部101は、ネットワーク内の全てのOSをリストアップし、ネットワーク上に存在しないOSに対する攻撃パターンに対するスキャンを除外するポリシーを生成する。つまり、ポリシー取得部101は、通信装置が接続されたネットワーク上の全ての通信装置から装置情報を取得し、ネットワーク上の通信装置に対して想定されない脅威に対するスキャンを行わないようにポリシーを取得する。想定されない脅威とは、例えば、全ての通信装置で使用されていない通信方法に関する検出パターン等である。
変形例5
本変形例では、ポリシー取得部101は、デバイス別ポリシー401に生存時間(TTL:Time To Live)の情報を列として追加する。デバイス別ポリシー401の各行は、TTLに設定された値が経過するとタイムアウトにより消去される。したがって、その次に通信を行う際には、ポリシーが再度設定されることとなり、定期的にポリシーが最適化されることとなる。
本変形例では、ポリシー取得部101は、デバイス別ポリシー401に生存時間(TTL:Time To Live)の情報を列として追加する。デバイス別ポリシー401の各行は、TTLに設定された値が経過するとタイムアウトにより消去される。したがって、その次に通信を行う際には、ポリシーが再度設定されることとなり、定期的にポリシーが最適化されることとなる。
<ハードウェアの構成例>
次に、ハードウェアの構成例について述べる。
図10は、パケット転送装置100を実現するためのハードウェアを例示する図である。パケット転送装置100は、バス1020、プロセッサ1040、メモリ1060、ストレージデバイス1080、及びネットワークインタフェース1120を有する。バス1020は、プロセッサ1040、メモリ1060、ストレージデバイス1080、及びネットワークインタフェース1120が、相互にデータを送受信するためのデータ伝送路である。ただし、プロセッサ1040などを互いに接続する方法は、バス接続に限定されない。プロセッサ1040は、CPU(Central Processing Unit)、GPU(Graphics Processing Unit)、又はFPGA(Field-Programmable Gate Array)などの種々のプロセッサである。メモリ1060は、RAM(Random Access Memory)などを用いて実現される主記憶装置である。ストレージデバイス1080は、ハードディスク、SSD(Solid State Drive)、メモリカード、又は ROM(Read Only Memory)などを用いて実現される補助記憶装置である。
次に、ハードウェアの構成例について述べる。
図10は、パケット転送装置100を実現するためのハードウェアを例示する図である。パケット転送装置100は、バス1020、プロセッサ1040、メモリ1060、ストレージデバイス1080、及びネットワークインタフェース1120を有する。バス1020は、プロセッサ1040、メモリ1060、ストレージデバイス1080、及びネットワークインタフェース1120が、相互にデータを送受信するためのデータ伝送路である。ただし、プロセッサ1040などを互いに接続する方法は、バス接続に限定されない。プロセッサ1040は、CPU(Central Processing Unit)、GPU(Graphics Processing Unit)、又はFPGA(Field-Programmable Gate Array)などの種々のプロセッサである。メモリ1060は、RAM(Random Access Memory)などを用いて実現される主記憶装置である。ストレージデバイス1080は、ハードディスク、SSD(Solid State Drive)、メモリカード、又は ROM(Read Only Memory)などを用いて実現される補助記憶装置である。
ネットワークインタフェース1120は、パケット転送装置100をネットワーク1300に接続するためのインタフェースである。このネットワークは、例えば LAN(Local Area Network)や WAN(Wide Area Network)である。ネットワークインタフェース1120がネットワークに接続する方法は、無線接続であってもよいし、有線接続であってもよい。
ストレージデバイス1080は、パケット転送装置100の各手段を実現するプログラムモジュールを記憶している。プロセッサ1040は、これら各プログラムモジュールをメモリ1060に読み出して実行することで、各プログラムモジュールに対応する機能を実現する。
DPI機能は、動作コストが非常に大きいため、Latency(待ち時間)の発生やスループットの低下によるネットワーク品質の低下が起きやすい。
ネットワーク内に異なる種類のデバイスが多数存在するため、デバイスによっては無効な攻撃パターンに対しても攻撃がないか確かめる動作を想定しているという実態がある。この結果、動作コストが無駄に消費され、さらに、検知しなくてもよいパターンを検知(誤検知)していることが考えられる。
したがって、最適なポリシーで不必要なスキャンを取り除くことで、この動作コストを適切に管理し、誤検知の可能性を減らすことができる。
本実施の形態は、中小規模の企業ネットワーク内でネットワークトラフィックへのセキュリティ対策をする際に利用することができる。
なお、本発明は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
通信装置の状態に関する装置情報を取得し、前記装置情報に基づいて前記通信装置と他の通信装置との間の通信パケットのスキャンに適用されるポリシーを取得するポリシー取得手段と、
前記ポリシーを適用し、前記通信パケットのスキャンを行う検知手段と、
を備える、パケット転送装置。
通信装置の状態に関する装置情報を取得し、前記装置情報に基づいて前記通信装置と他の通信装置との間の通信パケットのスキャンに適用されるポリシーを取得するポリシー取得手段と、
前記ポリシーを適用し、前記通信パケットのスキャンを行う検知手段と、
を備える、パケット転送装置。
(付記2)
前記ポリシー取得手段は、前記装置情報を前記通信装置から受信する、付記1に記載のパケット転送装置。
前記ポリシー取得手段は、前記装置情報を前記通信装置から受信する、付記1に記載のパケット転送装置。
(付記3)
前記ポリシー取得手段は、前記通信装置の通信量を前記装置情報として取得し、前記通信量が多い場合にスキャンレベルが低くなるように前記ポリシーを取得する、付記1または2のいずれか1項に記載のパケット転送装置。
前記ポリシー取得手段は、前記通信装置の通信量を前記装置情報として取得し、前記通信量が多い場合にスキャンレベルが低くなるように前記ポリシーを取得する、付記1または2のいずれか1項に記載のパケット転送装置。
(付記4)
前記ポリシー取得手段は、前記通信装置の稼動率を前記装置情報として取得し、前記稼動率が低い場合にスキャンレベルが低くなるように前記ポリシーを取得する、付記1から3のいずれか1項に記載のパケット転送装置。
前記ポリシー取得手段は、前記通信装置の稼動率を前記装置情報として取得し、前記稼動率が低い場合にスキャンレベルが低くなるように前記ポリシーを取得する、付記1から3のいずれか1項に記載のパケット転送装置。
(付記5)
前記ポリシー取得手段は、前記通信装置で使用されているアプリケーションに関する情報を取得し、前記アプリケーションの動作を妨げないように前記ポリシーを取得する、付記1から4のいずれか1項に記載のパケット転送装置。
前記ポリシー取得手段は、前記通信装置で使用されているアプリケーションに関する情報を取得し、前記アプリケーションの動作を妨げないように前記ポリシーを取得する、付記1から4のいずれか1項に記載のパケット転送装置。
(付記6)
前記ポリシー取得手段は、前記通信装置の脆弱性調査を行い、前記脆弱性調査の結果に基づいて前記ポリシーを取得する、付記1から5のいずれか1項に記載のパケット転送装置。
前記ポリシー取得手段は、前記通信装置の脆弱性調査を行い、前記脆弱性調査の結果に基づいて前記ポリシーを取得する、付記1から5のいずれか1項に記載のパケット転送装置。
(付記7)
前記ポリシー取得手段は、前記通信装置が接続されたネットワーク上の全ての通信装置から前記装置情報を取得し、前記ネットワーク上の通信装置に対して想定されない脅威に対するスキャンを行わないように前記ポリシーを取得する、付記1から6のいずれか1項に記載のパケット転送装置。
前記ポリシー取得手段は、前記通信装置が接続されたネットワーク上の全ての通信装置から前記装置情報を取得し、前記ネットワーク上の通信装置に対して想定されない脅威に対するスキャンを行わないように前記ポリシーを取得する、付記1から6のいずれか1項に記載のパケット転送装置。
(付記8)
前記ポリシー取得手段は、前記ポリシーに生存時間を設定する、付記1から7のいずれか1項に記載のパケット転送装置。
前記ポリシー取得手段は、前記ポリシーに生存時間を設定する、付記1から7のいずれか1項に記載のパケット転送装置。
(付記9)
通信装置の状態に関する装置情報を取得し、
前記装置情報に基づいて、前記通信装置と他の通信装置との間の通信パケットのスキャンに適用されるポリシーを取得し、
前記ポリシーに基づいて、前記通信パケットのスキャンを行う、
パケット転送方法。
通信装置の状態に関する装置情報を取得し、
前記装置情報に基づいて、前記通信装置と他の通信装置との間の通信パケットのスキャンに適用されるポリシーを取得し、
前記ポリシーに基づいて、前記通信パケットのスキャンを行う、
パケット転送方法。
(付記10)
前記装置情報を前記通信装置から受信する、付記9に記載のパケット転送方法。
前記装置情報を前記通信装置から受信する、付記9に記載のパケット転送方法。
(付記11)
前記通信装置の通信量を前記装置情報として取得し、前記通信量が多い場合にスキャンレベルが低くなるように前記ポリシーを取得する、付記9または10のいずれか1項に記載のパケット転送方法。
前記通信装置の通信量を前記装置情報として取得し、前記通信量が多い場合にスキャンレベルが低くなるように前記ポリシーを取得する、付記9または10のいずれか1項に記載のパケット転送方法。
(付記12)
前記通信装置の稼動率を前記装置情報として取得し、前記稼動率が低い場合にスキャンレベルが低くなるように前記ポリシーを取得する、付記9から11のいずれか1項に記載のパケット転送方法。
前記通信装置の稼動率を前記装置情報として取得し、前記稼動率が低い場合にスキャンレベルが低くなるように前記ポリシーを取得する、付記9から11のいずれか1項に記載のパケット転送方法。
(付記13)
前記通信装置で使用されているアプリケーションに関する情報を取得し、前記アプリケーションの動作を妨げないように前記ポリシーを取得する、付記9から12のいずれか1項に記載のパケット転送方法。
