JP7150552B2 - Network protection devices and network protection systems - Google Patents

Network protection devices and network protection systems Download PDF

Info

Publication number
JP7150552B2
JP7150552B2 JP2018188227A JP2018188227A JP7150552B2 JP 7150552 B2 JP7150552 B2 JP 7150552B2 JP 2018188227 A JP2018188227 A JP 2018188227A JP 2018188227 A JP2018188227 A JP 2018188227A JP 7150552 B2 JP7150552 B2 JP 7150552B2
Authority
JP
Japan
Prior art keywords
threat
information
terminal
unit
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018188227A
Other languages
Japanese (ja)
Other versions
JP2019213182A (en
Inventor
直紀 越智
琢士 平本
智宏 織田
達海 大庭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Corp of America
Original Assignee
Panasonic Intellectual Property Corp of America
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Corp of America filed Critical Panasonic Intellectual Property Corp of America
Priority to CN201811423370.0A priority Critical patent/CN109861961B/en
Priority to EP18208423.6A priority patent/EP3493503B1/en
Priority to US16/202,926 priority patent/US10911466B2/en
Publication of JP2019213182A publication Critical patent/JP2019213182A/en
Application granted granted Critical
Publication of JP7150552B2 publication Critical patent/JP7150552B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本開示は、通信ネットワークを監視し、通信を制御するためのネットワーク防御装置およびネットワーク防御システムに関するものである。 The present disclosure relates to network protection devices and network protection systems for monitoring communication networks and controlling communications.

昨今、ネットワーク技術の発達に応じて、様々な機器がネットワークに接続されるようになっている。それに伴い、マルウェア感染、マルウェアの外部からの侵入などの攻撃による被害も増大し、セキュリティ対策が非常に重要になっている。 In recent years, with the development of network technology, various devices have come to be connected to networks. Along with this, the damage caused by attacks such as malware infection and malware intrusion from the outside has increased, and security measures have become extremely important.

一般的にセキュリティ対策としては、ネットワークの境界を監視し外部ネットワークからのアクセスに対して防御する方法、端末自体を監視し防御する方法などが採られる。具体的には、インターネットとLAN(Local Area Network)の境界にFW(Fire Wall)、IDS(Intrusion Detection System)、IPS(Intrution Prevention System)、UTM(Unified Threat Management)などのセキュリティ対策機器を設置することが挙げられる。また、LAN内に設置している端末に対してマルウェア対策ソフトウェアをインストールし、オペレーティングシステムおよびアプリケーションソフトウェアに最新のセキュリティパッチを適用することなども挙げられる。 Generally, security measures include a method of monitoring network boundaries to protect against access from external networks, a method of monitoring and protecting terminals themselves, and the like. Specifically, security devices such as FW (Fire Wall), IDS (Intrusion Detection System), IPS (Intrusion Prevention System), and UTM (Unified Threat Management) are installed at the boundary between the Internet and LAN (Local Area Network). Things are mentioned. In addition, installing anti-malware software on the terminals installed in the LAN and applying the latest security patches to the operating system and application software are examples.

しかしながら、施設、工場などにおけるネットワークにおいて、無停止稼動が求められる端末、生産稼働の遅延に厳格であるために一切のソフトウェアの追加又は変更を許されない端末などといった、一般的な対策が困難な端末がネットワークに接続されている例が増えてきている。この様な端末は、セキュリティ対策ができず、マルウェアに容易に侵入されてしまい、マルウェア感染などの脅威に曝されるリスクが大きい。このため、LAN内部にマルウェアが侵入した場合に更なる感染拡大が起こり、LAN内部に様々な障害を起こす。そのため、この様な感染拡大を防ぐ新たなセキュリティ対策が求められている。 However, in networks in facilities, factories, etc., terminals for which general countermeasures are difficult, such as terminals that require uninterrupted operation, terminals that are strict about delays in production operation and do not allow any addition or change of software, etc. are increasingly connected to networks. Such terminals cannot be protected against security, are easily invaded by malware, and have a high risk of being exposed to threats such as malware infection. Therefore, when malware intrudes into the LAN, the infection spreads further, causing various troubles within the LAN. Therefore, new security measures are required to prevent such spread of infection.

従来、第1のコンピュータおよび第2のコンピュータを含む複数のコンピュータと通信可能な対策機器であって、LAN内部に対策機器を設置することで、対策機器が任意の時点で通信データを取得し、取得した通信データを第1のコンピュータまたは第2のコンピュータに送信するかを判断する。このように対策機器は、第1のコンピュータと第2のコンピュータとによる通信サービスを制限する技術が開示されている(例えば、特許文献1参照)。 Conventionally, a countermeasure device capable of communicating with a plurality of computers including a first computer and a second computer, and by installing the countermeasure device inside a LAN, the countermeasure device acquires communication data at an arbitrary time, It is determined whether to transmit the acquired communication data to the first computer or the second computer. As described above, the countermeasure device discloses a technique of restricting communication services between a first computer and a second computer (see, for example, Japanese Patent Application Laid-Open No. 2002-200016).

また、スイッチ装置を通過する通信データを、プロミスキャスモードを備えるセキュリティ機器に送信して監視し、SDN(Software Defined Network)スイッチ装置で通信を制御する技術が開示されている(例えば、特許文献2参照)。 Further, a technique is disclosed in which communication data passing through a switch device is sent to a security device having a promiscuous mode and monitored, and communication is controlled by an SDN (Software Defined Network) switch device (for example, Patent Document 2). reference).

特許第4082613号公報Japanese Patent No. 4082613 特許第6364255号公報Japanese Patent No. 6364255

Wang,Ke,and Salvatore J.Stolfo.“Anomalous payload based network intrusion detection.”RAID.Vol.4.2004.Wang, Ke, and Salvatore J.; Stolfo. "Anomalous payload based network intrusion detection." RAID. Vol. 4.2004.

しかしながら、特許文献1では、LAN内部全体を監視し、セキュリティの脅威を排除するためには、LAN内部の全通信データを対策機器に取り込む必要がある。特許文献1の対策機器でこれを実現しようとすると、全ての端末の全組み合わせに対して通信制御パケットを送出し続ける必要があり、2乗のオーダーで制御する必要となるペアが増える。この場合、対策機器に通信が集中するため、通信が逼迫し対策機器の負荷が増大する。このため、前述の様な、遅延に厳格な端末に悪影響が発生する課題がある。 However, in Patent Document 1, in order to monitor the entire LAN interior and eliminate security threats, it is necessary to import all communication data inside the LAN into a countermeasure device. In order to realize this with the countermeasure device of Patent Document 1, it is necessary to keep sending communication control packets to all combinations of all terminals, and the number of pairs that need to be controlled in the square order increases. In this case, since communication is concentrated on the countermeasure device, the communication becomes tight and the load on the countermeasure device increases. For this reason, there is a problem that a terminal that is strict about delay as described above is adversely affected.

また、通信データを対策機器に取り込むための制御用通信パケットの送信頻度が不十分な場合といった状態では、通信データを対策機器に確実に取り込めない場合があるため、脅威を含む通信データを除去しきれないという課題もある。 In addition, in situations such as when the frequency of transmission of control communication packets for importing communication data into the countermeasure device is insufficient, the communication data may not be reliably imported into the countermeasure device. There is also the issue of not being able to

また、特許文献2では、LAN内部の脅威を監視するセキュリティ機器がSDNスイッチ装置を制御することで通信を制限するため、セキュリティ機器に掛かる負荷が増大すると、脅威の検知が遅れる、或いは、通信全体が遅延する、という課題がある。 In addition, in Patent Document 2, a security device that monitors threats within a LAN restricts communication by controlling an SDN switch device. is delayed.

また、セキュリティ機器が脅威を検知した内容に応じて検知した端末に関する全ての通信データを正常な内容の通信データも含めて制限してしまうため、突発的な通信遮断などが生じてしまい、制御に悪影響を与えるという課題がある。 In addition, since all communication data related to the terminal detected by the security device is restricted, including communication data with normal content, depending on the details of the threat detected, sudden communication cutoff etc. There is the problem of having a negative impact.

さらに、単一のセキュリティ機器のみで検知するため、誤検知および過検知による正常な通信への悪影響も懸念される。 Furthermore, since only a single security device is used for detection, there is concern that normal communications may be adversely affected by false or false detections.

本開示は、通信ネットワークを構成する端末の無停止稼動と通信遅延の最小化とを実現しながら、セキュリティレベルを向上させることを目的とする。 An object of the present disclosure is to improve the security level while realizing non-stop operation of terminals constituting a communication network and minimization of communication delay.

本開示の一態様に係るネットワーク防御装置は、複数のLAN(Local Area Network)のポートを備え、通信ネットワーク間の接続を行うスイッチを流れる、少なくとも送信元端末の情報と送信先端末の情報とを含む通信データを、プロミスキャスモードで前記スイッチを介して取得する通信データ取得部と、前記通信データの脅威を検知する脅威検知部と、脅威除去部と、前記脅威検知部で脅威を検知した場合、前記脅威除去部を介さずに前記送信元端末と前記送信先端末とを接続する第1の通信経路を、前記脅威除去部を介して前記送信元端末と前記送信先端末とを接続した、前記第1の通信経路と異なる第2の通信経路に変更するように前記スイッチを操作する経路変更部と、を備え、前記脅威除去部は、前記経路変更部が通信経路を変更した後に、前記通信データの脅威を除去する。 A network protection device according to an aspect of the present disclosure includes a plurality of LAN (Local Area Network) ports, and transmits at least information on a source terminal and information on a destination terminal flowing through a switch that connects communication networks. a communication data acquisition unit that acquires communication data including the connecting the source terminal and the destination terminal via the threat removal unit through a first communication path that connects the source terminal and the destination terminal without going through the threat removal unit; a route changing unit that operates the switch to change the communication route to a second communication route that is different from the first communication route; Eliminate communication data threats.

なお、これらの包括的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なCD-ROMなどの記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムおよび記録媒体の任意な組み合わせで実現されてもよい。 In addition, these general or specific aspects may be realized by a system, method, integrated circuit, computer program, or a recording medium such as a computer-readable CD-ROM. and any combination of recording media.

上記態様により、通信ネットワークを構成する端末の無停止稼動と通信遅延の最小化とを実現しながら、セキュリティレベルを向上させる。 According to the above aspect, the security level is improved while realizing the non-stop operation of the terminals constituting the communication network and the minimization of the communication delay.

図1は、実施の形態1におけるネットワーク防御装置が属する通信ネットワークの全体構成を示す図である。FIG. 1 is a diagram showing the overall configuration of a communication network to which a network protection device according to Embodiment 1 belongs. 図2は、実施の形態1における通信データの構成を示す図である。FIG. 2 is a diagram showing the structure of communication data according to the first embodiment. 図3は、実施の形態1における通信分析部の構成を示す図である。3 is a diagram showing a configuration of a communication analysis unit according to Embodiment 1. FIG. 図4は、実施の形態1における端末通信情報の構成を示す図である。FIG. 4 is a diagram showing the structure of terminal communication information according to Embodiment 1. As shown in FIG. 図5は、実施の形態1におけるスイッチ操作部の構成を示す図である。FIG. 5 is a diagram showing a configuration of a switch operating unit according to Embodiment 1. FIG. 図6は、実施の形態1におけるスイッチ初期設定情報の構成を示す図である。FIG. 6 is a diagram showing the configuration of switch initial setting information according to the first embodiment. 図7は、実施の形態1におけるスイッチ情報の構成を示す図である。7 is a diagram showing a configuration of switch information according to Embodiment 1. FIG. 図8は、実施の形態1における端末管理部の構成を示す図である。8 is a diagram showing a configuration of a terminal management unit according to Embodiment 1. FIG. 図9は、実施の形態1における脅威スコア情報の構成を示す図である。9 is a diagram showing a configuration of threat score information according to Embodiment 1. FIG. 図10は、実施の形態1における端末一時情報の構成を示す図である。10 is a diagram showing the configuration of terminal temporary information according to Embodiment 1. FIG. 図11は、実施の形態1における端末更新情報の構成を示す図である。11 is a diagram showing a configuration of terminal update information according to Embodiment 1. FIG. 図12Aは、実施の形態1における端末情報の構成を示す図である。12A is a diagram showing a configuration of terminal information according to Embodiment 1. FIG. 図12Bは、実施の形態1における端末情報の構成を示す図である。12B is a diagram showing a configuration of terminal information according to Embodiment 1. FIG. 図13Aは、実施の形態1におけるネットワーク全体構成の論理的なネットワークの構成を示す図である。13A is a diagram showing a logical network configuration of the overall network configuration according to Embodiment 1. FIG. 図13Bは、実施の形態1におけるネットワーク全体構成の論理的なネットワークの構成を示す図である。13B is a diagram showing a logical network configuration of the overall network configuration according to Embodiment 1. FIG. 図14は、実施の形態1におけるネットワーク防御装置の動作を示すフローチャートである。14 is a flow chart showing the operation of the network protection device according to Embodiment 1. FIG. 図15は、実施の形態1における脅威スコアの更新の動作を示すフローチャートである。15 is a flowchart showing the operation of updating the threat score according to Embodiment 1. FIG. 図16は、実施の形態1における端末情報の更新の動作を示すフローチャートである。16 is a flowchart showing an operation of updating terminal information according to Embodiment 1. FIG. 図17Aは、実施の形態1の変形例1におけるネットワーク防御装置が属する別の通信ネットワークの全体構成を示す図である。17A is a diagram showing the overall configuration of another communication network to which a network protection device belongs according to Modification 1 of Embodiment 1. FIG. 図17Bは、実施の形態1の変形例1において、送信元端末と送信先端末とが検疫系ネットワークで通信を行う場合を示す図である。17B] FIG. 17B is a diagram illustrating a case where the transmission source terminal and the transmission destination terminal communicate with each other in the quarantine system network in Modification 1 of Embodiment 1. [ FIG. 図17Cは、実施の形態1の変形例1において、送信元端末と送信先端末とが通常系ネットワークで通信を行う場合を示す図である。17C] FIG. 17C is a diagram illustrating a case where the transmission source terminal and the transmission destination terminal communicate with each other in the normal network in Modification 1 of Embodiment 1. [ FIG. 図18は、実施の形態1の変形例2におけるネットワーク防御装置が属するさらに別の通信ネットワークの全体構成を示す図である。FIG. 18 is a diagram showing the overall configuration of still another communication network to which the network protection device in Modification 2 of Embodiment 1 belongs. 図19は、実施の形態2におけるネットワーク防御装置が属する通信ネットワークの全体構成を示す図である。FIG. 19 is a diagram showing the overall configuration of a communication network to which a network protection device belongs according to the second embodiment. 図20は、実施の形態2における通信データの構成を示す図である。FIG. 20 is a diagram showing the structure of communication data according to the second embodiment. 図21は、実施の形態2における端末通信情報の構成を示す図である。21 is a diagram showing a configuration of terminal communication information according to Embodiment 2. FIG. 図22は、実施の形態2におけるスイッチ初期設定情報の構成を示す図である。FIG. 22 is a diagram showing the configuration of switch initial setting information according to the second embodiment. 図23は、実施の形態2におけるスイッチ情報の構成を示す図である。23 is a diagram showing a configuration of switch information according to Embodiment 2. FIG. 図24Aは、実施の形態2における端末情報の構成を示す図である。24A is a diagram showing a configuration of terminal information according to Embodiment 2. FIG. 図24Bは、実施の形態2における端末情報の構成を示す図である。24B is a diagram showing a configuration of terminal information according to Embodiment 2. FIG. 図25Aは、実施の形態2におけるネットワーク全体構成の論理的なネットワークの構成を示す図である。25A is a diagram showing a logical network configuration of the entire network configuration according to Embodiment 2. FIG. 図25Bは、実施の形態2におけるネットワーク全体構成の論理的なネットワークの構成を示す図である。25B is a diagram showing a logical network configuration of the overall network configuration according to Embodiment 2. FIG. 図26は、実施の形態2におけるネットワーク防御装置の動作を示すフローチャートである。26 is a flow chart showing the operation of the network protection device according to Embodiment 2. FIG. 図27は、実施の形態2におけるパケット書換部の構成を示す図である。27 shows a configuration of a packet rewriting unit according to Embodiment 2. FIG. 図28は、実施の形態2の変形例1におけるネットワーク防御装置が属する別の通信ネットワークの全体構成を示す図である。FIG. 28 is a diagram showing the overall configuration of another communication network to which the network protection device belongs according to Modification 1 of Embodiment 2. In FIG. 図29は、実施の形態2の変形例2におけるネットワーク防御装置が属するさらに別の通信ネットワークの全体構成を示す図である。FIG. 29 is a diagram showing the overall configuration of still another communication network to which the network protection device belongs according to Modification 2 of Embodiment 2. In FIG.

(本開示の基礎となった知見)
工場などにある産業機器などの制御端末には、設計および実装された時期が古く、インターネットへの接続を考慮されていない場合がある。この様な制御端末には、インターネットからのセキュリティの脅威に対して、なんら対策が講じられていない。
(Findings on which this disclosure is based)
Control terminals such as industrial equipment in factories and the like may have been designed and implemented a long time ago, and connection to the Internet may not have been taken into consideration. Such control terminals do not have any countermeasures against security threats from the Internet.

更に、この様な制御端末は、可用性が強く求められ、生産稼働の遅延の増大および稼動停止を極力防ぐ必要があるため、セキュリティ対策ソフトウェアの導入およびセキュリティパッチなど、オペレーションシステムを含むソフトウェアの変更が許容されない。 In addition, such control terminals are strongly required to be highly available, and it is necessary to prevent delays in production operations and stoppages as much as possible. Not allowed.

しかし現在、その様な制御端末を含む産業機器ネットワークは、インターネットに接続されるため、セキュリティの脅威に晒されている。 However, at present, industrial equipment networks including such control terminals are exposed to security threats because they are connected to the Internet.

したがって、産業機器ネットワーク全体のセキュリティの脅威を監視し、生産稼働の遅延および停止を防ぎながらも、マルウェアによる攻撃の無害化および被害拡大を防ぐことが求められる。通信ネットワークデータを監視して攻撃を検知し、かつ、無害化する技術は、例えば、前述の特許文献1、2で開示されている。しかし、産業機器ネットワークに求められる、遅延増大および停止を防ぐことと、突然の通信遮断による制御への悪影響は想定されていない。 Therefore, it is necessary to monitor the security threats of the entire industrial equipment network and prevent delays and stoppages of production operations, while also preventing malware attacks from harming and expanding damage. Techniques for monitoring communication network data, detecting attacks, and rendering them harmless are disclosed in, for example, the above-mentioned Patent Literatures 1 and 2. However, it does not assume the prevention of delay increases and outages, which are required for industrial equipment networks, and the adverse effects on control due to sudden communication interruptions.

そこで、本開示では、工場など制御システムネットワークに必要な端末の無停止稼動と通信遅延の最小化を実現し、かつ、セキュリティレベルを向上させることを目的とする。 Accordingly, an object of the present disclosure is to achieve non-stop operation of terminals required for a control system network such as a factory, minimize communication delay, and improve the security level.

(本開示の一態様)
本開示の一様態に係るネットワーク防御装置は、複数のLAN(Local Area Network)のポートを備え、通信ネットワーク間の接続を行うスイッチを流れる、少なくとも送信元端末の情報と送信先端末の情報とを含む通信データを、プロミスキャスモードで前記スイッチを介して取得する通信データ取得部と、前記通信データの脅威を検知する脅威検知部と、脅威除去部と、前記脅威検知部で脅威を検知した場合、前記脅威除去部を介さずに前記送信元端末と前記送信先端末とを接続する第1の通信経路を、前記脅威除去部を介して前記送信元端末と前記送信先端末とを接続した、前記第1の通信経路と異なる第2の通信経路に変更するように前記スイッチを操作する経路変更部と、を備え、前記脅威除去部は、前記経路変更部が通信経路を変更した後に、前記通信データの脅威を除去する。
(One aspect of the present disclosure)
A network protection device according to an aspect of the present disclosure includes a plurality of LAN (Local Area Network) ports, and at least information on a source terminal and information on a destination terminal flowing through a switch that connects communication networks. a communication data acquisition unit that acquires communication data including the connecting the source terminal and the destination terminal via the threat removal unit through a first communication path that connects the source terminal and the destination terminal without going through the threat removal unit; a route changing unit that operates the switch to change the communication route to a second communication route that is different from the first communication route; Eliminate communication data threats.

この構成により、スイッチを経由する通信データのコピーを通信分析部で監視し続けることで、脅威を検知することができる。脅威を検知すると、経路変更部は、スイッチの設定を変更することで、脅威を含みうる送信元端末が属する通信ネットワークと、送信先端末が属する通信ネットワークとを論理的に切り離し、脅威を含みうる送信元端末と送信先端末の間の経路に、脅威除去部を論理的に接続する様に変更する。こうして、送信元端末が送信した脅威を含みうる通信データから脅威を除去することができる。これにより、端末の運転を停止させることなく(正常な通信に悪影響を与えることなく)通信をすることができるとともに、脅威を監視しマルウェア等の拡散を防ぐことができる。 With this configuration, a threat can be detected by continuously monitoring a copy of communication data passing through the switch with the communication analysis unit. When a threat is detected, the route changing unit logically separates the communication network to which the source terminal that may contain the threat belongs and the communication network to which the destination terminal belongs by changing the setting of the switch, and the communication network that may contain the threat. Change the path between the source terminal and the destination terminal to logically connect the threat remover. In this way, threats can be removed from the communication data transmitted by the source terminal that may contain threats. As a result, communication can be performed without stopping the operation of the terminal (without adversely affecting normal communication), and threats can be monitored to prevent the spread of malware and the like.

また、送信元端末が属する通信ネットワークと送信先端末が属する通信ネットワークとの正常な通信を継続するため、脅威を検知する通信分析部と脅威を除去する脅威除去部とを分離している。つまり、通信分析部と脅威除去部とを異なる処理部として分離しているため、それぞれの処理部の処理負荷を最小限にすることができる。これにより、通信分析部が探索行動などによって脅威に到る前に脅威を検知してから、脅威除去部による脅威の除去を適用することができる。その結果、より早期にセキュリティの脅威に対応することができる。 Also, in order to continue normal communication between the communication network to which the source terminal belongs and the communication network to which the destination terminal belongs, the communication analysis section that detects threats and the threat removal section that removes threats are separated. That is, since the communication analysis unit and the threat removal unit are separated as different processing units, the processing load on each processing unit can be minimized. This allows the communication analysis unit to detect a threat by search behavior or the like before it reaches the threat, and then remove the threat by the threat removal unit. As a result, security threats can be dealt with more quickly.

したがって、このネットワーク防御装置は、通信ネットワークを構成する端末の無停止稼動と通信遅延の最小化とを実現しながら、セキュリティレベルを向上させることができる。特に、既存の設備に影響を与えることなく、既存の設備の無停止稼動を実現することができる。 Therefore, this network protection device can improve the security level while realizing non-stop operation of the terminals constituting the communication network and minimization of communication delay. In particular, non-stop operation of existing equipment can be realized without affecting the existing equipment.

本開示の一様態に係るネットワーク防御システムは、複数のLANのポートを備え、通信ネットワーク間の接続を行うスイッチを流れる、少なくとも送信元端末の情報と送信先端末の情報とを含む通信データを、プロミスキャスモードで前記スイッチを介して取得する通信データ取得部と、前記通信データの脅威を検知する脅威検知部と、脅威除去部と、前記脅威検知部で脅威を検知した場合、前記送信元端末と前記送信先端末とを接続する第1の通信経路を、前記脅威除去部を介して前記送信元端末と前記送信先端末とを接続した、前記第1の通信経路と異なる第2の通信経路に変更するように前記スイッチを操作する経路変更部と、を備え、前記脅威除去部は、前記経路変更部が通信経路を変更した後に、前記通信データの脅威を除去する。 A network defense system according to an aspect of the present disclosure includes a plurality of LAN ports, and communication data including at least information on a source terminal and information on a destination terminal flowing through a switch that connects communication networks, a communication data acquisition unit that acquires via the switch in promiscuous mode; a threat detection unit that detects a threat in the communication data; a threat elimination unit; and the destination terminal, and a second communication path different from the first communication path connecting the source terminal and the destination terminal via the threat removal unit and a route changing unit that operates the switch to change the communication route, the threat removing unit removes the threat of the communication data after the route changing unit changes the communication route.

このネットワーク防御システムにおいても上述と同様の作用効果を奏する。 This network protection system also has the same effects as described above.

本開示の一様態に係るネットワーク防御装置において、前記スイッチは、前記送信元端末に接続された第1のLANのポートと、前記脅威検知部に接続された第2のLANのポートおよび第3のLANのポートと、前記送信先端末に接続された第4のLANのポートとを有し、前記脅威検知部で脅威を検知していない場合、前記経路変更部は、前記第1のLANのポートに接続された前記送信元端末から、前記第4のLANのポートに接続された前記送信先端末までの前記第1の通信経路を、第1のVLAN(Virtual Local Area Network)に設定し、前記脅威検知部で脅威を検知した場合、前記経路変更部は、前記第2の通信経路に含まれる、前記第1のLANのポートに接続された前記送信元端末から、前記第2のLANのポートに接続された前記脅威除去部までの経路を前記第1のVLANと異なる第2のVLANに設定し、前記第3のLANのポートに接続された前記脅威除去部から、前記第4のLANのポートに接続された前記送信先端末までの経路を前記第1のVLANに設定する。 In the network protection device according to an aspect of the present disclosure, the switch includes a first LAN port connected to the source terminal, a second LAN port connected to the threat detection unit, and a third LAN port connected to the threat detection unit. A LAN port and a fourth LAN port connected to the destination terminal, and when the threat detection unit detects no threat, the route change unit connects to the first LAN port. setting the first communication path from the source terminal connected to the fourth LAN to the destination terminal connected to the port of the fourth LAN to a first VLAN (Virtual Local Area Network), When a threat is detected by the threat detection unit, the route change unit changes a signal from the transmission source terminal connected to the first LAN port included in the second communication route to the second LAN port. a second VLAN different from the first VLAN, and from the threat removal unit connected to the port of the third LAN to the fourth LAN A route to the destination terminal connected to the port is set to the first VLAN.

