JP7279417B2 - 通信遮断方法、通信システム、装置とプログラム - Google Patents

通信遮断方法、通信システム、装置とプログラム Download PDF

Info

Publication number
JP7279417B2
JP7279417B2 JP2019037346A JP2019037346A JP7279417B2 JP 7279417 B2 JP7279417 B2 JP 7279417B2 JP 2019037346 A JP2019037346 A JP 2019037346A JP 2019037346 A JP2019037346 A JP 2019037346A JP 7279417 B2 JP7279417 B2 JP 7279417B2
Authority
JP
Japan
Prior art keywords
terminal device
network switch
connection
communication
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019037346A
Other languages
English (en)
Other versions
JP2020141359A (ja
Inventor
剛久 増田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2019037346A priority Critical patent/JP7279417B2/ja
Publication of JP2020141359A publication Critical patent/JP2020141359A/ja
Application granted granted Critical
Publication of JP7279417B2 publication Critical patent/JP7279417B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Description

本発明は、通信遮断方法、通信システム、装置とプログラムに関する。
ネットワークにおいて不正プログラムに感染した端末の通信を遮断する関連技術として、例えば、特許文献1には、ネットワークシステムの通信の振る舞いを監視して攻撃を検知する振る舞い検知部と、前記振る舞い検知部が出力した検知結果を受け取るとともに、レイヤ3スイッチ及びレイヤ2スイッチから、前記検知結果と前記スイッチが収容する端末装置に割り当てられたアドレスを対応づけるための情報と、前記スイッチのポートの学習情報と、前記各スイッチの隣接情報とに基づいて、前記振る舞い検知部が検知した攻撃を遮断するための設定を行う対象のスイッチを特定し、特定したスイッチに攻撃を遮断するための設定を行うネットワーク管理部を有する構成が開示されている。
特許文献1には、不正プログラムに感染した端末が持ち運ばれるなどして別のレイヤ2スイッチのポートに接続された場合に、その移動を検知し、通信遮断を実現する構成が開示されている。すなわち、監視対象の端末の移動を監視し、監視対象のエントリに該当するFDB(Filtering DataBase、Forwarding DataBaseともいう)情報がFDB情報テーブルに存在しなくなったことでポートの移動を検出し、ポートの移動を検出後に再度通信の遮断設定を実施することにより、移動後のポートに通信の遮断設定をする。
また、特許文献2には、レイヤ2スイッチ(L2スイッチ)を含むネットワーク構成において、不正アクセスが検出された端末の通信を容易に且つ確実に遮断する方法として、ネットワーク監視端末は、不正アクセスの対象となる通信端末を特定した後、当該通信端末が接続されているL2スイッチのポート情報を検出して、そのポートを遮断状態にすることで、当該通信端末の通信を確実に遮断する構成が開示されている。
特許文献2によれば、ネットワーク監視端末は、L2スイッチから管理情報を取得するために、例えば、SNMP(Simple Network Management Protocol)エージェントが実装されたL2スイッチに対してIP(Internet Protocol)アドレスを指定して問い合わせを行い、その応答としてSNMPエージェントの管理情報(RFC(Request for Comments)1156で規定されているMIB(Management Information Base)1、RFC1213で規定されているMIB2、RFC1493で規定されているBRIDGE-MIB、及びRFC2863で規定されているインタフェースに関するMIB:IF-MIB)を受け取ることにより、任意のポートを通過するフレームのヘッダ上にあるMAC(Media Access Control)アドレスを検出することができる。そして、L2スイッチS3のポート情報を抽出し、それを通信端末が接続されているポート情報として特定し、ネットワーク監視端末は、L2スイッチS3のポートに対して遮断用のコマンドを発行することで、該通信端末の通信が遮断されることになる。
さらに、特許文献3には、ネットワーク内のいずれかの通信装置が、不正アクセスの機能を持つ不正機能部を動作させるか、又は当該不正機能部が存在している不正機能通信装置であることを検知して検知信号を送信する不正機能検知部と、当該不正機能検知部が検知信号を送信すると、前記不正機能通信装置を隔離して、強制的に他の通信装置と通信不能な状態にさせる隔離実行部と、前記不正機能検知部が検知信号を送信すると、検知信号が送信されたことを示す警告信号を他の通信装置に送信して警戒を促す警戒促進部を備えた構成が開示されている。不正機能部が不正プログラムである場合、前記隔離後の不正機能通信装置と通信することにより少なくとも、当該不正プログラムが前記不正機能通信装置上で実行されない状態にする復旧用通信装置を備えている。
上記したように、関連技術の通信遮断システムは、端末(通信端末)のIPアドレスをキーにして、ネットワークに接続するネットワーク機器(ノード)のARP(Address Resolution Protocol:アドレス解決プロトコル)テーブル(IPアドレスとMACアドレスの対応表)及びMACアドレステーブル(MACアドレスとポート番号の対応表)を検索し、通知されたIPアドレスに該当するコンピュータのMACアドレスを学習しているネットワークスイッチのポート情報(インタフェース情報)を求める。なお、ネットワークスイッチ(L2スイッチ)では、フレームを受信すると、該フレームの送信元MACアドレスをMACアドレステーブルに登録する(該テーブルの各エントリにはMACアドレスとフレームを受信したインタフェース、エージングタイマ値等が記録される)。L2スイッチは、該フレームの宛先MACアドレスとMACアドレステーブル内に登録されているMACアドレスを比較し、一致するエントリがない場合、該フレームを、該フレームを受信したインタフェース以外のすべてのインタフェースに転送する(フラッディング)。該テーブルに宛先MACアドレスに一致するエントリが検出されると、ネットワークスイッチは、該フレームを受信したインタフェースと、検出されたエントリのインタフェースを比較し、インタフェースが同一であれば、フレームを廃棄し、異なっていれば、検出されたエントリのインタフェースへフレームを転送する。
特開2018-121320号公報 国際公開第2012/014509号 特開2006-165877号公報
RFC1157 A Simple Network Management Protocol (SNMP) 1990年5月 RFC1493 Definitions of Management Objects for Bridge 1993年7月
関連技術の分析を与える。
特許文献1では、管理装置は、ネットワーク機器に問い合わせて情報を収集することで、通信を遮断する位置を決定している。特許文献2では、L2スイッチに問い合わせを行い、遮断対象の端末が接続するポート情報を検出して、該ポートを遮断状態に設定している。