前記通信装置で使用されているアプリケーションに関する情報を取得し、前記アプリケーションの動作を妨げないように前記ポリシーを取得する、付記9から12のいずれか1項に記載のパケット転送方法。
(付記14)
前記通信装置の脆弱性調査を行い、前記脆弱性調査の結果に基づいて前記ポリシーを取得する、付記9から13のいずれか1項に記載のパケット転送方法。
前記通信装置の脆弱性調査を行い、前記脆弱性調査の結果に基づいて前記ポリシーを取得する、付記9から13のいずれか1項に記載のパケット転送方法。
(付記15)
前記通信装置が接続されたネットワーク上の全ての通信装置から前記装置情報を取得し、前記ネットワーク上の通信装置に対して想定されない脅威に対するスキャンを行わないように前記ポリシーを取得する、付記9から14のいずれか1項に記載のパケット転送方法。
前記通信装置が接続されたネットワーク上の全ての通信装置から前記装置情報を取得し、前記ネットワーク上の通信装置に対して想定されない脅威に対するスキャンを行わないように前記ポリシーを取得する、付記9から14のいずれか1項に記載のパケット転送方法。
(付記16)
前記ポリシーに生存時間を設定する、付記9から14のいずれか1項に記載のパケット転送方法。
前記ポリシーに生存時間を設定する、付記9から14のいずれか1項に記載のパケット転送方法。
(付記17)
通信装置に関する装置情報を取得し、
前記装置情報に基づいて、前記通信装置と他の通信装置との間の通信パケットのスキャンに適用されるポリシーを取得し、
前記ポリシーに基づいて、前記通信パケットのスキャンを行う、処理をコンピュータに対して実行させる、
パケット転送プログラム。
通信装置に関する装置情報を取得し、
前記装置情報に基づいて、前記通信装置と他の通信装置との間の通信パケットのスキャンに適用されるポリシーを取得し、
前記ポリシーに基づいて、前記通信パケットのスキャンを行う、処理をコンピュータに対して実行させる、
パケット転送プログラム。
5、5A、5B 通信装置
10、10A、10B 通信端末
20 他の通信装置
100 パケット転送装置
101 ポリシー取得部
102 検知部
103 ルーティング部
104 WANインタフェース
105 LANインタフェース
106 DPIモジュール
107 ポリシーテーブル記憶部
111、111A、111B クライアント端末
113 LAN
121 インターネット
122 ウェブサーバ
200 通信システム
301 端末情報オブジェクト
311 端末名
321 現在の状態
322 OS名
323、412 IPアドレス
324、413 MACアドレス
325 通信量
326 ユーザー定義情報
331 レベル
332 ホワイトリスト
341 アプリケーション
401 デバイス別ポリシー
411、411A、411B 端末
414 適用ポリシー
501 ポリシーテーブル
511 Level
512 Type
10、10A、10B 通信端末
20 他の通信装置
100 パケット転送装置
101 ポリシー取得部
102 検知部
103 ルーティング部
104 WANインタフェース
105 LANインタフェース
106 DPIモジュール
107 ポリシーテーブル記憶部
111、111A、111B クライアント端末
113 LAN
121 インターネット
122 ウェブサーバ
200 通信システム
301 端末情報オブジェクト
311 端末名
321 現在の状態
322 OS名
323、412 IPアドレス
324、413 MACアドレス
325 通信量
326 ユーザー定義情報
331 レベル
332 ホワイトリスト
341 アプリケーション
401 デバイス別ポリシー
411、411A、411B 端末
414 適用ポリシー
501 ポリシーテーブル
511 Level
512 Type
Claims (9)
- 通信装置の状態に関する装置情報を取得し、前記装置情報に基づいて前記通信装置と他の通信装置との間の通信パケットのスキャンに適用されるポリシーを取得するポリシー取得手段と、
前記ポリシーを適用し、前記通信パケットのスキャンを行う検知手段と、
を備え、
前記ポリシー取得手段は、前記通信装置の稼動率を前記装置情報として取得し、前記稼動率が低い場合にスキャンレベルが低くなるように前記ポリシーを取得する、
パケット転送装置。 - 前記ポリシー取得手段は、前記装置情報を前記通信装置から受信する、請求項1に記載のパケット転送装置。
- 前記ポリシー取得手段は、前記通信装置の通信量を前記装置情報として取得し、前記通信量が多い場合にスキャンレベルが低くなるように前記ポリシーを取得する、請求項1または2のいずれか1項に記載のパケット転送装置。
- 前記ポリシー取得手段は、前記通信装置で使用されているアプリケーションに関する情報を取得し、前記アプリケーションのスキャンを行わないように前記ポリシーを取得する、請求項1から3のいずれか1項に記載のパケット転送装置。
- 前記ポリシー取得手段は、前記通信装置の脆弱性調査を行い、前記脆弱性調査の結果に基づいて前記ポリシーを取得する、請求項1から4のいずれか1項に記載のパケット転送装置。
- 前記ポリシー取得手段は、前記通信装置が接続されたネットワーク上の全ての通信装置から前記装置情報を取得し、前記ネットワーク上の通信装置に対して想定されない脅威に対するスキャンを行わないように前記ポリシーを取得する、請求項1から5のいずれか1項に記載のパケット転送装置。