これによれば、脅威検知部で脅威を検知していない場合、送信元端末から送信先端末までを第1のVLAN(第1の通信経路)に設定する。また、脅威検知部で脅威を検知した場合、送信元端末から脅威除去部までを第2のVLANに設定し、脅威除去部から送信先端末までの経路を第1のVLANに設定する(第1のVLANと第2のVLANとが第2の通信経路となる)。こうすることで、脅威を検知した場合に送信元端末から送信先端末までの間に脅威除去部を介することができる。 According to this, when the threat detection unit detects no threat, the first VLAN (first communication path) is set from the source terminal to the destination terminal. When the threat detection unit detects a threat, the route from the source terminal to the threat removal unit is set to the second VLAN, and the route from the threat removal unit to the destination terminal is set to the first VLAN (first VLAN). VLAN and the second VLAN serve as a second communication path). By doing so, when a threat is detected, the threat removal unit can be interposed between the transmission source terminal and the transmission destination terminal.

本開示の一様態に係るネットワーク防御装置は、さらに、前記脅威除去部を通過した前記通信データに含まれる通信ネットワークのVLAN情報を書き換える書換部を備え、前記スイッチは、前記送信元端末に接続された第5のLANのポートと、前記脅威除去部が接続された第6のLANのポートと、前記送信先端末に接続された第7のLANのポートとを有し、前記脅威検知部で脅威を検知していない場合、前記経路変更部は、前記第5のLANのポートに接続された前記送信元端末と、前記第7のLANのポートに接続された前記送信先端末とを第1のVLANに設定し、前記脅威検知部で脅威を検知した場合、前記経路変更部は、前記第2の通信経路に含まれる、前記第5のLANのポートに接続された前記送信元端末を第2のVLANに設定し、前記第7のLANのポートに接続された前記送信先端末を前記第1のVLANに設定し、前記書換部は、前記第6のLANのポートを介して、前記送信元端末が属する前記第2のVLANを示すVLAN情報を前記送信先端末が属する前記第1のVLANを示すVLAN情報に書き換え、書き換えられた通信データを、前記スイッチに出力する。 A network protection device according to an aspect of the present disclosure further includes a rewriting unit that rewrites VLAN information of a communication network included in the communication data that has passed through the threat removal unit, and the switch is connected to the source terminal. a fifth LAN port connected to the threat removal unit; a sixth LAN port connected to the threat removal unit; and a seventh LAN port connected to the destination terminal; is not detected, the route changing unit changes the source terminal connected to the fifth LAN port and the destination terminal connected to the seventh LAN port to the first VLAN, and when the threat detection unit detects a threat, the route change unit changes the transmission source terminal connected to the port of the fifth LAN included in the second communication route to the second communication route. and the destination terminal connected to the seventh LAN port is set to the first VLAN, and the rewriting unit is configured to set the transmission source terminal connected to the seventh LAN port to the first VLAN. VLAN information indicating the second VLAN to which the terminal belongs is rewritten to VLAN information indicating the first VLAN to which the destination terminal belongs, and the rewritten communication data is output to the switch.

このように、脅威検知部で通信データの脅威を検知すると、送信元端末が第2のVLANに設定され、送信先端末が第1のVLANに設定される。脅威除去部は、第6のポートを介して取得した通信データに含まれる脅威を除去する。書換部は、脅威を除去した通信データに含まれる通信ネットワークのVLAN情報を書き換える。つまり、第1のVLANを示すVLAN情報と第2のVLANを示すVLAN情報とが異なるため、書換部は、通信データに含まれるVLAN情報を、送信先端末が接続されている第7ポートに対応するようにVLAN情報を書き換える。これにより、異なるVLANを通過する通信データであっても、送信元端末から送信先端末に送信することができる。 Thus, when the threat detection unit detects a threat of communication data, the source terminal is set to the second VLAN, and the destination terminal is set to the first VLAN. The threat removal unit removes threats contained in the communication data acquired through the sixth port. The rewriting unit rewrites the VLAN information of the communication network included in the threat-removed communication data. In other words, since the VLAN information indicating the first VLAN and the VLAN information indicating the second VLAN are different, the rewriting unit adapts the VLAN information included in the communication data to the seventh port to which the destination terminal is connected. Rewrite the VLAN information so that As a result, even communication data passing through different VLANs can be transmitted from the source terminal to the destination terminal.

本開示の一様態に係るネットワーク防御装置において、前記第1のVLANは、前記脅威除去部を介さない通常系ネットワークであり、前記第2のVLANは、前記脅威除去部が前記通信データの脅威を除去する検疫系ネットワークであり、前記脅威検知部で脅威を検知した場合、前記経路変更部は、前記第1のVLANの一部を前記通常系ネットワークから検疫系ネットワークに変更する。 In the network protection device according to one aspect of the present disclosure, the first VLAN is a normal network that does not involve the threat elimination unit, and the second VLAN is configured so that the threat elimination unit detects a threat of the communication data. When the threat detection unit detects a threat, the route change unit changes part of the first VLAN from the normal network to the quarantine network.

これによれば、脅威を検知した場合に、通常系ネットワークから検疫系ネットワークに変更されるため、送信元端末が出力した通信データに含まれる脅威を、送信先端末に届く前に除去することができる。 According to this, when a threat is detected, the network is changed from the normal system to the quarantine system, so the threat included in the communication data output by the source terminal can be removed before it reaches the destination terminal. can.

本開示の一様態に係るネットワーク防御装置における、前記脅威除去部において、前記通信データの脅威が除去されると、前記経路変更部は、前記通常系ネットワークから変更されていた前記検疫系ネットワークを、前記通常系ネットワークに戻す。 In the network protection device according to an aspect of the present disclosure, when the threat elimination unit eliminates the threat of the communication data, the route change unit changes the quarantine network, which has been changed from the normal network, to Return to the normal system network.

通信データの脅威が除去された後も送信元端末と送信先端末との通信経路の間に脅威除去部を介していれば、両者の間で通信遅延が生じてしまう。しかし、このネットワーク防御装置では、通信データの脅威が除去されれば検疫系ネットワークを、通常系ネットワークに戻す。このため、送信元端末と送信先端末との間の通信遅延の発生を抑制することができる。 Even after the threat of the communication data is removed, if the threat removal unit is interposed between the communication path between the source terminal and the destination terminal, a communication delay occurs between the two. However, in this network protection device, once the threat of communication data is removed, the quarantine system network is returned to the normal system network. Therefore, it is possible to suppress the occurrence of communication delay between the source terminal and the destination terminal.

本開示の一様態に係るネットワーク防御装置において、前記通信データ取得部は、前記通信データのコピーを取得し、前記脅威検知部は、前記通信データのコピーをプロミスキャスモードで監視する。 In the network protection device according to an aspect of the present disclosure, the communication data acquisition unit acquires a copy of the communication data, and the threat detection unit monitors the copy of the communication data in promiscuous mode.

例えば送信元端末と送信先端末との通信経路の間に脅威検知部を配置すれば、脅威検知部が全ての通信データを監視するため、両者の間で通信遅延が生じてしまう。しかし、このネットワーク防御装置では、通信経路上の通信データをコピーしてプロミスキャスモードで監視するため、送信元端末と送信先端末との間の通信遅延の発生を抑制することができる。 For example, if a threat detection unit is placed between the communication path between the source terminal and the destination terminal, the threat detection unit monitors all communication data, resulting in a communication delay between the two. However, since this network protection device copies communication data on the communication path and monitors it in promiscuous mode, it is possible to suppress the occurrence of communication delays between the source terminal and the destination terminal.

本開示の一様態に係るネットワーク防御装置において、前記脅威除去部は、脅威を検知した前記通信データから、脅威を含む不要なデータを除去する。 In the network protection device according to one aspect of the present disclosure, the threat removal unit removes unnecessary data including threats from the threat-detected communication data.

これによれば、送信先端末には通信データから脅威を含む不要なデータを除去した、脅威除去後の通信データが送信されるため、通信データの通信量を削減することができる。 According to this, the communication data from which unnecessary data including threats are removed from the communication data and the threats removed is transmitted to the destination terminal, so that the amount of communication data can be reduced.

本開示の一様態に係るネットワーク防御装置において、前記脅威検知部は、検知した脅威内容に応じて、脅威が検知された送信元端末にスコアを付与し、前記経路変更部は、前記脅威検知部で付与した前記スコアが第1の値を超えた場合、前記スコアが付与された当該送信元端末に係る通信データを前記脅威除去部に経由させるように、前記スイッチに通信経路を変更させる。 In the network defense device according to an aspect of the present disclosure, the threat detection unit gives a score to the source terminal in which the threat is detected according to the content of the detected threat, and the route change unit performs the threat detection unit exceeds a first value, the switch is caused to change the communication route so that the communication data relating to the transmission source terminal to which the score is assigned passes through the threat elimination unit.

これによれば、脅威をスコアによって段階的に分類することで、脅威を含んでいる可能性の高い通信データだけを脅威除去部に経由させることができる。このため、脅威を含んでいる可能性の低い通信データを脅威除去部に経由させないようにすることができる。その結果、脅威除去部を経由する通信データの数が削減されるため、送信元端末と送信先端末との通信経路の間の通信遅延の発生を抑制することができる。 According to this, by classifying the threats in stages according to the scores, it is possible to pass only the communication data that is highly likely to contain the threat to the threat elimination unit. Therefore, it is possible to prevent communication data with a low possibility of containing a threat from passing through the threat elimination unit. As a result, the amount of communication data that passes through the threat removal unit is reduced, so that it is possible to suppress the occurrence of communication delays between the communication paths between the source terminal and the destination terminal.

本開示の一様態に係るネットワーク防御装置において、前記脅威検知部は、付与した前記スコアに対して、所定時間経過後に前記スコアを所定値減算し、検知した脅威の前記スコアが第2の値を下回った場合、前記経路変更部は、前記送信元端末と前記送信先端末との接続を、前記脅威除去部を介さないように前記スイッチに通信経路を変更させる。 In the network defense device according to an aspect of the present disclosure, the threat detection unit subtracts a predetermined value from the given score after a predetermined time has elapsed, and the score of the detected threat is reduced to a second value. If it falls below, the route changing unit causes the switch to change the communication route so that the connection between the source terminal and the destination terminal does not go through the threat removal unit.

これによれば、通信データから検知された脅威の内容(スコア)を精度よく補正することができる。このため、時間の経過とともに脅威除去部を経由する通信データの数が削減されるため、送信元端末と送信先端末との通信経路での通信遅延の発生を抑制することができる。 According to this, it is possible to accurately correct the content (score) of the threat detected from the communication data. As a result, the number of communication data items that pass through the threat removal unit is reduced over time, so that it is possible to suppress the occurrence of communication delays in the communication path between the source terminal and the destination terminal.

本開示の一様態に係るネットワーク防御装置において、前記脅威検知部は、検知した脅威の前記スコアが前記第1の値より大きい第3の値を超えた場合、前記所定時間経過しても前記スコアを減算しない。 In the network defense device according to an aspect of the present disclosure, when the score of the detected threat exceeds a third value larger than the first value, the score is do not subtract

これによれば、脅威を含んでいる可能性の非常に高い通信データについては、誤検知の可能性が低いと考えられるため、通信データから検知された脅威を示すスコアを変更することなく、スコアを維持する。このため、誤検知の発生を抑制するとともに、検知した脅威を脅威除去部によって確実に除去することができる。 According to this, communication data with a very high probability of containing threats is considered to have a low probability of false positives. to maintain Therefore, it is possible to suppress the occurrence of erroneous detection and reliably remove the detected threat by the threat removal unit.

なお、以下で説明する実施の形態は、いずれも本発明の一具体例を示すものである。これらの包括的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能な記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムまたは記録媒体の任意の組み合わせで実現されてもよい。以下の実施の形態で示される数値、形状、構成要素、ステップ、ステップの順序などは、一例であり、本発明を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、最上位概念を示す独立請求項に記載されていない構成要素については、任意の構成要素として説明される。また全ての実施の形態において、各々の内容を組み合わせることもできる。 It should be noted that each of the embodiments described below is a specific example of the present invention. These generic or specific aspects may be embodied in systems, methods, integrated circuits, computer programs or computer readable recording media, and any combination of systems, methods, integrated circuits, computer programs or recording media. may be implemented with Numerical values, shapes, components, steps, order of steps, and the like shown in the following embodiments are examples and are not intended to limit the present invention. In addition, among the constituent elements in the following embodiments, constituent elements that are not described in independent claims representing the highest concept will be described as arbitrary constituent elements. Moreover, each content can also be combined in all the embodiments.

(実施の形態1)
本実施の形態について、図面を参照しながら説明する。なお、各図面において同じ構成要素については同じ符号が用いられている。
(Embodiment 1)
This embodiment will be described with reference to the drawings. The same symbols are used for the same components in each drawing.

1.通信ネットワークの全体構成
図1は、本実施の形態におけるネットワーク防御装置が属する通信ネットワークの全体構成を示す図である。本実施の形態の通信ネットワークでは、端末は、IEEE802.3で規定されるEthernet(登録商標)上でTCP(Transmission Control Protocol)/IP(Internet Protocol)およびUDP(User Datagram Protocol)/IPなどアプリケーションに応じて、適切なプロトコルで通信を行う。
1. Overall Configuration of Communication Network FIG. 1 is a diagram showing the overall configuration of a communication network to which a network protection device according to this embodiment belongs. In the communication network of the present embodiment, a terminal can be used for applications such as TCP (Transmission Control Protocol)/IP (Internet Protocol) and UDP (User Datagram Protocol)/IP on Ethernet (registered trademark) defined by IEEE802.3. Depending on the situation, communication is performed using an appropriate protocol.

図1に示すように、通信ネットワークでは、インテリジェントスイッチ20に対して、ネットワーク防御装置10と、送信先端末301と、送信元端末302とがそれぞれLANケーブルで接続されて構成される。本実施の形態では、便宜上、送信元端末302が送信する後述する図2の通信データ1010の送信先を送信先端末301、および、送信先端末301に送信する通信データ1010の送信元を送信元端末302に定義しているが、送信先端末は送信元端末とも成りえ、その逆も成りえる。 As shown in FIG. 1, in the communication network, a network protection device 10, a destination terminal 301, and a source terminal 302 are connected to an intelligent switch 20 by LAN cables. In this embodiment, for the sake of convenience, the destination of communication data 1010 in FIG. As defined in terminal 302, the destination terminal can also be the source terminal and vice versa.

インテリジェントスイッチ20は、端末を接続するための複数のLANのポート(0~7)を備える。なお、以下では、LANのポートのことを単にポートと呼ぶ。インテリジェントスイッチ20において、インテリジェントスイッチ20とLANケーブルとの接続点に記載されている数値は、LANケーブルが接続されるポートの番号を示す。なお、以下で単に「端末」という場合は、送信元端末302および送信先端末301を総称していう。 The intelligent switch 20 has a plurality of LAN ports (0 to 7) for connecting terminals. In the following description, LAN ports are simply referred to as ports. In the intelligent switch 20, the numerical value written at the connection point between the intelligent switch 20 and the LAN cable indicates the number of the port to which the LAN cable is connected. In the following, when simply referred to as a "terminal", the source terminal 302 and the destination terminal 301 are collectively referred to.

また、インテリジェントスイッチ20は、それぞれのポートにVLANと呼ばれる論理的なネットワークを設定する機能を備える。インテリジェントスイッチ20では、インテリジェントスイッチ20を通過する通信データ1010のコピーを出力可能なミラー機能をポート0に備える。ポート1~7は、一般的なスイッチングハブのポートと同様の振る舞いをする。なお、ポート(LANのポート)は、物理的ポートだけでなく論理的なソフトウェアポートを含んでいてもよい。ただし、ソフトウェアポートには、TCP/IPのようなポートを含めなくてもよい。 The intelligent switch 20 also has a function of setting a logical network called VLAN for each port. In the intelligent switch 20, the port 0 has a mirror function capable of outputting a copy of the communication data 1010 passing through the intelligent switch 20. FIG. Ports 1-7 behave like ports of a general switching hub. Ports (LAN ports) may include not only physical ports but also logical software ports. However, software ports need not include ports such as TCP/IP.

インテリジェントスイッチ20のポート0~2は、それぞれLANケーブルを介して、ネットワーク防御装置10に接続されている。また、インテリジェントスイッチ20のポート4には、送信先端末301が接続されている。さらに、インテリジェントスイッチ20のポート7には、送信元端末302が接続されている。ポート7は第1のポートの一例である。ポート4は第4のポートの一例である。 Ports 0-2 of the intelligent switch 20 are connected to the network protection device 10 via LAN cables, respectively. A destination terminal 301 is connected to port 4 of the intelligent switch 20 . Furthermore, a source terminal 302 is connected to port 7 of the intelligent switch 20 . Port 7 is an example of a first port. Port 4 is an example of a fourth port.

2.ネットワーク防御装置の構成
次にネットワーク防御装置10の詳細について説明する。
2. Configuration of Network Protection Device Next, details of the network protection device 10 will be described.

ネットワーク防御装置10は、通信データ取得部101と、通信分析部102と、スイッチ操作部103と、端末情報管理部104と、脅威除去部105とを備える。 The network protection device 10 includes a communication data acquisition unit 101 , a communication analysis unit 102 , a switch operation unit 103 , a terminal information management unit 104 and a threat elimination unit 105 .

通信データ取得部101は、複数のポートを備えたインテリジェントスイッチ20を流れる通信データ1010をプロミスキャスモードで取得する。通信データ取得部101は、送信元端末302と送信先端末301との間で通信される通信データ1010を、ポート0からの出力によって受信(取得)し、通信分析部102に出力する機能を備える。 The communication data acquisition unit 101 acquires communication data 1010 flowing through the intelligent switch 20 having a plurality of ports in promiscuous mode. The communication data acquisition unit 101 has a function of receiving (acquiring) the communication data 1010 communicated between the source terminal 302 and the destination terminal 301 from port 0 and outputting it to the communication analysis unit 102. .

通信分析部102は、通信データ取得部101から出力された通信データ1010を分析する。通信分析部102は、分析結果を示す情報(後述する端末通信情報)を端末情報管理部104に出力する機能を備える。端末のポート番号は、端末がインテリジェントスイッチ20に接続されているポートの数値である。 Communication analysis unit 102 analyzes communication data 1010 output from communication data acquisition unit 101 . The communication analysis unit 102 has a function of outputting information indicating analysis results (terminal communication information described later) to the terminal information management unit 104 . The terminal port number is the numerical value of the port to which the terminal is connected to the intelligent switch 20 .

スイッチ操作部103は、インテリジェントスイッチ20が保持している端末のポート番号および端末のアドレスを対応付けた情報(後述するスイッチ情報)を取得し、端末情報管理部104に通知する機能を備える。また、スイッチ操作部103は、端末情報管理部104から出力された情報(後述する端末情報)に基づいて、インテリジェントスイッチ20のVLANを、VLAN1からVLAN2に、或いはVLAN2からVLAN1に切り換える(変更する)。つまり、スイッチ操作部103は、インテリジェントスイッチ20に、VLAN1とVLAN2とを相互に切り換えることを命令する機能を備える。ここで、VLAN1は、通常系ネットワークであり、VLAN2は、検疫系ネットワークである。VLAN1は、第1のVLANの一例であり、VLAN2は、第2のVLANの一例である。 The switch operation unit 103 has a function of acquiring information (switch information described later) in which the terminal port number and the terminal address held by the intelligent switch 20 are associated with each other, and notifying the terminal information management unit 104 of the acquired information. Further, the switch operation unit 103 switches (changes) the VLAN of the intelligent switch 20 from VLAN1 to VLAN2 or from VLAN2 to VLAN1 based on information (terminal information described later) output from the terminal information management unit 104. . That is, the switch operation unit 103 has a function of instructing the intelligent switch 20 to switch between VLAN1 and VLAN2. Here, VLAN1 is a normal system network, and VLAN2 is a quarantine system network. VLAN1 is an example of a first VLAN, and VLAN2 is an example of a second VLAN.

端末情報管理部104は、通信分析部102から出力された分析結果を示す情報と、後述するスイッチ操作部103のスイッチ情報取得部1032から出力された情報とを統合し、端末情報として管理する。端末情報管理部104は、この端末情報をスイッチ操作部103に通知する機能を備える。 Terminal information management section 104 integrates information indicating analysis results output from communication analysis section 102 and information output from switch information acquisition section 1032 of switch operation section 103, which will be described later, and manages them as terminal information. The terminal information management unit 104 has a function of notifying the switch operation unit 103 of this terminal information.

脅威除去部105は、送信先端末301から送信された通信データ1010を取得し、取得した通信データ1010から脅威を除去する機能を備える。つまり、脅威除去部105は、脅威を検知した通信データ1010から、脅威を含む不要なデータを除去する機能を備える。また、脅威除去部105は、脅威除去後の通信データを送信先端末301に出力する機能も備える。脅威除去部105は、通信データ1010そのものが脅威であれば、通信データ1010を除去し、通信データ1010に含まれる例えば文字列などが脅威であれば、その文字列を除去した通信データ1010を、インテリジェントスイッチ20に出力する。 The threat removal unit 105 has a function of acquiring the communication data 1010 transmitted from the destination terminal 301 and removing the threat from the acquired communication data 1010 . In other words, the threat removal unit 105 has a function of removing unnecessary data including threats from the threat-detected communication data 1010 . The threat elimination unit 105 also has a function of outputting communication data after threat elimination to the destination terminal 301 . If the communication data 1010 itself is a threat, the threat removal unit 105 removes the communication data 1010. If, for example, a character string contained in the communication data 1010 is a threat, the threat removal unit 105 removes the character string from the communication data 1010. output to the intelligent switch 20;

ここで、脅威とは、送信先端末301および送信先端末301に格納される情報に対して、破損、破壊、または、アクセス拒否などの有害なまたは望まれない影響を生じさせるコンピュータプログラムであり、例えばマルウェア、ウイルス、または、スパイウェア等である。 Here, a threat is a computer program that causes harmful or unwanted effects, such as damage, destruction, or access denial, to destination terminal 301 and information stored on destination terminal 301; For example, malware, virus, or spyware.

2-1.通信データの構成
図2は、本実施の形態における通信データ1010の構成を示す図である。図2に示すように、通信データ1010には、少なくとも、送信元アドレス情報1011と送信先アドレス情報1012とペイロード1013とが含まれる。
2-1. Configuration of Communication Data FIG. 2 is a diagram showing the configuration of communication data 1010 in this embodiment. As shown in FIG. 2 , communication data 1010 includes at least source address information 1011 , destination address information 1012 and payload 1013 .

送信元アドレス情報1011には、少なくとも、送信元MAC(Media Access Control)アドレス情報10111と、送信元IPアドレス情報10112と、送信元ポート情報10113とが含まれる。送信元アドレス情報1011は、送信元端末302の情報の一例である。 The source address information 1011 includes at least source MAC (Media Access Control) address information 10111 , source IP address information 10112 , and source port information 10113 . Source address information 1011 is an example of information on the source terminal 302 .

送信先アドレス情報1012には、少なくとも、送信先MACアドレス情報10121と、送信先IPアドレス情報10122と、送信先ポート情報10123とが含まれる。送信先アドレス情報1012は、送信先端末の情報の一例である。 The destination address information 1012 includes at least destination MAC address information 10121 , destination IP address information 10122 and destination port information 10123 . The destination address information 1012 is an example of information on the destination terminal.

3.通信分析部の構成
次に通信分析部102の詳細について説明する。
3. Configuration of Communication Analysis Unit Next, the details of the communication analysis unit 102 will be described.

図3は、本実施の形態における通信分析部102の構成を示す図である。図3に示すように、通信分析部102は、端末アドレス確認部1020と、通信フロー情報解析部1021と、通信データ解析部1022とを備える。 FIG. 3 is a diagram showing the configuration of communication analysis section 102 in this embodiment. As shown in FIG. 3 , communication analysis section 102 includes terminal address confirmation section 1020 , communication flow information analysis section 1021 , and communication data analysis section 1022 .

通信分析部102は、通信データ取得部101から通信データ1010を取得し、端末アドレス確認部1020と通信フロー情報解析部1021と通信データ解析部1022とを用いて、それぞれが通信データ1010を解析する。通信分析部102は、端末アドレス確認部1020、通信フロー情報解析部1021、および、通信データ解析部1022のそれぞれの脅威検知情報を纏めた端末通信情報1023を、端末情報管理部104に出力する。通信分析部102は、脅威検知部の一例である。 Communication analysis unit 102 acquires communication data 1010 from communication data acquisition unit 101, and uses terminal address confirmation unit 1020, communication flow information analysis unit 1021, and communication data analysis unit 1022 to analyze communication data 1010, respectively. . Communication analysis unit 102 outputs terminal communication information 1023 in which threat detection information from terminal address confirmation unit 1020 , communication flow information analysis unit 1021 , and communication data analysis unit 1022 is summarized to terminal information management unit 104 . The communication analysis unit 102 is an example of a threat detection unit.

3-1.端末アドレス確認部の構成
図2および図3に示すように、端末アドレス確認部1020は、通信データ1010にある送信元アドレス情報1011のうち、少なくとも、送信元MACアドレス情報10111と送信元IPアドレス情報10112とを取得する。端末アドレス確認部1020は、取得した送信元アドレス情報1011に基づいて、アクセスが禁止されている送信元端末302のMACアドレス情報およびIPアドレス情報と、送信元MACアドレス情報10111および送信元IPアドレス情報10112とが一致するかどうかを判定し、判定した結果である脅威検知情報を出力する。
3-1. Configuration of Terminal Address Verification Unit As shown in FIGS. 10112. Based on the acquired source address information 1011, the terminal address confirmation unit 1020 checks the MAC address information and IP address information of the source terminal 302 whose access is prohibited, the source MAC address information 10111 and the source IP address information. 10112, and outputs threat detection information that is the result of the determination.

3-2.通信フロー情報解析部の構成
通信フロー情報解析部1021は、通信データ1010に含まれる送信先アドレス情報1012に基づいて脅威検知情報を生成する。通信フロー情報解析部1021は、送信先アドレス情報1012に基づいて脅威があるかどうかを判定し、判定した結果である脅威検知情報を出力する。通信フロー情報解析部1021は、ブラックリスト通信検知部10211と、ホワイトリスト外通信検知部10212と、IPスキャン検知部10213と、ポートスキャン検知部10214とを含む。なお、通信フロー情報解析部1021は、上記の検知部を全て含まなくてもよく、一部の構成でもよいし、さらに別の検知部を含んでもよい。
3-2. Configuration of Communication Flow Information Analysis Section Communication flow information analysis section 1021 generates threat detection information based on destination address information 1012 included in communication data 1010 . Communication flow information analysis unit 1021 determines whether there is a threat based on destination address information 1012, and outputs threat detection information as a result of the determination. Communication flow information analysis section 1021 includes blacklist communication detection section 10211 , non-whitelist communication detection section 10212 , IP scan detection section 10213 , and port scan detection section 10214 . Note that the communication flow information analysis unit 1021 may not include all of the detection units described above, may include a part of the detection units, or may include another detection unit.

