JP7068514B2 - 受信データ判定方法、通信装置、および、プログラム - Google Patents

受信データ判定方法、通信装置、および、プログラム Download PDF

Info

Publication number
JP7068514B2
JP7068514B2 JP2021000307A JP2021000307A JP7068514B2 JP 7068514 B2 JP7068514 B2 JP 7068514B2 JP 2021000307 A JP2021000307 A JP 2021000307A JP 2021000307 A JP2021000307 A JP 2021000307A JP 7068514 B2 JP7068514 B2 JP 7068514B2
Authority
JP
Japan
Prior art keywords
list
frame
information
received data
frame information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021000307A
Other languages
English (en)
Other versions
JP2021072632A (ja
Inventor
和彦 上原
佑亮 森田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Platforms Ltd
NEC Corp
Original Assignee
NEC Platforms Ltd
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Platforms Ltd, NEC Corp filed Critical NEC Platforms Ltd
Priority to JP2021000307A priority Critical patent/JP7068514B2/ja
Publication of JP2021072632A publication Critical patent/JP2021072632A/ja
Application granted granted Critical
Publication of JP7068514B2 publication Critical patent/JP7068514B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Description

本発明は、データ通信におけるデータの中継をするための、中継装置、通信システム、中継方法及び中継プログラムに関する。
近年、IoT(Internet of Things)に総称されるように、あらゆるものがインターネットに接続されるようになってきている。例えば、独自のプロトコルで、通信していた工場やプラントの制御ネットワークを、新たにインターネットに接続するようなことが行われている。
このようにインターネットに接続されることにより、新たな付加価値、機器管理など多様な恩恵が得られる一方、不正アクセスやDoS攻撃(Denial of Service attack)といった手段を用いた、悪意のある者からの脅威にさらされることにもなる。
しかしながら、例えば、工場やプラントに設置されている、工作機器、センサ及びカメラといった機器のそれぞれに、悪意のある者からの脅威の対策を施すことは容易ではない。なぜならば、工作機器、センサ及びカメラ等の機器には、そもそもこのような対策を施すための機能が実装されていないことがあるからである。
そのため、これら機器そのものではなく、これらの機器の通信を中継する中継装置が、悪意のある者からの脅威に対応するためのセキュリティ機能を備えることが重要となる。
このようなセキュリティ機能を備えた中継装置の一例が特許文献1に記載されている。特許文献1に記載のシステムでは、予め、マルウェア感染やDos攻撃に関連すると考えられるIPアドレスのリストを生成しておく。
そして、中継装置を通過するパケットを監視すると共に、かかるパケットのヘッダを参照し、ヘッダ内の送信元のIPアドレスや、送信先のIPアドレスが、リスト内のアドレスと合致する場合に、トラフィック異常を検出する。
このようにすることにより、悪意のある者からの脅威に対応することが可能となる。
特開2013-255196号公報
上述した特許文献1に記載の技術のように、問題があると考えられる通信先のリストを作成する技術では、問題があると考えられる通信先のIPアドレスを全てリスト化する必要がある。
しかしながら、未知のIPアドレスからの攻撃を新たに受けること等も考えられるため、問題があると考えられる通信先のIPアドレスを1つ残らず網羅してリスト化するのは非常に困難である。また、仮にこのようにするためには、頻繁にリストの更新を行う必要があるが、環境によっては、このような頻繁な更新をすることも非常に困難である。
そのため、特許文献1に記載されているような技術のみでは、中継装置においてパケットを破棄する等の適切な対応が充分にできないことも考えられる。
そこで、本発明は、中継時に適切な処理を行うための、中継装置、通信システム、中継方法及び中継プログラムを提供することを目的とする。
本発明の第1の観点によれば、受信データ判定方法は、データの通過を許可する条件の集合である第1のリストと、データの通過を許可しない条件の集合である第2のリストと、データの通過を許可しない条件の集合である第3のリストとを記憶し、
受信した受信データを前記第1のリストおよび前記第2のリストに含まれる条件で第1の判定を行い、
前記第1の判定でどちらにも該当しない場合に、前記受信データを前記第3のリストに含まれる条件で第2の判定を行う。
本発明の第2の観点によれば、通信装置は、データの通過を許可する条件の集合である第1のリストと、データの通過を許可しない条件の集合である第2のリストと、データの通過を許可しない条件の集合である第3のリストとを記憶する手段と、
受信した受信データを前記第1のリストおよび前記第2のリストに含まれる条件で第1の判定を行う手段と、
前記第1の判定でどちらにも該当しない場合に、前記受信データを前記第3のリストに含まれる条件で第2の判定を行う手段と、を備える。
本発明の第3の観点によれば、プログラムは、データの通過を許可する条件の集合である第1のリストと、データの通過を許可しない条件の集合である第2のリストと、データの通過を許可しない条件の集合である第3のリストとを記憶し、
受信した受信データを前記第1のリストおよび前記第2のリストに含まれる条件で第1の判定を行い、
前記第1の判定でどちらにも該当しない場合に、前記受信データを前記第3のリストに含まれる条件で第2の判定を行う、ことをコンピュータに実行させる。
プログラムは、様々なタイプの非一時的なコンピュータ可読媒体を用いて格納され、コンピュータに供給することができる。
本発明によれば、中継時に適切な処理を行うことが可能となる。
本発明の各実施形態全体の基本的構成を表す図である。 本発明の各実施形態におけるセキュリティスイッチに含まれる機能ブロック図である。 本発明の各実施形態における禁止リストの一例、及び禁止リストに関しての動作設定の一例を表す図である。 本発明の各実施形態における許可リストの一例、及び許可リストに関しての動作設定の一例を表す図である。 本発明の第1の実施形態の登録期間における動作を表すフローチャートである。 本発明の各実施形態における登録期間に受信したフレームの一例を表す図である。 本発明の第1の実施形態の運用期間における動作を表すフローチャートである。 本発明の各実施形態における運用期間に受信したフレームの一例を表す図である。 本発明の第2の実施形態の登録期間における動作を表すフローチャートである。 本発明の第3の実施形態の登録期間における動作を表すフローチャートである。 本発明の第3の実施形態における許可リスト及び廃棄リストの一例、及び廃棄リストに関しての動作設定の一例を表す図である。
まず、本発明の実施形態の概略を説明する。
上述したように、特許文献1に記載の技術等では、問題があると考えられる通信先を特定するIPアドレス等の情報を1つ残らずリスト化するのは非常に困難である。そのため、このような技術のみでは、中継装置においてフレームを破棄する等の適切な対応が充分にできないことも考えられる。
そこで、本発明の実施形態では、問題があると考えられる通信先を特定する情報をリストとする(このようなリストを、以下「禁止リスト」と呼ぶ。)だけではなく、問題の無いと考えられる通信先を特定する情報をリストとし(このようなリストを、以下「許可リスト」と呼ぶ。)、この許可リストに合致するフレームについては転送を許可し、この許可リストに合致しないフレームについては破棄する方法を採用する。
更に、本発明の実施形態では、かかる許可リストの少なくとも一部を自動的に生成する機能も提供する。
具体的には、中継装置に、登録期間と運用期間を設ける。そして、登録期間において中継装置に入力したフレームを許可リストに追加することにより許可リストを自動生成する。このとき、自動生成した許可リストを、ユーザの操作により、手動で追加や削除することを可能としてもよい。
その後、登録期間から運用期間に切り替え、中継装置に入力したフレームと、登録期間で自動生成した許可リストとを比較し、一致したらならばフレームを通過させ、不一致であればフレームを破棄等する。
これにより、許可リストの自動生成及び許可リストによるセキュリティ管理を行うことができる。
ただし、登録期間において、悪意のある者のフレームが入力される可能性があり、この場合、この悪意のある者のフレームも許可リストに追加されてしまう。この状態で、運用状態に切り替えると、悪意のある者のフレームは、通信許可されてしまう。
そこで、本発明の実施形態では、登録期間において、許可リストを生成時に、禁止リストを参照し、禁止リストに合致するフレームを受信したとしても、このフレームは許可リストに追加しないようにする。これにより、禁止リストに合致するような悪意のある者のフレームを通過させてしまうことを防止することができる。
以上が、本発明の実施形態の概略である。
次に、本発明の実施形態について図面を参照して詳細に説明する。ここで、以下では、本発明の実施形態を3つ説明する。
まず、第1の実施形態は、基本的な実施形態であり、上述した本発明の概略のような処理を行う。
次に、第2の実施形態は、登録期間において禁止リストとの比較の回数を減少させるために、フレームを解析する部分が作成中の許可リストとの比較を行い、許可リストと一致しなかったフレームを、禁止リストとの比較の対象とする。
更に、第3の実施形態では、登録期間において禁止リストとの比較の回数をより一層減少させるために、廃棄リストを作成して利用する。
以下では、これら3つの実施形態について順に説明する。
<第1の実施形態>
図1を参照すると本実施形態は、セキュリティスイッチ100、複数の通信端末200、設定用端末300、インターネット400及びファイアウォール500を含む。
ここで、セキュリティスイッチ100は、通信端末200間の通信や、通信端末200によるファイアウォール500及びインターネット400を介した通信を中継するためのセキュリティスイッチである。