ネットワークスイッチのARPテーブル、MACアドレステーブルの検索は、特許文献1等にも記載されているように、例えばSNMP標準MIBを使用して行われるが、ネットワーク上の全てのネットワークスイッチに対して検索を行う場合、処理負荷、ネットワーク負荷が大となる。このため、ネットワークスイッチのARPテーブル、MACアドレステーブルの検索は、時間を掛けながら行う必要がある。このため、コンピュータ等の端末装置が持ち運ばれて移動する場合、端末装置のIPアドレスから求められたネットワークスイッチのインタフェース(ポート)から端末装置は移動しており、端末装置の通信遮断ができないという事態も起こり得る。
また、端末装置が持ち運ばれて移動する場合、該端末装置の移動に追随するためには、ネットワーク上のすべてのネットワークスイッチのインタフェースに対して、通信遮断するIPアドレスの通信の遮断設定が必要とされ、多数のネットワークスイッチが存在する環境では、ネットワークスイッチのインタフェースの通信遮断に長時間を要し、また、所定時間内に、通信遮断が実施できる端末装置の個数も制限される。
本発明は、上記事情等に鑑みて創案されたものであって、その目的の1つは、例えば処理負荷、ネットワーク負荷の増大を抑えて通信遮断対象の端末装置の移動に追従可能とするシステム、装置、方法、プログラムを提供することにある。
本発明の一つの側面によれば、端末装置のネットワークスイッチへの接続履歴情報を保持する第1の記憶部と、通信遮断対象の端末装置を特定した接続情報取得要求を受けると、前記第1の記憶部を参照して、前記端末装置に対応する接続履歴情報を取得し、前記接続履歴情報に基づき、前記端末装置が接続する可能性のあるネットワークスイッチと前記ネットワークスイッチのインタフェースを予測する接続位置予測装置を備えた通信システムが提供される。
本発明の他の一つの側面によれば、通信遮断対象の端末装置を特定した接続情報取得要求を受ける手段と、前記端末装置のネットワークスイッチへの接続履歴情報を保持する第1の記憶部を参照して、前記端末装置に対応する接続履歴情報を取得し、前記接続履歴情報に基づき、前記端末装置が接続する可能性のあるネットワークスイッチと前記ネットワークスイッチのインタフェースを予測する手段を備えた、接続位置予測装置が提供される。
本発明の他の一つの側面によれば、端末装置のネットワークスイッチへの接続履歴情報を第1の記憶部に保持し、通信遮断対象の端末装置を特定した接続情報取得要求に応答して、前記第1の記憶部を参照して、前記端末装置に対応する接続履歴情報を取得し、前記端末装置の前記接続履歴情報に基づき、前記端末装置が接続する可能性のあるネットワークスイッチと前記ネットワークスイッチのインタフェースを予測し、予測されたネットワークスイッチのインタフェースに対して、前記アドレスの通信遮断設定を行う通信遮断方法が提供される。
本発明の他の一つの側面によれば、通信遮断対象の端末装置を特定した接続情報取得要求を受け、前記端末装置のネットワークスイッチへの接続履歴情報を保持する第1の記憶部を参照して、前記端末装置の前記接続履歴情報に基づき、前記端末装置が接続する可能性のあるネットワークスイッチと前記ネットワークスイッチのインタフェースを予測する予測処理を、コンピュータに実行させるプログラムが提供される。
本発明によれば、上記したプログラムを記憶したコンピュータ読み出し可能な記録媒体((例えばRAM(Random Access Memory)、ROM(Read Only Memory)、又は、EEPROM(Electrically Erasable and Programmable ROM))等の半導体ストレージ、HDD(Hard Disk Drive)、CD(Compact Disc)、DVD(Digital Versatile Disc)等のnon-transitory computer readable recording medium)が提供される。
本発明によれば、例えば処理負荷及びネットワーク負荷の増大を抑えて通信遮断対象の端末装置の移動に追従可能としている。
本発明の例示的な実施形態のシステム構成の一例を模式的に例示する図である。 本発明の例示的な実施形態においてネットワークスイッチグループの構成例を模式的に示す図である。 本発明の例示的な実施形態における接続情報記録ファイルの一例を模式的に示す図である。 本発明の例示的な実施形態における接続情報記録ファイルを構成する端末装置接続位置情報411の一例を模式的に示す図である。 本発明の例示的な実施形態における通信遮断指示装置の機能構成の一例を模式的に示す図である。 本発明の例示的な実施形態における接続位置検出装置の機能構成の一例を模式的に示す図である。 本発明の例示的な実施形態における接続位置予測装置の構成の一例を模式的に示す図である。 本発明の例示的な実施形態における接続情報取得要求の一例を模式的に示す図である。 本発明の例示的な実施形態における接続情報取得応答の一例を模式的に示す図である。 本発明の例示的な実施形態における不正端末装置検出アラームの一例を模式的に示す図である。 本発明の例示的な実施形態における検索対象期間定義ファイルの一例を模式的に示す図である。 本発明の例示的な実施形態における管理対象スイッチ定義ファイルの一例を模式的に示す図である。 本発明の例示的な実施形態におけるネットワークスイッチグループ定義ファイルの一例を模式的に示す図である。 本発明の例示的な実施形態のシーケンス動作の一例を説明する図である。 本発明の例示的な実施形態の変形例を模式的に例示する図である。 本発明の例示的な実施形態のコンピュータ実装例を説明する図である。 本発明の例示的な実施形態の接続位置予測処理を説明する流れ図である。
以下では、はじめに、本発明の基本形態について説明し、つづいて、本発明の例示的な実施形態について説明する。
本発明の一形態によれば、通信システム(図1の10)は、コンピュータ等の端末装置(ホスト)のネットワークスイッチへの接続履歴情報を保持する第1の記憶部(図1の接続情報管理ファイル4)と、通信遮断対象の端末装置を特定した接続情報取得要求を受けると、前記第1の記憶部を参照して、前記端末装置に対応する接続履歴情報を取得し、前記接続履歴情報に基づき、前記端末装置が接続する可能性のあるネットワークスイッチと前記ネットワークスイッチのインタフェースを予測する接続位置予測装置(図1の3)を備える。接続情報取得要求は、通信遮断対象の端末装置を特定するための識別情報(端末装置に割り振られたアドレス情報(例えばIPアドレス))を含む。
通信システムは、複数のネットワークスイッチをグループ化したネットワークスイッチグループを保持する第2の記憶部(図1のネットワークスイッチグループ定義ファイル5)を備える。接続位置予測装置(図1の3)は、前記端末装置の前記接続履歴情報(図3の端末装置接続位置情報エントリ41)を参照して、例えば前記端末装置が最新に(直近で(most recently))接続したネットワークスイッチを求め、さらに、前記第2の記憶部(図1のネットワークスイッチグループ定義ファイル5)を参照して、前記端末装置が最新に接続した(接続している)前記ネットワークスイッチが所属するネットワークスイッチグループを特定する。さらに、接続位置予測装置(図1の3)は、前記ネットワークスイッチグループに含まれるネットワークスイッチのうち、前記第1の記憶部の前記接続履歴情報を参照して、予め設定された検索対象期間以降に前記端末装置が接続したネットワークスイッチのインタフェース情報を取得し、取得したネットワークスイッチのインタフェース情報を、接続情報取得応答として、前記接続情報取得要求の送信元である通信遮断指示装置(図1の1)に返す。
通信遮断指示装置(図1の1)は、予測された接続位置情報のネットワークスイッチのインタフェースに対して、前記アドレスの通信遮断設定を行う。
本発明の一形態では、通信システムは、センサ装置等で検出した不正の端末装置のIPアドレスをキーにして、ネットワークスイッチで該当IPアドレスを使用する通信を遮断するようにしてもよい。IPアドレスのネットワークスイッチへの接続履歴情報に基づき、最新(現在又は直前)のネットワークへの接続位置情報(端末装置が接続したネットワークスイッチのインタフェース情報)から、当該端末装置が今後接続する可能性のあるネットワークスイッチを予測し、予測したネットワークスイッチに対して、通信遮断設定(該当IPアドレスを使用する通信を遮断するように設定)を、好ましくは事前に行う。
本発明の一形態によれば、ネットワークスイッチでそれぞれ保持するIPアドレスとMACアドレスの対応を記録したARPテーブル、及び、MACアドレスとインタフェース情報(ポート情報)の対応を記録したMACアドレステーブルを取得して、端末装置のネットワークスイッチへの接続履歴情報を更新するようにしてもよい。接続履歴情報は、端末装置が接続したネットワークスイッチの接続位置情報を、時刻情報(更新時刻)とともに記憶部に記憶保持する構成としてもよい。接続履歴情報は、端末装置のIPアドレス、ネットワークスイッチ(レイヤ3スイッチ)のIPアドレス、ネットワークインタフェースを含む構成としてもよい。時刻とIPアドレスをキーに記憶部を検索することできる。
また、本発明の一形態によれば、端末装置が移動して接続する可能性のある複数のネットワークスイッチをグループ化しネットワークスイッチグループとして記憶管理するようにしてもよい。通信遮断システムの管理者が事前にネットワークスイッチグループを作成するようにしてもよく、ネットワークスイッチグループはグループ名(ID)が付与され、グループ名(ID)で識別可能とされる。
本発明の一形態によれば、通信システムにおいて、センサ装置から送られてきたアラームを検出した時に、アラーム内に存在するIPアドレスをキーにして、端末装置接続位置情報を検索するようにしてもよい。
本発明の一形態によれば、通信システムは、ネットワークスイッチ接続位置を検索する際に、最新の端末装置接続位置情報だけでなく、過去の端末装置接続位置情報を検索し、端末装置接続位置情報を抽出するようにしてもよい。
本発明の一形態によれば、通信システムは、端末装置接続位置情報の検索は、最新の端末装置接続位置情報と同一のネットワークスイッチグループに所属するネットワークスイッチのみを検索対象としてもよい。端末装置が移動できる範囲を限定し、検索範囲を絞り込むことができる。
また、本発明の一形態によれば、通信システムは、端末装置接続位置情報を検索する時刻も、アラームを受信した時刻から、予め定められた時間以内とし、それよりも古い履歴情報は検索しないようにする。
本発明の一形態によれば、通信システムは、検索された複数の端末装置接続位置情報のネットワークスイッチのインタフェースに対して、アラームで通知されたIPアドレスを通信遮断する設定を行う。
本発明の一形態によれば、通信システムは、端末装置が移動する可能性のあるネットワークスイッチを限定しながら、ネットワークスイッチに対して網羅的に通信遮断設定することが可能となる。本発明の一形態によれば、移動する端末装置に対する通信遮断設定に要する処理負荷、ネットワーク負荷の増大を抑制することができる。
図1は、本発明の例示的な実施形態の通信システムの一例を模式的に示す図である。図1を参照すると、通信システム10は、通信遮断指示装置1と、接続位置検出装置2と、接続位置予測装置3と、接続情報管理ファイル4と、ネットワークスイッチグループ定義ファイル5と、検索対象期間定義ファイル6と、管理対象スイッチ定義ファイル8と、管理用ネットワーク100と、複数のネットワークスイッチ(例えばネットワークスイッチ71とネットワークスイッチ72)と、ネットワークスイッチに接続してデータ通信を行う複数の端末装置(例えば端末装置91と端末装置92)と、を具備する。
端末装置91と端末装置92は、IPアドレスが付与されたコンピュータ等の情報通信装置からなる。端末装置91と端末装置92はPC(Personal Computer)等、設置位置(場所)が移動可能とされる情報通信装置であってよい。あるいは、IPアドレスが割り振られたIoT(Internet of Things)機器等であってもよい。なお、図1では、簡単のため、複数の端末装置として、2台の端末装置91、92が例示されているが、通信システム10において、端末装置の個数は2つに制限されるものでないことは勿論である。
図1では、複数のネットワークスイッチとして例示されるネットワークスイッチ71とネットワークスイッチ72は、端末装置91と端末装置92にそれぞれ接続されるエッジスイッチ(L2スイッチ)であるが、複数のネットワークスイッチはエッジスイッチに制限されるものでなく、他のL2スイッチやレイヤ3スイッチ(L3スイッチ)、ルータ等のネットワーク機器を含むようにしてもよいことは勿論である。
ネットワークスイッチ71とネットワークスイッチ72がL2スイッチの場合、IPアドレスが割り当てられる構成とし、例えばtelnetやTFTP(Trivial File Transfer Protocol)等でアクセスして、リモート上でL2スイッチのステータス確認や設定変更等が行える構成としてもよい。
管理用ネットワーク100は、イーサネット(登録商標)等のLANであってもよい。
端末装置91(92)とネットワークスイッチ71(72)のNIC(Network Interface Card)のポート間をイーサネットケーブル等で接続した構成としてもよい。図1では、バス接続型の管理用ネットワーク100(管理用LAN)が示されているが、データネットワーク(業務ネットワーク)は、例えばネットワークスイッチのNICのポート間をイーサネットケーブルで接続した多段構成のネットワークトポロジーとしてもよい。
接続情報管理ファイル4と、ネットワークスイッチグループ定義ファイル5と、検索対象期間定義ファイル6と、管理対象スイッチ定義ファイル8をそれぞれ記憶する記憶装置は、それぞれ、管理用ネットワーク100に接続するNICを備え、通信遮断指示装置1と、接続位置検出装置2と、接続位置予測装置3から管理用ネットワーク100を介してアクセスされる構成としてもよい。あるいは、接続情報管理ファイル4、ネットワークスイッチグループ定義ファイル5、検索対象期間定義ファイル6、及び、管理対象スイッチ定義ファイル8を一つの記憶装置に保持する構成としてもよい。
通信遮断指示装置1は、センサ装置900から遮断指示を受け付けるAPI(Application Programming Interface)を提供するようにしてもよい。通信遮断指示装置1は、APIで受け付けた遮断指示に含まれるIPアドレスの端末装置を通信遮断するために、接続位置予測装置3から、当該IPアドレスが接続されると予想されるネットワークスイッチとネットワークスイッチのインタフェースの一覧を取得する。
通信遮断指示装置1は、接続位置予測装置3で取得されたネットワークスイッチに対して、接続位置予測装置3で取得されたインタフェース(ポート)に、センサ装置900からの遮断指示で通知されたIPアドレスの通信を遮断する設定を行う。
接続位置検出装置2は、例えば、定期的に、LAN等のネットワークに接続する全てのネットワークスイッチで保持するARPテーブル、MACアドレステーブルを取得する。接続位置検出装置2は、学習されているIPアドレスの接続位置とIPアドレスと、取得した時刻を、接続情報管理ファイル4に記録する。
接続位置予測装置3は、接続位置検出装置2が接続情報管理ファイル4に記録した接続情報の履歴を検索し、最新の端末装置接続位置情報が所属するネットワークスイッチグループの中から、指定されたIPアドレスに関係する、一定期間以内に記録された端末装置接続位置情報を抽出する。
通信遮断指示装置1、接続位置検出装置2、接続位置予測装置3は、いずれも不図示のCPU(Central Processing Unit)、主記憶装置、外部記憶装置と、ネットワークを介して通信相手と通信する通信インタフェース(NIC等)を備えるコンピュータ装置(情報通信装置)である。これらの装置1~3は管理用ネットワーク100に接続する接続情報管理ファイル4にデータを格納及び参照することができる。
図1において、端末装置91はネットワークスイッチ71に接続し、例えば、端末装置92と通信を行う。
通信遮断指示装置1は、センサ装置900から、不正端末装置を検出したことを示す不正端末装置検出アラームを受け取ると、受信した不正端末装置検出アラーム内に設定されている不正端末装置のIPアドレス(遮断対象IPアドレス)を抽出する。
図10は、不正端末装置検出アラームの一例を説明する図である。図10に示すように、不正端末装置検出アラーム901は、遮断対象IPアドレス9011とその他情報9012を有する。
通信遮断指示装置1は、不正端末装置検出アラーム901に含まれる遮断対象IPアドレス9011に関する、端末装置接続位置情報の一覧の取得要求(接続情報取得要求)を、接続位置予測装置3に送信する。
通信遮断指示装置1は、接続位置予測装置3から通知された端末装置接続位置情報の一覧(接続位置取得応答)に基づき、通信遮断の設定(フィルタリングの設定:例えば遮断対象IPアドレスの通信を遮断)をネットワークスイッチ(例えばネットワークスイッチ71又は72)に対して行う。
接続位置検出装置2は、好ましくは、定期的に、ネットワークスイッチ71及び72から、各スイッチのARP学習情報とMACアドレス学習情報を検索し、各ネットワークスイッチに接続している端末装置のIPアドレスと、各ネットワークスイッチに接続しているインタフェース情報(ポート情報)を収集する。接続位置検出装置2は、定期的に、ネットワークスイッチから収集した情報を、収集時刻と共に、接続情報管理ファイル4に保存する。
接続位置検出装置2は、収集した情報を保存する際に、同一の端末装置接続位置情報(図3の端末装置接続位置情報エントリ41)が接続情報管理ファイル4に存在する場合、更新回数(図3の413)を1つ加算し、更新時刻(図3の412)を現在時刻に更新するだけであり、接続情報管理ファイル4に、新たに端末装置接続位置情報を追加することはしない(なお、接続情報管理ファイル4の詳細は図3、図4を参照して後述される)。
接続位置予測装置3は、IPアドレスが通知された端末装置が接続することが予測されるネットワークスイッチを特定するために、ネットワークスイッチグループを設定する。接続位置予測装置3では、ネットワークスイッチが所属するネットワークスイッチグループを、コマンド等により、事前に設定し、ネットワークスイッチグループ定義ファイル5に保存する。
図13は、ネットワークスイッチグループ定義ファイル5を説明する図である。ネットワークスイッチグループ定義ファイル5は、ネットワークスイッチのIPアドレスをキーにして、ネットワークスイッチが所属するネットワークスイッチグループの対応情報を管理するファイルである。ネットワークスイッチグループエントリ51としてネットワークスイッチのIPアドレス511を有し、ネットワークスイッチグループ512は、IPアドレス511を有するネットワークスイッチが所属するネットワークスイッチグループである。
接続位置予測装置3は、通信遮断指示装置1からの端末装置接続位置情報の一覧の取得要求(接続情報取得要求)を受け付け、通知されたIPアドレスをキーとして、接続情報管理ファイル4を検索し、IPアドレスが通知された端末装置が接続している最新のネットワークスイッチ71が所属するネットワークスイッチグループを検索する。
接続位置予測装置3は、検索されたネットワークスイッチグループと、通知されたIPアドレスに合致する全ての端末装置接続位置情報を、接続情報管理ファイル4から検索する。
検索対象期間定義ファイル6は、接続位置予測装置3が、接続情報管理ファイル4を検索する際に参照されるファイルであり、検索対象期間の指定に用いられるファイルである。図11は、検索対象期間定義ファイル6を説明する図である。検索対象期間定義ファイル6は、検索対象期間61の情報を含む。
接続位置予測装置3は、接続情報管理ファイル4の検索を行う時点から、検索対象期間61まで遡った時点以降の端末装置接続位置情報エントリ41(図3)を検索対象とする。
管理対象スイッチ定義ファイル8は、通信システム10において、通信遮断の制御ができるネットワークスイッチを設定するファイルである。図12は、管理対象スイッチ定義ファイル8を説明する図である。管理対象スイッチエントリ81は、ネットワークスイッチのIPアドレス811とその他情報812を含む。管理対象スイッチ定義ファイル8に管理対象として設定されていないネットワークスイッチは通信遮断の制御対象から外される。
ネットワークスイッチ71及び/又はネットワークスイッチ72は、通信遮断指示装置1からの通信遮断の設定を受け付けると、指定されたインタフェースに対して、通知されたIPアドレスの通信を遮断するフィルタリング等の設定を行う。特に制限されないが、ネットワークスイッチがVLAN(Virtual LAN)間のルーティングを行うL3スイッチの場合、指定されたインタフェースに対して通知されたIPアドレスのVLAN間の通信を遮断し、それ以外の通信は許可するように設定してもよい。また、ネットワークスイッチがL2スイッチである場合、指定されたインタフェースに対して、通知されたIPアドレスに対応するMACアドレスを送信元MACアドレス、宛先MACアドレスとするフレームは破棄し、その他のフレームは中継するように設定してもよい。
図2は、本実施形態におけるネットワークスイッチグループを説明するための図ある。図2において、ネットワークスイッチグループ501は、ネットワークスイッチ71、ネットワークスイッチ72、ネットワークスイッチ73で構成されている。ネットワークスイッチグループ502は、ネットワークスイッチ74のみで構成されている。なお、特に制限されないが、図2の例では、ネットワークスイッチ73、74は例えばWANインタフェースを備えたL3スイッチ(又はルータ等)であってもよい。ネットワークスイッチ73はWAN(Wide Area Network)110を介してネットワークスイッチグループ502のネットワークスイッチ74に接続されている。ネットワークスイッチ71-73はある拠点のLANに配置され、ネットワークスイッチ74はWAN110を介して接続される別の拠点のLANに配置される構成であってもよい。
接続位置予測装置3は、端末装置接続位置情報の検索は、通信遮断する端末装置のIPアドレスがネットワークスイッチ71に接続していた場合、同一のネットワークスイッチグループ501に所属するネットワークスイッチ71、ネットワークスイッチ72、ネットワークスイッチ73のみを検索対象とし、ネットワークスイッチグループ502に所属しているネットワークスイッチ74は検索対象としない。
接続情報管理ファイル4は、図3に示すように、複数の端末装置接続位置情報エントリ41で構成される。端末装置接続位置情報エントリ41は、端末装置接続位置情報411と、端末装置接続位置情報エントリ41の更新時刻412と、更新回数413を含む。端末装置接続位置情報エントリ41を登録する時、現在時刻から、検索対象期間定義ファイル6で設定されている時間より古い端末装置接続位置情報エントリ41は削除する。
図3は、図1の接続情報管理ファイル4の一例を説明する図である。接続情報管理ファイル4は、端末装置接続位置情報エントリ41は、端末装置接続位置情報411と、更新時刻412(収集時刻)、更新回数413の情報項目を含む。
図4は、図3の端末装置接続位置情報411の一例を説明する図である。図4を参照すると、端末装置接続位置情報411において、IPアドレス4111は、ネットワークスイッチに接続した端末装置のIPアドレスである。接続スイッチ情報4112は、端末装置が接続するネットワークスイッチのIPアドレス41121と、ネットワークスイッチのインタフェース名41122を有する。図4に示すように、ネットワークスイッチに接続した端末装置のIPアドレスに対して、端末装置が接続したネットワークスイッチのIPアドレスと、インタフェース名の組からなる1つ又は複数の接続スイッチ情報4112が対応付けて記憶保持される。
図5は、図1の通信遮断指示装置1の機能構成の一例を説明する図である。通信遮断指示装置1は、遮断指示受付制御部11と、接続位置取得制御部12と、通信遮断制御部13を含む。通信遮断指示装置1において、各部11―13は、通信遮断指示装置1のプロセッサがメモリに格納されたプログラム命令を実行することで、その処理、機能を実現するようにしてもよいことは勿論である。
遮断指示受付制御部11は、センサ装置900からの不正端末装置検出アラーム901を受け取る。遮断指示受付制御部11は、不正端末装置検出アラーム901に含まれる、アラーム対象となったIPアドレスを抽出する。接続位置取得制御部12は、遮断指示受付制御部11が抽出したIPアドレスが接続するネットワークスイッチとインタフェースを求めるために、接続位置予測装置3に対して、端末装置接続位置情報の一覧の取得を要求する接続情報取得要求を送信し、接続位置予測装置3から検索結果(接続情報取得応答)を受け取る。
通信遮断制御部13は、接続位置取得制御部12が取得した端末装置接続位置情報と、遮断指示受付制御部11が不正端末装置検出アラーム901から抽出したIPアドレスを元に、ネットワークスイッチに対して通信遮断の設定を行う機能を具備する。
図6は、図1の接続位置検出装置2の機能構成の一例を説明する図である。接続位置検出装置2は、対象スイッチ情報管理部21と、接続情報収集制御部22と、収集情報解析制御部23と、接続情報記録制御部24を含む。接続位置検出装置2において、各部21―24は、通信遮断指示装置1のプロセッサがメモリに格納されたプログラム命令を実行することで、その処理、機能を実現するようにしてもよいことは勿論である。
対象スイッチ情報管理部21は、検索対象期間定義ファイル6から検索対象期間を取得し、接続情報収集制御部22に通知する。
接続情報収集制御部22は、指定されたIPアドレスのネットワークスイッチに接続し、一例としてSNMP等により、ARP情報、MACアドレス情報を、当該ネットワークスイッチから取得する。
図7は、接続位置予測装置3の機能構成の一例を例示する図である。接続位置予測装置3は、接続情報取得要求受付部31と、接続情報検索制御部32と、接続情報予測制御部33と、接続情報通知部34を含む。接続位置予測装置3において、各部31-34は、通信遮断指示装置1のプロセッサがメモリに格納されたプログラム命令を実行することで、その処理、機能を実現するようにしてもよいことは勿論である。
接続情報取得要求受付部31は、通信遮断指示装置1から通信遮断対象の端末装置のIPアドレスを含む接続情報取得要求を受け付ける。
接続情報検索制御部32は、接続情報取得要求受付部31で受け取ったIPアドレスで接続情報管理ファイル4を検索し、当該IPアドレスに対応する端末装置接続位置情報エントリ41のうち、更新時刻(図3の412)が最新の端末装置接続位置情報エントリ41を抽出する。
接続情報予測制御部33は、接続情報検索制御部32により抽出された最新の端末装置接続位置情報エントリ41のネットワークスイッチのIPアドレス(図4の41121)をキーとしてネットワークスイッチグループ定義ファイル5(図13)を検索し、最新の端末装置接続位置情報エントリ41のネットワークスイッチのIPアドレス41121が所属するネットワークスイッチグループを抽出する。
接続情報予測制御部33は、最新の端末装置接続位置情報エントリ41のネットワークスイッチが所属するネットワークスイッチグループと、接続情報取得要求受付部31で受け付けたIPアドレス、及び、接続情報取得要求受付部31が受け付けた時刻に基づき、接続情報管理ファイル4を検索して、検索対象期間定義ファイル6で定義されている時間分遡った時刻以降に保存(更新)された端末装置接続位置情報エントリ41を抽出する。例えば、最新の端末装置接続位置情報エントリ41のネットワークスイッチが所属するネットワークスイッチグループに含まれるネットワークスイッチの端末装置接続位置情報エントリ41から、接続情報取得要求受付部31で受け付けたIPアドレスに端末装置が、接続情報取得要求の受付時刻から検索対象期間61遡った時刻以降に接続したネットワークスイッチのインタフェース情報を取得する。
接続情報通知部34は、接続情報予測制御部33で抽出された全ての端末装置接続位置情報エントリ41を含む接続情報取得応答を、接続情報取得要求を通知してきた通信遮断指示装置1に送信する。
図14は、本発明の例示的な実施形態のシーケンス動作を説明する図である。
接続位置検出装置2は、定期的にネットワークスイッチ71、ネットワークスイッチ72からARPテーブル、MACアドレステーブルを取得する。ステップS101、S103で接続位置検出装置2は、ネットワークスイッチ71、ネットワークスイッチ72に転送を要求し(例えばSNMPポーリング)、ステップS102、S104でネットワークスイッチ71、ネットワークスイッチ72はARPテーブル、MACアドレステーブルを接続位置検出装置2に送信する。
接続位置検出装置2は、取得したARPテーブル、MACアドレステーブルから接続情報管理ファイル4の端末装置接続位置情報411を作成する。
なお、ARPテーブル及びMACアドレステーブルから端末装置接続位置情報411を取得する手法の一例を説明する。L3スイッチ等のネットワークスイッチにおいて、ARPテーブルの学習は、他のノードからパケット(フレーム)を受信した場合、IPアドレスとMACアドレスの組が登録又は更新される(例えばARPパケットからIPアドレスに対応するMACアドレスを取り出しARPテーブルを更新する)。
ネットワークスイッチ71、72において、MACアドレステーブルの学習は、ネットワークスイッチ71、72がフレームを受信すると、該フレームの送信元MACアドレスと該フレームを受信したインタフェースとの組をMACアドレステーブルに登録することで行われる。
接続位置検出装置2では、取得したARPテーブルにおいてIPアドレスからMACアドレスを求め、取得したネットワークスイッチ71、ネットワークスイッチ72のMACアドレステーブルを検索することで、該MACアドレスに対応するネットワークスイッチのインタフェースを求める。
接続位置検出装置2は、端末装置接続位置情報411を接続情報管理ファイル4に、現在時刻を更新時刻412とし、更新回数413を1つ加算し、端末装置接続位置情報エントリ41として接続情報管理ファイル4に保存する(S105)。
不正端末装置を検出したセンサ装置900は、不正端末装置検出アラーム901(図10)を通信遮断指示装置1に送信する(S106)。センサ装置900で不正端末装置を検出し不正端末装置検出アラームを送る方法は、不正端末装置のIPアドレスを通知できれば、公知の任意の手法を用いてよい。
不正端末装置検出アラーム901(図10)を受信した通信遮断指示装置1は、接続情報取得要求101を接続位置予測装置3に送る(S107)。図8は接続情報取得要求101を説明する図である。接続情報取得要求101は検索対象のIPアドレス1011を含む。
接続位置予測装置3は、接続情報取得要求101を受信すると、接続情報管理ファイル4を検索し、端末装置接続位置情報エントリ41(図3)を抽出する(S108)。この時、IPアドレス1011をキーに、最新の端末装置接続位置情報エントリが所属するネットワークスイッチグループと、IPアドレス及び受付時刻に基づき、検索対象期間定義ファイル6で定義されている時間前の時刻以降に保存された端末装置接続位置情報エントリ41を、接続情報管理ファイル4を検索して抽出する。
接続位置予測装置3は、抽出した端末装置接続位置情報エントリ41を、接続情報取得応答102により通信遮断指示装置1に通知する(S109)。図9は、接続情報取得応答102の一例を説明する図である。接続情報取得応答102は端末装置接続位置情報エントリ41を含む。
通信遮断指示装置1は、接続情報取得応答102を受け取り、接続情報取得応答102で通知された端末装置接続位置情報エントリ41に含まれているネットワークスイッチ(ネットワークスイッチのIPアドレス41121)にアクセスし、端末装置接続位置情報エントリ41含まれているインタフェース(インタフェース名41122)に対して、不正端末装置検出アラーム901で通知されたIPアドレスの通信を遮断設定する。
ネットワークスイッチに対するIP通信の遮断設定は、一例としてネットワークスイッチにtelnet等を使用して接続し、ネットワークスイッチの該当インタフェースに対してフィルタリング設定(当該IPアドレスのパケットを選択的に廃棄)するようにしてもよい。あるいは、通信遮断設定は、ネットワークスイッチで実行されるCLI(Command Line Interface)コマンド(フィルタリング設定コマンド)を通信遮断指示装置1で自動生成してTFTP等で、ネットワークスイッチに送信して実行させるようにしてもよい。
本実施形態によれば、端末装置が移動する場合でも、過去の接続実績に基づき、接続する可能性のあるネットワークスイッチを限定しながら、ネットワークスイッチに対して端末装置の通信遮断設定を行うことができる。
全てのネットワークスイッチに対して、通信遮断することが不要とされる。このため、通信遮断システムの処理負荷を減らし、通信遮断に要する時間を短縮することができる。
図1の通信遮断指示装置1、接続位置検出装置2、接続位置予測装置3、接続情報管理ファイル4を、別々の装置として、配備するかわりに、図15に例示するように、1台の装置(通信遮断集合装置200)に配置するようにしてもよい。この場合、通信遮断指示装置1、接続位置検出装置2、接続位置予測装置3は、ソフトウェアモジュールとして配備され、通信遮断集合装置200のプロセッサがプログラムを実行することで動作する。
図16は、図15の通信遮断集合装置200を1台のコンピュータ装置300で実装した例を説明する図である。コンピュータ装置300は、プロセッサ301、半導体メモリ又はHDD等のメモリ302、表示装置303、通信インタフェース304を備えている。通信インタフェース304は、図15の管理用ネットワーク100に接続する装置と通信接続する。プロセッサ301は、メモリ302に記憶されたプログラム(命令)を実行することで、上記した実施形態の通信遮断指示装置1、接続位置検出装置2、接続位置予測装置3の処理を実現する。
図17は、コンピュータ装置300の処理動作(接続位置予測処理)の一例を説明する流れ図である。
通信遮断指示モジュール(通信遮断指示装置1)が、不正端末装置検出アラームを受信すると(S101)、接続位置予測モジュールに接続情報取得要求を送信し、接続位置予測モジュールは、不正端末装置検出アラームのIPアドレスで接続情報管理ファイル4を検索し、接続位置検出モジュール(接続位置検出装置2)によって最新に更新(記録)された端末装置接続位置情報エントリ41を抽出する(S102)。接続位置検出モジュール(接続位置検出装置2)はネットワークスイッチでそれぞれ保持するアドレス解決テーブル、及び、MACアドレステーブルの情報を、例えば定期的に取得して接続情報管理ファイル4を更新する。
接続位置予測モジュール(接続位置予測装置3)は、最新の端末装置接続位置情報エントリ(図3の41)のネットワークスイッチのIPアドレスが所属するネットワークスイッチグループを、ネットワークスイッチグループ定義ファイル5(図13)を検索して抽出する。接続位置予測モジュールは、最新の端末装置接続位置情報エントリが所属するネットワークスイッチグループと、不正端末装置のIPアドレス、及び、接続情報取得要求を受け付けた時刻に基づき、検索対象期間定義ファイル6で定義されている時間前の時刻以降に保存された端末装置接続位置情報エントリを、接続情報管理ファイル4を検索して抽出し(S103)、接続情報取得応答102(端末装置接続位置情報エントリ41)を通信遮断指示モジュール(通信遮断指示装置1)に送信する。
通信遮断指示モジュール(通信遮断指示装置1)は、接続情報取得応答102の端末装置接続位置情報エントリ41に含まれているネットワークスイッチにアクセスし、該ネットワークスイッチのインタフェースに対して、不正端末装置検出アラームで通知されたIPアドレスの通信遮断設定を行う(S104)。
上記各実施形態によれば、コンピュータ等の端末装置が接続した(あるいは現在接続している)ネットワークスイッチとそのインタフェースの接続情報(接続スイッチ情報)の履歴(接続履歴情報)を更新・保持し、例えば最新に(most recently)接続した遮断対象のネットワークスイッチが属するネットワークスイッチグループを特定し、ネットワークスイッチグループに所属するネットワークスイッチの接続履歴情報に基づき、今後、端末装置が接続する可能性があるネットワークスイッチとそのインタフェースを予測する構成としたことで、端末の通信遮断設定時に、ネットワークスイッチに対するSNMPによる問い合わせ等を不要とし、処理負荷、ネットワーク負荷の増大を抑えながら、遮断対象の端末装置の移動に追従可能としている。
なお、図1の例では、端末装置91、92がネットワークスイッチ71、72に直接接続される構成が例示されているが、端末装置91、92は不図示の通信機器(例えば無線LAN(Local Area Network)アクセスポイント等)を介してネットワークスイッチ71、72に接続される構成としてもよい。通信システム10が、スマートフォンやタブレット端末等の情報通信装置(例えばDHCP(Dynamic Host Configuration Protocol)等によってIPアドレスは変わる)からなり無線LANアクセスポイントを介してネットワークスイッチ71、72に接続する端末装置を含む場合、IPアドレスによるネットワークスイッチでの通信遮断設定のほか、情報通信装置のMACアドレスを用いることで、ネットワークスイッチでの通信遮断設定(該MACアドレスを送信元、宛先とするフレームの廃棄等)を行うようにしてもよい。この場合、センサ装置900は、端末装置のMACアドレスを通信遮断指示装置1に通知し、接続位置予測装置3では、該端末装置のMACアドレスに基づき、該端末装置が接続する可能性のあるネットワークスイッチのインタフェースを予測するようにしてもよい。
上記各実施形態は、IPv4(Internet Protocol version 4)に制限されるものでなく、IPv6(Internet Protocol version 6)にも同様に適用可能である。
なお、上記の特許文献1-3、非特許文献1、2の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素(各請求項の各要素、各実施例の各要素、各図面の各要素等を含む)の多様な組み合わせ乃至選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。
1 信遮断指示装置
2 接続位置検出装置
3 接続位置予測装置
4 接続情報管理ファイル
5 ネットワークスイッチグループ定義ファイル
6 検索対象期間定義ファイル
8 管理対象スイッチ定義ファイル
10 通信システム
11 遮断指示受付制御部
12 接続位置取得制御部
13 通信遮断制御部
21 対象スイッチ情報管理部
22 接続情報収集制御部
23 収集情報解析制御部
24 接続情報記録制御部
31 接続情報取得要求受付部
32 接続情報検索制御部
33 接続情報予測制御部
34 接続情報通知部
41 端末装置接続位置情報エントリ
51 ネットワークスイッチグループエントリ
61 検索対象期間
71、72、73、74 ネットワークスイッチ
81 管理対象スイッチエントリ
91、92 端末装置(情報通信装置)
100 管理用ネットワーク
101 接続情報取得要求
102 接続情報取得応答
110 WAN
200 通信遮断集合装置
300 コンピュータ装置
301 プロセッサ
302 メモリ
303 表示装置
304 通信インタフェース
411 端末装置接続位置情報
412 更新時刻
413 更新回数
501、502 ネットワークスイッチグループ
511 ネットワークスイッチのIPアドレス
512 ネットワークスイッチグループ
811 ネットワークスイッチのIPアドレス
812 その他情報
900 センサ装置
901 不正端末装置検出アラーム
1011 IPアドレス
4111 IPアドレス
4112 接続スイッチ情報
9011 遮断対象IPアドレス
9012 その他情報
41121 ネットワークスイッチのIPアドレス
41122 ネットワークスイッチのインタフェース名

Claims (6)

  1. 端末装置のネットワークスイッチへの接続履歴情報を保持する第1の記憶部と、
    複数のネットワークスイッチをグループ化したネットワークスイッチグループを保持する第2の記憶部と、
    通信遮断指示装置と、
    前記通信遮断指示装置から通信遮断対象の端末装置を特定した接続情報取得要求を受けると、前記第1の記憶部を参照して、前記端末装置に対応する接続履歴情報を取得し、
    前記接続履歴情報に基づき、前記端末装置が接続する可能性のあるネットワークスイッチと前記ネットワークスイッチのインタフェースを予測する接続位置予測装置と、
    を含
    前記接続位置予測装置は、
    前記端末装置の前記接続履歴情報を参照して、前記端末装置が最新に接続したネットワークスイッチを求め、
    さらに、前記第2の記憶部を参照して、前記端末装置が最新に接続した前記ネットワークスイッチが所属するネットワークスイッチグループを特定し、
    前記ネットワークスイッチグループに含まれるネットワークスイッチのうち、前記第1の記憶部の前記接続履歴情報を参照して、前記接続情報取得要求の受付時点から予め設定された検索対象期間遡った時点以降に前記端末装置が接続したネットワークスイッチのインタフェース情報を取得し、接続情報取得応答として、前記通信遮断指示装置に返し、
    前記通信遮断指示装置は、前記予測されたネットワークスイッチのインタフェースに対して、前記端末装置による通信の遮断設定を行う、ことを特徴とする通信システム。
  2. 前記ネットワークスイッチでそれぞれ保持する、IP(Internet Protocol)アドレスとMAC(Media Access Control)アドレスの対応を記録したアドレス解決テーブル、及び、MACアドレスとインタフェースの対応を記録したMACアドレステーブルを取得して前記第1の記憶部の接続履歴情報を更新する接続位置検出装置をさらに備えた、ことを特徴とする請求項1に記載の通信システム。
  3. 端末装置のネットワークスイッチへの接続履歴情報を保持する第1の記憶部と、
    複数のネットワークスイッチをグループ化したネットワークスイッチグループを保持する第2の記憶部と、
    通信遮断指示装置から通信遮断対象の端末装置を特定した接続情報取得要求を受ける手段と、
    前記端末装置のネットワークスイッチへの接続履歴情報を保持する第1の記憶部を参照して、前記端末装置に対応する接続履歴情報を取得し、前記接続履歴情報に基づき、前記端末装置が接続する可能性のあるネットワークスイッチと前記ネットワークスイッチのインタフェースを予測する予測手段と、
    を備え、
    前記予測手段は、
    前記端末装置の前記接続履歴情報を参照して、前記端末装置が最新に接続したネットワークスイッチを求め、
    さらに、前記第2の記憶部を参照して、前記端末装置が最新に接続した前記ネットワークスイッチが所属するネットワークスイッチグループを特定し、
    前記ネットワークスイッチグループに含まれるネットワークスイッチのうち、前記第1の記憶部の前記接続履歴情報を参照して、前記接続情報取得要求の受付時点から予め設定された検索対象期間遡った時点以降に前記端末装置が接続したネットワークスイッチのインタフェース情報を取得する手段と、
    を備え、
    前記予測手段で取得したネットワークスイッチのインタフェース情報を接続情報取得応答として前記通信遮断指示装置に返し、前記予測手段で予測されたネットワークスイッチのインタフェースに対して前記端末装置による通信の遮断設定を前記通信遮断指示装置に行わせる、ことを特徴とする接続位置予測装置。
  4. 請求項に記載の前記接続位置予測装置及び前記通信遮断指示装置と、
    前記ネットワークスイッチでそれぞれ保持する、IP(Internet Protocol)アドレスとMAC(Media Access Control)アドレスの対応を記録したアドレス解決テーブル、及び、MACアドレスとインタフェースの対応を記録したMACアドレステーブルを取得して前記第1の記憶部の接続履歴情報を更新する接続位置検出装置と、
    を備えた、ことを特徴とする通信遮断集合装置。
  5. 端末装置のネットワークスイッチへの接続履歴情報を第1の記憶部に保持し、
    通信遮断指示装置から通信遮断対象の端末装置を特定した接続情報取得要求に応答して、
    前記第1の記憶部を参照して、前記端末装置に対応する接続履歴情報を取得し、
    前記端末装置の前記接続履歴情報に基づき、前記端末装置が接続する可能性のあるネットワークスイッチと前記ネットワークスイッチのインタフェースを予測し、
    前記予測されたネットワークスイッチのインタフェースに対して、前記通信遮断指示装置にて前記端末装置による通信の遮断設定を行う通信遮断方法であって、
    複数のネットワークスイッチをグループ化したネットワークスイッチグループを第2の記憶部で記憶保持し、
    前記端末装置の前記接続履歴情報を参照して、前記端末装置が最新に接続したネットワークスイッチを求め、
    さらに、前記第2の記憶部を参照して、前記端末装置が最新に接続した前記ネットワークスイッチが所属するネットワークスイッチグループを特定し、
    前記ネットワークスイッチグループに含まれるネットワークスイッチのうち、前記第1の記憶部の前記接続履歴情報を参照して、前記接続情報取得要求の受付時点から予め設定された検索対象期間遡った時点以降に前記端末装置が接続したネットワークスイッチのインタフェース情報を取得し、
    取得した前記ネットワークスイッチのインタフェース情報を、接続情報取得応答として、前記通信遮断指示装置に返す、ことを特徴とする通信遮断方法。
  6. 端末装置のネットワークスイッチへの接続履歴情報を保持する第1の記憶部と、
    複数のネットワークスイッチをグループ化したネットワークスイッチグループを保持する第2の記憶部と、
    を備えたコンピュータに、
    通信遮断指示装置から通信遮断対象の端末装置を特定した接続情報取得要求を受け、
    前記第1の記憶部を参照して、前記端末装置の前記接続履歴情報に基づき、前記端末装置が最新に接続したネットワークスイッチを求め、
    さらに、前記第2の記憶部を参照して、前記端末装置が最新に接続した前記ネットワークスイッチが所属するネットワークスイッチグループを特定し、
    前記ネットワークスイッチグループに含まれるネットワークスイッチのうち、前記第1の記憶部の前記接続履歴情報を参照して、前記接続情報取得要求の受付時点から予め設定された検索対象期間遡った時点以降に前記端末装置が接続したネットワークスイッチのインタフェース情報を取得し、
    前記取得したネットワークスイッチのインタフェース情報を接続情報取得応答として前記通信遮断指示装置に返し、前記ネットワークスイッチのインタフェースに対して前記端末装置による通信の遮断設定を前記通信遮断指示装置に行わせる処理を
    前記コンピュータに実行させプログラム。
JP2019037346A 2019-03-01 2019-03-01 通信遮断方法、通信システム、装置とプログラム Active JP7279417B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019037346A JP7279417B2 (ja) 2019-03-01 2019-03-01 通信遮断方法、通信システム、装置とプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019037346A JP7279417B2 (ja) 2019-03-01 2019-03-01 通信遮断方法、通信システム、装置とプログラム

Publications (2)

Publication Number Publication Date
JP2020141359A JP2020141359A (ja) 2020-09-03
JP7279417B2 true JP7279417B2 (ja) 2023-05-23

Family

ID=72280660

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019037346A Active JP7279417B2 (ja) 2019-03-01 2019-03-01 通信遮断方法、通信システム、装置とプログラム

Country Status (1)

Country Link
JP (1) JP7279417B2 (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006127409A (ja) 2004-11-01 2006-05-18 Oki Electric Ind Co Ltd 不正アクセス追跡装置、不正アクセス追跡方法および不正アクセス追跡プログラム
US20070067823A1 (en) 2005-09-02 2007-03-22 Shim Choon B System and apparatus for rogue VoIP phone detection and managing VoIP phone mobility
JP2008079079A (ja) 2006-09-22 2008-04-03 Fujitsu Ltd 移動端末再接続制御方法及び装置
JP2018121320A (ja) 2017-01-23 2018-08-02 アラクサラネットワークス株式会社 ネットワークシステム、及びネットワークコントローラならびにネットワーク制御方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130022507A (ko) * 2011-08-24 2013-03-07 주식회사 케이티 네트워크 공격차단 장치 및 그 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006127409A (ja) 2004-11-01 2006-05-18 Oki Electric Ind Co Ltd 不正アクセス追跡装置、不正アクセス追跡方法および不正アクセス追跡プログラム
US20070067823A1 (en) 2005-09-02 2007-03-22 Shim Choon B System and apparatus for rogue VoIP phone detection and managing VoIP phone mobility
JP2008079079A (ja) 2006-09-22 2008-04-03 Fujitsu Ltd 移動端末再接続制御方法及び装置
JP2018121320A (ja) 2017-01-23 2018-08-02 アラクサラネットワークス株式会社 ネットワークシステム、及びネットワークコントローラならびにネットワーク制御方法

Also Published As

Publication number Publication date
JP2020141359A (ja) 2020-09-03

Similar Documents

Publication Publication Date Title
US11086653B2 (en) Forwarding policy configuration
CN105262683B (zh) 网络系统和路由控制方法
KR101472695B1 (ko) 스위치 시스템, 모니터링 집중 관리 방법
RU2562438C2 (ru) Сетевая система и способ управления сетью
EP2316192B1 (en) Incremental and targeted auto-discovery of network devices
US20130282867A1 (en) Information system, control apparatus, method of providing virtual network, and program
EP3493477B1 (en) Message monitoring
WO2014114196A1 (en) Keeping a terminal access location record alive
WO2014089799A1 (zh) 一种确定虚拟机漂移的方法和装置
JP5617304B2 (ja) スイッチング装置、情報処理装置および障害通知制御プログラム
US20140192810A1 (en) Transfer device, communication system, and roundabout path detecting method
CN107465621B (zh) 一种路由器发现方法、sdn控制器、路由器和网络系统
US9984036B2 (en) Communication system, control apparatus, communication method, and program
US9425976B2 (en) Reporting operational information of a network device
JP2013026993A (ja) ノード検出装置、ノード検出方法、及びプログラム
JP7279417B2 (ja) 通信遮断方法、通信システム、装置とプログラム
US20160330166A1 (en) Address Acquiring Method and Network Virtualization Edge Device
CN107659446B (zh) 一种waf迁移方法和装置
US9294376B2 (en) Apparatus for searching route in layer 2 network
US8239930B2 (en) Method for controlling access to a network in a communication system
JP4655028B2 (ja) ワームの感染防止システム
JP2012074849A (ja) 監視装置
JP6476853B2 (ja) ネットワーク監視システム及び方法
JP2005056243A (ja) ワームの感染防止システム
EP2613264A1 (en) Management device, management program and management method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220203

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20221025

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20221026

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20221220

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230411

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230424

R151 Written notification of patent or utility model registration

Ref document number: 7279417

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151