ブラックリスト通信検知部10211は、アクセスを禁止されている送信先アドレス情報と送信先アドレス情報1012とが一致するかどうかを判定し、一致する場合にセキュリティ異常として検知する。 The blacklist communication detection unit 10211 determines whether or not the transmission destination address information for which access is prohibited matches the transmission destination address information 1012, and detects a security abnormality if they match.

ホワイトリスト外通信検知部10212は、アクセスを許可されている送信先アドレス情報と送信先アドレス情報1012とが一致するかどうかを判定し、一致しない場合にセキュリティ異常として検知する。 The non-whitelist communication detection unit 10212 determines whether or not the transmission destination address information permitted to access matches the transmission destination address information 1012, and detects a security abnormality if they do not match.

IPスキャン検知部10213は、送信先アドレス情報1012に含まれる送信先IPアドレス情報10122から、通信ネットワーク内部における多数のIPアドレスへのアクセス試行の有無を判定する。IPスキャン検知部10213は、このようなアクセス試行がある場合に、セキュリティ異常として検知する。 The IP scan detection unit 10213 determines from the destination IP address information 10122 included in the destination address information 1012 whether there is an attempt to access multiple IP addresses within the communication network. The IP scan detection unit 10213 detects a security abnormality when there is such an access attempt.

ポートスキャン検知部10214は、送信先アドレス情報1012に含まれる送信先ポート情報10123から通信ネットワーク内部における特定のIPアドレスに対する多数のポートへのアクセス試行の有無を判定する。ポートスキャン検知部10214は、このようなアクセス試行が有る場合に、セキュリティ異常として判定する。 The port scan detection unit 10214 determines from the destination port information 10123 included in the destination address information 1012 whether there is an attempt to access a number of ports for a specific IP address within the communication network. The port scan detection unit 10214 determines security abnormality when there is such an access attempt.

通信フロー情報解析部1021は、ブラックリスト通信検知部10211、ホワイトリスト外通信検知部10212、IPスキャン検知部10213、および、ポートスキャン検知部10214以外の別の検知部を用いてもよい。例えば、機械学習を用いて、アクセス先が妥当なものかどうかを点数評価し、一定の点数以上となるものをセキュリティ異常と判定する検知部、点数が最上位の端末から数台目までの端末をセキュリティ異常の疑いと判定する検知部などである。 The communication flow information analysis unit 1021 may use detection units other than the blacklist communication detection unit 10211 , non-whitelist communication detection unit 10212 , IP scan detection unit 10213 , and port scan detection unit 10214 . For example, using machine learning, the detection unit evaluates whether the access destination is appropriate or not, and determines that the access destination has a certain score or more as a security abnormality, and the terminal with the highest score to the next few security anomaly.

3-3.通信データ解析部の構成
通信分析部102において、通信データ解析部1022は、通信データ1010に含まれるペイロード1013に基づいて脅威検知情報を生成する。通信データ解析部1022は、ペイロード1013に基づいて脅威があるかどうかを判定し、判定した結果である脅威検知情報を出力する。通信データ解析部1022は、脆弱性攻撃検知部10221とマルウェア検知部10222と認証失敗検知部10223とを含む。
3-3. Configuration of Communication Data Analysis Unit In communication analysis unit 102 , communication data analysis unit 1022 generates threat detection information based on payload 1013 included in communication data 1010 . Communication data analysis unit 1022 determines whether there is a threat based on payload 1013, and outputs threat detection information as a result of the determination. Communication data analysis unit 1022 includes vulnerability attack detection unit 10221 , malware detection unit 10222 , and authentication failure detection unit 10223 .

なお、通信データ解析部1022は、上記の脆弱性攻撃検知部10221、マルウェア検知部10222、および、認証失敗検知部10223を全て含まなくてもよく、さらに別の検知部を含んでもよい。 The communication data analysis unit 1022 may not include all of the vulnerability attack detection unit 10221, the malware detection unit 10222, and the authentication failure detection unit 10223, and may include another detection unit.

脆弱性攻撃検知部10221は、ペイロード1013の中において、端末に組み込まれているソフトウェアの脆弱性を攻撃するパターンの有無を判定する。脆弱性攻撃検知部10221は、通信データ1010にソフトウェアの脆弱性を攻撃するパターンが有る場合に、セキュリティ異常として検知する。 The vulnerability attack detection unit 10221 determines whether there is a pattern in the payload 1013 that attacks the vulnerability of the software installed in the terminal. The vulnerability attack detection unit 10221 detects a security abnormality when the communication data 1010 has a pattern of attacking software vulnerability.

マルウェア検知部10222は、ペイロード1013にマルウェアを示すパターンが含まれているかどうかを判定する。マルウェア検知部10222は、マルウェアを示すパターンが含まれる場合に、セキュリティ異常として検知する。 The malware detection unit 10222 determines whether the payload 1013 contains a pattern indicating malware. The malware detection unit 10222 detects a security abnormality when a pattern indicating malware is included.

認証失敗検知部10223は、端末への認証試行情報を取得し、特定の端末に対して一定時間内に認証試行と認証失敗とが繰り返し発生しているかどうかを判定する。認証失敗検知部10223は、認証失敗が繰り返して発生している場合に、セキュリティ異常として検知する。 The authentication failure detection unit 10223 acquires authentication attempt information for a terminal, and determines whether authentication attempts and authentication failures have repeatedly occurred for a specific terminal within a certain period of time. The authentication failure detection unit 10223 detects a security abnormality when authentication failures occur repeatedly.

通信データ解析部1022は、脆弱性攻撃検知部10221、マルウェア検知部10222、および、認証失敗検知部10223以外の別の検知部を用いてもよい。別の検知部は、例えば、非特許文献1に開示されているような、ペイロード1013のビットパターンの一部を、機械学習を用いて点数評価したり、ペイロード1013の内容を解読して得た情報を、機械学習を用いて点数評価したりするなどして、ある一定以上の点数であればセキュリティ異常として検知する検知部、点数が上位の数パターンをセキュリティ異常として検知する検知部などが考えられる。 Communication data analysis unit 1022 may use another detection unit other than vulnerability attack detection unit 10221 , malware detection unit 10222 , and authentication failure detection unit 10223 . Another detection unit, for example, as disclosed in Non-Patent Document 1, a part of the bit pattern of the payload 1013 is scored using machine learning, or obtained by decoding the contents of the payload 1013 A detection unit that evaluates information using machine learning, etc., detects a security anomaly if the score exceeds a certain level, and a detection unit that detects several patterns with the highest scores as a security anomaly. be done.

3-4.端末通信情報の構成
次に、端末通信情報1023の詳細について説明する。図4は、本実施の形態における端末通信情報1023の構成を示す図である。
3-4. Configuration of Terminal Communication Information Next, details of the terminal communication information 1023 will be described. FIG. 4 is a diagram showing the configuration of terminal communication information 1023 in this embodiment.

図3および図4に示すように、端末アドレス確認部1020、通信フロー情報解析部1021、および、通信データ解析部1022は、通信データ1010を解析し、解析した結果を端末通信情報1023とする。図4に示すように、端末通信情報1023は、端末番号10230とIPアドレス情報10231とMACアドレス情報10232と更新時刻情報10233と脅威検知内容10234とで構成される。 As shown in FIGS. 3 and 4 , terminal address confirmation section 1020 , communication flow information analysis section 1021 , and communication data analysis section 1022 analyze communication data 1010 and use the analysis result as terminal communication information 1023 . As shown in FIG. 4, the terminal communication information 1023 is composed of a terminal number 10230, IP address information 10231, MAC address information 10232, update time information 10233, and threat detection content 10234. FIG.

端末アドレス確認部1020は、送信元IPアドレス情報10112をIPアドレス情報10231とし、送信元MACアドレス情報10111をMACアドレス情報10232とする。また、通信フロー情報解析部1021と通信データ解析部1022との判定結果は脅威検知内容10234とされる。IPアドレス情報10231、および、送信元のMACアドレス情報10232を取得した時刻は、更新時刻情報10233とされる。 Terminal address confirmation section 1020 sets source IP address information 10112 as IP address information 10231 and source MAC address information 10111 as MAC address information 10232 . Further, the determination result of the communication flow information analysis unit 1021 and the communication data analysis unit 1022 is regarded as threat detection content 10234 . The time when the IP address information 10231 and the transmission source MAC address information 10232 are acquired is the update time information 10233 .

4.スイッチ操作部の構成
次に、スイッチ操作部103の詳細について説明する。図5は、本実施の形態におけるスイッチ操作部103の構成を示す図である。
4. Configuration of Switch Operation Unit Next, the details of the switch operation unit 103 will be described. FIG. 5 is a diagram showing the configuration of switch operation unit 103 in this embodiment.

図5に示すように、スイッチ操作部103は、インテリジェントスイッチ20に関する設定情報であるスイッチ初期設定情報1031を格納している。スイッチ操作部103は、スイッチ情報取得部1032と、経路変更部1033とを備える。 As shown in FIG. 5, the switch operation unit 103 stores switch initial setting information 1031, which is setting information regarding the intelligent switch 20. FIG. The switch operation unit 103 has a switch information acquisition unit 1032 and a route change unit 1033 .

スイッチ情報取得部1032は、スイッチ初期設定情報1031に基づいてインテリジェントスイッチ20が保持するスイッチ情報10320を取得し、スイッチ情報10320を端末情報管理部104に出力する。 The switch information acquisition section 1032 acquires the switch information 10320 held by the intelligent switch 20 based on the switch initial setting information 1031 and outputs the switch information 10320 to the terminal information management section 104 .

経路変更部1033は、スイッチ初期設定情報1031と端末情報管理部104とからの通知に基づいてインテリジェントスイッチ20の各ポートのVLAN設定を変更する。 The route changing unit 1033 changes the VLAN setting of each port of the intelligent switch 20 based on the notification from the switch initial setting information 1031 and the terminal information managing unit 104 .

4-1.スイッチ初期設定情報の構成
次に、スイッチ初期設定情報1031の詳細について説明する。図6は、本実施の形態におけるスイッチ初期設定情報1031の構成を示す図である。図6に示すように、スイッチ初期設定情報1031は、スイッチ識別情報10311とスイッチ制御用IPアドレス10312とが対応したスイッチ識別情報テーブル10310、および、VLAN情報10314とVLANネットワーク種類10315とが対応したVLAN識別情報テーブル10313で構成される。
4-1. Configuration of Switch Initial Setting Information Next, details of the switch initial setting information 1031 will be described. FIG. 6 is a diagram showing the configuration of the switch initial setting information 1031 according to this embodiment. As shown in FIG. 6, the switch initial setting information 1031 includes a switch identification information table 10310 in which the switch identification information 10311 and the switch control IP address 10312 correspond, and a VLAN information table 10314 in which the VLAN information 10314 and the VLAN network type 10315 correspond. It is composed of an identification information table 10313 .

スイッチ識別情報10311は、個々のインテリジェントスイッチ20を識別する情報である。 The switch identification information 10311 is information for identifying individual intelligent switches 20 .

スイッチ制御用IPアドレス10312は、SNMP(Simple Network Management Protocol)を用いてインテリジェントスイッチ20のポート1を通じて、インテリジェントスイッチ20を制御する場合に使用する。 The switch control IP address 10312 is used when controlling the intelligent switch 20 through port 1 of the intelligent switch 20 using SNMP (Simple Network Management Protocol).

VLAN情報10314は、VLANを特定(識別)するための情報であり、本実施の形態では、VLAN1、および、VLAN2が存在する。 The VLAN information 10314 is information for specifying (identifying) a VLAN, and VLAN1 and VLAN2 exist in this embodiment.

VLANネットワーク種類10315は、VLAN情報10314に対応付けられている。例えば、VLAN1は、VLANネットワーク種類10315が通常系ネットワークを示し、VLAN2は、VLANネットワーク種類10315が検疫系ネットワークを示す。 The VLAN network type 10315 is associated with VLAN information 10314 . For example, for VLAN1, the VLAN network type 10315 indicates a normal network, and for VLAN2, the VLAN network type 10315 indicates a quarantine network.

通常系ネットワークは、送信元端末302から送信先端末301までの間に、脅威除去部105を介さないネットワークである。 A normal network is a network in which the threat removal unit 105 is not interposed between the source terminal 302 and the destination terminal 301 .

検疫系ネットワークは、送信元端末302から送信先端末301までの間に、脅威除去部105を介するネットワークである。 The quarantine system network is a network in which the threat removal unit 105 is interposed between the source terminal 302 and the destination terminal 301 .

4-2.スイッチ情報の構成
次に、スイッチ情報10320の詳細について説明する。図7は、本実施の形態におけるスイッチ情報10320の構成を示す図である。スイッチ情報10320は、スイッチ情報取得部1032により生成される。スイッチ情報取得部1032は、スイッチ初期設定情報1031から取得されたスイッチ識別情報10311をスイッチ識別情報10321とし、インテリジェントスイッチ20から、スイッチ識別情報10321に対応する接続ポート情報10322、VLAN情報10323、および、MACアドレス情報10324を取得する。
4-2. Configuration of Switch Information Next, the details of the switch information 10320 will be described. FIG. 7 is a diagram showing the configuration of switch information 10320 in this embodiment. Switch information 10320 is generated by switch information acquisition section 1032 . The switch information acquisition unit 1032 sets the switch identification information 10311 acquired from the switch initial setting information 1031 as the switch identification information 10321, and obtains the connection port information 10322 corresponding to the switch identification information 10321, VLAN information 10323, and MAC address information 10324 is acquired.

接続ポート情報10322は、端末が接続されているインテリジェントスイッチ20のポート番号を示す情報である。 The connection port information 10322 is information indicating the port number of the intelligent switch 20 to which the terminal is connected.

5.端末情報管理部の構成
次に、ネットワーク防御装置10の端末情報管理部104の詳細について説明する。図8は、本実施の形態における端末情報管理部104の構成を示す図である。図8に示すように、端末情報管理部104は、管理対象の通信ネットワークに存在する端末の情報である端末情報10410を管理する。端末情報管理部104は、端末情報10410を記憶する端末情報記憶部1041と、端末情報更新部1042と、端末管理設定部1043aとを備える。
5. Configuration of Terminal Information Management Unit Next, details of the terminal information management unit 104 of the network protection device 10 will be described. FIG. 8 is a diagram showing the configuration of terminal information management section 104 in this embodiment. As shown in FIG. 8, the terminal information management unit 104 manages terminal information 10410, which is information about terminals existing in the communication network to be managed. The terminal information management unit 104 includes a terminal information storage unit 1041 that stores terminal information 10410, a terminal information update unit 1042, and a terminal management setting unit 1043a.

端末情報更新部1042は、通信分析部102から取得した図4の端末通信情報1023と、スイッチ操作部103から取得した図7のスイッチ情報10320と、後述する図9の脅威加算スコア情報10430とに基づいて端末一時情報1040を生成する。端末情報更新部1042は、端末一時情報1040と端末情報記憶部1041に記憶される端末情報10410とに基づいて、端末更新情報10420を生成する。端末情報更新部1042は、端末更新情報10420を、スイッチ操作部103の経路変更部1033へ通知する。さらに、端末情報更新部1042は、端末更新情報10420に基づいて、端末情報記憶部1041に記憶される端末情報10410を更新する。 The terminal information update unit 1042 updates the terminal communication information 1023 of FIG. 4 obtained from the communication analysis unit 102, the switch information 10320 of FIG. 7 obtained from the switch operation unit 103, and the threat addition score information 10430 of FIG. Based on this, terminal temporary information 1040 is generated. Terminal information update section 1042 generates terminal update information 10420 based on terminal temporary information 1040 and terminal information 10410 stored in terminal information storage section 1041 . Terminal information update section 1042 notifies terminal update information 10420 to route change section 1033 of switch operation section 103 . Furthermore, the terminal information update unit 1042 updates the terminal information 10410 stored in the terminal information storage unit 1041 based on the terminal update information 10420 .

端末管理設定部1043aは、端末管理部設定情報1043を格納している記憶部である。 The terminal management setting section 1043a is a storage section that stores the terminal management section setting information 1043 .

5-1.端末管理部設定情報の構成
次に、端末管理部設定情報1043の詳細について説明する。図9は、本実施の形態における端末管理部設定情報1043の構成を示す図である。図9に示すように、端末管理部設定情報1043は、脅威加算スコア情報10430と、脅威スコアに基づいて各ポートのVLAN設定を変更するために必要な端末管理部基準値情報10431とを含む。
5-1. Configuration of Terminal Management Unit Setting Information Next, details of the terminal management unit setting information 1043 will be described. FIG. 9 is a diagram showing the configuration of terminal management unit setting information 1043 in this embodiment. As shown in FIG. 9, the terminal manager setting information 1043 includes threat addition score information 10430 and terminal manager reference value information 10431 required to change the VLAN settings of each port based on the threat score.

脅威加算スコア情報10430は、検知内容識別情報104301と、検知内容104302と、判定104303と、脅威加算スコア104304とを含む。 Threat addition score information 10430 includes detection content identification information 104301 , detection content 104302 , judgment 104303 , and threat addition score 104304 .

検知内容識別情報104301は、通信分析部102が持つ端末アドレス確認部1020、通信フロー情報解析部1021、通信データ解析部1022などのいずれかで判定した結果を示す情報である。検知内容識別情報104301では、各処理部の符号で表し、図面に記載される符号は一例である。 The detection content identification information 104301 is information indicating the result of determination by any of the terminal address confirmation unit 1020, the communication flow information analysis unit 1021, the communication data analysis unit 1022, etc. of the communication analysis unit 102. FIG. The detection content identification information 104301 is represented by the code of each processing unit, and the code described in the drawing is an example.

なお、検知内容識別情報104301は、どの処理部で判定した結果であるかを識別できるのであれば何でもよく、例えば、検知部の検知内容に対して識別可能な番号を付与しておき、その番号で識別するようにしてもよい。 Note that the detection content identification information 104301 may be anything as long as it can identify which processing unit has determined the result. You may make it identify by .

検知内容104302は、検知内容識別情報104301に対応付けられた検知内容を示している。検知内容104302は、例えば、検知内容識別情報104301の「1020」では、新規の送信元アドレス情報1011の端末情報記憶部1041に含まれていない「新規のIPアドレス、MACアドレスが出現」したことを示す。 The detection content 104302 indicates the detection content associated with the detection content identification information 104301 . The detection content 104302 is, for example, "1020" of the detection content identification information 104301 indicates that "a new IP address and MAC address appear" that are not included in the terminal information storage unit 1041 of the new source address information 1011. show.

判定104303は、検知内容104302で示す検知結果が脅威であると判定した場合をブラックとし、脅威の可能性があるが明確に脅威であるかは判定できない場合をグレーとし、脅威の可能性がない場合をホワイトと定義する。 The determination 104303 is black when the detection result indicated by the detection content 104302 is determined to be a threat, and is gray when there is a possibility of a threat but it cannot be clearly determined whether it is a threat, and there is no possibility of a threat. Define the case as white.

なお、判定104303は、検知結果を上記のように3つのレベルで定義するだけでなく、必要に応じて、さらに判定レベルを追加して用いてもよいし、ブラックとホワイトの2つのレベルで定義してもよい。 Note that the determination 104303 is not limited to defining the detection results in three levels as described above, but may use additional determination levels as necessary, or define two levels of black and white. You may

なお、脅威加算スコア情報10430は、上記の項目に限られず、さらに別の項目が含まれていてもよいし、一部の項目のみを利用してもよい。また、脅威加算スコア情報10430の検知内容104302は、複数が組み合わされて用いられてもよい。また、脅威加算スコア情報10430の脅威加算スコア104304は、全ての端末で同一である必要はなく、役割および種類に応じて異なる値が設定されていてもよい。 Note that the added threat score information 10430 is not limited to the above items, and may include other items, or may use only some of the items. Moreover, the detection content 104302 of the additional threat score information 10430 may be used in combination. Further, the added threat score 104304 of the added threat score information 10430 does not need to be the same for all terminals, and different values may be set according to roles and types.

端末管理部基準値情報10431は、基準値内容104311と、基準値104312とを含む。基準値内容104311としては、「脅威スコア減算までの時間t0」と、「VLAN1からVLAN2へ変更する際の脅威スコア値X」と、「VLAN2からVLAN1へ変更する際の脅威スコア値Y」と、「脅威レベルの判定をグレーからブラックに変更するスコア値Z」とを含む。脅威スコア値Xは、第1の値の一例である。脅威スコア値Yは、第2の値の一例である。スコア値Zは、第3の値の一例である。 Terminal management unit reference value information 10431 includes reference value content 104311 and reference value 104312 . Reference value content 104311 includes "time t0 until threat score subtraction", "threat score value X when changing from VLAN1 to VLAN2", "threat score value Y when changing from VLAN2 to VLAN1", "score value Z that changes the threat level determination from gray to black". Threat score value X is an example of a first value. The threat score value Y is an example of a second value. The score value Z is an example of a third value.

なお、端末管理部基準値情報10431の基準値内容104311は、上記の内容に限定されるわけではなく、上記内容以外の項目が含まれていてもよいし、上記内容の一部を利用してもよい。「脅威スコア減算までの時間t0」を用いる代わりに、例えば、「通信容量M0」、「一定の通信パケット数P0」、「一定のTCPセッション数S0」などを用いてもよい。基準値内容104311が「通信容量M0」および「通信パケット数P0」とした場合、通信容量および通信パケット数によって、送信先端末301からの送信量を計測してもよいし、送信元端末302および送信先端末301からの送受信量を計測してもよい。 Note that the reference value content 104311 of the terminal management unit reference value information 10431 is not limited to the above content, and may include items other than the above content. good too. Instead of using "time t0 until threat score subtraction", for example, "communication capacity M0", "fixed number of communication packets P0", "fixed number of TCP sessions S0", etc. may be used. When the reference value content 104311 is "communication capacity M0" and "communication packet number P0", the amount of transmission from the destination terminal 301 may be measured from the communication capacity and the number of communication packets. The amount of transmission/reception from the destination terminal 301 may be measured.

また、基準値内容104311では、「脅威スコア減算までの時間t0」、「通信容量M0」、「一定の通信パケット数P0」および「一定のTCPセッション数S0」のうちの任意の2つ以上を組み合わせて用いてもよい。また、端末管理部基準値情報10431の基準値104312の値は全ての端末で同一である必要はなく、役割および種類に応じて、異なる値を設定してもよい。 In addition, in the reference value content 104311, any two or more of "time t0 until threat score subtraction", "communication capacity M0", "fixed number of communication packets P0" and "fixed number of TCP sessions S0" They may be used in combination. Also, the value of the reference value 104312 of the terminal management unit reference value information 10431 does not need to be the same for all terminals, and different values may be set according to the role and type.

端末管理部設定情報1043は、通信ネットワーク稼動開始時に設定しておく必要があるが、通信ネットワークの稼動開始後には、状況に応じて変更を行ってもよい。図示はしないが、端末情報更新部1042に設定のための情報表示部と入力部とを備えて設定を行ってもよいし、例えば、機械学習を用いて自動的に脅威加算スコア104304および基準値104312を変更するなどをしてもよい。 The terminal management unit setting information 1043 needs to be set at the start of operation of the communication network, but may be changed according to the situation after the start of operation of the communication network. Although not shown, the terminal information updating unit 1042 may be provided with an information display unit and an input unit for setting. 104312 may be changed.

5-2.端末一時情報の構成
次に端末一時情報1040の詳細について説明する。図10は、本実施の形態における端末一時情報1040の構成を示す図である。図10に示すように、端末一時情報1040は、図8の端末情報管理部104により管理される。端末一時情報1040は、スイッチ識別情報10401と、接続ポート情報10402と、VLAN情報10403と、MACアドレス情報10404と、IPアドレス情報10405と、更新時刻情報10406と、脅威加算スコア10407とを含む。
5-2. Configuration of Terminal Temporary Information Next, details of the terminal temporary information 1040 will be described. FIG. 10 is a diagram showing the configuration of terminal temporary information 1040 in this embodiment. As shown in FIG. 10, terminal temporary information 1040 is managed by terminal information management section 104 in FIG. Terminal temporary information 1040 includes switch identification information 10401 , connection port information 10402 , VLAN information 10403 , MAC address information 10404 , IP address information 10405 , update time information 10406 , and added threat score 10407 .

5-3.端末更新情報の構成
次に、端末更新情報10420の詳細について説明する。図11は、本実施の形態における端末更新情報10420の構成を示す図である。図11は、送信元端末302からの脅威が検知された後の情報である。端末更新情報10420は、端末情報管理部104により管理され、端末情報更新部1042により保持される。
5-3. Configuration of Terminal Update Information Next, details of the terminal update information 10420 will be described. FIG. 11 is a diagram showing the configuration of terminal update information 10420 in this embodiment. FIG. 11 shows information after the threat from source terminal 302 is detected. The terminal update information 10420 is managed by the terminal information management section 104 and held by the terminal information update section 1042 .

端末更新情報10420は、スイッチ識別情報10421と、接続ポート情報10422と、VLAN情報10423と、MACアドレス情報10424と、IPアドレス情報10425と、更新時刻情報10426と、脅威スコア10427とを含む。脅威スコア10427は、図9の脅威加算スコアに基づいて算出された通信データ1010の脅威度を示す。脅威スコア10427は、スコアの一例である。 Terminal update information 10420 includes switch identification information 10421, connection port information 10422, VLAN information 10423, MAC address information 10424, IP address information 10425, update time information 10426, and threat score 10427. Threat score 10427 indicates the degree of threat of communication data 1010 calculated based on the added threat score in FIG. A threat score of 10427 is an example of a score.

5-4.端末情報の構成
次に、端末情報10410の詳細について説明する。図12Aおよび図12Bは、本実施の形態における端末情報10410の構成を示す図である。図12Aの端末情報10410は、送信元端末302からの脅威が検知される前の情報を示し、図12Bの端末情報10410は、送信元端末302からの脅威が検知された後の情報を示している。
5-4. Configuration of Terminal Information Next, details of the terminal information 10410 will be described. 12A and 12B are diagrams showing the configuration of terminal information 10410 in this embodiment. Terminal information 10410 in FIG. 12A indicates information before the threat from source terminal 302 is detected, and terminal information 10410 in FIG. 12B indicates information after the threat from source terminal 302 is detected. there is

図12Aおよび図12Bに示すように、端末情報10410は、端末情報管理部104により管理され、端末情報記憶部1041に記憶される。端末情報10410は、管理ID情報10411と、スイッチ識別情報10412と、接続ポート情報10413と、VLAN情報10414と、MACアドレス情報10415と、IPアドレス情報10416と、更新時刻情報10417と、脅威スコア10418とを含む。 As shown in FIGS. 12A and 12B, the terminal information 10410 is managed by the terminal information management section 104 and stored in the terminal information storage section 1041. FIG. Terminal information 10410 includes management ID information 10411, switch identification information 10412, connection port information 10413, VLAN information 10414, MAC address information 10415, IP address information 10416, update time information 10417, and threat score 10418. including.

管理ID情報10411は、スイッチ識別情報10412、接続ポート情報10413、VLAN情報10414、および、MACアドレス情報10415を1組として、他の組と識別する1つのIDを割り当てる。 The management ID information 10411 assigns one ID for identifying a set of switch identification information 10412, connection port information 10413, VLAN information 10414, and MAC address information 10415 from other sets.

6.脅威検知前と脅威検知後の論理的なネットワークの構成
次に、送信元端末302からの脅威が検知される前と後のネットワーク全体構成の詳細について説明する。図13Aおよび図13Bは、本実施の形態におけるネットワーク全体構成の論理的なネットワーク構成を示す図である。図13Aは、送信元端末302からの脅威が検知される前の論理的なネットワーク全体構成を示し、図13Bは、送信元端末302からの脅威が検知された後の論理的なネットワーク構成を示す。図13Aおよび図13Bに示すように、脅威除去部105は、VLAN1に含まれるインテリジェントスイッチ20のポート1を介して接続し、かつ、VLAN2に含まれるインテリジェントスイッチ20のポート2を介して接続している。なお、図13Aおよび図13Bでは、便宜上、インテリジェントスイッチ20のポート0とネットワーク防御装置10とを接続するLANケーブルを省略している。
6. Logical Network Configuration Before Threat Detection and After Threat Detection Next, the details of the entire network configuration before and after the threat from the source terminal 302 is detected will be described. 13A and 13B are diagrams showing the logical network configuration of the entire network configuration in this embodiment. 13A shows the logical overall network configuration before the threat from source terminal 302 is detected, and FIG. 13B shows the logical network configuration after the threat from source terminal 302 is detected. . As shown in FIGS. 13A and 13B, the threat remover 105 is connected via port 1 of the intelligent switch 20 included in VLAN1 and connected via port 2 of the intelligent switch 20 included in VLAN2. there is 13A and 13B omit the LAN cable connecting port 0 of the intelligent switch 20 and the network protection device 10 for convenience.

図13Aは、送信元端末302からの脅威が検知される前、または、脅威が検知された後、かつ、異常状態から正常状態に変化した後の通常系ネットワークを示す。送信先端末301と送信元端末302とは、共にVLAN1に含まれ、脅威除去部105を介さずに通信を行っている。つまり、図13AのVLAN1は、送信先端末301と送信元端末302とがインテリジェントスイッチ20を介して接続されており、通信データ1010に対して脅威除去を行わない通常系ネットワークを構成している。異常状態から正常状態に変化とは、異常状態から正常状態に回復することを意味する。 FIG. 13A shows the normal network before or after the threat from source terminal 302 is detected and after the abnormal state changes to the normal state. Destination terminal 301 and source terminal 302 are both included in VLAN 1 and communicate without intervention of threat removal section 105 . 13A, the destination terminal 301 and the source terminal 302 are connected via the intelligent switch 20, and constitutes a normal network in which threat removal is not performed on the communication data 1010. FIG. A change from an abnormal state to a normal state means recovery from an abnormal state to a normal state.

送信元端末302、インテリジェントスイッチ20のポート7、ポート4、および、送信先端末301は、第1の通信経路の一例であり、VLAN1に属する。送信元端末302、インテリジェントスイッチ20のポート7、ポート4、および、送信先端末301の経路は、検知前の正常状態である。 Source terminal 302, ports 7 and 4 of intelligent switch 20, and destination terminal 301 are an example of a first communication path and belong to VLAN1. The path of source terminal 302, port 7 and port 4 of intelligent switch 20, and destination terminal 301 is in a normal state before detection.

図13Bは、送信元端末302からの脅威が検知された後、かつ、異常状態から正常状態に変化する前の論理的な異常系ネットワークを示す。 FIG. 13B shows a logical abnormal network after the threat from source terminal 302 is detected and before the abnormal state changes to the normal state.

送信先端末301はVLAN1に接続されたまま脅威除去部105に接続され、送信元端末302はVLAN1からVLAN2に接続が切り換えられて脅威除去部105に接続される。これにより、送信元端末302は、脅威除去部105を介して送信先端末301と通信を行う。脅威除去部105は、送信元端末302に係る通信データ1010から脅威を除去し、脅威除去後の通信データつまり修正後の通信データを、インテリジェントスイッチ20を介して送信先端末301に送信する。 The destination terminal 301 is connected to the threat elimination unit 105 while being connected to VLAN1, and the transmission source terminal 302 is switched from VLAN1 to VLAN2 and connected to the threat elimination unit 105 . As a result, source terminal 302 communicates with destination terminal 301 via threat removal unit 105 . The threat removal unit 105 removes the threat from the communication data 1010 related to the transmission source terminal 302 and transmits the communication data after the threat removal, ie, the corrected communication data, to the transmission destination terminal 301 via the intelligent switch 20 .

VLAN2に属する、送信元端末302、インテリジェントスイッチ20のポート7、ポート2、脅威除去部105、および、VLAN1に属する、脅威除去部105、インテリジェントスイッチ20のポート1、ポート4、送信先端末301は、第2の通信経路の一例である。送信元端末302、インテリジェントスイッチ20のポート7、ポート2、脅威除去部105、および、VLAN1に属する、脅威除去部105、インテリジェントスイッチ20のポート1、ポート4、送信先端末301の経路は、検知前の異常状態である。ポート1およびポート2は、第2のポートおよび第3のポートの一例である。 Source terminal 302, port 7 and port 2 of intelligent switch 20, threat remover 105 belonging to VLAN 2, and threat remover 105, port 1 and port 4 of intelligent switch 20, and destination terminal 301 belonging to VLAN 1 are , is an example of a second communication path. Source terminal 302, port 7 and port 2 of intelligent switch 20, threat remover 105, and the route of threat remover 105, port 1 and port 4 of intelligent switch 20, and destination terminal 301 belonging to VLAN 1 is detected It is the previous abnormal state. Port 1 and port 2 are examples of second and third ports.

そして、ネットワーク防御装置10のスイッチ操作部103は、図13Aで示すように異常状態の異常系ネットワークから正常状態の通常系ネットワークに変更する。そして、送信元端末302は、送信先端末301と正常な通信を行う。 Then, the switch operation unit 103 of the network protection device 10 changes the abnormal system network in the abnormal state to the normal system network in the normal state as shown in FIG. 13A. The source terminal 302 then performs normal communication with the destination terminal 301 .

7.ネットワーク防御装置の動作
次に、ネットワーク防御装置10の動作について詳細に説明する。図14は、本実施の形態におけるネットワーク防御装置10の動作を示すフローチャートである。
7. Operation of Network Protection Device Next, the operation of the network protection device 10 will be described in detail. FIG. 14 is a flow chart showing the operation of the network protection device 10 according to this embodiment.

図14等に示すように、ネットワーク防御装置10は、送信元端末302と送信先端末301との間で通信される通信データ1010を取得する(ステップS001)。具体的には、ネットワーク防御装置10は、インテリジェントスイッチ20のポート0に接続されたLANケーブルを介して、通信データ1010のコピーをプロミスキャスモードで取得する。 As shown in FIG. 14 and the like, the network protection device 10 acquires communication data 1010 communicated between the source terminal 302 and the destination terminal 301 (step S001). Specifically, network protection device 10 obtains a copy of communication data 1010 in promiscuous mode via a LAN cable connected to port 0 of intelligent switch 20 .

ネットワーク防御装置10の通信データ取得部101は、監視対象の通信ネットワーク上で取得した通信データ1010を、通信分析部102に出力する。 The communication data acquisition unit 101 of the network protection device 10 outputs the communication data 1010 acquired on the monitored communication network to the communication analysis unit 102 .

通信分析部102は、通信データ1010を分析する(ステップS002)。通信分析部102は、通信データ1010に基づいて、端末アドレス確認部1020と、通信フロー情報解析部1021と、通信データ解析部1022とを用いて、各々が判定した結果である各々の脅威検知情報を生成する。通信分析部102は、各々の脅威検知情報に基づいて端末通信情報1023を生成する。 Communication analysis unit 102 analyzes communication data 1010 (step S002). The communication analysis unit 102 uses the terminal address confirmation unit 1020, the communication flow information analysis unit 1021, and the communication data analysis unit 1022 based on the communication data 1010 to determine threat detection information, which is the result of each determination. to generate Communication analysis unit 102 generates terminal communication information 1023 based on each piece of threat detection information.

端末アドレス確認部1020は、通信データ1010から送信元端末302の端末通信情報1023を抽出し、送信元端末302のIPアドレス情報10231とMACアドレス情報10232と更新時刻情報10233とを特定する。 Terminal address confirmation section 1020 extracts terminal communication information 1023 of transmission source terminal 302 from communication data 1010 and identifies IP address information 10231 , MAC address information 10232 and update time information 10233 of transmission source terminal 302 .

通信フロー情報解析部1021において、ブラックリスト通信検知部10211は、送信先アドレス情報1012がアクセスを禁止されている送信先と一致する場合に、セキュリティ異常として検知する。また、ホワイトリスト外通信検知部10212は、送信先アドレス情報1012がアクセスを許可されている送信先と一致しない場合にセキュリティ異常として検知する。さらに、IPスキャン検知部10213は、送信先IPアドレス情報からネットワーク内部の多数のIPアドレスへのアクセス試行がある場合にセキュリティ異常と検知する。また、ポートスキャン検知部10214は、送信先ポート情報からネットワーク内部の特定のIPアドレスに対して多数のポートのアクセス試行が有る場合にセキュリティ異常と検知する。 In the communication flow information analysis unit 1021, the blacklist communication detection unit 10211 detects a security abnormality when the transmission destination address information 1012 matches a transmission destination to which access is prohibited. Also, the non-whitelist communication detection unit 10212 detects a security abnormality when the destination address information 1012 does not match the destination to which access is permitted. Furthermore, the IP scan detection unit 10213 detects a security abnormality when there are attempts to access a large number of IP addresses within the network based on the destination IP address information. Also, the port scan detection unit 10214 detects a security abnormality when there are many port access attempts to a specific IP address inside the network from the destination port information.

通信データ解析部1022において、脆弱性攻撃検知部10221は、ペイロード1013の中に、送信先端末301に組み込まれているソフトウェアの脆弱性を攻撃するパターンが有る場合に、セキュリティ異常と検知する。マルウェア検知部10222は、ペイロード1013にマルウェアを示すパターンが含まれる場合にセキュリティ異常と検知する。認証失敗検知部10223は、認証が必要な端末へ特定の端末から一定時間内に多数の認証試行と失敗の繰り返しが発生している場合にセキュリティ異常と検知する。 In the communication data analysis unit 1022, the vulnerability attack detection unit 10221 detects a security abnormality when the payload 1013 includes a pattern that attacks the vulnerability of the software installed in the destination terminal 301. FIG. The malware detection unit 10222 detects a security abnormality when the payload 1013 includes a pattern indicating malware. The authentication failure detection unit 10223 detects a security abnormality when a specific terminal that requires authentication repeats numerous authentication attempts and failures within a certain period of time.

そして、通信分析部102は、端末通信情報1023を端末情報管理部104に送信する。 Communication analysis section 102 then transmits terminal communication information 1023 to terminal information management section 104 .

端末情報更新部1042は、端末通信情報1023と、端末情報10410と、端末管理部設定情報1043の脅威加算スコア情報10430とから、端末一時情報1040を生成する。 Terminal information update unit 1042 generates terminal temporary information 1040 from terminal communication information 1023 , terminal information 10410 , and added threat score information 10430 of terminal management unit setting information 1043 .

MACアドレス情報10404は端末通信情報1023のMACアドレス情報10232、IPアドレス情報10405は端末通信情報1023のIPアドレス情報10231、更新時刻情報10406は端末通信情報1023の更新時刻情報10233を用いる。 The MAC address information 10232 of the terminal communication information 1023 is used for the MAC address information 10404, the IP address information 10231 of the terminal communication information 1023 is used for the IP address information 10405, and the update time information 10233 of the terminal communication information 1023 is used for the update time information 10406.

端末情報更新部1042は、端末情報10410から、MACアドレス情報10404とIPアドレス情報10405とを含む組み合わせを検索する。該当する組み合わせが有る場合、端末情報更新部1042は、スイッチ識別情報10401をスイッチ識別情報10412とし、接続ポート情報10402を接続ポート情報10413とし、VLAN情報10403をVLAN情報10414とする。端末管理設定部1043aは、脅威加算スコア情報10430に基づいて、脅威加算スコア10407を脅威検知内容10234と一致する検知内容104302に該当する脅威加算スコア104304とする(ステップS021)。 Terminal information update unit 1042 searches terminal information 10410 for a combination including MAC address information 10404 and IP address information 10405 . If there is such a combination, the terminal information updating unit 1042 sets the switch identification information 10401 as the switch identification information 10412, the connection port information 10402 as the connection port information 10413, and the VLAN information 10403 as the VLAN information 10414. Based on the added threat score information 10430, the terminal management setting unit 1043a sets the added threat score 10407 to the added threat score 104304 corresponding to the detected content 104302 that matches the detected threat content 10234 (step S021).

端末情報更新部1042は、端末情報10410から、MACアドレス情報10404とIPアドレス情報10405とを含む組み合わせを検索する。該当する組み合わせが無い場合、端末情報更新部1042は、端末管理部設定情報1043の脅威加算スコア情報10430で示される検知内容104302の「新規IP:MAC出現」に該当する脅威加算スコア104304である「1000」を、脅威加算スコア10407とする(ステップS021)。ここでは、スイッチ識別情報10401と接続ポート情報10402とVLAN情報10403とは未定のままである。 Terminal information update unit 1042 searches terminal information 10410 for a combination including MAC address information 10404 and IP address information 10405 . If there is no corresponding combination, the terminal information update unit 1042 updates the threat addition score 104304 corresponding to the detection content 104302 "new IP: MAC appearance" indicated by the threat addition score information 10430 of the terminal management unit setting information 1043 " 1000" as a threat addition score 10407 (step S021). Here, the switch identification information 10401, the connection port information 10402, and the VLAN information 10403 remain undetermined.

通信分析部102は、脅威を検知したかどうかを判定する(分岐B003)。具体的には、脆弱性攻撃検知部10221は通信データ1010にソフトウェアの脆弱性を攻撃するパターンが有る場合、マルウェア検知部10222はマルウェアを示すパターンが含まれる場合、認証失敗検知部10223は認証失敗の繰り返しが発生している場合に、セキュリティ異常として検知する。 The communication analysis unit 102 determines whether or not a threat has been detected (branch B003). Specifically, if the communication data 1010 includes a pattern that attacks software vulnerability, the malware detection unit 10222 detects a pattern indicating malware, and the authentication failure detection unit 10223 detects an authentication failure. is detected as a security anomaly.

脅威が検知されない場合(分岐B003でNの場合)、つまり、脅威スコアがスコア値Z未満である場合、端末情報管理部104は、端末更新情報10420を生成し、脅威加算スコア10407の値から次のステップを判定する。 If no threat is detected (N in branch B003), that is, if the threat score is less than score value Z, terminal information management unit 104 generates terminal update information 10420, step is determined.

端末情報管理部104は、端末一時情報1040と端末情報10410とに基づいて端末更新情報10420を生成する。このとき、スイッチ識別情報10421はスイッチ識別情報10401となり、接続ポート情報10422は接続ポート情報10402となり、VLAN情報10423はVLAN情報10403となり、MACアドレス情報10424はMACアドレス情報10404となり、IPアドレス情報10425はIPアドレス情報10405となり、更新時刻情報10426は更新時刻情報10406となる。端末情報管理部104は、脅威加算スコア10407に脅威スコア10418を加算した脅威スコア10427を算出する。 Terminal information management section 104 generates terminal update information 10420 based on terminal temporary information 1040 and terminal information 10410 . At this time, the switch identification information 10421 becomes the switch identification information 10401, the connection port information 10422 becomes the connection port information 10402, the VLAN information 10423 becomes the VLAN information 10403, the MAC address information 10424 becomes the MAC address information 10404, and the IP address information 10425 becomes IP address information 10405 and update time information 10426 become update time information 10406 . The terminal information management unit 104 calculates a threat score 10427 by adding the threat score 10418 to the added threat score 10407 .

端末情報管理部104の端末情報更新部1042は、端末更新情報10420の脅威スコア10427が0より大きいか否かを判定する(分岐B030)。脅威スコア10427が0である場合(分岐B030でNの場合)、端末情報更新部1042は、ステップS001に戻り次の通信データ1010の取得を行う。また、脅威スコア10427が0よりも大きい場合(分岐B030でYの場合)、端末情報更新部1042は、脅威スコア10427が、脅威レベルの判定をグレーからブラックに変更するスコア値Z(以下、スコア値Zとする)未満であるか否かを判定する(分岐B031)。 The terminal information update unit 1042 of the terminal information management unit 104 determines whether or not the threat score 10427 of the terminal update information 10420 is greater than 0 (branch B030). If the threat score 10427 is 0 (N at branch B030), the terminal information updating unit 1042 returns to step S001 and acquires the next communication data 1010. FIG. If the threat score 10427 is greater than 0 (Y in branch B030), the terminal information updating unit 1042 determines that the threat score 10427 changes the threat level determination from gray to black with a score value Z (hereinafter referred to as score A value Z) is determined (branch B031).

脅威スコア10427がスコア値Z以上であれば(分岐B031でNの場合)、端末情報更新部1042は、脅威レベルをブラックと判定し、ステップS001に戻り次の通信データ1010の取得を行う。脅威スコア10427がスコア値Z未満であれば(分岐B031でYの場合)、端末情報更新部1042は、脅威レベルをグレーと判定し、端末情報10410の更新時刻情報10417と端末更新情報10420の更新時刻情報10426を比較し、前回の更新時刻から時間t0が経過しているかどうかを判定する(分岐B032)。 If the threat score 10427 is greater than or equal to the score value Z (N in branch B031), the terminal information update unit 1042 determines the threat level to be black, returns to step S001, and acquires the next communication data 1010. If the threat score 10427 is less than the score value Z (Y in branch B031), the terminal information updating unit 1042 determines that the threat level is gray, and updates the update time information 10417 of the terminal information 10410 and the terminal update information 10420. The time information 10426 is compared to determine whether time t0 has passed since the previous update time (branch B032).

ここで、時間t0は、端末管理部基準値情報10431の基準値内容104311で定義したものと同一であり、通信稼動前に定めておく必要がある値である。時間t0は、例えば5分として、一定値にしてもよいし、通信稼動後に状況の変化に応じて何らかの基準を設けて変更してもよい。 Here, the time t0 is the same as that defined in the reference value content 104311 of the terminal management unit reference value information 10431, and is a value that must be determined before starting communication. The time t0 may be a fixed value such as 5 minutes, or may be changed by setting some criteria according to changes in the situation after the communication is started.

また、分岐B032の判定の代わりに、例えば通信容量M0、一定の通信パケット数P0、一定のTCPセッション数S0を用いて判定してもよい。通信容量M0および通信パケット数P0の場合、通信容量および通信パケット数が、送信元端末302からの送信量を計測してもよいし、送信元端末302および送信先端末301からの送受信量を計測してもよい。 Also, instead of the determination of branch B032, for example, the communication capacity M0, the fixed number of communication packets P0, and the fixed number of TCP sessions S0 may be used for the determination. In the case of the communication capacity M0 and the number of communication packets P0, the communication capacity and the number of communication packets may measure the amount of transmission from the source terminal 302, or measure the amount of transmission and reception from the source terminal 302 and the destination terminal 301. You may

また、分岐B032の判定において、時間t0、通信容量M0、一定の通信パケット数P0および一定のTCPセッション数S0を組み合わせて用いてもよい。また、端末管理部基準値情報10431の基準値104312の値は、一例であり、役割によってそれぞれ異なる値を設定してもよい。 Also, in the determination of branch B032, time t0, communication capacity M0, fixed number of communication packets P0 and fixed number of TCP sessions S0 may be used in combination. Also, the value of the reference value 104312 of the terminal management unit reference value information 10431 is an example, and different values may be set depending on the role.

時間t0が経過していない場合(分岐B032でNの場合)、端末情報更新部1042は、ステップS001に戻り次の通信データ1010の取得を行う。前回の更新時刻から時間t0が経過している場合(分岐B032でYの場合)、端末情報更新部1042は、端末更新情報10420の脅威スコア10427を端末情報10410の脅威スコア10427から1を減じた値にする(ステップS033)。 If the time t0 has not elapsed (N in branch B032), the terminal information updating unit 1042 returns to step S001 and acquires the next communication data 1010. FIG. If time t0 has passed since the previous update time (Y in branch B032), the terminal information updating unit 1042 subtracts 1 from the threat score 10427 of the terminal update information 10420 from the threat score 10427 of the terminal information 10410. value (step S033).

ここで、減じる値を1としているが、検知した脅威の種類および端末の役割に応じて減じる数値を変更してもよいし、減じる数値を脅威スコアの一定割合としてもよく、減じる値は1に限定されない。 Here, the value to be subtracted is 1, but the value to be subtracted may be changed according to the type of threat detected and the role of the terminal. Not limited.

脅威が検知された場合(分岐B003でYの場合)、つまり、脅威スコアがスコア値Z以上である場合、スイッチ操作部103のスイッチ情報取得部1032は、インテリジェントスイッチ20から、最新のスイッチ情報10320を取得する(ステップS004)。スイッチ情報取得部1032は、最新のスイッチ情報10320を端末情報管理部104に出力する。端末情報更新部1042は、端末更新情報10420のスイッチ識別情報10421と接続ポート情報10422とVLAN情報10423とを更新する。 When a threat is detected (Y in branch B003), that is, when the threat score is equal to or greater than the score value Z, the switch information acquisition unit 1032 of the switch operation unit 103 obtains the latest switch information 10320 from the intelligent switch 20. is obtained (step S004). The switch information acquisition section 1032 outputs the latest switch information 10320 to the terminal information management section 104 . The terminal information update unit 1042 updates the switch identification information 10421, the connection port information 10422, and the VLAN information 10423 of the terminal update information 10420. FIG.

ここで、スイッチ情報取得部1032は、例えばSNMP(Simple Network Management Protocol)などにより、インテリジェントスイッチ20のポート1を通じて、最新のスイッチ情報10320を取得することができる。なお、スイッチ情報取得部1032は、SNMP以外にも専用の通信線などによって最新のスイッチ情報10320を取得してもよい。 Here, the switch information acquisition unit 1032 can acquire the latest switch information 10320 through the port 1 of the intelligent switch 20 by, for example, SNMP (Simple Network Management Protocol). Note that the switch information acquisition unit 1032 may acquire the latest switch information 10320 using a dedicated communication line, etc., other than SNMP.

端末情報更新部1042は、端末更新情報10420のVLAN情報10423がVLAN1であるかどうかを判定する(分岐B005)。VLANがVLAN2である場合(分岐B005でNの場合)、分岐B006に進み、VLANがVLAN1である場合(分岐B005でYの場合)、分岐B007に進む。 The terminal information update unit 1042 determines whether the VLAN information 10423 of the terminal update information 10420 is VLAN1 (branch B005). If the VLAN is VLAN2 (N at branch B005), proceed to branch B006, and if the VLAN is VLAN1 (Y at branch B005), proceed to branch B007.

端末情報更新部1042は、端末更新情報10420の脅威スコア10427が、VLAN2からVLAN1へ変更する際の脅威スコア値Yよりも大きいかどうかを判定する(分岐B006)。 The terminal information update unit 1042 determines whether the threat score 10427 of the terminal update information 10420 is greater than the threat score value Y when changing from VLAN2 to VLAN1 (branch B006).

脅威スコア10427が脅威スコア値Yよりも大きい場合(分岐B006でYの場合)、経路変更部1033が接続ポート情報10422の属するVLANを切り換えることなくステップS008へ進み、脅威スコア10427が脅威スコア値Y以下の場合(分岐B006でNの場合)、ステップS061へ進む。 If the threat score 10427 is greater than the threat score value Y (Y in branch B006), the route changing unit 1033 proceeds to step S008 without switching the VLAN to which the connection port information 10422 belongs, and the threat score 10427 becomes the threat score value Y. In the following cases (N at branch B006), the process proceeds to step S061.

端末情報更新部1042は、端末更新情報10420の脅威スコア10427が、VLAN1からVLAN2へ切り換える際の脅威スコア値Xよりも小さいかどうかを判定する(分岐B007)。脅威スコア10427が脅威スコア値Xよりも小さい場合(分岐B007でYの場合)、ステップS008へ進み、脅威スコア10427が脅威スコア値X以上の場合(分岐B007でNの場合)、ステップS071へ進む。 The terminal information updating unit 1042 determines whether or not the threat score 10427 of the terminal update information 10420 is smaller than the threat score value X when switching from VLAN1 to VLAN2 (branch B007). If the threat score 10427 is smaller than the threat score value X (Y in branch B007), proceed to step S008. If the threat score 10427 is greater than or equal to threat score value X (N in branch B007), proceed to step S071. .

ここで、分岐B006と分岐B007に用いる脅威スコア値Xおよび脅威スコア値Yは、同じ値であってもよいし、異なる値であってもよい。 Here, threat score value X and threat score value Y used in branch B006 and branch B007 may be the same value or different values.

図5、図11および図14に示すように、端末更新情報10420のVLAN情報10423に基づいて、経路変更部1033は、接続ポート情報10422の属するVLANをVLAN2からVLAN1に切り換える(ステップS061)。ステップS061は、検疫対象であった送信元端末302を、検疫系ネットワークから通常系ネットワークに戻す処理であり、図13Bの送信元端末302の属するVLAN2から図13AのVLAN1に属するように切り換える処理である。 As shown in FIGS. 5, 11 and 14, based on the VLAN information 10423 of the terminal update information 10420, the path changing unit 1033 switches the VLAN to which the connection port information 10422 belongs from VLAN2 to VLAN1 (step S061). Step S061 is the process of returning source terminal 302, which was subject to quarantine, from the quarantine system network to the normal system network. be.

図13Aは、送信元端末302からの脅威が検知される前であり、端末管理部基準値情報10431の脅威スコアが図9の脅威スコア値Xを下回っている状態、または、端末管理部基準値情報10431の脅威スコアが、図9の脅威スコア値Yを上回る状態から脅威スコア値Y以下の状態に変化した後の論理的なネットワークを示す。 13A shows a state before the threat from the transmission source terminal 302 is detected, and the threat score of the terminal management unit reference value information 10431 is lower than the threat score value X in FIG. 9, or the terminal management unit reference value The logical network after the threat score of the information 10431 changes from the threat score value Y of FIG. 9 to the threat score value Y or less.

経路変更部1033は、例えばSNMPなどにより、インテリジェントスイッチ20のポート1を通じて、スイッチのポートのVLANを設定することができる。なお、経路変更部1033は、SNMP以外にも専用の通信線などを用いて設定してもよい。 The path change unit 1033 can set the VLAN of the switch port through the port 1 of the intelligent switch 20 by, for example, SNMP. Note that the route changing unit 1033 may be set using a dedicated communication line or the like other than SNMP.

端末更新情報10420のVLAN情報10423に基づいて経路変更部1033は、接続ポート情報10422の属するVLANをVLAN1からVLAN2に切り換える(ステップS071)。 Based on the VLAN information 10423 of the terminal update information 10420, the route changing unit 1033 switches the VLAN to which the connection port information 10422 belongs from VLAN1 to VLAN2 (step S071).

ステップS071は、通常系ネットワークに属していた送信元端末302を、検疫系ネットワークに属するように切り換える処理であり、図13Aの送信元端末302の属するVLAN1から図13BのVLAN2に属するように切り換える処理である。 Step S071 is a process of switching the source terminal 302 belonging to the normal system network so that it belongs to the quarantine system network, and switching from VLAN1 to which the source terminal 302 of FIG. 13A belongs to VLAN2 of FIG. 13B. is.

また、図13Bは、送信元端末302からの脅威が検知された後であり、端末管理部基準値情報10431の脅威スコアが、図9の脅威スコア値Xを下回る状態から脅威スコア値X以上の状態に変化し、かつ、端末管理部基準値情報10431の図9の脅威スコア値Yを上回ったままの状態での論理的なネットワークを示す。 FIG. 13B is after the threat from the transmission source terminal 302 is detected, and the threat score of the terminal management unit reference value information 10431 changes from below the threat score value X in FIG. 9 to above the threat score value X. state, and the logical network remains above the threat score value Y of FIG.

端末情報更新部1042は、端末更新情報10420に基づいて、端末情報10410を更新する(ステップS008)。具体的には、端末情報更新部1042は、スイッチ識別情報10412とスイッチ識別情報10421と、接続ポート情報10413が接続ポート情報10422と、VLAN情報10414がVLAN情報10423と、MACアドレス情報10415がMACアドレス情報10424と、IPアドレス情報10416がIPアドレス情報10425と一致しているかどうかを、それぞれ確認する。これら全て一致する場合、端末情報更新部1042は、一致する組み合わせを持つ管理IDの更新時刻情報10417を更新時刻情報10426に、脅威スコア10418を脅威スコア10427に、それぞれ更新する。一方、これら全て一致するわけでない場合、端末情報更新部1042は、新しい管理IDを割り当て、スイッチ識別情報10412をスイッチ識別情報10421に、接続ポート情報10413を接続ポート情報10422に、VLAN情報10414をVLAN情報10423に、MACアドレス情報10415をMACアドレス情報10424に、IPアドレス情報10416をIPアドレス情報10425に、更新時刻情報10417を更新時刻情報10426に、脅威スコア10418を脅威スコア10427に設定する。端末情報更新部1042は、このように更新した後に、ステップS001に戻り次の通信データ1010の取得を行う。図12Bは、図12Aの状態の端末情報10410が、図11の端末更新情報10420によって更新された場合を示す。そして、端末情報更新部1042は、処理をステップS001に戻す。 The terminal information update unit 1042 updates the terminal information 10410 based on the terminal update information 10420 (step S008). Specifically, the terminal information update unit 1042 converts the switch identification information 10412 and the switch identification information 10421, the connection port information 10413 into the connection port information 10422, the VLAN information 10414 into the VLAN information 10423, and the MAC address information 10415 into the MAC address. It is confirmed whether the information 10424 and the IP address information 10416 match the IP address information 10425 respectively. When all of these match, the terminal information updating unit 1042 updates the update time information 10417 and the threat score 10418 of the management ID having the matching combination to the update time information 10426 and the threat score 10427, respectively. On the other hand, if all of these do not match, the terminal information update unit 1042 assigns a new management ID, replaces the switch identification information 10412 with the switch identification information 10421, the connection port information 10413 with the connection port information 10422, and the VLAN information 10414 with the VLAN information. The MAC address information 10415 is set to the MAC address information 10424, the IP address information 10416 to the IP address information 10425, the update time information 10417 to the update time information 10426, and the threat score 10418 to the threat score 10427 in the information 10423. After updating in this way, the terminal information updating unit 1042 returns to step S001 and acquires the next communication data 1010 . FIG. 12B shows a case where terminal information 10410 in the state of FIG. 12A is updated by terminal update information 10420 of FIG. Then, the terminal information updating unit 1042 returns the process to step S001.

7-1.脅威スコアの更新動作
次に、脅威スコアの更新の動作の詳細について説明する。図15は、本実施の形態における脅威スコアを更新する処理を示すフローチャートである。図15は、図14の分岐B003における、端末更新情報10420の脅威スコア10427の更新処理を示す。
7-1. Threat Score Update Operation Next, the details of the threat score update operation will be described. FIG. 15 is a flowchart showing processing for updating the threat score in this embodiment. FIG. 15 shows update processing of the threat score 10427 of the terminal update information 10420 in branch B003 of FIG.

図15等に示すように、端末情報更新部1042は、スイッチ識別情報10412とスイッチ識別情報10421とが全て一致しているかどうかを確認する。この確認は、端末情報更新部1042がステップS102からステップS106を繰り返す以下のループ処理によって行われる(S101)。具体的には、端末情報更新部1042は、端末情報10410の管理IDの全てに対して、端末一時情報1040のスイッチ識別情報10401と接続ポート情報10402とVLAN情報10403とMACアドレス情報10404とIPアドレス情報10405との組み合わせが含まれているかどうかを確認する。 As shown in FIG. 15 and the like, the terminal information updating unit 1042 confirms whether or not the switch identification information 10412 and the switch identification information 10421 all match. This confirmation is performed by the following loop processing in which the terminal information updating unit 1042 repeats steps S102 to S106 (S101). Specifically, the terminal information updating unit 1042 updates the switch identification information 10401, the connection port information 10402, the VLAN information 10403, the MAC address information 10404, and the IP address of the terminal temporary information 1040 for all management IDs of the terminal information 10410. Check whether the combination with the information 10405 is included.

端末情報更新部1042は、スイッチ識別情報10401とスイッチ識別情報10412とが一致しているかどうかを判定する(ステップS102)。一致していなければ(ステップS102でNの場合)、含まれている管理IDが無い、つまり、端末一時情報1040が端末情報10410に含まれていないことが示される。端末情報更新部1042は、脅威加算スコア10407を端末更新情報10420の脅威スコア10427とする(ステップS108)。そして、端末情報更新部1042は、処理を終了する。 The terminal information update unit 1042 determines whether the switch identification information 10401 and the switch identification information 10412 match (step S102). If they do not match (N in step S102), it indicates that there is no management ID included, that is, the terminal temporary information 1040 is not included in the terminal information 10410. FIG. The terminal information update unit 1042 sets the added threat score 10407 to the threat score 10427 of the terminal update information 10420 (step S108). Then, the terminal information updating unit 1042 terminates the processing.

一致していれば(ステップS102でYの場合)、端末情報更新部1042は、スイッチ識別情報10402aとスイッチ識別情報10413aとが一致しているかどうかを判定する(ステップS103)。一致していなければ(ステップS103でNの場合)、端末情報更新部1042は、ステップS108に進む。 If they match (Y in step S102), the terminal information updating unit 1042 determines whether the switch identification information 10402a and the switch identification information 10413a match (step S103). If they do not match (N in step S103), the terminal information updating unit 1042 proceeds to step S108.

一致していれば(ステップS103でYの場合)、端末情報更新部1042は、スイッチ識別情報10403aとスイッチ識別情報10414aとが一致しているかどうかを判定する(ステップS104)。一致していなければ(ステップS104でNの場合)、端末情報更新部1042は、ステップS108に進む。 If they match (Y in step S103), the terminal information updating unit 1042 determines whether the switch identification information 10403a and the switch identification information 10414a match (step S104). If they do not match (N in step S104), the terminal information updating unit 1042 proceeds to step S108.

一致していれば(ステップS104でYの場合)、端末情報更新部1042は、スイッチ識別情報10404aとスイッチ識別情報10415aとが一致しているかどうかを判定する(ステップS105)。一致していなければ(ステップS105でNの場合)、端末情報更新部1042は、ステップS108に進む。 If they match (Y in step S104), the terminal information updating unit 1042 determines whether the switch identification information 10404a and the switch identification information 10415a match (step S105). If they do not match (N in step S105), the terminal information updating unit 1042 proceeds to step S108.

一致していれば(ステップS105でYの場合)、端末情報更新部1042は、スイッチ識別情報10405aとスイッチ識別情報10416aとが一致しているかどうかを判定する(ステップS106)。一致していなければ(ステップS106でNの場合)、端末情報更新部1042は、ステップS108に進む。 If they match (Y in step S105), the terminal information updating unit 1042 determines whether the switch identification information 10405a and the switch identification information 10416a match (step S106). If they do not match (N in step S106), the terminal information updating unit 1042 proceeds to step S108.

一致していれば(ステップS106でYの場合)、端末情報更新部1042は、該当する管理IDの脅威スコア10418と、端末一時情報1040の脅威加算スコア10407との和を、端末更新情報10420の脅威スコア10427とする(ステップS107)。そして、端末情報更新部1042は、処理を終了する。 If they match (Y in step S106), the terminal information updating unit 1042 updates the sum of the threat score 10418 of the corresponding management ID and the added threat score 10407 of the terminal temporary information 1040 to the terminal update information 10420. The threat score is set to 10427 (step S107). Then, the terminal information updating unit 1042 terminates the processing.

7-2.端末情報の更新動作
次に、端末情報10410の更新の動作について詳細に説明する。図16は、本実施の形態における端末情報を更新する処理を示すフローチャートである。図16は、図14のS009の端末情報10410の更新処理を示す。図15と同様の処理については同一の符号を付してその説明を適宜省略する。
7-2. Terminal Information Update Operation Next, the operation of updating the terminal information 10410 will be described in detail. FIG. 16 is a flowchart showing processing for updating terminal information in this embodiment. FIG. 16 shows update processing of the terminal information 10410 in S009 of FIG. The same reference numerals are given to the same processing as in FIG. 15, and the description thereof will be omitted as appropriate.

図16等に示すように、端末情報更新部1042は、ステップS102からステップS106を繰り返す以下のループ処理を行う(S101)。ステップS102からステップS106の処理において、端末情報10410の管理IDの全てが一致する場合(ステップS106でYの場合)、端末情報更新部1042は、該当する管理IDにおける図12Aの更新時刻情報10417を更新時刻情報10426に基づいて更新し、図12Aの脅威スコア10418を脅威スコア10427に基づいて更新する(ステップS117)。そして、端末情報更新部1042は、処理を終了する。 As shown in FIG. 16 and the like, the terminal information updating unit 1042 performs the following loop processing that repeats steps S102 to S106 (S101). In the processing from step S102 to step S106, if all of the management IDs of the terminal information 10410 match (Y in step S106), the terminal information updating unit 1042 updates the update time information 10417 of FIG. It updates based on the update time information 10426, and updates the threat score 10418 in FIG. 12A based on the threat score 10427 (step S117). Then, the terminal information updating unit 1042 terminates the processing.

端末情報更新部1042は、含まれている管理IDが無い場合(端末一時情報1040が端末情報10410に含まれていない場合)、新たな管理IDを追加して端末更新情報を登録する(ステップS118)。そして、端末情報更新部1042は、処理を終了する。 When there is no management ID included (when the terminal temporary information 1040 is not included in the terminal information 10410), the terminal information updating unit 1042 adds a new management ID and registers the terminal update information (step S118). ). Then, the terminal information updating unit 1042 terminates the processing.

8.脅威除去部の動作
脅威除去部105は、VLAN1とVLAN2との双方に接続されている。脅威除去部105は、VLAN1に属する送信先端末301とVLAN2に属する送信元端末302との間の通信から、脅威を含む通信データ1010を除去する。或いは、脅威除去部105は、VLAN1に属する送信先端末301とVLAN2に属する送信元端末302との間の通信から、脅威を含む通信データ1010を無害化するために通信データ1010の有害な部分を破棄、或いは、無害なものに書き換えた正常な通信データ1010を通過させる機能を有する。
8. Operation of Threat Remover The threat remover 105 is connected to both VLAN1 and VLAN2. The threat removal unit 105 removes communication data 1010 containing threats from communication between the destination terminal 301 belonging to VLAN1 and the transmission source terminal 302 belonging to VLAN2. Alternatively, the threat removal unit 105 removes the harmful portion of the communication data 1010 from the communication between the transmission destination terminal 301 belonging to VLAN1 and the transmission source terminal 302 belonging to VLAN2 to render the communication data 1010 including the threat harmless. It has a function of passing normal communication data 1010 that has been discarded or rewritten to harmless data.

脅威除去部105は、トランスペアレントモードといわれる脅威除去部105が通信ネットワーク上で端末として存在しないようにふるまう形態としてもよく、この場合には送信元端末302のVLANを切り換えた場合にもそのまま通信を継続することができる。 The threat removal unit 105 may be configured in a mode called transparent mode in which the threat removal unit 105 behaves as if it does not exist as a terminal on the communication network. can continue.

また、ネットワーク防御装置10は、VLAN1とVLAN2との間のルータとして振る舞う形態としてもよく、この場合には、送信先端末301から送信元端末302に通信する際には脅威除去部105が送信元端末302のように振るまい、送信元端末302から送信先端末301に通信する際には脅威除去部105が送信先端末301のように振る舞えばよい。具体的には、ARPコマンドを用いてもよい。 Alternatively, the network protection device 10 may act as a router between VLAN1 and VLAN2. The threat elimination unit 105 may act like the terminal 301 when communicating from the source terminal 302 to the destination terminal 301 . Specifically, an ARP command may be used.

9.実施の形態の効果
本実施の形態により、インテリジェントスイッチ20を経由する通信データ1010のコピーを通信分析部102で監視し続けることで、脅威を検知することができる。また、脅威を検知すると、スイッチ操作部が、脅威を含みうる送信先端末301が属する通信ネットワーク(VLAN2)と、送信元端末302、304が属する通信ネットワーク(VLAN1)とを論理的に切り離すことができる。つまり、脅威を含みうる送信元端末302、304が属するVLAN2と送信先端末301が属するVLAN1との境界に、脅威除去部105を論理的に接続する。こうして、脅威を含みうる送信元端末302、304が送信した通信データ1010から脅威を除去することができる。これにより、正常な通信に悪影響を与えることなくセキュリティ異常の拡散を防ぐことができる。
9. Effect of the Embodiment According to the present embodiment, a threat can be detected by continuously monitoring a copy of the communication data 1010 passing through the intelligent switch 20 with the communication analysis unit 102 . Further, when a threat is detected, the switch operation unit can logically separate the communication network (VLAN2) to which the destination terminal 301, which may contain a threat, belongs to and the communication network (VLAN1) to which the source terminals 302 and 304 belong. can. In other words, the threat removal unit 105 is logically connected to the boundary between the VLAN 2 to which the source terminals 302 and 304 that may contain a threat belong and the VLAN 1 to which the destination terminal 301 belongs. Thus, threats can be removed from communication data 1010 transmitted by source terminals 302, 304 that may contain threats. As a result, it is possible to prevent security anomalies from spreading without adversely affecting normal communications.

また、送信元端末302、304が属する通信ネットワークと送信先端末301が属する通信ネットワークとの正常な通信を継続するため、脅威を検知する通信分析部102と脅威を除去する脅威除去部105とを分離している。このため、それぞれの処理部の処理負荷を最小限にすることができる。これにより、通信分析部102が探索行動などによって脅威に到る前に脅威を検知してから、脅威除去部105による脅威の除去を適用することができる。その結果、より早期にセキュリティの脅威に対応することができる。 In order to continue normal communication between the communication network to which source terminals 302 and 304 belong and the communication network to which destination terminal 301 belongs, communication analysis section 102 for detecting threats and threat removal section 105 for removing threats are provided. Separated. Therefore, the processing load on each processing unit can be minimized. Accordingly, the threat removal unit 105 can remove the threat after the communication analysis unit 102 detects the threat by search behavior or the like before it reaches the threat. As a result, security threats can be dealt with more quickly.

したがって、工場など制御システムネットワークに必要な端末の無停止稼動と通信遅延の最小化とを実現することができる。また、通信ネットワーク内の脅威を監視したり、脅威の拡散を抑制したりすることで、セキュリティレベルを向上させることができる。 Therefore, it is possible to realize non-stop operation of terminals and minimization of communication delay required for a control system network such as a factory. In addition, by monitoring threats within the communication network and suppressing the spread of threats, the security level can be improved.

10.実施の形態1のその他の変形例
本開示を上記実施の形態に基づいて説明してきたが、本開示は、上記実施の形態1に限定されず、以下のような、実施の形態1の変形例1、実施の形態1の変形例2も本開示に含まれる。
10. Other Modifications of Embodiment 1 Although the present disclosure has been described based on the above embodiment, the present disclosure is not limited to Embodiment 1 above, and the following modifications of Embodiment 1 1. Modification 2 of Embodiment 1 is also included in the present disclosure.

実施の形態1の変形例1(以下、本変形例)について説明する。ネットワークの全体構成として、図1では、ネットワーク防御装置10に1つのインテリジェントスイッチ20を接続する構成としたが、複数のインテリジェントスイッチを接続する構成であってもよい。図17Aは、本変形例におけるネットワーク防御装置10が属する通信ネットワークの全体構成を示す図である。 Modification 1 (hereinafter, this modification) of Embodiment 1 will be described. As the overall configuration of the network, in FIG. 1, one intelligent switch 20 is connected to the network protection device 10, but it may be configured to connect a plurality of intelligent switches. FIG. 17A is a diagram showing the overall configuration of the communication network to which the network protection device 10 belongs in this modified example.

図17Aに示すように、通信ネットワークは、ネットワーク防御装置10、インテリジェントスイッチ20、送信先端末301、送信元端末302に加え、インテリジェントスイッチ21、送信先端末303、送信元端末304がLANケーブルで接続されて構成される。 As shown in FIG. 17A, the communication network includes network protection device 10, intelligent switch 20, destination terminal 301, source terminal 302, intelligent switch 21, destination terminal 303, and source terminal 304 connected by LAN cables. configured.

この通信ネットワークでは、インテリジェントスイッチ20のポート3とインテリジェントスイッチ21のポート0とをLANケーブルを介して接続する。また、この通信ネットワークでは、ネットワーク防御装置10をインテリジェントスイッチ21のポート1とポート3とに、それぞれLANケーブルを介して接続する。 In this communication network, port 3 of intelligent switch 20 and port 0 of intelligent switch 21 are connected via a LAN cable. In this communication network, the network protection device 10 is connected to ports 1 and 3 of the intelligent switch 21 via LAN cables.

インテリジェントスイッチ21は、送信元端末304と送信先端末303との通信稼動開始時に、インテリジェントスイッチ21のポート0とポート4とポート7とをVLAN1に、ポート1をVLAN2に、ネットワーク防御装置10に接続したポート3をミラー機能に設定する。通信データ取得部101は、インテリジェントスイッチ21のポート3からも通信データ1010を取得する。ネットワーク防御装置10とインテリジェントスイッチ21のポート1との間では、例えばインテリジェントスイッチ21の制御用コマンドが通信される。 Intelligent switch 21 connects port 0, port 4, and port 7 of intelligent switch 21 to VLAN 1, port 1 to VLAN 2, and network protection device 10 at the start of communication operation between source terminal 304 and destination terminal 303. Set the port 3 that has been connected to the mirror function. The communication data acquisition unit 101 also acquires communication data 1010 from port 3 of the intelligent switch 21 . For example, commands for controlling the intelligent switch 21 are communicated between the network protection device 10 and the port 1 of the intelligent switch 21 .

送信元端末304と送信先端末303とが通常系ネットワークで通信を行う場合は、上述の図13Aと同様である。通信分析部102により、通信データ1010から脅威が検知された場合、図17Bのように、検疫系ネットワークで通信を行う。図17Bは、本変形例において、送信元端末と送信先端末とが検疫系ネットワークで通信を行う場合を示す図である。スイッチ操作部103は、脅威を含みうる送信元端末304が属する通信ネットワーク(VLAN2)と、送信先端末303が属する通信ネットワーク(VLAN1)とを論理的に切り離す。 When the transmission source terminal 304 and the transmission destination terminal 303 communicate with each other in the normal system network, the process is the same as in FIG. 13A described above. When the communication analysis unit 102 detects a threat from the communication data 1010, communication is performed through the quarantine system network as shown in FIG. 17B. FIG. 17B is a diagram showing a case where a transmission source terminal and a transmission destination terminal communicate with each other in a quarantine system network in this modified example. The switch operation unit 103 logically separates the communication network (VLAN2) to which the transmission source terminal 304 that may contain a threat belongs and the communication network (VLAN1) to which the transmission destination terminal 303 belongs.

具体的には、スイッチ操作部103は、送信元端末304がインテリジェントスイッチ21のポート7、ポート1を介してネットワーク防御装置10の脅威除去部105に接続するVLAN2と、ネットワーク防御装置10の脅威除去部105がインテリジェントスイッチ20のポート2、ポート3、インテリジェントスイッチ21のポート0、ポート4、を介して送信先端末303に接続するVLAN1となるように、切り換える。こうして、送信元端末304は、インテリジェントスイッチ21のポート7、ポート1、ネットワーク防御装置10、インテリジェントスイッチ20のポート2、ポート3、インテリジェントスイッチ21のポート0、ポート4を介して送信先端末303と接続される。 More specifically, the switch operation unit 103 connects the VLAN 2 to which the source terminal 304 is connected to the threat elimination unit 105 of the network protection device 10 via ports 7 and 1 of the intelligent switch 21, and the threat elimination unit 105 of the network protection device 10. The VLAN 1 is switched so that the unit 105 is connected to the destination terminal 303 via the ports 2 and 3 of the intelligent switch 20 and the ports 0 and 4 of the intelligent switch 21 . Thus, the source terminal 304 communicates with the destination terminal 303 via ports 7 and 1 of the intelligent switch 21, the network protection device 10, ports 2 and 3 of the intelligent switch 20, and ports 0 and 4 of the intelligent switch 21. Connected.

また、図17Cのように、送信元端末304と送信先端末301とが通常系ネットワークで通信を行う場合、送信元端末304は、インテリジェントスイッチ21のポート7、ポート0、インテリジェントスイッチ20のポート3、ポート4を介して送信先端末301と接続される。図17Cは、実施の形態1の変形例1において、送信元端末と送信先端末とが通常系ネットワークで通信を行う場合を示す図である。図示はしないが、送信元端末304と送信先端末301とが検疫系ネットワークで通信を行う場合、スイッチ操作部103は、送信元端末304がインテリジェントスイッチ21のポート7、ポート0、インテリジェントスイッチ20のポート3、ポート2を介してネットワーク防御装置10の脅威除去部105に接続するVLAN2と、ネットワーク防御装置10の脅威除去部105がインテリジェントスイッチ20のポート0、ポート4を介して送信先端末301に接続するVLAN1となるように、切り換える。 17C, when the transmission source terminal 304 and the transmission destination terminal 301 communicate with each other on the normal network, the transmission source terminal 304 connects to port 7 and port 0 of the intelligent switch 21 and port 3 of the intelligent switch 20. , port 4 to the destination terminal 301 . 17C] FIG. 17C is a diagram illustrating a case where the transmission source terminal and the transmission destination terminal communicate with each other in the normal network in Modification 1 of Embodiment 1. [ FIG. Although not shown, when the source terminal 304 and the destination terminal 301 communicate with each other in a quarantine system network, the switch operation unit 103 causes the source terminal 304 to connect to ports 7 and 0 of the intelligent switch 21 and ports 0 of the intelligent switch 20. VLAN2 is connected to the threat removal unit 105 of the network protection device 10 via ports 3 and 2, and the threat removal unit 105 of the network protection device 10 is connected to the destination terminal 301 via ports 0 and 4 of the intelligent switch 20. Switch to VLAN1 to be connected.

このような構成を採ることで、本変形例のネットワーク防御装置10は、通信ネットワークを構成する端末の無停止稼動を実現し、かつ、送信元端末302、304と送信先端末301、303と間のような、複数の端末間における通信遅延の最小化も実現しながら、セキュリティレベルを向上させることができる。 By adopting such a configuration, the network protection device 10 of this modification realizes non-stop operation of the terminals constituting the communication network, It is possible to improve the security level while minimizing the communication delay between a plurality of terminals.

図17Bのように太い実線の経路は第2の通信経路の一例であり、図17Cのように太い実線の経路は第1の通信経路の一例である。 A route indicated by a thick solid line in FIG. 17B is an example of a second communication route, and a route indicated by a thick solid line in FIG. 17C is an example of a first communication route.

実施の形態1の変形例2(以下、本変形例)について説明する。通信ネットワークの全体構成として、ネットワーク防御装置10に複数のインテリジェントスイッチを接続する図17Aとは別の構成であってもよい。図18は、本実施の形態におけるネットワーク防御装置10が属する通信ネットワークの全体構成を示す図である。 Modification 2 (hereinafter, this modification) of Embodiment 1 will be described. The overall configuration of the communication network may be different from that shown in FIG. 17A in which a plurality of intelligent switches are connected to the network protection device 10 . FIG. 18 is a diagram showing the overall configuration of a communication network to which the network protection device 10 belongs according to this embodiment.

図18に示すように、通信ネットワークは、ネットワーク防御装置10、インテリジェントスイッチ20、送信先端末301、送信元端末302に加え、インテリジェントスイッチ21、送信先端末303、送信元端末304がLANケーブルで接続されて構成される。 As shown in FIG. 18, the communication network includes network protection device 10, intelligent switch 20, destination terminal 301, source terminal 302, intelligent switch 21, destination terminal 303, and source terminal 304 connected by LAN cables. configured.

この通信ネットワークでは、インテリジェントスイッチ20のポート3とインテリジェントスイッチ21のポート0とをLANケーブルを介して接続する。必要に応じて、インテリジェントスイッチ21に接続されていないポートをミラー機能として設定し、ネットワーク防御装置10に接続してもよい。 In this communication network, port 3 of intelligent switch 20 and port 0 of intelligent switch 21 are connected via a LAN cable. If necessary, a port that is not connected to the intelligent switch 21 may be set as a mirror function and connected to the network protection device 10 .

インテリジェントスイッチ21は、送信元端末304と送信先端末303との通信稼動開始時に、インテリジェントスイッチ20のポート3とインテリジェントスイッチ21のポート0とをトランクラインとして設定し、インテリジェントスイッチ21のポート4とポート7とをVLAN1に設定する。 The intelligent switch 21 sets the port 3 of the intelligent switch 20 and the port 0 of the intelligent switch 21 as a trunk line at the start of communication operation between the source terminal 304 and the destination terminal 303, and sets the port 4 of the intelligent switch 21 to the port 0 of the intelligent switch 21 as a trunk line. 7 is set to VLAN1.

送信元端末304と送信先端末303とが通常系ネットワークで通信を行う場合は、上述の図13Aと同様である。検疫系ネットワークで通信を行う場合、スイッチ操作部103は、送信元端末304がインテリジェントスイッチ21のポート7、ポート0を介してネットワーク防御装置10の脅威除去部105に接続するVLAN2(太い実線で示す)と、ネットワーク防御装置10の脅威除去部105がインテリジェントスイッチ20のポート1、ポート3、インテリジェントスイッチ21のポート0、ポート4、を介して送信先端末303に接続するVLAN1となるように、切り換える。図18のような経路が第1の通信経路の一例となる。 When the transmission source terminal 304 and the transmission destination terminal 303 communicate with each other in the normal system network, the process is the same as in FIG. 13A described above. When communicating in a quarantine system network, the switch operation unit 103 selects VLAN 2 (indicated by a thick solid line) in which the transmission source terminal 304 is connected to the threat removal unit 105 of the network protection device 10 via ports 7 and 0 of the intelligent switch 21. ), the threat elimination unit 105 of the network protection device 10 switches to VLAN 1 connected to the destination terminal 303 via ports 1 and 3 of the intelligent switch 20 and ports 0 and 4 of the intelligent switch 21. . A route as shown in FIG. 18 is an example of the first communication route.

このような構成を採ることで、ネットワーク防御装置10は、複数のインテリジェントスイッチ(本実施の形態では、インテリジェントスイッチ20およびインテリジェントスイッチ21)に接続される通信ネットワークを防御することができる。 By adopting such a configuration, the network protection device 10 can protect a communication network connected to a plurality of intelligent switches (intelligent switches 20 and 21 in this embodiment).

(実施の形態2)
[構成]
本実施の形態における他の構成は、特に明記しない場合は、実施の形態1と同様であり、同一の構成については同一の符号を付して構成に関する詳細な説明を省略する。
(Embodiment 2)
[Constitution]
Other configurations in the present embodiment are the same as those in the first embodiment unless otherwise specified, and the same configurations are denoted by the same reference numerals, and detailed description of the configurations will be omitted.

21.通信ネットワークの全体構成
ネットワーク防御装置10は、通信データ取得部101、通信分析部102、スイッチ操作部103、端末情報管理部104、および、脅威除去部105の他に、さらにパケット書換部106を備える。
21. Overall Configuration of Communication Network Network protection device 10 further includes packet rewriting section 106 in addition to communication data acquisition section 101, communication analysis section 102, switch operation section 103, terminal information management section 104, and threat elimination section 105. .

インテリジェントスイッチ20のポート0は、インテリジェントスイッチ20を通過する通信データ1010のコピーを出力可能なミラー機能を備える。ポート1は、通信データ1010にVLANグループを区別するタグ情報を付加するタグポート機能を備える。ポート2~7は、一般的なスイッチングハブのポートと同様の振る舞いをする通常ポートである。ポート1は、第6のポートの一例である。 Port 0 of intelligent switch 20 has a mirror function capable of outputting a copy of communication data 1010 passing through intelligent switch 20 . Port 1 has a tag port function that adds tag information for distinguishing VLAN groups to communication data 1010 . Ports 2 to 7 are normal ports that behave like ports of a general switching hub. Port 1 is an example of a sixth port.

また、ネットワーク防御装置10は、インテリジェントスイッチ20のポート0、ポート1に接続される。送信先端末301はポート4に接続され、送信元端末302はポート7に接続され、送信先端末303はポート5に接続され、送信元端末304はポート6に接続されている。ポート7は、第5のポートの一例である。ポート4は、第7のポートの一例である。 The network protection device 10 is also connected to ports 0 and 1 of the intelligent switch 20 . A destination terminal 301 is connected to port 4 , a source terminal 302 is connected to port 7 , a destination terminal 303 is connected to port 5 , and a source terminal 304 is connected to port 6 . Port 7 is an example of a fifth port. Port 4 is an example of a seventh port.

また、送信元端末302から、インテリジェントスイッチ20のポート4、ポート7、および、送信先端末301は、VLAN1aに属している。送信元端末304から、ポート5、ポート6、および、送信先端末301は、VLAN1aとは異なるVLAN1bに属している。送信元端末302、304および送信先端末301、303は、同一のインテリジェントスイッチ20に接続されているが、異なるVLAN間、すなわち、VLAN1aとVLAN1bとの間は、通信できない。 Also, from source terminal 302 to port 4 and port 7 of intelligent switch 20 and destination terminal 301 belong to VLAN 1a. Source terminal 304 to port 5, port 6, and destination terminal 301 belong to VLAN1b, which is different from VLAN1a. Source terminals 302 and 304 and destination terminals 301 and 303 are connected to the same intelligent switch 20, but cannot communicate between different VLANs, that is, between VLAN1a and VLAN1b.

また、インテリジェントスイッチ20のポート1とネットワーク防御装置10を接続する通信路は、トランクラインであり、複数のVLANグループ、例えば、VLAN1aとVLAN1bとを区別して通信データ1010を送受信する。この通信データ1010には、VLANグループを特定するタグ情報が挿入される。なお、本実施の形態では、インテリジェントスイッチ20のポート2とネットワーク防御装置10とは接続されていない。 A communication path connecting port 1 of the intelligent switch 20 and the network protection device 10 is a trunk line, and communication data 1010 is transmitted and received by distinguishing between a plurality of VLAN groups, eg, VLAN1a and VLAN1b. Tag information specifying a VLAN group is inserted into this communication data 1010 . In this embodiment, port 2 of intelligent switch 20 and network protection device 10 are not connected.

インテリジェントスイッチ20は、通常ポートであるポート4~7が通信データ1010を受信すると、通信データ1010に含まれるアドレスの送信先端末301が、ポートの所属するVLAN(以降、所属VLANと呼ぶ)と同一のポートに接続されていない場合、送信先端末301の所属VLANを示すタグ情報を通信データ1010に付加し、タグポートであるポート1からこの通信データ1010を送信する。 When the intelligent switch 20 receives the communication data 1010 at ports 4 to 7, which are normal ports, the destination terminal 301 of the address included in the communication data 1010 is the same as the VLAN to which the port belongs (hereinafter referred to as the assigned VLAN). , the tag information indicating the VLAN to which the destination terminal 301 belongs is added to the communication data 1010, and the communication data 1010 is transmitted from port 1, which is the tag port.

また、インテリジェントスイッチ20は、タグポートであるポート1が通信データ1010を受信すると、通信データ1010に含まれる所属VLANを示すタグ情報を参照し、タグ情報に対応するVLANグループに属する通常ポートを選択する。インテリジェントスイッチ20は、通信データ1010からタグ情報を除去し、送信先端末301に接続されたポートを介し、送信先端末301に通信データ1010を送信する。 Also, when port 1, which is a tag port, receives the communication data 1010, the intelligent switch 20 refers to the tag information indicating the assigned VLAN included in the communication data 1010, and selects a normal port belonging to the VLAN group corresponding to the tag information. do. The intelligent switch 20 removes the tag information from the communication data 1010 and transmits the communication data 1010 to the destination terminal 301 via the port connected to the destination terminal 301 .

22.ネットワーク防御装置の構成
次にネットワーク防御装置10の詳細について説明する。
22. Configuration of Network Protection Device Next, details of the network protection device 10 will be described.

スイッチ操作部103は、ポートのVLANを切り換える際、例えば、VLAN1aまたはVLAN1bからVLAN2aまたはVLAN2b(図25A、25Bで後に示す)に、或いは、VLAN2aまたはVLAN2bからVLAN1aまたはVLAN1bに切り換える。ここで、VLAN1aとVLAN1bは、通常系ネットワークであり、VLAN2aとVLAN2bとは、検疫系ネットワークである。例えば、送信先端末301がVLAN1aに属し、送信元端末302がVLAN2aに属し、送信先端末303がVLAN1bに属し、送信元端末304がVLAN2bに属する。 When switching the VLAN of the port, the switch operation unit 103 switches, for example, from VLAN1a or VLAN1b to VLAN2a or VLAN2b (shown later in FIGS. 25A and 25B), or from VLAN2a or VLAN2b to VLAN1a or VLAN1b. Here, VLAN1a and VLAN1b are normal networks, and VLAN2a and VLAN2b are quarantine networks. For example, the destination terminal 301 belongs to VLAN1a, the source terminal 302 belongs to VLAN2a, the destination terminal 303 belongs to VLAN1b, and the source terminal 304 belongs to VLAN2b.

脅威除去部105は、VLAN2aまたはVLAN2bに属する端末に係る通信データ1010を受信し、通信データ1010から脅威を除去した上で本来の送信先端末301または送信先端末303に出力する機能を備える。 The threat removal unit 105 has a function of receiving communication data 1010 related to terminals belonging to VLAN2a or VLAN2b, removing threats from the communication data 1010, and outputting the data to the original destination terminal 301 or destination terminal 303. FIG.

パケット書換部106は、脅威除去部105を通過した脅威除去後の通信データに含まれる通信ネットワークのVLAN情報を書き換える。具体的には、パケット書換部106は、ポート1から入力され脅威除去部105を通過した脅威除去後の通信データの所属VLAN情報1011aをVLAN1aまたはVLAN1bからVLAN2aまたはVLAN2bへ、或いは、VLAN2aまたはVLAN2bからVLAN1aまたはVLAN1bへ書き換える(変更する)。このように書き換えた後に、パケット書換部106は、再びインテリジェントスイッチ20のポート1に、書き換えられた通信データを送信する。パケット書換部106は、書換部の一例である。 The packet rewriting unit 106 rewrites the VLAN information of the communication network included in the threat-removed communication data that has passed through the threat removal unit 105 . Specifically, the packet rewriting unit 106 converts the belonging VLAN information 1011a of the threat-removed communication data input from the port 1 and passed through the threat removal unit 105 from VLAN1a or VLAN1b to VLAN2a or VLAN2b, or from VLAN2a or VLAN2b. Rewrite (change) to VLAN1a or VLAN1b. After rewriting in this manner, the packet rewriting unit 106 transmits the rewritten communication data to the port 1 of the intelligent switch 20 again. Packet rewrite unit 106 is an example of a rewrite unit.

22-1.通信データの構成
図20は、本実施の形態における通信データ1010の構成を示す図である。通信データ1010には、少なくとも、所属VLAN情報1011aと送信元アドレス情報1011と送信先アドレス情報1012とペイロード1013とが含まれる。
22-1. Configuration of Communication Data FIG. 20 is a diagram showing the configuration of communication data 1010 in this embodiment. Communication data 1010 includes at least affiliated VLAN information 1011 a , source address information 1011 , destination address information 1012 and payload 1013 .

所属VLAN情報1011aは、例えばIEEE802.1Qで規定されているタグ情報であり、Ethernetフレームに挿入されてVLANの識別に利用される。 The affiliated VLAN information 1011a is, for example, tag information defined by IEEE802.1Q, which is inserted into an Ethernet frame and used to identify the VLAN.

23.端末通信情報の構成
次に、端末通信情報1023の詳細について説明する。図21は、本実施の形態における端末通信情報1023の構成を示す図である。
23. Configuration of Terminal Communication Information Next, details of the terminal communication information 1023 will be described. FIG. 21 is a diagram showing the configuration of terminal communication information 1023 in this embodiment.

図21に示すように、端末通信情報1023は、端末番号10230とIPアドレス情報10231とMACアドレス情報10232とVLAN情報10232aと更新時刻情報10233と脅威検知内容10234とで構成される。 As shown in FIG. 21, the terminal communication information 1023 is composed of a terminal number 10230, IP address information 10231, MAC address information 10232, VLAN information 10232a, update time information 10233, and threat detection content 10234.

端末アドレス確認部1020から取得した所属VLAN情報1011aはVLAN情報10232aとされる。IPアドレス情報10231、送信元MACアドレス情報10232、および、VLAN情報10232aを取得した時刻は、更新時刻情報10233とされる。 The affiliated VLAN information 1011a acquired from the terminal address confirmation unit 1020 is used as the VLAN information 10232a. The time when the IP address information 10231, the source MAC address information 10232, and the VLAN information 10232a are acquired is used as update time information 10233. FIG.

24.スイッチ初期設定情報の構成
次に、スイッチ初期設定情報1031の詳細について説明する。図22は、本実施の形態におけるスイッチ初期設定情報1031の構成を示す図である。
24. Configuration of Switch Initial Setting Information Next, details of the switch initial setting information 1031 will be described. FIG. 22 is a diagram showing the configuration of switch initial setting information 1031 in this embodiment.

図22に示すように、スイッチ初期設定情報1031は、スイッチ識別情報10311とスイッチ制御用IPアドレス10312とが対応したスイッチ識別情報テーブル10310と、VLAN情報10314とVLANグループ情報10314aとVLANネットワーク種類10315とがそれぞれ対応したVLAN識別情報テーブル10313とで構成される。 As shown in FIG. 22, the switch initial setting information 1031 includes a switch identification information table 10310 corresponding to the switch identification information 10311 and the switch control IP address 10312, VLAN information 10314, VLAN group information 10314a, and VLAN network type 10315. are composed of a VLAN identification information table 10313 corresponding to each.

VLAN識別情報テーブル10313にて定義されたVLAN情報10314は、インテリジェントスイッチ20のポート1であるトランクラインについて、通信データ1010の出力対象となるVLANとして設定する。 The VLAN information 10314 defined in the VLAN identification information table 10313 is set for the trunk line which is the port 1 of the intelligent switch 20 as the VLAN to which the communication data 1010 is to be output.

VLANグループ情報10314aは、VLAN1a、VLAN1b、VLAN2a、および、VLAN2bにそれぞれ割り得てられた所属するグループを示す情報である。VLANグループ情報10314aは、あらかじめネットワークに割り当てられていたVLAN情報10314にそれぞれ対応付けられる。 The VLAN group information 10314a is information indicating groups to which VLAN1a, VLAN1b, VLAN2a, and VLAN2b belong. The VLAN group information 10314a is associated with the VLAN information 10314 previously assigned to the network.

なお、VLANグループ情報10314aは、通信分析部102によって、それぞれ異なる検知内容で検知された情報であってもよい。また、特定のVLANグループ情報10314aでのみ脅威を検知するように、通信分析部102が設定されていてもよい。 Note that the VLAN group information 10314a may be information detected by the communication analysis unit 102 with different detection contents. Further, the communication analysis unit 102 may be set so as to detect threats only in specific VLAN group information 10314a.

端末管理部基準値情報10431は、基準値内容104311と基準値104312とを含む。基準値内容104311としては、「脅威スコア減算までの時間t0」と、「VLANネットワーク種類が通常系から検疫系へ変更する際の脅威スコア値X」と、「VLANネットワーク種類が検疫系ネットワークから通常系ネットワークへ変更する際の脅威スコア値Y」と、「脅威レベルの判定をグレーからブラックに変更するスコア値Z」とを含む。 Terminal management unit reference value information 10431 includes reference value content 104311 and reference value 104312 . Reference value contents 104311 include "time t0 until threat score subtraction", "threat score value X when VLAN network type is changed from normal system to quarantine system", and "VLAN network type is changed from quarantine system to normal system. "threat score value Y when changing to a system network" and "score value Z when changing the threat level determination from gray to black".

25.端末情報の構成
次に、端末情報10410の詳細について説明する。図24Aおよび図24Bは、本実施の形態における端末情報10410の構成を示す図である。図24Aの端末情報10410は、送信元端末302からの脅威が検知される前の情報を示し、図24Bの端末情報10410は、送信元端末302からの脅威が検知された後の情報を示している。
25. Configuration of Terminal Information Next, details of the terminal information 10410 will be described. 24A and 24B are diagrams showing the configuration of terminal information 10410 in this embodiment. Terminal information 10410 in FIG. 24A indicates information before the threat from source terminal 302 is detected, and terminal information 10410 in FIG. 24B indicates information after the threat from source terminal 302 is detected. there is

26.脅威検知前と脅威検知後の論理的なネットワークの構成
次に、送信元端末302からの脅威が検知される前と後のネットワーク全体構成の詳細について説明する。図25Aおよび図25Bは、本実施の形態におけるネットワーク全体構成の論理的なネットワーク構成を示す図である。図25Aは、送信元端末302からの脅威が検知される前の論理的なネットワーク構成を示し、図25Bは、送信元端末302からの脅威が検知された後の論理的なネットワーク構成を示す。図25Aおよび図25Bに示すように、脅威除去部105およびパケット書換部106は、トランクラインTRUNK1に設定されたインテリジェントスイッチ20のポート1を介して接続している。なお、図25Aおよび図25Bでは、便宜上、インテリジェントスイッチ20のポート0とネットワーク防御装置10とを接続するLANケーブルを省略している。
26. Logical Network Configuration Before Threat Detection and After Threat Detection Next, the details of the entire network configuration before and after the threat from the source terminal 302 is detected will be described. 25A and 25B are diagrams showing the logical network configuration of the entire network configuration in this embodiment. 25A shows the logical network configuration before the threat from source terminal 302 is detected, and FIG. 25B shows the logical network configuration after the threat from source terminal 302 is detected. As shown in FIGS. 25A and 25B, threat remover 105 and packet rewriter 106 are connected via port 1 of intelligent switch 20 set to trunk line TRUNK1. 25A and 25B, for the sake of convenience, the LAN cable connecting port 0 of intelligent switch 20 and network protection device 10 is omitted.

図25Aは、送信元端末302または送信元端末304からの脅威が検知される前であり、端末管理部基準値情報10431の脅威スコアが図9の脅威スコア値Xを下回っている状態、または、端末管理部基準値情報10431の脅威スコアが図9の脅威スコア値Yを上回る状態から脅威スコア値Y以下の状態に変化した後の論理的なネットワークを示す。送信先端末301と、ポート4と、ポート7と、送信元端末302とは、共にVLAN1aに含まれ、送信先端末303と、ポート5と、ポート6と、送信元端末304とは共にVLAN1b含まれ、脅威除去部105およびパケット書換部106を介さずに通信を行っている。 FIG. 25A shows a state before a threat from source terminal 302 or source terminal 304 is detected, and the threat score of terminal management unit reference value information 10431 is lower than threat score value X in FIG. 9, or FIG. 10 shows a logical network after the threat score of the terminal management unit reference value information 10431 has changed from a state exceeding the threat score value Y in FIG. 9 to a state equal to or less than the threat score value Y. FIG. The destination terminal 301, port 4, port 7, and source terminal 302 are all included in VLAN 1a, and the destination terminal 303, port 5, port 6, and source terminal 304 are all included in VLAN 1b. communication is performed without going through the threat elimination unit 105 and the packet rewriting unit 106.

送信先端末301は、VLAN1aに接続されたままである。スイッチ操作部103がインテリジェントスイッチ20に接続しているポート7をVLAN1aからVLAN2aに切り換えることで、送信元端末302は、VLAN2aに接続される。送信先端末301および送信元端末302は、脅威除去部105とパケット書換部106とを介して通信を行う。 The destination terminal 301 remains connected to the VLAN1a. When the switch operation unit 103 switches the port 7 connected to the intelligent switch 20 from VLAN1a to VLAN2a, the source terminal 302 is connected to VLAN2a. Destination terminal 301 and source terminal 302 communicate via threat removal section 105 and packet rewriting section 106 .

また、送信先端末303は、VLAN1bに接続されたままである。送信元端末304は、インテリジェントスイッチ20に接続しているポート6をVLAN1bからVLAN2bに切り換えることで、送信元端末304は、VLAN2bに接続される。送信先端末303および送信元端末304は、脅威除去部105とパケット書換部106とを介して通信を行う。 Also, the destination terminal 303 remains connected to the VLAN1b. By switching the port 6 connected to the intelligent switch 20 from VLAN1b to VLAN2b, the source terminal 304 is connected to VLAN2b. Destination terminal 303 and source terminal 304 communicate via threat removal section 105 and packet rewriting section 106 .

図25Aのように太い実線の経路、および、太い破線の経路は、第1の通信経路の一例である。 A thick solid line path and a thick dashed line path in FIG. 25A are examples of the first communication path.

図20、および、図25Bに示すように、ポートのVLAN設定が切り換わると、インテリジェントスイッチ20は、ポート7、或いは、ポート6から入力された通信データ1010に所属VLAN情報1011aを挿入(タグ付け)し、ポート1からトランクラインTRUNK1を介してネットワーク防御装置10に出力する。 As shown in FIGS. 20 and 25B, when the port VLAN setting is switched, the intelligent switch 20 inserts belonging VLAN information 1011a into the communication data 1010 input from port 7 or port 6 (tagging). ) and output from port 1 to the network protection device 10 via the trunk line TRUNK1.

ネットワーク防御装置10の脅威除去部105は、送信元端末302および送信元端末304に係る通信データ1010から脅威を除去する。脅威を除去した後、パケット書換部106は、脅威除去後の通信データの所属VLAN情報1011aについて、VLAN識別情報テーブル10313を参照し、VLAN1aからVLAN2aまたはVLAN2aからVLAN1a、或いはVLAN1bからVLAN2bまたはVLAN2bからVLAN1bなどと、通常系ネットワークから検疫系ネットワークまたは検疫系ネットワークから通常系ネットワークへのVLAN情報に書き換えを行う。 The threat removal unit 105 of the network protection device 10 removes threats from the communication data 1010 relating to the source terminals 302 and 304 . After removing the threat, the packet rewriting unit 106 refers to the VLAN identification information table 10313 for the belonging VLAN information 1011a of the communication data after removal of the threat, and converts VLAN1a to VLAN2a, VLAN2a to VLAN1a, or VLAN1b to VLAN2b or VLAN2b to VLAN1b. For example, the VLAN information is rewritten from the normal system network to the quarantine system network or from the quarantine system network to the normal system network.

VLAN情報を書き換えられた通信データは、トランクラインTRUNK1を通ってインテリジェントスイッチ20のポート1に戻る。インテリジェントスイッチ20は、書き換えられた通信データの所属VLAN情報1011aを参照して書き換えられた通信データの送信先ポートを決定するとともに、所属VLAN情報1011aを書き換えられた通信データより削除する。インテリジェントスイッチ20は、所属VLAN情報1011aを削除した通信データを送信先ポートから送信する。 Communication data with rewritten VLAN information returns to port 1 of intelligent switch 20 through trunk line TRUNK1. The intelligent switch 20 refers to the assigned VLAN information 1011a of the rewritten communication data, determines the destination port of the rewritten communication data, and deletes the assigned VLAN information 1011a from the rewritten communication data. The intelligent switch 20 transmits communication data from which the assigned VLAN information 1011a has been deleted from the transmission destination port.

図25Bのように太い実線の経路、および、太い破線の経路は、第2の通信経路の一例である。 A thick solid line path and a thick dashed line path in FIG. 25B are examples of the second communication path.

以上より、端末側の処理を変更することなく送信元端末302は送信先端末301と、送信元端末304は送信先端末303と、それぞれ正常な通信を行うことができる。 As described above, the transmission source terminal 302 and the transmission destination terminal 301 can perform normal communication, and the transmission source terminal 304 and the transmission destination terminal 303 can perform normal communication without changing the processing on the terminal side.

なお、本実施の形態では、送信元端末302および送信元端末304からの脅威が同時に検知される場合について説明したが、これに限られない。例えば、送信元端末302または送信元端末304のいずれか一方による脅威が検知される場合に、論理的なネットワーク構成を変更するようにしてもよい。 In this embodiment, the case where threats from source terminal 302 and source terminal 304 are simultaneously detected has been described, but the present invention is not limited to this. For example, when a threat from either source terminal 302 or source terminal 304 is detected, the logical network configuration may be changed.

27.ネットワーク防御装置の動作
次に、ネットワーク防御装置10の動作について詳細に説明する。図26は、本実施の形態におけるネットワーク防御装置の動作を示すフローチャートである。
27. Operation of Network Protection Device Next, the operation of the network protection device 10 will be described in detail. FIG. 26 is a flow chart showing the operation of the network protection device according to this embodiment.

図26の動作は実施の形態1の図14と同様であり、図14と同様の処理については同一の符号を付してその説明を適宜省略する。 The operation of FIG. 26 is the same as that of FIG. 14 of Embodiment 1, and the same processing as that of FIG.

図26に示すように、ネットワーク防御装置10は、通信データ1010を取得する(ステップS001)。通信分析部102は、通信データ1010を分析する(ステップS002)。端末情報管理部104は、脅威スコア10427を算出する(ステップS021)。通信分析部102は、脅威を検知したかどうかを判定する(分岐B003)。 As shown in FIG. 26, the network protection device 10 acquires communication data 1010 (step S001). Communication analysis unit 102 analyzes communication data 1010 (step S002). The terminal information management unit 104 calculates the threat score 10427 (step S021). The communication analysis unit 102 determines whether or not a threat has been detected (branch B003).

脅威が検知された場合(分岐B003でYの場合)、スイッチ情報取得部1032は、インテリジェントスイッチ20から、最新のスイッチ情報10320を取得する(ステップS004)。そして、処理は、分岐B105に進む。 When a threat is detected (Y at branch B003), the switch information acquisition unit 1032 acquires the latest switch information 10320 from the intelligent switch 20 (step S004). Then, the process proceeds to branch B105.

脅威が検知されない場合(分岐B003でNの場合)、端末情報管理部104は、脅威スコア10427が0より大きいか否かを判定する(分岐B030)。脅威スコア10427が0である場合(分岐B030でNの場合)、ステップS001に戻る。また、脅威スコア10427が0よりも大きい場合(分岐B030でYの場合)、端末情報更新部1042は、脅威スコア10427が、脅威レベルの判定をグレーからブラックに変更するスコア値Z(以下、スコア値Zとする)未満であるか否かを判定する(分岐B031)。 If no threat is detected (N in branch B003), the terminal information management unit 104 determines whether the threat score 10427 is greater than 0 (branch B030). If the threat score 10427 is 0 (N at branch B030), the process returns to step S001. If the threat score 10427 is greater than 0 (Y in branch B030), the terminal information updating unit 1042 determines that the threat score 10427 changes the threat level determination from gray to black with a score value Z (hereinafter referred to as score A value Z) is determined (branch B031).

脅威スコア10427がスコア値Z以上であれば(分岐B031でNの場合)、ステップS001に戻る。脅威スコア10427がスコア値Z未満であれば(分岐B031でYの場合)、端末情報更新部1042は、前回の更新時刻から時間t0が経過しているかどうかを判定する(分岐B032)。 If the threat score 10427 is greater than or equal to the score value Z (N at branch B031), the process returns to step S001. If threat score 10427 is less than score value Z (Y in branch B031), terminal information update unit 1042 determines whether or not time t0 has passed since the previous update time (branch B032).

時間t0が経過していない場合(分岐B032でNの場合)、ステップS001に戻る。前回の更新時刻から時間t0が経過している場合(分岐B032でYの場合)、端末情報更新部1042は、脅威スコア10427から1を減じた値にする(ステップS033)。 If the time t0 has not elapsed (N at branch B032), the process returns to step S001. If time t0 has passed since the previous update time (Y at branch B032), the terminal information update unit 1042 subtracts 1 from the threat score 10427 (step S033).

端末情報更新部1042は、VLAN情報10423とVLAN識別情報テーブル10313とから、VLANネットワーク種類が通常系ネットワークであるかどうかを判定する(分岐B105)。 The terminal information updating unit 1042 determines whether the VLAN network type is a normal network from the VLAN information 10423 and the VLAN identification information table 10313 (branch B105).

検疫系ネットワークの場合(分岐B105でNの場合)は、分岐B006に進み、VLANネットワーク種類が通常系ネットワークである場合(分岐B105でYの場合)は、分岐B007に進む。 If it is a quarantine network (N at branch B105), proceed to branch B006, and if the VLAN network type is a normal network (Y at branch B105), proceed to branch B007.

端末情報更新部1042は、脅威スコア10427が検疫系ネットワークから通常系ネットワークへ切り換えする際の脅威スコア値Yよりも大きいかどうかを判定する(分岐B006)。 The terminal information update unit 1042 determines whether or not the threat score 10427 is greater than the threat score value Y when switching from the quarantine network to the normal network (branch B006).

脅威スコア10427が脅威スコア値Yよりも大きい場合(分岐B006でYの場合)、経路変更部1033が接続ポート情報10422の属するVLANを切り換えることなくステップS008へ進み、脅威スコア10427が脅威スコア値Y以下の場合(分岐B006でNの場合)、ステップS161へ進む。 If the threat score 10427 is greater than the threat score value Y (Y in branch B006), the route changing unit 1033 proceeds to step S008 without switching the VLAN to which the connection port information 10422 belongs, and the threat score 10427 becomes the threat score value Y. In the following cases (N at branch B006), the process proceeds to step S161.

端末情報更新部1042は、脅威スコア10427が、通常系ネットワークから検疫系ネットワークへ切り換える際の脅威スコア値Xよりも小さいかどうかを判定する(分岐B007)。脅威スコア10427が脅威スコア値Xよりも小さい場合(分岐B007でYの場合)、ステップS008へ進み、脅威スコア10427が脅威スコア値X以上の場合(分岐B007でNの場合)、ステップS171へ進む。 The terminal information updating unit 1042 determines whether the threat score 10427 is smaller than the threat score value X when switching from the normal network to the quarantine network (branch B007). If threat score 10427 is smaller than threat score value X (Y in branch B007), proceed to step S008; if threat score 10427 is greater than or equal to threat score value X (N in branch B007), proceed to step S171. .

端末更新情報10420のVLAN情報10423から、VLAN識別情報テーブル10313のVLANグループ情報10314aに対応するVLAN情報10314に基づいて、パケット書換部106は、接続ポート情報10422の属するVLAN情報を通常系ネットワークのVLAN情報に書き換える(ステップS161)。 From the VLAN information 10423 of the terminal update information 10420, based on the VLAN information 10314 corresponding to the VLAN group information 10314a of the VLAN identification information table 10313, the packet rewriting unit 106 converts the VLAN information to which the connection port information 10422 belongs to the normal network VLAN. Rewrite to information (step S161).

ステップS161は、検疫対象であった送信元端末302、304を、検疫系ネットワークから通常系ネットワークに戻す処理である。ステップS161は、図25Bの送信元端末302の接続しているインテリジェントスイッチ20のポートの属するVLAN情報が、VLAN2aから図25AのVLAN1aに属するように書き換える処理である。または、ステップS161は、図25Bの送信元端末304の接続しているインテリジェントスイッチ20のポートの属するVLAN情報がVLAN2bから図25AのようにVLAN1bに属するように書き換える処理である。 Step S161 is a process of returning the quarantine target transmission source terminals 302 and 304 from the quarantine system network to the normal system network. Step S161 is a process of rewriting the VLAN information to which the port of the intelligent switch 20 to which the transmission source terminal 302 is connected in FIG. 25B belongs from VLAN2a to VLAN1a in FIG. 25A. Alternatively, step S161 is a process of rewriting the VLAN information to which the port of the intelligent switch 20 to which the transmission source terminal 304 is connected in FIG. 25B belongs from VLAN2b so that it belongs to VLAN1b as in FIG. 25A.

端末更新情報10420のVLAN情報10423から、VLAN識別情報テーブル10313のVLANグループ情報10314aに対応するVLAN情報10314に基づいて、パケット書換部106は、接続ポート情報10422の属するVLANを検疫系ネットワークのVLAN情報に書き換える(ステップS171)。 From the VLAN information 10423 of the terminal update information 10420, based on the VLAN information 10314 corresponding to the VLAN group information 10314a of the VLAN identification information table 10313, the packet rewriting unit 106 converts the VLAN to which the connection port information 10422 belongs to the VLAN information of the quarantine system network. (step S171).

ステップS171は、通常系ネットワークに属していた送信元端末304を、検疫系ネットワークに属するように書き換える処理であり、図25Aの送信元端末302の接続しているインテリジェントスイッチ20のポートの属するVLAN情報がVLAN1aから図25BのVLAN2aに属するように書き換える処理である。または、ステップS171は、図25Bの送信元端末304の接続しているインテリジェントスイッチのポートの属するVLAN情報がVLAN1bから図25BのようにVLAN2bに属するように書き換える処理である。 Step S171 is a process of rewriting the source terminal 304 belonging to the normal system network so that it belongs to the quarantine system network. is rewritten so that it belongs to VLAN2a in FIG. 25B from VLAN1a. Alternatively, step S171 is a process of rewriting the VLAN information to which the port of the intelligent switch to which the source terminal 304 is connected in FIG. 25B belongs from VLAN1b to VLAN2b as in FIG. 25B.

端末情報更新部1042は、端末情報10410を更新する(ステップS008)。そして、端末情報更新部1042は、処理をステップS001に戻す。 The terminal information update unit 1042 updates the terminal information 10410 (step S008). Then, the terminal information updating unit 1042 returns the process to step S001.

28.脅威除去部の動作
脅威除去部105は、トランクラインを介して接続されている。脅威除去部105は、VLAN1aに属する送信先端末301とVLAN2aに属する送信元端末302との間、および、VLAN1bに属する送信先端末303とVLAN2bに属する送信元端末304との間で行われる通信から、脅威となる通信データ1010を除去し、正常な通信データ1010を通過させる機能を有する。
28. Operation of Threat Remover The threat remover 105 is connected via a trunk line. The threat elimination unit 105 removes threats from communication between the destination terminal 301 belonging to VLAN1a and the transmission source terminal 302 belonging to VLAN2a, and between the transmission destination terminal 303 belonging to VLAN1b and the transmission source terminal 304 belonging to VLAN2b. , removes threat communication data 1010 and allows normal communication data 1010 to pass.

脅威除去部105は、トランスペアレントモードといわれる脅威除去部105が通信ネットワーク上で端末として存在しないように振る舞う形態としてもよい。この場合には、送信元端末302および送信元端末304のVLANを切り換えた場合にもそのまま通信を継続することができる。 The threat removal unit 105 may behave in a so-called transparent mode as if the threat removal unit 105 does not exist as a terminal on the communication network. In this case, even if the VLANs of source terminal 302 and source terminal 304 are switched, communication can be continued.

また、脅威除去部105は、通常系ネットワークと検疫系ネットワークとの間のルータとして振る舞う形態としてもよい。この場合には、送信先端末301から送信元端末302に通信する際には脅威除去部105が送信元端末302のように振る舞い、送信元端末302から送信先端末301に通信する際には脅威除去部105が送信先端末301のように振る舞い、或いは、送信先端末303から送信元端末304に通信する際には脅威除去部105が送信元端末304のように振る舞い、送信元端末304から送信先端末303に通信する際には脅威除去部105が送信先端末303のように振る舞うようになればよい。具体的には、ARPコマンドを用いてもよい。 Alternatively, the threat removal unit 105 may behave as a router between the normal system network and the quarantine system network. In this case, when the destination terminal 301 communicates with the transmission source terminal 302, the threat elimination unit 105 acts like the transmission source terminal 302, and when the transmission source terminal 302 communicates with the transmission destination terminal 301, the threat removal unit 105 behaves like the transmission source terminal 302. The removal unit 105 behaves like the destination terminal 301 , or when the destination terminal 303 communicates with the source terminal 304 , the threat removal unit 105 behaves like the source terminal 304 and sends from the source terminal 304 When communicating with the destination terminal 303 , the threat removal unit 105 should behave like the destination terminal 303 . Specifically, an ARP command may be used.

29.パケット書換部の動作
次に、パケット書換部106の構成について、詳細に説明する。図27は、本実施の形態におけるパケット書換部106の構成を示す図である。
29. Operation of Packet Rewrite Unit Next, the configuration of the packet rewrite unit 106 will be described in detail. FIG. 27 is a diagram showing the configuration of packet rewriting section 106 in this embodiment.

図27に示すように、パケット書換部106は、インテリジェントスイッチ20のポート1のトランクラインTRUNK1と脅威除去部105との間に設けられ、脅威除去部105で脅威除去後の通信データのVLAN所属情報を書き換える機能を有する。 As shown in FIG. 27, the packet rewriting unit 106 is provided between the trunk line TRUNK1 of the port 1 of the intelligent switch 20 and the threat elimination unit 105. has a function to rewrite

脅威除去部105に入力されるパケットの通信データ1010は、所属VLAN情報が通常系ネットワークのVLAN情報と検疫系ネットワークのVLAN情報とで異なる。そのため、脅威除去部105からインテリジェントスイッチ20に脅威除去後の通信データを送信するだけでは、送信先端末301、303が所属VLAN情報に示されるポートに接続されていないため、インテリジェントスイッチ20と送信先端末301、303との間で通信が成立しない。そこでパケット書換部106は、脅威除去部105に入力されるパケットについてVLAN識別情報テーブル10313を参照し、同一のVLANグループ情報に含まれるVLAN情報に相互変換する。 In packet communication data 1010 input to the threat removal unit 105, belonging VLAN information differs between the normal network VLAN information and the quarantine network VLAN information. Therefore, if threat removal unit 105 only sends communication data after threat removal to intelligent switch 20, the destination terminals 301 and 303 are not connected to the ports indicated by the VLAN information to which they belong. Communication with the terminals 301 and 303 is not established. Therefore, the packet rewriting unit 106 refers to the VLAN identification information table 10313 for the packets input to the threat elimination unit 105, and mutually converts them into VLAN information included in the same VLAN group information.

これにより、送信元端末302から送信先端末301に通信する際、脅威除去部105を通過した脅威除去後の通信データは、所属VLAN情報がVLAN2aからVLAN1aに、パケット書換部106によって書き換えられる。そして、インテリジェントスイッチ20のポート1が受信した書き換えられた通信データの送信先は、送信先端末301が接続されているVLAN1aのポート4になる。 As a result, when the source terminal 302 communicates with the destination terminal 301, the packet rewriting section 106 rewrites the belonging VLAN information from the VLAN2a to the VLAN1a in the threat-removed communication data that has passed through the threat removal section 105. FIG. The destination of the rewritten communication data received by the port 1 of the intelligent switch 20 is the port 4 of the VLAN 1a to which the destination terminal 301 is connected.

また、送信先端末301から送信元端末302に通信する際に、脅威除去部105を通過した脅威除去後の通信データは、所属VLAN情報がVLAN1aからVLAN2aに、パケット書換部106によって書き換えられる。そして、インテリジェントスイッチ20のポート1が書き換えられた通信データの送信先は、送信元端末302が接続されているVLAN2aのポート7になる。 Further, when the destination terminal 301 communicates with the source terminal 302, the threat-removed communication data that has passed through the threat removal unit 105 has its belonging VLAN information rewritten from VLAN1a to VLAN2a by the packet rewriting unit 106. FIG. The destination of the communication data in which the port 1 of the intelligent switch 20 has been rewritten is the port 7 of the VLAN 2a to which the source terminal 302 is connected.

こうして、送信元端末302と送信先端末301との間で、通信が維持される。 Thus, communication is maintained between source terminal 302 and destination terminal 301 .

また、送信元端末304から送信先端末303に通信する際に、脅威除去部105を通過した脅威除去後の通信データは、所属VLAN情報がVLAN2bからVLAN1bに、パケット書換部106によって書き換えられる。そして、インテリジェントスイッチ20のポート1が受信した書き換えられた通信データの送信先は、送信先端末303が接続されているVLAN1aのポート5になる。 Also, when communicating from source terminal 304 to destination terminal 303, packet rewrite section 106 rewrites the belonging VLAN information from VLAN2b to VLAN1b in threat-removed communication data that has passed through threat removal section 105. FIG. The destination of the rewritten communication data received by the port 1 of the intelligent switch 20 is the port 5 of the VLAN 1a to which the destination terminal 303 is connected.

また、送信先端末303から送信元端末304に通信する際に、脅威除去部105を通過した脅威除去後の通信データの所属VLAN情報がVLAN1bからVLAN2bに、パケット書換部106によって書き換えられ、インテリジェントスイッチ20のポート1が受信した書き換えられた通信データの送信先は、送信元端末304が接続されているVLAN2bのポート6になる。 Further, when the transmission destination terminal 303 communicates with the transmission source terminal 304, the belonging VLAN information of the communication data after the threat elimination which has passed through the threat elimination section 105 is rewritten from VLAN1b to VLAN2b by the packet rewriting section 106, and the intelligent switch is executed. The destination of the rewritten communication data received by port 1 of terminal 20 is port 6 of VLAN 2b to which source terminal 304 is connected.

こうして、送信元端末304と送信先端末303との間で、通信が維持される。 Thus, communication is maintained between source terminal 304 and destination terminal 303 .

30.実施の形態2のその他の変形例
本開示を上記実施の形態に基づいて説明してきたが、本開示は、上記実施の形態に限定されず、以下のような、実施の形態2の変形例1、実施の形態2の変形例2場合も本開示に含まれる。
30. Other Modifications of Embodiment 2 Although the present disclosure has been described based on the above embodiments, the present disclosure is not limited to the above embodiments, and the following Modification 1 of Embodiment 2 , Modification 2 of Embodiment 2 is also included in the present disclosure.

実施の形態2の変形例1(以下、本変形例)について説明する。図28に示すように、インテリジェントスイッチ20のポート3とインテリジェントスイッチ21のポート0とは、トランクラインTRUNK2で接続される。ネットワーク防御装置10は、トランクラインTRUNK1を介してインテリジェントスイッチ20のポート1に接続する。 Modification 1 (hereinafter, this modification) of Embodiment 2 will be described. As shown in FIG. 28, port 3 of intelligent switch 20 and port 0 of intelligent switch 21 are connected by trunk line TRUNK2. Network protection device 10 connects to port 1 of intelligent switch 20 via trunk line TRUNK1.

インテリジェントスイッチ21は、送信元端末304と送信先端末303との通信稼動開始時に、インテリジェントスイッチ21のポート4とポート7とをVLAN1aに設定する。また、LANケーブルを介してネットワーク防御装置10とインテリジェントスイッチ21の任意のポートとを接続したミラー機能に設定してもよい。このとき、通信データ取得部101は、インテリジェントスイッチ21の任意のポートからも通信データ1010を取得する。 Intelligent switch 21 sets port 4 and port 7 of intelligent switch 21 to VLAN 1a at the start of communication operation between source terminal 304 and destination terminal 303 . Also, a mirror function may be set in which the network protection device 10 and an arbitrary port of the intelligent switch 21 are connected via a LAN cable. At this time, the communication data acquisition unit 101 acquires the communication data 1010 from any port of the intelligent switch 21 as well.

送信元端末304と送信先端末303とが通常系ネットワークで通信を行う場合は、上述の図13Aと同様である。また、送信元端末304と送信先端末303とが検疫系ネットワークで通信を行う場合は、上述の図17Bと同様である。図28のように太い実線の経路は、第2の通信経路の一例である。 When the transmission source terminal 304 and the transmission destination terminal 303 communicate with each other in the normal system network, the process is the same as in FIG. 13A described above. Also, when the transmission source terminal 304 and the transmission destination terminal 303 communicate with each other in the quarantine system network, it is the same as the above-described FIG. 17B. A thick solid line path in FIG. 28 is an example of a second communication path.

このような構成を採ることで、本変形例のネットワーク防御装置10は、インテリジェントスイッチ20およびインテリジェントスイッチ21に接続されるネットワークを防御することができる。 By adopting such a configuration, the network protection device 10 of this modification can protect the network connected to the intelligent switches 20 and 21 .

実施の形態2の変形例2(以下、本変形例)について説明する。ネットワークの全体構成として、図28では、1つのネットワーク防御装置10に1つのインテリジェントスイッチ20を接続する構成としたが、ネットワーク防御装置10の機能を分散させて、複数のネットワーク防御装置を備える構成であり、さらに図29のように複数のインテリジェントスイッチ20を接続する構成であってもよい。図29は、本実施の形態におけるネットワーク防御装置10、11が属する通信ネットワークの全体構成を示す図である。 Modification 2 (hereinafter, this modification) of Embodiment 2 will be described. In FIG. 28, one intelligent switch 20 is connected to one network protection device 10 as the overall configuration of the network. Further, a configuration in which a plurality of intelligent switches 20 are connected as shown in FIG. 29 may be used. FIG. 29 is a diagram showing the overall configuration of a communication network to which network protection devices 10 and 11 belong according to this embodiment.

図29に示すように、通信ネットワークは、ネットワーク防御装置10、11、インテリジェントスイッチ20、送信先端末301、送信元端末302に加え、インテリジェントスイッチ21、送信先端末303、送信元端末304がLANケーブルで接続されて構成される。インテリジェントスイッチ21では、インテリジェントスイッチ21を通過する通信データ1010のコピーを出力可能なミラー機能をポート3に備える。また、インテリジェントスイッチ21では、ポート1とネットワーク防御装置11とがLANケーブルで接続されて構成される。ネットワーク防御装置10とインテリジェントスイッチ21のポート1との間では、例えばインテリジェントスイッチ21の制御用コマンドが通信される。 As shown in FIG. 29, the communication network includes network protection devices 10 and 11, intelligent switch 20, destination terminal 301, and source terminal 302, and intelligent switch 21, destination terminal 303, and source terminal 304 are LAN cables. are connected with each other. In the intelligent switch 21, the port 3 has a mirror function capable of outputting a copy of the communication data 1010 passing through the intelligent switch 21. FIG. Also, in the intelligent switch 21, the port 1 and the network protection device 11 are connected by a LAN cable. For example, commands for controlling the intelligent switch 21 are communicated between the network protection device 10 and the port 1 of the intelligent switch 21 .

この通信ネットワークでは、インテリジェントスイッチ21に接続されるネットワーク防御装置11は、通信データ取得部111、通信分析部112、端末情報管理部114から構成される。 In this communication network, the network protection device 11 connected to the intelligent switch 21 comprises a communication data acquisition section 111, a communication analysis section 112, and a terminal information management section 114. FIG.

送信元端末304と送信先端末303とが通常系ネットワークで通信を行う場合は、上述の図13Aと同様である。検疫系ネットワークで通信を行う場合、スイッチ操作部103は、送信元端末304がインテリジェントスイッチ21のポート7、ポート0、インテリジェントスイッチ20のポート3、ポート1、を介してネットワーク防御装置10の脅威除去部105に接続するVLAN2bと、ネットワーク防御装置10の脅威除去部105がインテリジェントスイッチ20のポート1、ポート3、インテリジェントスイッチ21のポート0、ポート4、を介して送信先端末303に接続するVLAN1bとなるように、切り換える。このとき、パケット書換部106は、脅威除去部105を通過した通信データ1010の所属VLAN情報を、パケット書換部106がVLAN1bからVLAN2bに書き換える。なお、インテリジェントスイッチ21のポート1はミラー機能として設定されている。図29のように太い実線の経路は、第2の通信経路の一例である。 When the transmission source terminal 304 and the transmission destination terminal 303 communicate with each other in the normal system network, the process is the same as in FIG. 13A described above. When communicating in the quarantine system network, the switch operation unit 103 controls the transmission source terminal 304 to remove the threat of the network protection device 10 via the ports 7 and 0 of the intelligent switch 21 and the ports 3 and 1 of the intelligent switch 20. 105, and VLAN 1b, through which the threat elimination unit 105 of the network protection device 10 connects to the destination terminal 303 via ports 1 and 3 of the intelligent switch 20 and ports 0 and 4 of the intelligent switch 21. Switch as you see fit. At this time, the packet rewriting unit 106 rewrites the belonging VLAN information of the communication data 1010 that has passed through the threat removing unit 105 from VLAN1b to VLAN2b. Port 1 of the intelligent switch 21 is set as a mirror function. A thick solid line path in FIG. 29 is an example of a second communication path.

このような構成をとることで、複数のインテリジェントスイッチ20、21から構成されるネットワークにおいて脅威検知を分散して実行することで、各々のインテリジェントスイッチ20、21を通過する通信データ1010について1台のネットワーク防御装置に集中して脅威検知することがなくなるため、ネットワークの負荷を軽減することができる。 By adopting such a configuration, threat detection is executed in a distributed manner in a network composed of a plurality of intelligent switches 20 and 21, and communication data 1010 passing through each intelligent switch 20 and 21 is detected by one device. Since threat detection is no longer concentrated on the network protection device, the load on the network can be reduced.

31.その他の変形例
(1)上記の実施の形態1、2および実施の形態1、2の変形例1、2では、図示はしないが、ネットワーク防御装置10には、端末情報管理部104で管理する全ての情報の中から端末情報10410など任意の情報を取得し適切に表示してもよい。また、ネットワーク防御装置10は、必要に応じて利用者が情報を更新し設定を行うための入力部を備えてもよい。
31. Other Modifications (1) In the above-described Embodiments 1 and 2 and Modifications 1 and 2 of Embodiments 1 and 2, although not shown, in the network protection device 10, the terminal information management unit 104 manages Arbitrary information such as the terminal information 10410 may be obtained from all the information and displayed appropriately. The network protection device 10 may also include an input unit for the user to update information and make settings as needed.

例えば、スイッチ初期設定情報1031および端末管理部設定情報1043は、通信稼動前にいったん設定する必要があるが、表示部と入力部を用いて確認できるように設定してもよく、ネットワーク防御装置10によって通信稼働中に設定変更できるようにしてもよい。 For example, the switch initial setting information 1031 and the terminal management unit setting information 1043 need to be set once before starting communication, but they may be set so that they can be checked using the display unit and the input unit. , the setting may be changed during communication operation.

また、ネットワーク防御装置10は、利用者が特定の端末の脅威スコアを高めるための入力がされることで、その端末が接続されるポートのVLANを切り換える設定を行えるような、表示部と入力部とを備えていてもよい。 In addition, the network protection device 10 has a display unit and an input unit that allow the user to make settings for switching the VLAN of the port to which the terminal is connected when the user makes an input to increase the threat score of the terminal. and may be provided.

またこのとき、ネットワーク防御装置10は、端末情報10410の脅威スコア10418を時系列にグラフ化して表示することで、端末の脅威を可視化し、設定変更する基準として用いてもよい。 At this time, the network protection device 10 may display the threat score 10418 of the terminal information 10410 as a graph in chronological order to visualize the threat of the terminal and use it as a reference for changing settings.

(2)上記の実施の形態1、2および実施の形態1、2の変形例1、2では、図1のネットワーク防御装置10は、1つの装置として図示されているが、インテリジェントスイッチ20と一体となった装置でもよい。また、ネットワーク防御装置10の全ての機能を単一の機器のみで実現する必要はなく、ネットワーク防御装置10は、複数の機器を用いて構成されていてもよい。また、インテリジェントスイッチ20は、例えばSDNスイッチを用いてもよく、OpenFlowの様な制御用通信プロトコルを活用してもよい。 (2) In Embodiments 1 and 2 and Modifications 1 and 2 of Embodiments 1 and 2, the network protection device 10 in FIG. It may be a device that becomes Moreover, it is not necessary to implement all the functions of the network protection device 10 with only a single device, and the network protection device 10 may be configured using a plurality of devices. Also, the intelligent switch 20 may use, for example, an SDN switch, and may utilize a control communication protocol such as OpenFlow.

(3)上記の実施の形態1、2および実施の形態1、2の変形例1、2では、各機能はコンピュータプログラムとして構成してもよく、また、ASIC(Application Specific Integrated Circuit)と呼ばれる専用のLSI(Large Scale Integrated-circuit:集積回路)として構成してもよく、また、PLD(Programmable Logic Device)およびFPGA(Field Programmable Gate Array)の様な、機能変更可能なLSIを用いて構成してもよく、また、これらを含む複数の方法を組み合わせて構成してもよい。また、ネットワーク防御装置10に含まれる複数の機能或いは全ての機能を単一のSoC(System on a Chip:システムLSI)と呼ばれるLSIとして構成してもよい。また、これらのような、コンピュータプログラム、LSI、FPGA、SoCと同等の機能を実現する技術があれば、それらを用いて構成してもよい。 (3) In the above-described Embodiments 1 and 2 and Modifications 1 and 2 of Embodiments 1 and 2, each function may be configured as a computer program, or a dedicated program called ASIC (Application Specific Integrated Circuit). LSI (Large Scale Integrated-circuit), or may be configured using a function-changeable LSI such as PLD (Programmable Logic Device) and FPGA (Field Programmable Gate Array). Alternatively, a plurality of methods including these may be combined. Also, a plurality of functions or all functions included in the network protection device 10 may be configured as a single LSI called SoC (System on a Chip: system LSI). Also, if there is a technique for realizing functions equivalent to those of a computer program, LSI, FPGA, or SoC, such technique may be used.

(4)上記の実施の形態1、2および実施の形態1、2の変形例1、2では、図3における通信フロー情報解析部1021または通信データ解析部1022の一部または全部は、市販されるIDSを活用してもよい。 (4) In Embodiments 1 and 2 and Modifications 1 and 2 of Embodiments 1 and 2, part or all of communication flow information analysis unit 1021 or communication data analysis unit 1022 in FIG. It is also possible to utilize an IDS that

(5)上記の実施の形態1、2および実施の形態1、2の変形例1、2では、図3における通信分析部102の、通信フロー情報解析部1021に含まれる10211~10214と、通信データ解析部1022に含まれる10221~10223に関して、これらの一部のみを用いてもよく、また、これら以外の分析部を用いてもよい。 (5) In Embodiments 1 and 2 and Modifications 1 and 2 of Embodiments 1 and 2, 10211 to 10214 included in communication flow information analysis section 1021 of communication analysis section 102 in FIG. As for 10221 to 10223 included in the data analysis section 1022, only some of them may be used, or analysis sections other than these may be used.

例えば、機械学習を用いたパターン解析結果を点数評価してから判定する方法、通信分析部102が含む全ての方法の中から任意の方法を選択し相関を判定する方法、過去の通信を分析した結果との相関を判定する方法、過去からの通信のパターンを抽出しそこから外れる度合いを点数評価して判定する方法などが考えられる。 For example, a method of evaluating a pattern analysis result using machine learning and then making a judgment, a method of selecting an arbitrary method from among all the methods included in the communication analysis unit 102 and judging the correlation, a method of analyzing the past communication A method of determining the correlation with the result, a method of extracting a communication pattern from the past and evaluating the degree of deviation from the pattern by points, and the like are conceivable.

(6)上記の実施の形態1、2および実施の形態1、2の変形例1、2では、脅威除去部105は、一般的に市販されるIPS、FW、UTMなどを用いてもよい。 (6) In Embodiments 1 and 2 and Modifications 1 and 2 of Embodiments 1 and 2 described above, the threat removal unit 105 may use a commercially available IPS, FW, UTM, or the like.

(7)上記の実施の形態1、2および実施の形態1、2の変形例1、2では、脅威除去部105は、IPSのように脅威となる通信データ1010のみをシグネチャ方式と呼ばれる方法で除去するようにしてもよいし、最低限通過させなければいけない通信情報をホワイトリストとして準備し、ホワイトリストに合致しない通信データの一切を除去するとしてもよい。 (7) In Embodiments 1 and 2 and Modifications 1 and 2 of Embodiments 1 and 2, threat elimination unit 105 removes only communication data 1010 that poses a threat like IPS by a method called a signature method. Alternatively, a whitelist of communication information that must be passed at a minimum may be prepared, and any communication data that does not match the whitelist may be removed.

(8)上記の実施の形態1、2および実施の形態1、2の変形例1、2では、IPアドレスを固定で記載しているが、例えば、DHCP(Dynamic Host Configuration Protocol)を用いてもよい。 (8) In Embodiments 1 and 2 and Modifications 1 and 2 of Embodiments 1 and 2, IP addresses are described as fixed. good.

(9)上記の実施の形態1、2および実施の形態1、2の変形例1、2では、脅威除去部105は、通信データ1010に含まれる脅威を除去するとしているが、通信データそのものを除去してもよい。この場合、送信先端末には、通信データの送信はされなくてもよい。 (9) In Embodiments 1 and 2 and Modifications 1 and 2 of Embodiments 1 and 2, threat removal unit 105 removes threats contained in communication data 1010. may be removed. In this case, communication data need not be transmitted to the destination terminal.

以上のように、一つまたは複数の態様に係るネットワーク防御装置およびネットワーク防御システムについて、実施の形態1、2および実施の形態1、2の変形例1、2に基づいて説明したが、本開示は、この実施の形態1、2および実施の形態1、2の変形例1、2に限定されるものではない。本開示の趣旨を逸脱しない限り、当業者が思いつく各種変形を本実施の形態1、2および実施の形態1、2の変形例1、2に施したもの、および、異なる実施の形態における構成要素を組み合わせて構築される形態も、一つまたは複数の態様の範囲内に含まれてもよい。 As described above, the network protection device and the network protection system according to one or more aspects have been described based on Embodiments 1 and 2 and Modifications 1 and 2 of Embodiments 1 and 2, but the present disclosure is not limited to the first and second embodiments and modified examples 1 and 2 of the first and second embodiments. As long as it does not depart from the spirit of the present disclosure, various modifications that a person skilled in the art can think of are applied to Embodiments 1 and 2 and Modifications 1 and 2 of Embodiments 1 and 2, and components in different embodiments may also be included within the scope of one or more aspects.

本開示は、サブネットワーク内の端末間の通信から脅威、或いは、脅威の疑いを検知し、脅威のある通信データを除去することが可能であり、脅威の検知と脅威の除去とを分離した処理を行うことで、より早期の検知とより確実な端末の隔離とを実現できる。また、通信および制御の遅延を最小化し、施設、工場などの制御システムの誤動作リスクを最小化しながら、サブネットワーク内のセキュリティレベルを高めることが可能である。 The present disclosure detects a threat or a suspected threat from communication between terminals in a subnetwork, and can remove communication data with a threat, and separates threat detection and threat removal. can realize earlier detection and more reliable terminal isolation. In addition, it is possible to increase the security level within the subnetwork while minimizing communication and control delays and minimizing the risk of malfunction of control systems in facilities, factories, and the like.

10、11 ネットワーク防御装置
101、111 通信データ取得部
1010 通信データ
1011 送信元アドレス情報
1011a 所属VLAN情報
1012 送信先アドレス情報
10111 送信元MACアドレス情報
10112 送信元IPアドレス情報
10113 送信元ポート情報
1013 ペイロード
10121 送信先MACアドレス情報
10122 送信先IPアドレス情報
10123 送信先ポート情報
102、112 通信分析部(脅威検知部)
1020 端末アドレス確認部
1021 通信フロー情報解析部
10211 ブラックリスト通信検知部
10212 ホワイトリスト外通信検知部
10213 IPスキャン検知部
10214 ポートスキャン検知部
1022 通信データ解析部
10221 脆弱性攻撃検知部
10222 マルウェア検知部
10223 認証失敗検知部
1023 端末通信情報
10230 端末番号
10231 IPアドレス情報
10232 MACアドレス情報
10232a VLAN情報
10233 更新時刻情報
10234 脅威検知内容
103 スイッチ操作部(経路変更部)
1031 スイッチ初期設定情報
10310 スイッチ識別情報テーブル
10311 スイッチ識別情報
10312 スイッチ制御用IPアドレス
10313 VLAN識別情報テーブル
10314 VLAN情報
10314a VLANグループ情報
10315 VLANネットワーク種類
1032 スイッチ情報取得部
10320 スイッチ情報
10321 スイッチ識別情報
10322 接続ポート情報
10323 VLAN情報
10324 MACアドレス情報
1033 経路変更部
104、114 端末情報管理部
1040 端末一時情報
10401 スイッチ識別情報
10402 接続ポート情報
10402a スイッチ識別情報
10403 VLAN情報
10403a スイッチ識別情報
10404 MACアドレス情報
10404a スイッチ識別情報
10405 IPアドレス情報
10405a スイッチ識別情報
10406 更新時刻情報
10407 脅威加算スコア
1041 端末情報記憶部
10410 端末情報
10411 管理ID情報
10412 スイッチ識別情報
10413 接続ポート情報
10413a スイッチ識別情報
10414 VLAN情報
10414a スイッチ識別情報
10415 MACアドレス情報
10415a スイッチ識別情報
10416 IPアドレス情報
10416a スイッチ識別情報
10417 更新時刻情報
10418 脅威スコア
1042 端末情報更新部
10420 端末更新情報
10421 スイッチ識別情報
10422 接続ポート情報
10423 VLAN情報
10424 MACアドレス情報
10425 IPアドレス情報
10426 更新時刻情報
10427 脅威スコア
1043 端末管理部設定情報
1043a 端末管理設定部
10430 脅威加算スコア情報
104301 検知内容識別情報
104302 検知内容
104303 判定
104304 脅威加算スコア
10431 端末管理部基準値情報
104311 基準値内容
104312 基準値
105 脅威除去部
106 パケット書換部(書換部)
20、21 インテリジェントスイッチ
301、303 端末
302、304 攻撃端末
10, 11 Network defense device 101, 111 Communication data acquisition unit 1010 Communication data 1011 Source address information 1011a Assigned VLAN information 1012 Destination address information 10111 Source MAC address information 10112 Source IP address information 10113 Source port information 1013 Payload 10121 Destination MAC address information 10122 Destination IP address information 10123 Destination port information 102, 112 Communication analysis part (threat detection part)
1020 Terminal address confirmation unit 1021 Communication flow information analysis unit 10211 Blacklist communication detection unit 10212 Non-whitelist communication detection unit 10213 IP scan detection unit 10214 Port scan detection unit 1022 Communication data analysis unit 10221 Vulnerability attack detection unit 10222 Malware detection unit 10223 Authentication failure detection unit 1023 Terminal communication information 10230 Terminal number 10231 IP address information 10232 MAC address information 10232a VLAN information 10233 Update time information 10234 Threat detection content 103 Switch operation unit (route change unit)
1031 switch initial setting information 10310 switch identification information table 10311 switch identification information 10312 switch control IP address 10313 VLAN identification information table 10314 VLAN information 10314a VLAN group information 10315 VLAN network type 1032 switch information acquisition unit 10320 switch information 10321 switch identification information 10322 connection Port information 10323 VLAN information 10324 MAC address information 1033 Route change unit 104, 114 Terminal information management unit 1040 Terminal temporary information 10401 Switch identification information 10402 Connection port information 10402a Switch identification information 10403 VLAN information 10403a Switch identification information 10404 MAC address information 10404a Switch identification Information 10405 IP address information 10405a Switch identification information 10406 Update time information 10407 Threat addition score 1041 Terminal information storage unit 10410 Terminal information 10411 Management ID information 10412 Switch identification information 10413 Connection port information 10413a Switch identification information 10414 VLAN information 10414a Switch identification information 10415 MAC Address information 10415a Switch identification information 10416 IP address information 10416a Switch identification information 10417 Update time information 10418 Threat score 1042 Terminal information update unit 10420 Terminal update information 10421 Switch identification information 10422 Connection port information 10423 VLAN information 10424 MAC address information 10425 IP address information 10426 Update time information 10427 Threat score 1043 Terminal management section setting information 1043a Terminal management setting section 10430 Threat addition score information 104301 Detection content identification information 104302 Detection content 104303 Judgment 104304 Threat addition score 10431 Terminal management section reference value information 104311 Reference value content 104312 Reference value 105 threat removal unit 106 packet rewrite unit (rewrite unit)
20, 21 intelligent switch 301, 303 terminal 302, 304 attack terminal

Claims (11)

複数のLAN(Local Area Network)のポートを備え、通信ネットワーク間の接続を行うスイッチを流れる、少なくとも送信元端末の情報と送信先端末の情報とを含む通信データを、プロミスキャスモードで前記スイッチを介して取得する通信データ取得部と、
前記通信データの脅威を検知する脅威検知部と、
脅威除去部と、
前記脅威検知部で脅威を検知した場合、前記脅威除去部を介さずに前記送信元端末と前記送信先端末とを接続する第1の通信経路を、前記脅威除去部を介して前記送信元端末と前記送信先端末とを接続した、前記第1の通信経路と異なる第2の通信経路に変更するように前記スイッチを操作する経路変更部と、を備え、
前記脅威除去部は、前記経路変更部が通信経路を変更した後に、前記通信データの脅威を除去する、
ネットワーク防御装置。
Communication data including at least information on a source terminal and information on a destination terminal, which flows through a switch that has a plurality of LAN (Local Area Network) ports and connects communication networks, is transmitted through the switch in promiscuous mode. a communication data acquisition unit that acquires data via
a threat detection unit that detects a threat to the communication data;
a threat removal unit;
when a threat is detected by the threat detection unit, a first communication path connecting the transmission source terminal and the transmission destination terminal without the threat elimination unit is established through the threat elimination unit; and a route changing unit that operates the switch to change to a second communication route different from the first communication route, which connects the destination terminal and the destination terminal,
The threat removal unit removes the threat of the communication data after the route change unit changes the communication route.
network protection device.
前記スイッチは、前記送信元端末に接続された第1のLANのポートと、前記脅威除去部に接続された第2のLANのポートおよび第3のLANのポートと、前記送信先端末に接続された第4のLANのポートとを有し、
前記脅威検知部で脅威を検知していない場合、前記経路変更部は、前記第1のLANのポートに接続された前記送信元端末から、前記第4のLANのポートに接続された前記送信先端末までの前記第1の通信経路を、第1のVLAN(Virtual Local Area Network)に設定し、
前記脅威検知部で脅威を検知した場合、前記経路変更部は、前記第2の通信経路に含まれる、前記第1のLANのポートに接続された前記送信元端末から、前記第2のLANのポートに接続された前記脅威除去部までの経路を前記第1のVLANと異なる第2のVLANに設定し、前記第3のLANのポートに接続された前記脅威除去部から、前記第4のLANのポートに接続された前記送信先端末までの経路を前記第1のVLANに設定する、
請求項1記載のネットワーク防御装置。
The switch is connected to a first LAN port connected to the source terminal, a second LAN port and a third LAN port connected to the threat remover , and the destination terminal. and a fourth LAN port;
When the threat detection unit does not detect a threat, the route change unit converts the transmission source terminal connected to the first LAN port to the transmission destination connected to the fourth LAN port. setting the first communication path to the terminal to a first VLAN (Virtual Local Area Network);
When the threat detection unit detects a threat, the route change unit causes the second LAN port from the transmission source terminal connected to the first LAN port included in the second communication route to the second LAN port. A route to the threat removal unit connected to the port is set to a second VLAN different from the first VLAN, and from the threat removal unit connected to the port of the third LAN to the fourth LAN setting a route to the destination terminal connected to the port of the first VLAN,
The network protection device of claim 1.
さらに、前記脅威除去部を通過した前記通信データに含まれる通信ネットワークのVLAN情報を書き換える書換部を備え、
前記スイッチは、前記送信元端末に接続された第5のLANのポートと、前記脅威除去部が接続された第6のLANのポートと、前記送信先端末に接続された第7のLANのポートとを有し、
前記脅威検知部で脅威を検知していない場合、前記経路変更部は、前記第5のLANのポートに接続された前記送信元端末と、前記第7のLANのポートに接続された前記送信先端末とを第1のVLANに設定し、
前記脅威検知部で脅威を検知した場合、
前記経路変更部は、前記第2の通信経路に含まれる、前記第5のLANのポートに接続された前記送信元端末を前記第1のVLANと異なる第2のVLANに設定し、前記第7のLANのポートに接続された前記送信先端末を前記第1のVLANに設定し、
前記書換部は、前記第6のLANのポートを介して、前記送信元端末が属する前記第2のVLANを示すVLAN情報を前記送信先端末が属する前記第1のVLANを示すVLAN情報に書き換え、書き換えられた通信データを、前記スイッチに出力する、
請求項1記載のネットワーク防御装置。
further comprising a rewriting unit that rewrites VLAN information of a communication network included in the communication data that has passed through the threat removal unit;
The switch has a fifth LAN port connected to the source terminal, a sixth LAN port connected to the threat remover, and a seventh LAN port connected to the destination terminal. and
When the threat detection unit detects no threat, the route change unit controls the transmission source terminal connected to the fifth LAN port and the transmission destination connected to the seventh LAN port. setting the terminal to the first VLAN;
When a threat is detected by the threat detection unit,
The route changing unit sets the transmission source terminal connected to the port of the fifth LAN included in the second communication route to a second VLAN different from the first VLAN, setting the destination terminal connected to the port of the LAN to the first VLAN;
wherein the rewriting unit rewrites VLAN information indicating the second VLAN to which the transmission source terminal belongs to VLAN information indicating the first VLAN to which the destination terminal belongs via the sixth LAN port; outputting the rewritten communication data to the switch;
The network protection device of claim 1.
前記第1のVLANは、前記脅威除去部を介さない通常系ネットワークであり、
前記第2のVLANは、前記脅威除去部が前記通信データの脅威を除去する検疫系ネットワークであり、
前記脅威検知部で脅威を検知した場合、前記経路変更部は、前記第1のVLANの一部を前記通常系ネットワークから検疫系ネットワークに変更する、
請求項2又は3記載のネットワーク防御装置。
the first VLAN is a normal network that does not go through the threat removal unit;
the second VLAN is a quarantine network in which the threat removal unit removes the threat of the communication data;
When the threat detection unit detects a threat, the route change unit changes part of the first VLAN from the normal network to a quarantine network.
4. A network protection device according to claim 2 or 3.
前記脅威除去部において、前記通信データの脅威が除去されると、前記経路変更部は、前記通常系ネットワークから変更されていた前記検疫系ネットワークを、前記通常系ネットワークに戻す、
請求項4記載のネットワーク防御装置。
When the threat removal unit removes the threat of the communication data, the route change unit returns the quarantine network, which has been changed from the normal network, to the normal network.
5. The network protection device of claim 4.
前記通信データ取得部は、前記通信データのコピーを取得し、
前記脅威検知部は、前記通信データのコピーをプロミスキャスモードで監視する、
請求項1~5のいずれか1項に記載のネットワーク防御装置。
The communication data acquisition unit acquires a copy of the communication data,
the threat detection unit monitors a copy of the communication data in promiscuous mode;
A network protection device according to any one of claims 1-5.
前記脅威除去部は、脅威を検知した前記通信データから、脅威を含む不要なデータを除去する、
請求項1~6のいずれか1項に記載のネットワーク防御装置。
The threat removal unit removes unnecessary data including threats from the communication data in which threats are detected.
A network protection device according to any one of claims 1-6.
前記脅威検知部は、検知した脅威内容に応じて、脅威が検知された送信元端末にスコアを付与し、
前記経路変更部は、前記脅威検知部で付与した前記スコアが第1の値を超えた場合、前記スコアが付与された当該送信元端末に係る通信データを前記脅威除去部に経由させるように、前記スイッチに通信経路を変更させる、
請求項1~7のいずれか1項に記載のネットワーク防御装置。
The threat detection unit assigns a score to the source terminal in which the threat is detected according to the content of the detected threat,
The route changing unit, when the score given by the threat detection unit exceeds a first value, causes the communication data related to the source terminal to which the score is given to pass through the threat removal unit, causing the switch to change communication paths;
A network protection device according to any one of claims 1-7.
前記脅威検知部は、付与した前記スコアに対して、所定時間経過後に前記スコアを所定値減算し、
脅威が検知された前記送信元端末の前記スコアが第2の値を下回った場合、前記経路変更部は、前記送信元端末と前記送信先端末との接続を、前記脅威除去部を介さないように前記スイッチに通信経路を変更させる、
請求項8記載のネットワーク防御装置。
The threat detection unit subtracts a predetermined value from the assigned score after a predetermined time has elapsed,
When the score of the source terminal in which the threat is detected falls below a second value, the route changing unit prevents connection between the source terminal and the destination terminal via the threat removal unit. causing the switch to reroute communication to
9. A network protection device according to claim 8.
前記脅威検知部は、脅威が検知された前記送信元端末の前記スコアが前記第1の値より大きい第3の値を超えた場合、前記所定時間経過しても前記スコアを減算しない、
請求項9記載のネットワーク防御装置。
the threat detection unit does not subtract the score even after the predetermined period of time has passed when the score of the transmission source terminal in which the threat is detected exceeds a third value that is larger than the first value;
10. The network protection device of claim 9.
複数のLANのポートを備え、通信ネットワーク間の接続を行うスイッチを流れる、少なくとも送信元端末の情報と送信先端末の情報とを含む通信データを、プロミスキャスモードで前記スイッチを介して取得する通信データ取得部と、
前記通信データの脅威を検知する脅威検知部と、
脅威除去部と、
前記脅威検知部で脅威を検知した場合、前記脅威除去部を介さずに前記送信元端末と前記送信先端末とを接続する第1の通信経路を、前記脅威除去部を介して前記送信元端末と前記送信先端末とを接続した、前記第1の通信経路と異なる第2の通信経路に変更するように前記スイッチを操作する経路変更部と、を備え、
前記脅威除去部は、前記経路変更部が通信経路を変更した後に、前記通信データの脅威を除去する、
ネットワーク防御システム。
Communication that acquires communication data, including at least information on a source terminal and information on a destination terminal, flowing through a switch that has a plurality of LAN ports and connects communication networks, via the switch in a promiscuous mode. a data acquisition unit;
a threat detection unit that detects a threat to the communication data;
a threat removal unit;
when a threat is detected by the threat detection unit, a first communication path connecting the transmission source terminal and the transmission destination terminal without the threat elimination unit is established through the threat elimination unit; and a route changing unit that operates the switch to change to a second communication route different from the first communication route, which connects the destination terminal and the destination terminal,
The threat removal unit removes the threat of the communication data after the route change unit changes the communication route.
network defense system.
JP2018188227A 2017-11-30 2018-10-03 Network protection devices and network protection systems Active JP7150552B2 (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN201811423370.0A CN109861961B (en) 2017-11-30 2018-11-27 Network defense device and network defense system
EP18208423.6A EP3493503B1 (en) 2017-11-30 2018-11-27 Network protection device and network protection system
US16/202,926 US10911466B2 (en) 2017-11-30 2018-11-28 Network protection device and network protection system

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2017230201 2017-11-30
JP2017230201 2017-11-30
JP2018107964 2018-06-05
JP2018107964 2018-06-05

Publications (2)

Publication Number Publication Date
JP2019213182A JP2019213182A (en) 2019-12-12
JP7150552B2 true JP7150552B2 (en) 2022-10-11

Family

ID=68845578

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018188227A Active JP7150552B2 (en) 2017-11-30 2018-10-03 Network protection devices and network protection systems

Country Status (1)

Country Link
JP (1) JP7150552B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7363628B2 (en) * 2020-03-25 2023-10-18 サクサ株式会社 Integrated threat management device and method
JP2022065703A (en) 2020-10-16 2022-04-28 富士通株式会社 Information processing program, information processing method, and information processing apparatus
CN115015666B (en) * 2022-06-20 2023-02-03 国网山东省电力公司莱西市供电公司 Intelligent substation relay protection test expander and protection debugging method

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060256730A1 (en) 2005-05-12 2006-11-16 Compton Richard A Intelligent quarantine device
JP2010532633A (en) 2007-06-29 2010-10-07 イクストリーム・ネットワークス・インコーポレーテッド Method and mechanism for port redirection in a network switch
JP2017108221A (en) 2015-12-07 2017-06-15 富士通株式会社 Packet storage device and packet storage method

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8255996B2 (en) * 2005-12-30 2012-08-28 Extreme Networks, Inc. Network threat detection and mitigation

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060256730A1 (en) 2005-05-12 2006-11-16 Compton Richard A Intelligent quarantine device
JP2010532633A (en) 2007-06-29 2010-10-07 イクストリーム・ネットワークス・インコーポレーテッド Method and mechanism for port redirection in a network switch
JP2017108221A (en) 2015-12-07 2017-06-15 富士通株式会社 Packet storage device and packet storage method

Also Published As

Publication number Publication date
JP2019213182A (en) 2019-12-12

Similar Documents

Publication Publication Date Title
US8181240B2 (en) Method and apparatus for preventing DOS attacks on trunk interfaces
US9407602B2 (en) Methods and apparatus for redirecting attacks on a network
US7757283B2 (en) System and method for detecting abnormal traffic based on early notification
US7617533B1 (en) Self-quarantining network
EP1895738B1 (en) Intelligent network interface controller
US8040872B2 (en) Frame forwarding apparatus
US20080163333A1 (en) Method and apparatus for dynamic anomaly-based updates to traffic selection policies in a switch
JP6387195B2 (en) Communication apparatus, system, and method
JP7150552B2 (en) Network protection devices and network protection systems
JP2015050767A (en) Network switch of whitelist foundation
JP2015528263A (en) Network traffic processing system
US20170063861A1 (en) Communication apparatus
US9661006B2 (en) Method for protection of automotive components in intravehicle communication system
JP6256773B2 (en) Security system
CN109861961B (en) Network defense device and network defense system
US11159533B2 (en) Relay apparatus
JP2019165337A (en) Communication system, communication control device, communication control method, and communication control program
WO2016014178A1 (en) Identifying malware-infected network devices through traffic monitoring
CN113965343B (en) Terminal equipment isolation method and device based on local area network
US20170346844A1 (en) Mitigating Multiple Advanced Evasion Technique Attacks
JP7198617B2 (en) security system
CN112671783B (en) Host IP scanning prevention method based on VLAN user group
KR101236129B1 (en) Apparatus for control abnormal traffic and method for the same
US7725935B1 (en) Detecting worms
KR20160143086A (en) Cyber inspection system and method using sdn

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210420

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220317

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220322

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220502

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220906

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220928

R150 Certificate of patent or registration of utility model

Ref document number: 7150552

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150