この点、本実施形態では、図示しているようにセキュリティスイッチ200とインターネット400との間にファイアウォール500を設けている。そして、このファイアウォール500に対してユーザのポリシーに従った設定を行うことにより、インターネット400からの、ウイルス等の悪意のあるデータの流入や、意図しないデータのインターネット400への流出を防止することができる。
しかしながら、ファイアウォール500は、インターネット400に存在する機器との間の通信において機能するが、各通信端末200間の通信については機能しない。そこで、本実施形態では、各通信端末200間での不適切な通信を防止するために、単なる中継装置ではなくセキュリティ機能を搭載したセキュリティスイッチ100を接続する。
そして、セキュリティスイッチ100は、上述している許可リストや禁止リストを利用した処理を行うことにより、悪意のあるフレームを転送しないようにする。セキュリティスイッチ100には複数の接続用のポートが設けられ、かかるポートに各通信端末200やファイアウォール500が接続される。
複数の通信端末200は、それぞれが通信機能を有する端末である。通信端末200は、セキュリティスイッチ100を介して他の通信端末200との間で通信を行う。かかる通信は、例えば、IP(Internet Protocol)や、TCP(Transmission Control Protocol)や、FTP(File Transfer Protocol)といった一般的なプロトコルに準拠して実行される。なお、実際にやり取りされるデータの内容、すなわち、ペイロード部分に含まれる内容がどのような内容であるのか等については、特に制限は無い。
また、例えば一部の通信端末200が、インターネット400に存在する端末と通信を行う機能を有していても良い。更に、通信端末200は、ユーザが直接操作するような端末で実現しても良いが、工場やプラントに設置されている、工作機器、センサ及びカメラといった機器で実現しても良い。また、工作機械を制御するPLC(Programmable Logic Controller)等の機器であっても良い。
設定用端末300は、セキュリティスイッチ100についての設定を行うための端末である。設定用端末300は、本実施形態を管理する管理者等により用いられる。設定用端末300は、セキュリティスイッチ100を設定するための専用の端末で実現しても良いが、セキュリティスイッチ100を設定するためのソフトウェア等を追加した、パーソナルコンピュータ等の汎用の端末で実現しても良い。
インターネット400は、通信端末200等が外部と通信を行うためにファイアウォール500を介してセキュリティスイッチ100に接続されている。
ファイアウォール500は、インターネット400との間で送受信するデータを監視し、悪意があると考えられるデータを廃棄する機能を有する。
次に、図2を参照して、セキュリティスイッチ100に含まれる機能ブロックについて説明をする。図2を参照すると、セキュリティスイッチ100は、フレーム解析部110、許可リスト生成部120、禁止リスト記憶部130及び許可リスト記憶部140を含む。
フレーム解析部110は、セキュリティスイッチ100が外部から入力フレームを受信する度に、受信した入力フレームを解析する。ここで、解析とは、受信した入力フレームから所定の情報(以下、「フレーム情報」と呼ぶ。)を抽出することである。
フレーム情報は、例えば、通信に用いる各プロトコルにより、記述することが定められている所定の情報である。具体例としては、受信ポートの番号、レイヤ2(MACヘッダ)情報、フレームのタイプにより、レイヤ3(IPヘッダ)情報以上の上位レイヤの必要な情報である。本実施形態では、このような汎用のプロトコルに準拠したフレーム情報を利用することにより、ペイロード部分に特殊な情報等を埋め込む等の処理を不要とすることができる。
また、本実施形態では、フレーム情報や各リストにおいて、これらの情報全てを用いるようにしても良いが、一部の情報の組み合わせを用いるようにしても良い。例えば、レイヤ2(MACヘッダ)情報のみを用いたり、レイヤ2(MACヘッダ)情報とレイヤ3(IPヘッダ)情報の組み合わせを用いたりするようにしても良い。
また、例えば、仮にレイヤ2(MACヘッダ)情報を用いるとするならば、全てのレイヤ2(MACヘッダ)情報を用いても良いが、その一部である、宛先アドレス(MAC-DA(Destination address))や、宛先アドレス(MAC-SA(Source address))を用いるようにしても良いし、これらの組み合わせを用いるようにしても良い。
フレーム解析部110には、設定用端末300により「登録期間設定」と「動作設定」の2つの設定がなされる。
ここで、本実施形態では、上述したように登録期間と運用期間の2つがあるが、登録期間設定により、登録期間と運用期間を切り換える設定が行われる。また、一度登録期間に設定されてから所定時間が経過すると、自動的に運用期間に遷移するようにする。かかる所定時間の長さは、環境に応じて任意に設定することができる。例えば、通信端末200間で送受信されるフレームの内容が限定されているような環境下において、1時間あれば、限定されているフレームが全て送受信されるような場合であれば、上記の所定時間を1時間とすると良い。これが、限定されているフレームが全て送受信されるのに一週間を要するような場合であれば、上記の所定時間を一週間とすると良い。
また、動作設定では、受信した入力フレームのフレーム情報が、各リストと一致した場合と、各リストと一致しなかった場合とで、それぞれどのような動作を行うのかが設定される。例えば、禁止リストに一致しなかった場合や、許可リストに一致した場合には、対応するフレームを通過させるように設定できる。また、禁止リストに一致した場合や、許可リストに一致しなかった場合には、対応するフレームを廃棄させるように設定できる。また、ここで、通過とは、受信した入力フレームを、フレーム解析部110を通過させて出力することにより、フレームを、フレーム内の宛先アドレスに対応する宛先に転送するということである。
また、これのみならず、各リストと一致した場合や、しなかった場合に、その旨の通知を行うか否かを設定することもできる。通知内容は、各リストと一致した旨や、一致しなかった旨のみでも良いが、フレーム情報に対応するフレームを複製して、この複製したフレームを通知に含めるようにしても良い。そして、例えば設定用端末300により仮想的な通信システムを作成し、かかる仮想的な通信システムにおいてフレームの複製を通信させることにより、悪意の有るフレームの影響を知ることができるようにしても良い。
通知先は、例えば、設定用端末300であっても良いが、他のサーバ装置等であっても良い。また、通知に代えて又は通知と共に、セキュリティスイッチ100内部にてフレーム情報に対応するフレームを記録するようにしても良い。本実施形態を管理する管理者等は、かかる通知の内容や、セキュリティスイッチ100に記録された内容を、ログとして参照することにより、本実施形態での通信状況を把握することができる。
なお、登録期間において禁止リストに一致しないフレームは、運用期間において通過リストに一致するフレームとなるので、禁止リストに一致しないフレームと通過リストに一致するフレームについては同じ内容の動作設定とすることが考えられる。もっとも、異なる内容の動作設定としても良い。例えば、登録期間において禁止リストに一致しないフレームについては通過させると共に、通知も行うようにし、運用期間において通過リストに一致するフレームについては、通過はさせるが、通知は行なわないようにしても良い。
また、フレーム解析部110は、入力フレーム受信時、登録期間であった場合、フレーム情報を受信した入力フレームから抽出し、後述の許可リスト生成部120に渡す。
そして、許可リスト生成部120の処理完了後、渡したフレーム情報が禁止リストと一致したならば、対応する動作設定の指示に従い動作する。例えば設定が「廃棄、通知する」であれば、フレームを廃棄し、廃棄したことを設定用端末300に対して通知する。
一方で、渡したフレーム情報が禁止リストと一致しないならば、対応する動作設定の指示に従い動作する。例えば設定が「通過、通知しない」であれば、フレームにフレーム解析部110を通過させることによりフレームを出力する。ただし、通知はしない。
更に、入力フレーム受信時、運用期間であった場合、フレーム情報を受信した入力フレームから抽出する。そして、抽出したフレーム情報と、許可リスト記憶部140が記憶している許可リストを比較する。
比較の結果、フレーム情報が許可リストと一致したならば、対応する動作設定の設定に従い動作する。例えば設定が「通過、通知しない」であれば、フレームにフレーム解析部110を通過させることによりフレームを出力する。ただし、通知はしない。
一方で、比較の結果、フレーム情報が許可リストと一致しないのであれば、対応する動作設定の設定に従い動作する。例えば設定が「廃棄、通知する」であれば、フレームを廃棄すると共に、廃棄したことを設定用端末300に対して通知する。
許可リスト生成部120は、登録期間において許可リスト記憶部140が記憶する許可リストを生成する部分である。許可リスト生成部120が生成した許可リストには、当初はフレーム情報が含まれていないが、許可リスト生成部120は、以下のような動作を行うことにより、許可リストにフレーム情報を追加して、許可リストを更新する。
まず、許可リスト生成部120は、登録期間においてフレーム解析部110からフレーム情報を受信する。
そして、許可リスト生成部120は、受信したフレーム情報と禁止リスト記憶部130に記憶されている禁止リストを比較する。比較の結果、一致すれば、一致したことを許可リスト生成部120に通知すると共に、このフレーム情報については処理を完了する。
一方で、比較の結果、一致しないのであれば、受信したフレーム情報を許可リストに追加することにより許可リストを更新し、許可リスト記憶部140に記憶させる。なお、許可リスト生成部120は、記憶させる前に許可リスト記憶部140を参照し、一度許可リストに追加したフレーム情報と同一のフレーム情報を再度受け取ったことが分かった場合には、この再度受け取ったフレーム情報を許可リストに新たに追加することはしない。これにより、同じフレーム情報が許可リストに重複して追加されることを防止できる。また、比較の結果一致しない場合には、更に、一致しなかったことを許可リスト生成部120に通知すると共に、このフレーム情報については処理を完了する。
その後、所定時間が経過して、又は、設定用端末300からの操作にて、運用期間に遷移したならば、許可リスト生成部120は特段の処理を行う必要はない。
禁止リスト記憶部130は、禁止リストを記憶する記憶部である。禁止リスト記憶部130が記憶する禁止リストは、許可リスト生成部120に参照されて利用される。
禁止リストの内容は、設定用端末300からの「禁止リスト設定」にて設定される。禁止リストは、許可リスト生成対象外とするフレーム情報のリストであり、例えば、フレーム解析部110を通過させるには適当でないフレームのフレーム情報が設定される。具体的には、各通信端末200において利用されることのないプロトコルのフレームを特定するためのフレーム情報や、各通信端末200において利用されることのない宛先や送信元を表すアドレスを含んだフレームを特定するためのフレーム情報が禁止リストに含まれる。
禁止リスト記憶部130が記憶する禁止リストの一例を、図3-1の上段に表1-1として示す。具体的には、項番1は、受信した入力フレームが、IPv6フレーム(type)であった場合に一致する例である。項番2は、受信した入力フレームが、IPv4(type)且つ、TCP(プロトコル)且つ、FTP(20-21)のフレームであった場合に一致する例である。このような情報は、上述のように設定用端末300から入力される。かかる入力はユーザの操作に基づくものであっても良く、他にも、例えばIPレピュテーションにおけるスコアが悪いIPアドレスが入力されるようにしても良い。また、他にも例えばウイルス対策ソフト等の既存のソフトの情報に基づいて禁止リストを作成するようにしても良い。
また、フレーム解析部110に設定された禁止リストについての動作設定の一例を、図3-1の下段に表1-2として示す。具体的には、フレーム情報が、禁止リストに「一致した場合」には、このフレーム情報と対応するフレームを「廃棄」すると共に、通知を「する」ように設定されている。また、フレーム情報が、禁止リストに「一致しなかった場合」には、このフレーム情報と対応するフレームを「通過」させると共に、通知を「しない」ように設定されている。
許可リスト記憶部140は、許可リストを記憶する記憶部である。許可リスト記憶部140が記憶する許可リストは、登録期間において許可リスト生成部120により生成される。そして、許可リスト記憶部140が記憶する許可リストは、運用期間においてフレーム解析部110に参照されて利用される。
許可リストは、例えば、フレーム解析部110を通過させるフレームのフレーム情報が設定される。具体的には、各通信端末200において利用されるプロトコルのフレームを特定するためのフレーム情報や、各通信端末200において利用される宛先や送信元を表すアドレスを含んだフレームを特定するためのフレーム情報が許可リストに含まれる。
なお、許可リストは、上述したように、登録期間において、許可リスト生成部120により生成される。これに加えて、設定用端末300からの「許可リスト設定」にて許可リストが修正されるようにしても良い。例えば、設定用端末300を利用する管理者が許可リストの一部を削除したり、新たなフレーム情報を許可リストに追加したりできるようにしても良い。このようにすれば、例えば通信端末200を新たに追加するような場合に、再度登録期間を得なくとも、新たに追加する通信端末200に関連するフレームを通過させることが可能となる。また、他にも、例えば既存の通信端末200を一部取り外した場合に、再度登録期間を得なくとも、取り外した通信端末200に関連するフレーム情報を許可リストから削除することができる。
なお今回、禁止リストや許可リストを構成する要素を、装置、レイヤ2、レイヤ3、及びレイヤ4としているが、上述したようにこれらの全てを必ず要素として含む必要はなく、その一部を組み合わせたり、他の要素を追加したりしても良い。
許可リスト記憶部140が記憶する許可リストの一例を、図3-2の上段に表2-1として示す。本例では、2つのフレーム情報が許可リストに含まれている。これら、2つのフレーム情報は、登録期間に受信したフレームのフレーム情報であって、且つ、禁止リストと一致しなかったフレーム情報である。このような通過リストの生成方法は、フローチャートを参照して後述する。
また、フレーム解析部110に設定された許可リストについての動作設定の一例を、図3-2の下段に表2-2として示す。具体的には、フレーム情報が、許可リストに「一致した場合」には、このフレーム情報と対応するフレームを「通過」させると共に、通知を「しない」ように設定されている。また、フレーム情報が、許可リストに「一致しなかった場合」には、このフレーム情報と対応するフレームを「廃棄」すると共に、通知を「する」ように設定されている。
次に、図4のフローチャートを参照して、登録期間における本実施形態の動作について説明をする。
セキュリティスイッチ100は、まずフレーム解析部110が登録期間に設定されているか否かを判定する(ステップS1)。ここで、登録期間に設定されているならば(ステップS1においてYes)、ステップS2に進む。一方で、登録期間に設定されていないならば(ステップS1においてNo)、すなわち、運用期間に設定されているのであれば、図6のステップS11に進む。
ステップS2では、フレーム解析部110が受信したフレームを解析し、フレーム情報を抽出する。そして、抽出したフレーム情報を、許可リスト生成部120に渡す(ステップS2)。登録期間において受信したフレームから抽出したフレーム情報の例を図5に表0として示す。今回、受信した入力フレームのフレーム情報が表0の順に6フレーム分許可リスト生成部120に渡されるとする。
次に、許可リスト生成部120は、渡されたフレーム情報と、禁止リスト記憶部130が記憶する禁止リストを比較し、両者が一致するか否かを判定する(ステップS3)。
ここで、例えば、表0における、入力順番号1のフレームのフレーム情報や入力順番号2のフレームのフレーム情報が判定の対象であったとする。この場合、これらのフレーム情報は、表1-1における、禁止リスト記憶部130に記憶された禁止リストの項番1や項番2とは一致しない(ステップS3においてNo)。この場合にはステップS4に進む。
ステップS4では、ステップS3において禁止リストと一致しないと判定された入力順番号1のフレームのフレーム情報や入力順番号2のフレームのフレーム情報が、許可リスト生成部120によって許可リストに追加され、許可リスト記憶部140が記憶する許可リストが更新される(ステップS4)。
次に、許可リスト生成部120は、表0における、入力順番号1のフレームのフレーム情報や入力順番号2のフレームのフレーム情報は禁止リストと一致しなかった旨をフレーム解析部110に対して通知する(ステップS5)。
かかる通知を受けたフレーム解析部110は、禁止リストと一致しなかったフレーム情報に対応する、入力順番号1のフレームや、入力順番号2のフレームに対して、禁止リストと一致しない場合の動作設定の指示に従い処理をする(ステップS6)。例えば設定が「通過、通知しない」であれば、フレームにフレーム解析部110を通過させることによりフレームを出力する。ただし、通知はしない。
次に、ステップS9において、登録期間となってから所定時間が経過しているかを確認する。ここで、経過しているのであれば(ステップS9においてYes)、図6のステップS11に進む。
一方で、経過していないのであれば(ステップS9においてNo)、ステップS2に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。
他方、ステップS3において、フレーム情報が禁止リストと一致した場合は(ステップS3においてYes)、ステップS7に進む。
例えば、表0における、入力順番号3のフレームのフレーム情報や入力順番号4のフレームのフレーム情報が判定の対象であったとする。この場合、これらのフレーム情報は、表1-1における、禁止リスト記憶部130に記憶された禁止リストの項番1と一致する(ステップS3においてYes)。そのため、ステップS7に進む。
他にも、例えば、表0における、入力順番号5のフレームのフレーム情報や入力順番号6のフレームのフレーム情報が判定の対象であったとする。この場合、これらのフレーム情報は、表1-1における、禁止リスト記憶部130に記憶された禁止リストの項番2と一致する(ステップS3においてYes)。そのため、ステップS7に進む。
次に、許可リスト生成部120は、表0における、入力順番号3のフレームのフレーム情報、入力順番号4のフレームのフレーム情報、入力順番号5のフレームのフレーム情報、及び入力順番号6のフレームのフレーム情報は禁止リストと一致した旨をフレーム解析部110に対して通知する(ステップS7)。
かかる通知を受けたフレーム解析部110は、禁止リストと一致したフレーム情報に対応する、入力順番号3のフレーム、入力順番号4のフレーム、入力順番号5のフレーム、及び入力順番号6のフレームに対して、禁止リストと一致した場合の動作設定の指示に従い処理をする(ステップS8)。例えば設定が「廃棄、通知する」であれば、フレームを廃棄し、廃棄したことを設定用端末300に対して通知する。
次に、ステップS9において、登録期間となってから所定時間が経過しているかを確認する。ここで、経過しているのであれば(ステップS9においてYes)、図6のステップS11に進む。
一方で、経過していないのであれば(ステップS9においてNo)、ステップS2に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。
上述した動作により、本実施形態では、登録期間開始から所定時間が経過するまでの間、許可リストを生成及び更新できると共に、禁止リストと一致するフレーム情報を有するフレームはフレーム解析部110で廃棄し、禁止リストと一致しないフレーム情報を有するフレームはフレーム解析部110を通過させることが可能となる。
次に、このようにして生成及び更新した許可リストを、運用期間において利用する際の動作について、図6を参照して説明をする。
まず、運用期間においてセキュリティスイッチ100が入力フレームを受信すると、フレーム解析部110は受信した入力フレームを解析することにより、フレーム情報を抽出する(ステップS11)。ここで、運用期間において受信したフレームから抽出したフレーム情報の例を図7に表3として示す。今回、受信した入力フレームのフレーム情報が表3の順に6フレーム分抽出されたとする。なお、表3のフレーム情報と、表0のフレーム情報は同一のものである。つまり、今回は、登録期間と運用期間とで同じフレームを同じ順番で受け取ったものと想定している。しかしながら、これは単に説明の便宜のためであり、実際には登録期間と運用期間とでは、異なるフレームが異なる順番で受け取ることになる場合もあり得る。
次に、フレーム解析部110は抽出したフレーム情報と許可リスト記憶部140が記憶する許可リストを比較し、両者が一致するか否かを判定する(ステップS12)。
ここで、例えば、表3における、入力順番号1のフレームのフレーム情報が判定の対象であったとする。この場合、表2-1における、許可リスト記憶部140に記憶された許可リストの項番1と一致する(ステップS12においてYes)。また、例えば、表3における、入力順番号2のフレームのフレーム情報が判定の対象であったとする。この場合、表2-1における、許可リスト記憶部140に記憶された許可リストの項番2と一致する(ステップS12においてYes)。
そのため、これらの場合にはステップS13に進む。
ステップS13において、フレーム解析部110は、許可リストと一致したフレーム情報に対応する、入力順番号1のフレームや、入力順番号2のフレームに対して、許可リストと一致した場合の動作設定の指示に従い処理をする(ステップS13)。例えば設定が「通過、通知しない」であれば、フレームにフレーム解析部110を通過させることによりフレームを出力する。ただし、通知はしない。
ステップS13の処理が終了すると、ステップS11に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。
他方、ステップS12において、フレーム情報が許可リストと一致しなかった場合は(ステップS12においてNo)、ステップS14に進む。
例えば、表3における、入力順番号3のフレームのフレーム情報、入力順番号4のフレームのフレーム情報、入力順番号5のフレームのフレーム情報、及び入力順番号6のフレームのフレーム情報が判定の対象であったとする。この場合、これらのフレーム情報は、表2-1における、許可リスト記憶部140に記憶された許可リストの項番1及び項番2の何れとも一致しない(ステップS12においてNo)。そのため、ステップS14に進む。
ステップS14において、フレーム解析部110は、許可リストと一致しなかったフレーム情報に対応する、入力順番号3のフレーム、入力順番号4のフレーム、入力順番号5のフレーム、及び入力順番号6のフレームに対して、許可リストと一致しなかった場合の動作設定の指示に従い処理をする(ステップS14)。例えば設定が「廃棄、通知する」であれば、フレームを廃棄し、廃棄したことを設定用端末300に対して通知する。
ステップS14の処理が終了すると、ステップS11に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。
上述した動作により、本実施形態では、運用期間において、許可リストと一致するフレーム情報を有するフレームはフレーム解析部110で通過させ、許可リストと一致しないフレーム情報を有するフレームはフレーム解析部110にて廃棄させることが可能となる。
<実施形態2>
次に、第2の実施形態について説明する。上述の第1の実施形態では、登録期間において入力フレームを受信したフレーム解析部110は、全ての入力フレームについてフレーム情報を抽出し、この全ての入力フレームの全てのフレーム情報を、許可リスト生成部120に渡していた(ステップS2)。つまり、許可リスト生成部120は、全ての入力フレームの全てのフレーム情報を、禁止リストと比較していた(ステップS3)。
しかしながら、禁止リストに多くの項番の多くのフレーム情報が含まれている場合には、これら全てのフレームを情報との比較を行う必要があることから、許可リスト生成部120による処理に時間を要してしまう可能性がある。そこで、本実施形態では、登録期間において禁止リストとの比較の回数を減少させるために、まずフレーム解析部110が、入力フレームから抽出したフレーム情報と、作成中の許可リストとの比較を行い、許可リストと一致しなかったフレームのみを、許可リスト生成部120に渡して禁止リストとの比較の対象とする。
これにより、全ての入力フレームの全てのフレーム情報を、禁止リストと比較する必要が無くなり、状況によっては、全体の処理を高速化することが可能となる。特に、禁止リストに多くの項番の多くのフレーム情報が含まれているような場合に効果を奏する。
この点、本実施形態の全体の構成及びセキュリティスイッチ100の構成は第1の実施形態と同一なので説明を省略する。一方で、本実施形態は、登録期間におけるフレーム解析部110の動作について、第1の実施形態と相違するのでこの点について以下説明をする。
図8に本実施形態の動作を示す。ここで、図4を参照して説明した第1の実施形態と同様の動作を行うステップについては、図4と同じ符号を付すと共に、説明を省略する。
ステップS1においてYesである場合、つまり登録期間である場合、ステップS2ではなく、ステップS21に進む。ここで、ステップS21では、ステップS2同様にフレーム解析部110は受信した入力フレームを解析して、フレーム情報を抽出する(ステップS21)。ここで、ステップS2では、抽出したフレーム情報を全て許可リスト生成部120に渡していたが、本実施形態では、この段階ではフレーム情報を許可リスト生成部120には渡さない。
次に、ステップS22において、フレーム解析部110は、ステップS21で抽出したフレーム情報と、許可リスト記憶部140に記憶されている作成中の許可リストとを比較する(ステップS22)。ここで、作成中の未完成の許可リストには、図3-2の表2-1の情報の内、許可リストの項番1の項目の情報は既に許可リストに登録されているものとする。一方で、許可リストの項番2以降の項番の項目の情報は未だ未登録状態であるとする。
ここで、例えば、表0における、入力順番号1のフレームのフレーム情報が判定の対象であったとする。この場合、許可リスト記憶部140に記憶された上述の未完成の許可リストの項番1と一致する(ステップS22においてYes)。
そのため、この場合にはステップS24に進む。
ステップS24において、フレーム解析部110は、許可リストと一致したフレーム情報に対応する、入力順番号1のフレームに対して、許可リストと一致した場合の動作設定の指示に従い処理をする(ステップS24)。例えば設定が、「通過、通知しない」であれば、フレームにフレーム解析部110を通過させることによりフレームを出力する。ただし、通知はしない。
ステップS24の処理が終了すると、ステップS21に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。
他方、ステップS22において、フレーム情報が許可リストと一致しなかった場合は(ステップS22においてNo)、ステップS23に進む。
例えば、表3における、入力番号順2のフレーム情報、入力順番号3のフレームのフレーム情報、入力順番号4のフレームのフレーム情報、入力順番号5のフレームのフレーム情報、及び入力順番号6のフレームのフレーム情報が判定の対象であったとする。この場合、これらのフレーム情報は、表2-1における、許可リスト記憶部140に記憶された上述の未完成の許可リストの項番1及び項番2の何れとも一致しない(ステップS22においてNo)。そのため、ステップS23に進む。
ここで、図3-2の表2-2に示されるように、許可リストの動作設定では、許可リストとフレーム情報が一致しない場合は、「廃棄、通知しない」となっている。この点、本実施形態において運用期間においては、表2-2に記載のように、許可リストとフレーム情報が一致しない場合は、「廃棄、通知しない」とする。一方で、登録期間において、すなわち、ステップS22においてNoであってステップS23に進んだ場合には、フレーム解析部110は、「許可リスト生成部120の通知待ち、通知しない」というように動作する。つまり、許可リスト生成部120から、禁止リストと一致するか否かの通知を受けるまで、対応フレームに対して処理を行なわないようにする。そして、かかる通知を受けるために、ステップS23において、フレーム解析部110は、許可リストと一致しなかったフレーム情報を許可リスト生成部120に渡す。
例えば、フレーム解析部110は、入力番号順2のフレーム情報、入力順番号3のフレームのフレーム情報、入力順番号4のフレームのフレーム情報、入力順番号5のフレームのフレーム情報、及び入力順番号6のフレームのフレーム情報を許可リスト生成部120に渡す。
そして、フレーム情報を渡された許可リスト生成部120は、第1の実施形態同様にステップS3以降の処理を実行する。
次に、許可リスト生成部120は、渡されたフレーム情報と、禁止リスト記憶部130が記憶する禁止リストを比較し、両者が一致するか否かを判定する(ステップS3)。
ここで、例えば、表0における、入力順番号2のフレームのフレーム情報が判定の対象であったとする。この場合、これらのフレーム情報は、表1-1における、禁止リスト記憶部130に記憶された禁止リストの項番1や項番2とは一致しない(ステップS3においてNo)。この場合にはステップS4に進む。
ステップS4では、ステップS3において禁止リストと一致しないと判定された、入力順番号2のフレームのフレーム情報が、許可リスト生成部120によって許可リストに追加され、許可リスト記憶部140が記憶する許可リストが更新される(ステップS4)。これにより、入力順番号2のフレームのフレーム情報が、図3-2の許可リスト項番2の項目に追加される。
次に、許可リスト生成部120は、表0における、入力順番号2のフレームのフレーム情報は禁止リストと一致しなかった旨をフレーム解析部110に対して通知する(ステップS5)。
上述したようにステップS23において、入力順番号2のフレームについて許可リスト生成部120の通知待ちをしていたフレーム解析部110は、かかる通知を受けると、禁止リストと一致しなかったフレーム情報に対応する、入力順番号2のフレームに対して、禁止リストと一致しない場合の動作設定の指示に従い処理をする(ステップS6)。例えば設定が「通過、通知しない」であれば、フレームにフレーム解析部110を通過させることによりフレームを出力する。ただし、通知はしない。
次に、ステップS9において、登録期間となってから所定時間が経過しているかを確認する。ここで、経過しているのであれば(ステップS9においてYes)、図6のステップS11に進む。
一方で、経過していないのであれば(ステップS9においてNo)、ステップS2に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。
他方、ステップS3において、フレーム情報が禁止リストと一致した場合は(ステップS3においてYes)、ステップS7に進む。
例えば、表0における、入力順番号3のフレームのフレーム情報や入力順番号4のフレームのフレーム情報が判定の対象であったとする。この場合、これらのフレーム情報は、表1-1における、禁止リスト記憶部130に記憶された禁止リストの項番1と一致する(ステップS3においてYes)。そのため、ステップS7に進む。
他にも、例えば、表0における、入力順番号5のフレームのフレーム情報や入力順番号6のフレームのフレーム情報が判定の対象であったとする。この場合、これらのフレーム情報は、表1-1における、禁止リスト記憶部130に記憶された禁止リストの項番2と一致する(ステップS3においてYes)。そのため、ステップS7に進む。
次に、許可リスト生成部120は、表0における、入力順番号3のフレームのフレーム情報、入力順番号4のフレームのフレーム情報、入力順番号5のフレームのフレーム情報、及び入力順番号6のフレームのフレーム情報は禁止リストと一致した旨をフレーム解析部110に対して通知する(ステップS7)。
上述したようにステップS23において、入力順番号3のフレームのフレーム情報、入力順番号4のフレームのフレーム情報、入力順番号5のフレームのフレーム情報、及び入力順番号6のフレームのフレーム情報について許可リスト生成部120の通知待ちをしていたフレーム解析部110は、かかる通知を受けると、禁止リストと一致したフレーム情報に対応する、入力順番号3のフレーム、入力順番号4のフレーム、入力順番号5のフレーム、及び入力順番号6のフレームに対して、禁止リストと一致した場合の動作設定の指示に従い処理をする(ステップS8)。例えば設定が「廃棄、通知する」であれば、フレームを廃棄し、廃棄したことを設定用端末300に対して通知する。
次に、ステップS9において、登録期間となってから所定時間が経過しているかを確認する。ここで、経過しているのであれば(ステップS9においてYes)、図6のステップS11に進む。
一方で、経過していないのであれば(ステップS9においてNo)、ステップS2に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。
上述した動作により、本実施形態では、登録期間において禁止リストとの比較の回数を減少させるために、まずフレーム解析部110が、入力フレームから抽出したフレーム情報と、作成中の許可リストとの比較を行い、許可リストと一致しなかったフレームのみを、許可リスト生成部120に渡して禁止リストとの比較の対象とする。
これにより、全ての入力フレームの全てのフレーム情報を、禁止リストと比較する必要が無くなり、状況によっては、全体の処理を高速化することが可能となる。
<第3の実施形態>
上述の第2の実施形態では、登録期間において、フレーム解析部110が、抽出したフレーム情報と許可リストを比較することにより、許可リスト生成部120による禁止リストとの比較の回数を減少させるようにしていた。そして、第3の実施形態では、登録期間において禁止リストとの比較の回数を第2の実施形態よりも一層減少させるために、許可リストに、更に廃棄リストを含ませる。
これにより、全ての入力フレームの全てのフレーム情報を、禁止リストと比較する必要が無くなり、状況によっては、全体の処理を高速化することが可能となる。特に、禁止リストに多くの項番の多くのフレーム情報が含まれているような場合に効果を奏する。
この点、本実施形態の全体の構成及びセキュリティスイッチ100の構成は第1の実施形態や第2の実施形態と同一なので説明を省略する。一方で、本実施形態は、登録期間におけるフレーム解析部110及び許可リスト生成部120の動作について、第1の実施形態や第2の実施形態と相違するのでこの点について以下説明をする。
図9に本実施形態の動作を示す。ここで、図4を参照して説明した第1の実施形態や図8を参照して説明した第2の実施形態と同様の動作を行うステップについては、図4や図8と同じ符号を付すと共に、説明を省略する。
図9に示すように、本実施形態では、許可リスト生成部120が、フレーム解析部110に渡されたフレーム情報と、禁止リスト記憶部130に記憶されている禁止リストとを比較して、禁止リストと一致していた場合に(ステップS3においてYes)、ステップS33を行ってからステップS7に遷移する。
ステップS33では、禁止リストと一致したフレーム情報を、許可リスト記憶部140に記憶する。この点、本実施形態では、ステップS4にて記憶させるフレーム情報と、ステップS33にて記憶させるフレーム情報とを区別する。
この点について、図10を参照して説明する。第1の実施形態及び第2の実施形態では、図3-2の表2-1のように、ステップS4にて記憶させるフレーム情報を許可リストとしていた。そして、許可リストと一致するフレーム情報に対応するフレームについては、通過をさせていた。
一方で、本実施形態では、図10上段の表4-1のように、許可リスト記憶部140に記憶させるリストに種別を設けることにより、ステップS4にて記憶させるフレーム情報と、ステップS33にて記憶させるフレーム情報との区別を実現する。具体的には、種別という項目を設け、「許可リスト」と「廃棄リスト」とを識別する。ここで、表4-1として示すのは最終的に完成したリストであるが、以下ではリストの作成過程についての説明も行う必要があることから、以下ではリストは未完成であるものとする。具体的には、未完成のリストには図10の表4-1の情報の内、許可リストの項番1、項番3、項番4及び項番5のそれぞれの項目の情報が既に許可リストに登録されているものとする。一方で、許可リストの項番2及び項番6の項番の項目の情報は未だ未登録状態であるとする。なお、この場合例えば、最終的に項番3として登録される情報は、未完成のリストでは項番2として登録されている。つまり、項番は登録状況に応じて流動的に変化する。しかしながら、同じ情報を異なる項番で呼ぶと説明が不明確になるので、以下では各情報を表4-1のように最終的に完成したリストでの項番で呼ぶものとする。
ここで、ステップS4にて記憶させるフレーム情報は種別を許可リストとする。そして、これを図3-2の表2-2に記載の許可リストと同等に扱う。
一方で、ステップS33にて記憶させるフレーム情報は種別を廃棄リストとする。そして、図10下段の表4-2に示すように、廃棄リストと一致するフレーム情報に対応するフレームは、フレーム解析部110において「廃棄」するようにし、その旨を通知「する」ようにする。
廃棄リストと一致しないフレーム情報に対応するフレームは、「許可リスト生成部120の通知待ち」するようにし、その旨を通知「しない」ようにする。
これらの処理を行うために、フレーム解析部110は、ステップS22のように、抽出したフレーム情報と、許可リストを比較するのみならず、抽出したフレーム情報と、廃棄リストも比較する(ステップS31)。何れにも一致しなければ、ステップS22においてNoであってステップS23に進んだ場合と同様に、フレーム解析部110は、「許可リスト生成部120の通知待ち、通知しない」というように動作する。つまり、許可リスト生成部120から、禁止リストと一致するか否かの通知を受けるまで、対応フレームに対して処理を行なわないようにする。そして、かかる通知を受けるために、ステップS22と同様にステップS23に進み、フレーム情報を許可リスト生成部120に渡す。
このように本実施形態では、ステップS31において許可リストのみならず、廃棄リストとも比較をすることから、許可リストとのみ比較をするステップS22に比べて、一致するフレーム情報が可能性は高くなる。
そして、許可リスト又は廃棄リストの何れかのリストに一致(ステップS31においてYes)したならば、フレーム解析部110は、一致したリストに対応する動作設定の指示に従い処理をする(ステップS32)。
例えば、入力順番号1のフレームに対応するフレーム情報は、上述した未完成の許可リストに一致するので、許可リストと一致した場合の動作設定の指示に従い処理をする(ステップS32)。例えば設定が「通過、通知しない」であれば、フレームにフレーム解析部110を通過させることによりフレームを出力する。ただし、通知はしない。
一方で、入力順番号3のフレームのフレーム情報、入力順番号4のフレームのフレーム情報、及び入力順番号5のフレームのフレーム情報のフレームのフレーム情報は、上述した未完成の廃棄リストに一致するので、廃棄リストと一致した場合の動作設定の指示に従い処理をする(ステップS32)。例えば設定が「廃棄、通知する」であれば、フレームを廃棄し、廃棄したことを設定用端末300に対して通知する。なお、廃棄リストと一致した場合の動作設定は、許可リストに一致した場合の動作設定と同様に、設定用端末300等から設定される。
他方、ステップS31において、フレーム情報が許可リスト及び廃棄リストの何れとも一致しなかった場合は(ステップS31においてNo)、ステップS23に進む。
例えば、表3における、入力番号順2のフレーム情報、及び入力順番号6のフレームのフレーム情報が判定の対象であったとする。この場合、これらのフレーム情報は、許可リスト記憶部140に記憶された上述した未完成の許可リスト及び上述した未完成の廃棄リストの項番1、項番3、項番4項番5の何れとも一致しない(ステップS22においてNo)。そのため、ステップS23に進む。
ここで、図3-2の表2-2に示されるように、許可リストの動作設定では、許可リストとフレーム情報が一致しない場合は、「廃棄、通知しない」となっている。この点、本実施形態において運用期間においては、表2-2に記載のように、許可リストや廃棄リストとフレーム情報が一致しない場合は、「廃棄、通知しない」とする。一方で、登録期間において、すなわち、ステップS22においてNoであってステップS23に進んだ場合には、フレーム解析部110は、「許可リスト生成部120の通知待ち、通知しない」というように動作する。つまり、許可リスト生成部120から、禁止リストと一致するか否かの通知を受けるまで、対応フレームに対して処理を行なわないようにする。そして、かかる通知を受けるために、ステップS23において、フレーム解析部110は、許可リストと一致しなかったフレーム情報を許可リスト生成部120に渡す。
例えば、フレーム解析部110は、入力番号順2のフレーム情報、及び入力順番号6のフレームのフレーム情報を許可リスト生成部120に渡す。
そして、フレーム情報を渡された許可リスト生成部120は、第1の実施形態同様にステップS3以降の処理を実行する。
次に、許可リスト生成部120は、渡されたフレーム情報と、禁止リスト記憶部130が記憶する禁止リストを比較し、両者が一致するか否かを判定する(ステップS3)。
ここで、例えば、表0における、入力順番号2のフレームのフレーム情報が判定の対象であったとする。この場合、これらのフレーム情報は、表1-1における、禁止リスト記憶部130に記憶された禁止リストの項番1や項番2とは一致しない(ステップS3においてNo)。この場合にはステップS4に進む。
ステップS4では、ステップS3において禁止リストと一致しないと判定された、入力順番号2のフレームのフレーム情報が、許可リスト生成部120によって許可リストに追加され、許可リスト記憶部140が記憶する許可リストが更新される(ステップS4)。これにより、入力順番号2のフレームのフレーム情報が、図10のリストの項番2の項目に種別「許可リスト」として追加される。
次に、許可リスト生成部120は、表0における、入力順番号2のフレームのフレーム情報は禁止リストと一致しなかった旨をフレーム解析部110に対して通知する(ステップS5)。
上述したようにステップS23において、入力順番号2のフレームについて許可リスト生成部120の通知待ちをしていたフレーム解析部110は、かかる通知を受けると、禁止リストと一致しなかったフレーム情報に対応する、入力順番号2のフレームに対して、禁止リストと一致しない場合の動作設定の指示に従い処理をする(ステップS6)。例えば設定が「通過、通知しない」であれば、フレームにフレーム解析部110を通過させることによりフレームを出力する。ただし、通知はしない。
次に、ステップS9において、登録期間となってから所定時間が経過しているかを確認する。ここで、経過しているのであれば(ステップS9においてYes)、図6のステップS11に進む。
一方で、経過していないのであれば(ステップS9においてNo)、ステップS2に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。
他方、ステップS3において、フレーム情報が禁止リストと一致した場合は(ステップS3においてYes)、ステップS33に進む。
例えば、表0における、入力順番号6のフレームのフレーム情報が判定の対象であったとする。この場合、これらのフレーム情報は、表4-1における、禁止リスト記憶部130に記憶された禁止リストの項番2と一致する(ステップS3においてYes)。そのため、ステップS33に進む。
ステップS33では、ステップS3において禁止リストと一致した判定された、入力順番号6のフレームのフレーム情報が、許可リスト生成部120によって廃棄リストに追加され、許可リスト記憶部140が記憶する廃棄リストが更新される(ステップS4)。これにより、入力順番号6のフレームのフレーム情報が、図10のリストの項番6の項目に種別「廃棄リスト」として追加される。
次に、許可リスト生成部120は、表0における入力順番号6のフレームのフレーム情報は禁止リストと一致した旨をフレーム解析部110に対して通知する(ステップS7)。
上述したようにステップS23において、入力順番号6のフレームのフレーム情報について許可リスト生成部120の通知待ちをしていたフレーム解析部110は、かかる通知を受けると、禁止リストと一致したフレーム情報に対応する入力順番号6のフレームに対して、禁止リストと一致した場合の動作設定の指示に従い処理をする(ステップS8)。例えば設定が「廃棄、通知する」であれば、フレームを廃棄し、廃棄したことを設定用端末300に対して通知する。
次に、ステップS9において、登録期間となってから所定時間が経過しているかを確認する。ここで、経過しているのであれば(ステップS9においてYes)、図6のステップS11に進む。
一方で、経過していないのであれば(ステップS9においてNo)、ステップS2に戻り、新たに受信したフレームを対象として、上述の各動作を繰り返す。
以上が本実施形態の動作である。ここで、ステップS31の説明において上述したように、本実施形態ではフレーム解析部110が廃棄リストとも比較をする。つまり、一度禁止リストと一致すると許可リスト生成部120により判定されたフレーム情報についても、フレーム解析部110が判定を行うことができるようになる。そのため、許可リストとのみ比較をするステップS22に比べて、一致する可能性は高くなる。
従って、本実施形態では、登録期間において禁止リストとの比較の回数を第2の実施形態よりも一層減少させることが可能となる。
なお、運用期間においては、ステップS12において許可リストを利用するが、廃棄リストを利用する必要はない。
上記のセキュリティスイッチ、通信端末及び設定用端末のそれぞれは、ハードウェア、ソフトウェア又はこれらの組み合わせによりそれぞれ実現することができる。また、上記のセキュリティスイッチ、通信端末及び設定用端末により行なわれる中継方法も、ハードウェア、ソフトウェア又はこれらの組み合わせにより実現することができる。ここで、ソフトウェアによって実現されるとは、コンピュータがプログラムを読み込んで実行することにより実現されることを意味する。
プログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えば、フレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば、光磁気ディスク)、CD-ROM(Read Only Memory)、CD-R、CD-R/W、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(random access memory))を含む。
また、上述した実施形態は、本発明の好適な実施形態ではあるが、上記実施形態のみに本発明の範囲を限定するものではなく、本発明の要旨を逸脱しない範囲において種々の変更を施した形態での実施が可能である。
例えば、以下のように各実施形態を変形することが可能である。
上述の各実施形態では、セキュリティスイッチがインターネットに接続していたが、必ずしもインターネットに接続する必要はない。インターネットに接続していない場合であっても、例えば、悪意を持っているユーザが社内ネットワークに不正な端末を接続したような場合に発生する悪意のあるフレームを検出することができる。
上述の各実施形態では、登録期間となってから所定時間経過後に運用期間となり、動作を継続していた。この場合に、運用期間から再度登録期間に遷移し、遷移後所定時間が経過したならば、再度運用期間に遷移するようにしても良い。つまり、再登録を行うことにより、許可リストを更新するようにしても良い。
例えば、運用期間遷移後に、新たに通信端末を追加した場合に、再登録を行うことにより、かかる追加した通信端末に関するフレームを許可リストに追加するようにしても良い。この場合に、許可リストをまっさらな状態として、ゼロから許可リストを作りなおしても良いし、既存の許可リストに新たにフレーム情報を追加するようにしても良い。
実施形態3において、廃棄リストを作成すると説明したが、廃棄以外のリストを作成するようにしても良い。例えば、フレームを廃棄するのではなく、フレームを本来の宛先以外の他の装置(例えば、ログを保存するためのサーバ)にフレームを転送するためのリストを作成するようにしても良い。そして、このリストとフレーム情報が一致するフレームについては、本来の宛先以外の他の装置(例えば、ログを保存するためのサーバ)に転送するようにしても良い。
また、実施形態3において廃棄リストを許可リスト記憶部が記憶することとしていたが、別途に記憶部を設けて、この記憶部が廃棄リストを記憶するようにしても良い。
更に、各実施形態の動作の説明において、フローチャートを参照しながら、受信した6つのフレーム情報について並列に説明を行ったが、このように複数のフレームについて一度に動作を行うのではなく、フレーム情報を1つ受信する度に動作を行うようにしても良い。つまり、フレーム1つを受信する度に、上記の各ステップを実行するようにしても良い。
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1) 第1の処理の対象とするデータの条件のリストである第1のリストと、第2の処理の対象とするデータの条件のリストである第2のリストを記憶する記憶手段と、 受信したデータの解析を行う解析手段と、 前記解析手段の解析結果と前記第1のリストの比較である第1の比較をし、該比較した解析結果が前記第1のリストに含まれる何れかの条件と一致しないならば該解析結果を前記第2の処理の対象とするデータの条件として前記第2のリストに追加し、該比較した解析結果が前記第1のリストに含まれる何れかの条件と一致するならば該解析結果を前記第2のリストに追加しないリスト生成手段と、 を備えることを特徴とする中継装置。
(付記2) 前記第2の処理は、該第2の処理の対象としたデータを前記送信データの宛先に転送することを含み、
前記第1の処理は、該処理の対象としたデータを前記送信データの宛先に転送することは含まないことを特徴とする付記1に記載の中継装置。
(付記3) 前記解析手段は、前記リスト生成手段による前記第1の比較の結果、該比較した解析結果が前記第1のリストに含まれる何れかの条件と一致するならば該解析結果に対応する受信データに対して前記第1の処理を行ない、該比較した解析結果が前記第1のリストに含まれる何れかの条件と一致しないならば該解析結果に対応する受信データに対して前記第2の処理を行なうことを特徴とする付記1又は2に記載の中継装置。
(付記4) 前記解析手段は、前記リスト生成手段による前記第1の比較の実行に先立って、受信したデータの解析結果と前記第2のリストの比較である第2の比較をし、該比較した解析結果が前記第2のリストに含まれる何れかの条件と一致するならば該解析結果に対応する受信データに対して前記第2の処理を行い、該比較した解析結果が前記第2のリストに含まれる何れかの条件と一致しないならば該解析結果を前記リスト生成手段による前記第1の比較の対象とすることを特徴とする付記1乃至3の何れか1に記載の中継装置。
(付記5) 前記記憶手段は、該処理の対象としたデータを前記送信データの宛先に転送することは含まない処理である第3の処理の対象とするデータの条件のリストである第3のリストを更に記憶し、
前記リスト生成手段は、前記第1の比較の対象とした解析結果が、前記第1のリストに含まれる何れかの条件と一致するならば該解析結果を前記第3の処理の対象とするデータの条件として前記第3のリストに追加し、
前記解析手段は、前記第2の比較を実行する際に、前記解析結果と前記第3のリストも更に比較すると共に、該比較した解析結果が前記第3のリストに含まれる条件と一致するならば該解析結果に対応する受信データに対して前記第3の処理を行うことを特徴とする付記1乃至4の何れか1に記載の中継装置。
(付記6) 前記リスト生成手段を所定時間動作させることにより前記第2のリストを生成した後は、前記第1の比較及び前記第2の比較を行なわないこととし、以後は、前記解析手段が、前記受信したデータの解析結果と前記第2のリストの比較をし、該比較した解析結果が前記第2のリスト含まれる条件と一致するならば該解析結果に対応する受信データに対して前記第2の処理を行い、該比較した解析結果が前記第2のリストに含まれる条件と一致しないならば該解析結果に対応する受信データに対して前記第1の処理を行うことを特徴とする付記1乃至5の何れか1に記載の中継装置。
(付記7) 前記第1の比較及び前記第2の比較を行なわないこととした以後に、ユーザから所定の操作を受け付けたならば、前記第1の比較及び前記第2の比較を再度行うことにより、更に前記第2のリストを生成することを特徴とする付記6に記載の中継装置。
(付記8) 付記1乃至7の何れか1に記載の中継装置と、前記中継装置に接続された設定用端末とを備えた通信システムであって、
前記設定用端末が受け付けたユーザからの操作に応じて、前記各処理それぞれの内容及び前記各リストの内容の、一部又は全部を変更することを特徴とする通信システム。
(付記9) 第1の処理の対象とするデータの条件のリストである第1のリストと、第2の処理の対象とするデータの条件のリストである第2のリストを記憶する記憶ステップと、
受信したデータの解析を行う解析ステップと、
前記解析ステップにおける解析結果と前記第1のリストの比較である第1の比較をし、該比較した解析結果が前記第1のリストに含まれる何れかの条件と一致しないならば該解析結果を前記第2の処理の対象とするデータの条件として前記第2のリストに追加し、該比較した解析結果が前記第1のリストに含まれる何れかの条件と一致するならば該解析結果を前記第2のリストに追加しないリスト生成ステップと、
を備えることを特徴とする中継装置。
(付記10) 第1の処理の対象とするデータの条件のリストである第1のリストと、第2の処理の対象とするデータの条件のリストである第2のリストを記憶する記憶手段を備えたコンピュータを中継装置として機能させる中継プログラムであって、
前記コンピュータを、
受信したデータの解析を行う解析手段と、
前記解析手段の解析結果と前記第1のリストの比較である第1の比較をし、該比較した解析結果が前記第1のリストに含まれる何れかの条件と一致しないならば該解析結果を前記第2の処理の対象とするデータの条件として前記第2のリストに追加し、該比較した解析結果が前記第1のリストに含まれる何れかの条件と一致するならば該解析結果を前記第2のリストに追加しないリスト生成手段と、
を備える中継装置として機能させることを特徴とする中継プログラム。
本発明は、中継装置におけるセキュリティ対策に好適である。
100 セキュリティスイッチ
110 フレーム解析部
120 許可リスト生成部
130 禁止リスト記憶部
140 許可リスト記憶部
200 通信端末
300 設定用端末
400 インターネット

Claims (23)

  1. データの通過を許可する通信先の情報の集合である第1のリストと、データの通過を許可しない通信先の情報の集合である第2のリストと、データの通過を許可しない通信先の情報の集合である第3のリストとを記憶し、
    受信した受信データを前記第1のリストおよび前記第2のリストに含まれる通信先の情報を用いた条件で第1の判定を行い、
    前記第1の判定でどちらにも該当しない場合に、前記受信データを前記第3のリストに含まれる通信先の情報を用いた条件で第2の判定を行う、
    受信データ判定方法。
  2. 前記第2のリストは、前記第3のリストに含まれる通信先の情報のうち、前記受信データが該当した通信先の情報が追加されたリストである
    請求項1に記載の受信データ判定方法。
  3. 前記第1のリストに含まれる通信先の情報は、L(Lは自然数)個の前記データに含まれる項目の組であり、
    第2の判定で該当しない場合に前記受信データの項目の組を前記第1のリストに追加する、
    請求項1又は2に記載の受信データ判定方法。
  4. 前記第2のリストに含まれる通信先の情報は、M(Mは自然数)個の前記データに含まれる項目の組であり、
    前記第2の判定で該当する場合に前記受信データの項目の組を前記第2のリストに追加する、
    請求項1から3のいずれか1つに記載の受信データ判定方法。
  5. 前記第2のリストに含まれる通信先の情報は、M(Mは自然数)個の前記データに含まれる項目の組であり、
    前記第3のリストに含まれる通信先の情報は、N(Nは自然数)個の前記データに含まれる項目の組であり、
    Nである、
    請求項1からのいずれか1つに記載の受信データ判定方法。
  6. 前記第1のリストには、該当する場合に前記受信データに行う第1の処理が定められており、
    前記第1の判定で前記第1のリストに該当する場合には前記第1の処理を前記受信データに行う、
    請求項1からのいずれか1つに記載の受信データ判定方法。
  7. 前記第2のリストには、該当する場合に前記受信データに行う第2の処理が定められており、
    前記第1の判定で前記第2のリストに該当する場合には前記第2の処理を前記受信データに行う、
    請求項1からのいずれか1つに記載の受信データ判定方法。
  8. 前記第3のリストには、該当する場合に前記受信データに行う第3の処理が定められており、
    前記第2の判定で該当する場合には前記第3の処理を前記受信データに行う、
    請求項1からのいずれか1つに記載の受信データ判定方法。
  9. 前記第1の処理は、前記受信データを通過させる、
    請求項に記載の受信データ判定方法。
  10. 前記第2の処理は、前記受信データを廃棄する、
    請求項に記載の受信データ判定方法。
  11. 前記第3の処理は、前記受信データを廃棄する、
    請求項に記載の受信データ判定方法。
  12. プロセッサと、
    データの通過を許可する通信先の情報の集合である第1のリストと、データの通過を許可しない通信先の情報の集合である第2のリストと、データの通過を許可しない通信先の情報の集合である第3のリストとを記憶する記憶手段と、を備え、
    前記プロセッサは、
    受信した受信データを前記第1のリストおよび前記第2のリストに含まれる通信先の情報を用いた条件で第1の判定を行い、
    前記第1の判定でどちらにも該当しない場合に、前記受信データを前記第3のリストに含まれる通信先の情報を用いた条件で第2の判定を行う、
    通信装置。
  13. 前記第2のリストは、前記第3のリストに含まれる通信先の情報のうち、前記受信データが該当した通信先の情報が追加されたリストである
    請求項12に記載の通信装置。
  14. 前記第1のリストに含まれる通信先の情報は、L(Lは自然数)個の前記データに含まれる項目の組であり、
    前記プロセッサは、第2の判定で該当しない場合に前記受信データの項目の組を前記第1のリストに追加する、
    請求項12又は13に記載の通信装置。
  15. 前記第2のリストに含まれる通信先の情報は、M(Mは自然数)個の前記データに含まれる項目の組であり、
    前記プロセッサは、前記第2の判定で該当する場合に前記受信データの項目の組を前記第2のリストに追加する、
    請求項12から14のいずれか1つに記載の通信装置。
  16. 前記第2のリストに含まれる通信先の情報は、M(Mは自然数)個の前記データに含まれる項目の組であり、
    前記第3のリストに含まれる通信先の情報は、N(Nは自然数)個の前記データに含まれる項目の組であり、
    Nである、
    請求項12から15のいずれか1つに記載の通信装置。
  17. 前記第1のリストには、該当する場合に前記受信データに行う第1の処理が定められており、
    前記プロセッサは、前記第1の判定で前記第1のリストに該当する場合には前記第1の処理を前記受信データに行う、
    請求項12から16のいずれか1つに記載の通信装置。
  18. 前記第2のリストには、該当する場合に前記受信データに行う第2の処理が定められており、
    前記プロセッサは、前記第1の判定で前記第2のリストに該当する場合には前記第2の処理を前記受信データに行う、
    請求項12から17のいずれか1つに記載の通信装置。
  19. 前記第3のリストには、該当する場合に前記受信データに行う第3の処理が定められており、
    前記プロセッサは、前記第2の判定で該当する場合には前記第3の処理を前記受信データに行う、
    請求項12から18のいずれか1つに記載の通信装置。
  20. 前記第1の処理は、前記受信データを通過させる、
    請求項17に記載の通信装置。
  21. 前記第2の処理は、前記受信データを廃棄する、
    請求項18に記載の通信装置。
  22. 前記第3の処理は、前記受信データを廃棄する、
    請求項19に記載の通信装置。
  23. データの通過を許可する通信先の情報の集合である第1のリストと、データの通過を許可しない通信先の情報の集合である第2のリストと、データの通過を許可しない通信先の情報の集合である第3のリストとを記憶し、
    受信した受信データを前記第1のリストおよび前記第2のリストに含まれる通信先の情報を用いた条件で第1の判定を行い、
    前記第1の判定でどちらにも該当しない場合に、前記受信データを前記第3のリストに含まれる通信先の情報を用いた条件で第2の判定を行う、
    ことをコンピュータに実行させるプログラム。
JP2021000307A 2021-01-05 2021-01-05 受信データ判定方法、通信装置、および、プログラム Active JP7068514B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021000307A JP7068514B2 (ja) 2021-01-05 2021-01-05 受信データ判定方法、通信装置、および、プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021000307A JP7068514B2 (ja) 2021-01-05 2021-01-05 受信データ判定方法、通信装置、および、プログラム

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2016048770A Division JP6821311B2 (ja) 2016-03-11 2016-03-11 中継装置、通信システム、中継方法及び中継プログラム

Publications (2)

Publication Number Publication Date
JP2021072632A JP2021072632A (ja) 2021-05-06
JP7068514B2 true JP7068514B2 (ja) 2022-05-16

Family

ID=75713581

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021000307A Active JP7068514B2 (ja) 2021-01-05 2021-01-05 受信データ判定方法、通信装置、および、プログラム

Country Status (1)

Country Link
JP (1) JP7068514B2 (ja)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004302538A (ja) 2003-03-28 2004-10-28 Meiji Univ ネットワークセキュリティシステム及びネットワークセキュリティ管理方法
JP2010026547A (ja) 2008-07-15 2010-02-04 Fujitsu Ltd ファイアウォール負荷分散方法及びファイアウォール負荷分散システム
JP2013191199A (ja) 2012-01-12 2013-09-26 Alexeo Corp ネットワーク接続装置を侵入から保護するための方法およびシステム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004302538A (ja) 2003-03-28 2004-10-28 Meiji Univ ネットワークセキュリティシステム及びネットワークセキュリティ管理方法
JP2010026547A (ja) 2008-07-15 2010-02-04 Fujitsu Ltd ファイアウォール負荷分散方法及びファイアウォール負荷分散システム
JP2013191199A (ja) 2012-01-12 2013-09-26 Alexeo Corp ネットワーク接続装置を侵入から保護するための方法およびシステム

Also Published As

Publication number Publication date
JP2021072632A (ja) 2021-05-06

Similar Documents

Publication Publication Date Title
JP4490994B2 (ja) ネットワークセキュリティデバイスにおけるパケット分類
US9992225B2 (en) System and a method for identifying malware network activity using a decoy environment
JP6083009B1 (ja) Sdnコントローラ
JP3954385B2 (ja) 迅速なパケット・フィルタリング及びパケット・プロセシングのためのシステム、デバイス及び方法
US8611220B2 (en) Network system, controller, and network control method
US8732296B1 (en) System, method, and computer program product for redirecting IRC traffic identified utilizing a port-independent algorithm and controlling IRC based malware
CN108353068B (zh) Sdn控制器辅助的入侵防御系统
US20100309800A1 (en) Network Monitoring And Intellectual Property Protection Device, System, And Method
US9491190B2 (en) Dynamic selection of network traffic for file extraction shellcode detection
JP6256773B2 (ja) セキュリティシステム
US20070166051A1 (en) Repeater, repeating method, repeating program, and network attack defending system
US20160088001A1 (en) Collaborative deep packet inspection systems and methods
CN111818077A (zh) 一种基于sdn技术的工控混合蜜罐系统
US20110030054A1 (en) Progressive wiretap
CN111083109A (zh) 交换机联动防火墙防护提升方法
JP6821311B2 (ja) 中継装置、通信システム、中継方法及び中継プログラム
WO2017217247A1 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
US11159485B2 (en) Communication system, communication control apparatus, and communication control method using IP addresses for relay server managing connections
JP7156310B2 (ja) 通信装置、通信システム、通信制御方法、プログラム
JP7068514B2 (ja) 受信データ判定方法、通信装置、および、プログラム
JP6943313B2 (ja) ログ解析システム、解析装置、方法、および解析用プログラム
JP7028543B2 (ja) 通信システム
JP6272258B2 (ja) 最適化装置、最適化方法および最適化プログラム
US11159533B2 (en) Relay apparatus
JP2021083128A (ja) 監視装置、スイッチ、通信装置、通信システム、監視方法及び監視プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210105

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20211001

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20211111

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211130

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220128

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220405

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220428

R150 Certificate of patent or registration of utility model

Ref document number: 7068514

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150