- 前記ポリシー取得手段は、前記ポリシーに生存時間を設定する、請求項1から6のいずれか1項に記載のパケット転送装置。
- 通信装置の状態に関する装置情報を取得することと、
前記装置情報に基づいて、前記通信装置と他の通信装置との間の通信パケットのスキャンに適用されるポリシーを取得することと、
前記ポリシーに基づいて、前記通信パケットのスキャンを行うことと、
を含み、
前記装置情報を取得することは、前記通信装置の稼動率を前記装置情報として取得し、
前記ポリシーを取得することは、前記稼動率が低い場合にスキャンレベルが低くなるように前記ポリシーを取得する、
パケット転送方法。 - パケット転送方法をコンピュータに実行させるパケット転送プログラムであって、
前記パケット転送方法は、
通信装置に関する装置情報を取得することと、
前記装置情報に基づいて、前記通信装置と他の通信装置との間の通信パケットのスキャンに適用されるポリシーを取得することと、
前記ポリシーに基づいて、前記通信パケットのスキャンを行うことと、
を含み、
前記装置情報を取得することは、前記通信装置の稼動率を前記装置情報として取得し、
前記ポリシーを取得することは、前記稼動率が低い場合にスキャンレベルが低くなるように前記ポリシーを取得する、
パケット転送プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019160329A JP7067796B2 (ja) | 2019-09-03 | 2019-09-03 | パケット転送装置、パケット転送方法、及びパケット転送プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019160329A JP7067796B2 (ja) | 2019-09-03 | 2019-09-03 | パケット転送装置、パケット転送方法、及びパケット転送プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2021040234A JP2021040234A (ja) | 2021-03-11 |
| JP7067796B2 true JP7067796B2 (ja) | 2022-05-16 |
Family
ID=74848737
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019160329A Active JP7067796B2 (ja) | 2019-09-03 | 2019-09-03 | パケット転送装置、パケット転送方法、及びパケット転送プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7067796B2 (ja) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003204358A (ja) | 2002-01-07 | 2003-07-18 | Mitsubishi Electric Corp | 不正侵入検知装置及び不正侵入検知方法及び不正侵入検知プログラム |
| JP2011188071A (ja) | 2010-03-05 | 2011-09-22 | Nec Corp | 不正侵入検知・防御システム、クライアントコンピュータ、不正侵入検知・防御装置、方法およびプログラム |
| JP2017117224A (ja) | 2015-12-24 | 2017-06-29 | 株式会社Pfu | ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラム |
-
2019
- 2019-09-03 JP JP2019160329A patent/JP7067796B2/ja active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003204358A (ja) | 2002-01-07 | 2003-07-18 | Mitsubishi Electric Corp | 不正侵入検知装置及び不正侵入検知方法及び不正侵入検知プログラム |
| JP2011188071A (ja) | 2010-03-05 | 2011-09-22 | Nec Corp | 不正侵入検知・防御システム、クライアントコンピュータ、不正侵入検知・防御装置、方法およびプログラム |
| JP2017117224A (ja) | 2015-12-24 | 2017-06-29 | 株式会社Pfu | ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2021040234A (ja) | 2021-03-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11057349B2 (en) | Cloud-based multi-function firewall and zero trust private virtual network | |
| US11165869B2 (en) | Method and apparatus for dynamic destination address control in a computer network | |
| US10701103B2 (en) | Securing devices using network traffic analysis and software-defined networking (SDN) | |
| CN108886515B (zh) | 通过利用良性联网协议来防止ip网络中的恶意信息通信的方法和保护装置 | |
| US7610375B2 (en) | Intrusion detection in a data center environment | |
| JP6083009B1 (ja) | Sdnコントローラ | |
| EP3178216B1 (en) | Data center architecture that supports attack detection and mitigation | |
| US20180091547A1 (en) | Ddos mitigation black/white listing based on target feedback | |
| US7617533B1 (en) | Self-quarantining network | |
| US20060203815A1 (en) | Compliance verification and OSI layer 2 connection of device using said compliance verification | |
| US11856008B2 (en) | Facilitating identification of compromised devices by network access control (NAC) or unified threat management (UTM) security services by leveraging context from an endpoint detection and response (EDR) agent | |
| US10819562B2 (en) | Cloud services management systems utilizing in-band communication conveying situational awareness | |
| US20160352774A1 (en) | Mitigation of computer network attacks | |
| US11956279B2 (en) | Cyber-security in heterogeneous networks | |
| US10652259B2 (en) | Information processing apparatus, method and medium for classifying unauthorized activity | |
| US20130074147A1 (en) | Packet processing | |
| JP2007259223A (ja) | ネットワークにおける不正アクセスに対する防御システム、方法およびそのためのプログラム | |
| JP7067796B2 (ja) | パケット転送装置、パケット転送方法、及びパケット転送プログラム | |
| US20040093514A1 (en) | Method for automatically isolating worm and hacker attacks within a local area network | |
| US20190028479A1 (en) | Relay apparatus | |
| US11784993B2 (en) | Cross site request forgery (CSRF) protection for web browsers | |
| JP2009005122A (ja) | 不正アクセス検知装置、セキュリティ管理装置およびこれを用いた不正アクセス検知システム | |
| JP2008011008A (ja) | 不正アクセス防止システム | |
| US20080263203A1 (en) | Method and apparatus for delegating responses to conditions in computing systems | |
| KR102174507B1 (ko) | 통신 게이트웨이 방화벽 자동설정장치 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210108 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210913 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211102 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211224 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220329 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220421 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7067796 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |