JP7067796B2 - パケット転送装置、パケット転送方法、及びパケット転送プログラム - Google Patents
パケット転送装置、パケット転送方法、及びパケット転送プログラム Download PDFInfo
- Publication number
- JP7067796B2 JP7067796B2 JP2019160329A JP2019160329A JP7067796B2 JP 7067796 B2 JP7067796 B2 JP 7067796B2 JP 2019160329 A JP2019160329 A JP 2019160329A JP 2019160329 A JP2019160329 A JP 2019160329A JP 7067796 B2 JP7067796 B2 JP 7067796B2
- Authority
- JP
- Japan
- Prior art keywords
- policy
- communication
- packet transfer
- information
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
図1は、本実施の形態にかかるパケット転送装置100を含む通信システム200の構成例を示す構成図である。通信システム200は、パケット転送装置100、通信装置5A、5B、および、他の通信装置20を備える。通信装置5A、5Bは、パケット転送装置100を介して、他の通信装置20と通信する。
図3は、本実施の形態にかかるパケット転送装置100を含む通信システム200の構成例を示す構成図である。通信システム200は、パケット転送装置100、クライアント端末111A、111B、及び、ウェブサーバ122を備える。クライアント端末111A、111Bは、LAN113に属している。LAN113は、LAN(Local Area Network)である。ウェブサーバ122は、インターネット121上のウェブサーバである。
本変形例では、クライアント端末111が、トラフィック(パケット)とは別に、現在のユーザー情報を自発的にポリシー取得部101に送信する。ポリシー取得部101が最適なポリシーを決定するための情報を増やすことで、より適したポリシーを適用することが可能となる。ユーザー情報とは、利用者個人を特定するID情報である。クライアント端末111は、さらに、IPアドレス、MACアドレス等を送信してもよい。ID情報は、例えば、役職等であり、ポリシーを定めるために用いられる。
本変形例では、変形例1で送信する情報に、利用しているアプリケーション、アクティブなウィンドウ情報、プロセス情報などの運用状態、稼動状態を含める。ポリシー取得部101は、ユーザーの意図する作業をブロックしないようにポリシーを選定することが可能となる。例えば、ポリシー取得部101は、アプリケーションをホワイトリストに設定したポリシーを取得してもよい。
本変形例では、ポリシー取得部101が、ネットワーク上の装置に対する脆弱性調査を行う。脆弱性調査とは、対象とするシステムのセキュリティホール等の脆弱性を発見することであり、例えば、ポートスキャンである。ポリシー取得部101は、調査結果を考慮してポリシーを選定する。すなわち、ポリシー取得部101は、装置に対するリスクの高い攻撃への対策を優先するポリシーを取得する。例えば、脆弱性のあるTypeに対してLevelの高いポリシーを取得することや、脆弱性のある端末に対してLevelの高いポリシーを取得することが考えられる。
本変形例では、ポリシー取得部101は、ネットワーク内の端末情報を複合的に分析し、ネットワーク全体に対して適したポリシーを適用する。例えば、ポリシー取得部101は、ネットワーク内の全てのOSをリストアップし、ネットワーク上に存在しないOSに対する攻撃パターンに対するスキャンを除外するポリシーを生成する。つまり、ポリシー取得部101は、通信装置が接続されたネットワーク上の全ての通信装置から装置情報を取得し、ネットワーク上の通信装置に対して想定されない脅威に対するスキャンを行わないようにポリシーを取得する。想定されない脅威とは、例えば、全ての通信装置で使用されていない通信方法に関する検出パターン等である。
本変形例では、ポリシー取得部101は、デバイス別ポリシー401に生存時間(TTL:Time To Live)の情報を列として追加する。デバイス別ポリシー401の各行は、TTLに設定された値が経過するとタイムアウトにより消去される。したがって、その次に通信を行う際には、ポリシーが再度設定されることとなり、定期的にポリシーが最適化されることとなる。
次に、ハードウェアの構成例について述べる。
図10は、パケット転送装置100を実現するためのハードウェアを例示する図である。パケット転送装置100は、バス1020、プロセッサ1040、メモリ1060、ストレージデバイス1080、及びネットワークインタフェース1120を有する。バス1020は、プロセッサ1040、メモリ1060、ストレージデバイス1080、及びネットワークインタフェース1120が、相互にデータを送受信するためのデータ伝送路である。ただし、プロセッサ1040などを互いに接続する方法は、バス接続に限定されない。プロセッサ1040は、CPU(Central Processing Unit)、GPU(Graphics Processing Unit)、又はFPGA(Field-Programmable Gate Array)などの種々のプロセッサである。メモリ1060は、RAM(Random Access Memory)などを用いて実現される主記憶装置である。ストレージデバイス1080は、ハードディスク、SSD(Solid State Drive)、メモリカード、又は ROM(Read Only Memory)などを用いて実現される補助記憶装置である。
通信装置の状態に関する装置情報を取得し、前記装置情報に基づいて前記通信装置と他の通信装置との間の通信パケットのスキャンに適用されるポリシーを取得するポリシー取得手段と、
前記ポリシーを適用し、前記通信パケットのスキャンを行う検知手段と、
を備える、パケット転送装置。
前記ポリシー取得手段は、前記装置情報を前記通信装置から受信する、付記1に記載のパケット転送装置。
前記ポリシー取得手段は、前記通信装置の通信量を前記装置情報として取得し、前記通信量が多い場合にスキャンレベルが低くなるように前記ポリシーを取得する、付記1または2のいずれか1項に記載のパケット転送装置。
前記ポリシー取得手段は、前記通信装置の稼動率を前記装置情報として取得し、前記稼動率が低い場合にスキャンレベルが低くなるように前記ポリシーを取得する、付記1から3のいずれか1項に記載のパケット転送装置。
前記ポリシー取得手段は、前記通信装置で使用されているアプリケーションに関する情報を取得し、前記アプリケーションの動作を妨げないように前記ポリシーを取得する、付記1から4のいずれか1項に記載のパケット転送装置。
前記ポリシー取得手段は、前記通信装置の脆弱性調査を行い、前記脆弱性調査の結果に基づいて前記ポリシーを取得する、付記1から5のいずれか1項に記載のパケット転送装置。
前記ポリシー取得手段は、前記通信装置が接続されたネットワーク上の全ての通信装置から前記装置情報を取得し、前記ネットワーク上の通信装置に対して想定されない脅威に対するスキャンを行わないように前記ポリシーを取得する、付記1から6のいずれか1項に記載のパケット転送装置。
前記ポリシー取得手段は、前記ポリシーに生存時間を設定する、付記1から7のいずれか1項に記載のパケット転送装置。
通信装置の状態に関する装置情報を取得し、
前記装置情報に基づいて、前記通信装置と他の通信装置との間の通信パケットのスキャンに適用されるポリシーを取得し、
前記ポリシーに基づいて、前記通信パケットのスキャンを行う、
パケット転送方法。
前記装置情報を前記通信装置から受信する、付記9に記載のパケット転送方法。
前記通信装置の通信量を前記装置情報として取得し、前記通信量が多い場合にスキャンレベルが低くなるように前記ポリシーを取得する、付記9または10のいずれか1項に記載のパケット転送方法。
前記通信装置の稼動率を前記装置情報として取得し、前記稼動率が低い場合にスキャンレベルが低くなるように前記ポリシーを取得する、付記9から11のいずれか1項に記載のパケット転送方法。
前記通信装置で使用されているアプリケーションに関する情報を取得し、前記アプリケーションの動作を妨げないように前記ポリシーを取得する、付記9から12のいずれか1項に記載のパケット転送方法。
前記通信装置の脆弱性調査を行い、前記脆弱性調査の結果に基づいて前記ポリシーを取得する、付記9から13のいずれか1項に記載のパケット転送方法。
前記通信装置が接続されたネットワーク上の全ての通信装置から前記装置情報を取得し、前記ネットワーク上の通信装置に対して想定されない脅威に対するスキャンを行わないように前記ポリシーを取得する、付記9から14のいずれか1項に記載のパケット転送方法。
前記ポリシーに生存時間を設定する、付記9から14のいずれか1項に記載のパケット転送方法。
通信装置に関する装置情報を取得し、
前記装置情報に基づいて、前記通信装置と他の通信装置との間の通信パケットのスキャンに適用されるポリシーを取得し、
前記ポリシーに基づいて、前記通信パケットのスキャンを行う、処理をコンピュータに対して実行させる、
パケット転送プログラム。
10、10A、10B 通信端末
20 他の通信装置
100 パケット転送装置
101 ポリシー取得部
102 検知部
103 ルーティング部
104 WANインタフェース
105 LANインタフェース
106 DPIモジュール
107 ポリシーテーブル記憶部
111、111A、111B クライアント端末
113 LAN
121 インターネット
122 ウェブサーバ
200 通信システム
301 端末情報オブジェクト
311 端末名
321 現在の状態
322 OS名
323、412 IPアドレス
324、413 MACアドレス
325 通信量
326 ユーザー定義情報
331 レベル
332 ホワイトリスト
341 アプリケーション
401 デバイス別ポリシー
411、411A、411B 端末
414 適用ポリシー
501 ポリシーテーブル
511 Level
512 Type
Claims (9)
- 通信装置の状態に関する装置情報を取得し、前記装置情報に基づいて前記通信装置と他の通信装置との間の通信パケットのスキャンに適用されるポリシーを取得するポリシー取得手段と、
前記ポリシーを適用し、前記通信パケットのスキャンを行う検知手段と、
を備え、
前記ポリシー取得手段は、前記通信装置の稼動率を前記装置情報として取得し、前記稼動率が低い場合にスキャンレベルが低くなるように前記ポリシーを取得する、
パケット転送装置。 - 前記ポリシー取得手段は、前記装置情報を前記通信装置から受信する、請求項1に記載のパケット転送装置。
- 前記ポリシー取得手段は、前記通信装置の通信量を前記装置情報として取得し、前記通信量が多い場合にスキャンレベルが低くなるように前記ポリシーを取得する、請求項1または2のいずれか1項に記載のパケット転送装置。
- 前記ポリシー取得手段は、前記通信装置で使用されているアプリケーションに関する情報を取得し、前記アプリケーションのスキャンを行わないように前記ポリシーを取得する、請求項1から3のいずれか1項に記載のパケット転送装置。
- 前記ポリシー取得手段は、前記通信装置の脆弱性調査を行い、前記脆弱性調査の結果に基づいて前記ポリシーを取得する、請求項1から4のいずれか1項に記載のパケット転送装置。
- 前記ポリシー取得手段は、前記通信装置が接続されたネットワーク上の全ての通信装置から前記装置情報を取得し、前記ネットワーク上の通信装置に対して想定されない脅威に対するスキャンを行わないように前記ポリシーを取得する、請求項1から5のいずれか1項に記載のパケット転送装置。
- 前記ポリシー取得手段は、前記ポリシーに生存時間を設定する、請求項1から6のいずれか1項に記載のパケット転送装置。
- 通信装置の状態に関する装置情報を取得することと、
前記装置情報に基づいて、前記通信装置と他の通信装置との間の通信パケットのスキャンに適用されるポリシーを取得することと、
前記ポリシーに基づいて、前記通信パケットのスキャンを行うことと、
を含み、
前記装置情報を取得することは、前記通信装置の稼動率を前記装置情報として取得し、
前記ポリシーを取得することは、前記稼動率が低い場合にスキャンレベルが低くなるように前記ポリシーを取得する、
パケット転送方法。 - パケット転送方法をコンピュータに実行させるパケット転送プログラムであって、
前記パケット転送方法は、
通信装置に関する装置情報を取得することと、
前記装置情報に基づいて、前記通信装置と他の通信装置との間の通信パケットのスキャンに適用されるポリシーを取得することと、
前記ポリシーに基づいて、前記通信パケットのスキャンを行うことと、
を含み、
前記装置情報を取得することは、前記通信装置の稼動率を前記装置情報として取得し、
前記ポリシーを取得することは、前記稼動率が低い場合にスキャンレベルが低くなるように前記ポリシーを取得する、
パケット転送プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019160329A JP7067796B2 (ja) | 2019-09-03 | 2019-09-03 | パケット転送装置、パケット転送方法、及びパケット転送プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019160329A JP7067796B2 (ja) | 2019-09-03 | 2019-09-03 | パケット転送装置、パケット転送方法、及びパケット転送プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2021040234A JP2021040234A (ja) | 2021-03-11 |
JP7067796B2 true JP7067796B2 (ja) | 2022-05-16 |
Family
ID=74848737
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019160329A Active JP7067796B2 (ja) | 2019-09-03 | 2019-09-03 | パケット転送装置、パケット転送方法、及びパケット転送プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7067796B2 (ja) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003204358A (ja) | 2002-01-07 | 2003-07-18 | Mitsubishi Electric Corp | 不正侵入検知装置及び不正侵入検知方法及び不正侵入検知プログラム |
JP2011188071A (ja) | 2010-03-05 | 2011-09-22 | Nec Corp | 不正侵入検知・防御システム、クライアントコンピュータ、不正侵入検知・防御装置、方法およびプログラム |
JP2017117224A (ja) | 2015-12-24 | 2017-06-29 | 株式会社Pfu | ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラム |
-
2019
- 2019-09-03 JP JP2019160329A patent/JP7067796B2/ja active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003204358A (ja) | 2002-01-07 | 2003-07-18 | Mitsubishi Electric Corp | 不正侵入検知装置及び不正侵入検知方法及び不正侵入検知プログラム |
JP2011188071A (ja) | 2010-03-05 | 2011-09-22 | Nec Corp | 不正侵入検知・防御システム、クライアントコンピュータ、不正侵入検知・防御装置、方法およびプログラム |
JP2017117224A (ja) | 2015-12-24 | 2017-06-29 | 株式会社Pfu | ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラム |
Also Published As
Publication number | Publication date |
---|---|
JP2021040234A (ja) | 2021-03-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11057349B2 (en) | Cloud-based multi-function firewall and zero trust private virtual network | |
US11165869B2 (en) | Method and apparatus for dynamic destination address control in a computer network | |
US10701103B2 (en) | Securing devices using network traffic analysis and software-defined networking (SDN) | |
CN108886515B (zh) | 通过利用良性联网协议来防止ip网络中的恶意信息通信的方法和保护装置 | |
US7610375B2 (en) | Intrusion detection in a data center environment | |
JP6083009B1 (ja) | Sdnコントローラ | |
EP3178216B1 (en) | Data center architecture that supports attack detection and mitigation | |
US20180091547A1 (en) | Ddos mitigation black/white listing based on target feedback | |
US7617533B1 (en) | Self-quarantining network | |
US20060203815A1 (en) | Compliance verification and OSI layer 2 connection of device using said compliance verification | |
US11856008B2 (en) | Facilitating identification of compromised devices by network access control (NAC) or unified threat management (UTM) security services by leveraging context from an endpoint detection and response (EDR) agent | |
US10819562B2 (en) | Cloud services management systems utilizing in-band communication conveying situational awareness | |
US20160352774A1 (en) | Mitigation of computer network attacks | |
US11956279B2 (en) | Cyber-security in heterogeneous networks | |
US10652259B2 (en) | Information processing apparatus, method and medium for classifying unauthorized activity | |
US20130074147A1 (en) | Packet processing | |
JP2007259223A (ja) | ネットワークにおける不正アクセスに対する防御システム、方法およびそのためのプログラム | |
JP7067796B2 (ja) | パケット転送装置、パケット転送方法、及びパケット転送プログラム | |
US20040093514A1 (en) | Method for automatically isolating worm and hacker attacks within a local area network | |
US20190028479A1 (en) | Relay apparatus | |
US11784993B2 (en) | Cross site request forgery (CSRF) protection for web browsers | |
JP2009005122A (ja) | 不正アクセス検知装置、セキュリティ管理装置およびこれを用いた不正アクセス検知システム | |
JP2008011008A (ja) | 不正アクセス防止システム | |
US20080263203A1 (en) | Method and apparatus for delegating responses to conditions in computing systems | |
KR102174507B1 (ko) | 통신 게이트웨이 방화벽 자동설정장치 및 그 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210108 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210913 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211102 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211224 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220329 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220421 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7067796 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |