JP7409501B2 - 通信管理装置、通信システム、通信管理方法および通信管理プログラム - Google Patents

通信管理装置、通信システム、通信管理方法および通信管理プログラム Download PDF

Info

Publication number
JP7409501B2
JP7409501B2 JP2022531195A JP2022531195A JP7409501B2 JP 7409501 B2 JP7409501 B2 JP 7409501B2 JP 2022531195 A JP2022531195 A JP 2022531195A JP 2022531195 A JP2022531195 A JP 2022531195A JP 7409501 B2 JP7409501 B2 JP 7409501B2
Authority
JP
Japan
Prior art keywords
information
template
log information
management device
log
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022531195A
Other languages
English (en)
Other versions
JPWO2021255889A5 (ja
JPWO2021255889A1 (ja
Inventor
宰 小林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2021255889A1 publication Critical patent/JPWO2021255889A1/ja
Publication of JPWO2021255889A5 publication Critical patent/JPWO2021255889A5/ja
Application granted granted Critical
Publication of JP7409501B2 publication Critical patent/JP7409501B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本開示は、通信管理装置、通信システム、通信管理方法およびコンピュータ可読媒体に関する。
IoT(Internet of Things)機器で構成されるIoTシステムにおいて、パケットによる通信を許可するか否かの判定に用いるリスト(ホワイトリスト)を生成する通信装置が知られている。たとえば特許文献1には、学習モードに設定された場合に、ゲートウェイがホワイトリストを生成することが開示されている。
特開2019-68119号公報
しかし上述の特許文献1に記載の方法では、学習モードにおいて、ゲートウェイが、管理者が想定していない未知もしくは不正なパケットをデバイスから取得した場合、それらを含めたホワイトリストを生成してしまうという問題がある。
本開示の目的は、上述した課題に鑑み、未知または不正なパケットについてホワイトリストへの誤登録を回避することができる通信管理装置、通信システム、通信管理方法およびコンピュータ可読媒体を提供することにある。
本開示の一態様に係る通信管理装置は、通信システムが備える通信管理装置である。前記通信管理装置は、前記通信システムの設計情報に基づいて、予め定められた機器から供給されたデータを転送するためのパケットの識別情報を含むテンプレートを生成するテンプレート生成部と、前記通信システムが備える機器から供給されたデータをパケットにより転送する中継装置から、前記パケットによるデータの転送に関するログ情報を受信するログ受信部と、前記ログ情報が前記テンプレートに適合する場合、前記ログ情報に基づいて、前記中継装置によるデータの転送が許可されるパケットの条件が記述されたホワイトリストを生成するホワイトリスト生成部と、前記ログ情報が前記テンプレートに適合しない場合、前記ログ情報の登録可否情報に基づいて前記ログ情報にかかるパケットの識別情報をホワイトリストに登録するか否かを判定する判定支援部と、生成された前記ホワイトリストを、前記中継装置に送信する送信部とを有する。
本開示の一態様に係る通信システムは、複数の機器と、複数の中継装置と、通信管理装置とを備える。前記中継装置は、前記通信システムが備える前記機器から供給されたデータをパケットにより転送する。前記通信管理装置は、前記通信システムの設計情報に基づいて、予め定められた機器から供給されたデータを転送するためのパケットの識別情報を含むテンプレートを生成するテンプレート生成部と、前記中継装置から、前記パケットによるデータの転送に関するログ情報を受信するログ受信部と、前記ログ情報が前記テンプレートに適合する場合、前記ログ情報に基づいて、前記中継装置によるデータの転送が許可されるパケットの条件が記述されたホワイトリストを生成するホワイトリスト生成部と、前記ログ情報が前記テンプレートに適合しない場合、前記ログ情報の登録可否情報に基づいて前記ログ情報にかかるパケットの識別情報をホワイトリストに登録するか否かを判定する判定支援部と、生成された前記ホワイトリストを、前記中継装置に送信する送信部とを有する。
本開示の一態様に係る通信管理方法は、通信システムの設計情報に基づいて、予め定められた機器から供給されたデータを転送するためのパケットの識別情報を含むテンプレートを生成するテンプレート生成ステップと、前記通信システムが備える機器から供給されたデータをパケットにより転送する中継装置から、前記パケットによるデータの転送に関するログ情報を受信するログ受信ステップと、前記ログ情報が前記テンプレートに適合する場合、前記ログ情報に基づいて、前記中継装置によるデータの転送が許可されるパケットの条件が記述されたホワイトリストを生成するホワイトリスト生成ステップと、前記ログ情報が前記テンプレートに適合しない場合、前記ログ情報の登録可否情報に基づいて前記ログ情報にかかるパケットの識別情報をホワイトリストに登録するか否かを判定する判定支援ステップと、生成された前記ホワイトリストを、前記中継装置に送信する送信ステップとを備える。
本開示の一態様に係る非一時的なコンピュータ可読媒体は、通信管理プログラムが格納される。前記通信管理プログラムは、通信システムの設計情報に基づいて、予め定められた機器から供給されたデータを転送するためのパケットの識別情報を含むテンプレートを生成するテンプレート生成ステップと、前記機器から供給されたデータをパケットにより転送する中継装置から、前記パケットによるデータの転送に関するログ情報を受信するログ受信ステップと、前記ログ情報が前記テンプレートに適合する場合、前記ログ情報に基づいて、前記中継装置によるデータの転送が許可されるパケットの条件が記述されたホワイトリストを生成するホワイトリスト生成ステップと、前記ログ情報が前記テンプレートに適合しない場合、前記ログ情報の登録可否情報に基づいて前記ログ情報にかかるパケットの識別情報をホワイトリストに登録するか否かを判定する判定支援ステップと、生成された前記ホワイトリストを、前記中継装置に送信する送信ステップとをコンピュータに実行させる。
本開示により、未知または不正なパケットについてホワイトリストへの誤登録を回避することができる通信管理装置、通信システム、通信管理方法およびコンピュータ可読媒体を提供することができる。
実施形態1にかかる通信管理装置の構成を示すブロック図である。 実施形態2にかかる通信システムの一例を示す概略構成図である。 実施形態2にかかる通信管理装置の構成の一例を示すブロック図である。 実施形態2にかかるテンプレート生成部が生成するテンプレートのデータ構造の一例を示す図である。 実施形態2にかかるログ受信部が受信するログ情報のデータ構造の一例を示す図である。 実施形態2にかかる通信システムの動作の一例を示すシーケンス図である。 実施形態2にかかる通信システムの動作の一例を示すシーケンス図である。 実施形態2にかかるホワイトリスト生成部が生成するホワイトリストのデータ構造の一例を示す図である。 実施形態2にかかる通信管理装置による、ログ情報がテンプレートに適合しない場合の処理を説明するための図である。 実施形態2にかかる通信管理装置による、ログ情報がテンプレートに適合しない場合の処理を説明するための図である。 実施形態3にかかる通信管理装置の構成の一例を示すブロック図である。 実施形態3にかかる通信システムの動作の一例を示すシーケンス図である。 実施形態3にかかる通信管理装置のテンプレート追加処理を説明するための図である。
以下、実施形態を通じて本開示を説明するが、請求の範囲にかかる開示を以下の実施形態に限定するものではない。また、実施形態で説明する構成の全てが課題を解決するための手段として必須であるとは限らない。各図面において、同一の要素には同一の符号が付されており、必要に応じて重複説明は省略されている。
<実施形態1>
図1は、実施形態1にかかる通信管理装置40の構成を示すブロック図である。通信管理装置40は、通信システムに備えられ、テンプレート生成部43と、ログ受信部45と、ホワイトリスト生成部47と、判定支援部48と、送信部49とを備える。
テンプレート生成部43は、通信システムの設計情報に基づいて、予め定められた機器から供給されたデータを転送するためのパケットの識別情報を含むテンプレートを生成する。
ログ受信部45は、中継装置からパケットによるデータ転送に関するログ情報を受信する。中継装置は、通信システムが備える機器から供給されたデータをパケットにより転送する装置である。
ホワイトリスト生成部47は、ログ情報がテンプレートに適合する場合、ログ情報に基づいて、ホワイトリストを生成する。ホワイトリストは、中継装置によるデータの転送が許可されるパケットの条件が記述されたリストである。
判定支援部48は、ログ情報がテンプレートに適合しない場合、ログ情報の登録可否情報に基づいてログ情報にかかるパケットの識別情報をホワイトリストに登録するか否かを判定する。
送信部49は、生成されたホワイトリストを、中継装置に送信する。
このように実施形態1によれば、通信管理装置40は、データの転送にかかるパケットに関するログ情報が予め想定して用意されたテンプレートに適合しない場合、ログ情報の登録可否情報に基づいて、ログ情報をホワイトリストに登録するか否かを判定する。したがって、通信管理装置40は、予め想定されていない未知または不正なパケットを、ホワイトリストに誤って登録してしまうことを回避し、必要と判定された場合のみホワイトリストに登録することができる。
<実施形態2>
次に図2~10を用いて、本開示の実施形態2について説明する。図2は、実施形態2にかかる通信管理装置40aが適用されることができる通信システム1の一例を示す概略構成図である。
通信システム1は、ネットワークを介して、センサまたはカメラ等と、アプリケーションサーバとの間のデータを授受するシステムであり、一例としてIoTシステムである。通信システム1は、機器10と、ゲートウェイ20-1,20-2,…,20-nと、アプリケーションサーバ30と、通信管理装置40aと、システム管理装置50とを備える。以下では、ゲートウェイ20-1,20-2,…,20-nを区別しない場合、単にゲートウェイ20と呼ぶことがある。本図では、ゲートウェイ20の数を3以上としているが、本開示はこれに限定されるものではなく、1または2であってもよい。
なおゲートウェイ20、アプリケーションサーバ30、通信管理装置40a、およびシステム管理装置50は、有線または無線によりネットワーク4に接続されている。
ネットワーク4は、インターネット、あるいはインターネットと広域ネットワーク(WAN)またはローカルエリアネットワーク(LAN)等の各種ネットワークとの組み合わせで構成される。
機器10は、監視対象の状態に関する情報を取得するセンサまたはカメラ等の機器である。機器10は、取得した情報を、センシングデータまたは画像データ等のデータとして出力し、ゲートウェイ20に供給する。
機器10は、一例として、USB機器11およびIP機器12のうち少なくとも1つを含む。
USB機器11は、USB(Universal Serial Bus)インターフェース(USB IF)を介してゲートウェイ20に着脱可能に接続され、USB IFを介してゲートウェイ20にデータを出力する。
IP機器12は、IP(Internet Protocol)アドレスを有する機器である。IP機器12は、無線LANの通信インターフェース(無線LAN IF)を介して、ゲートウェイ20に通信可能に接続され、無線LAN IFを介してゲートウェイ20にデータを送信する。
なお以下では、機器10とゲートウェイ20との間でデータを授受できる状態を指す場合、機器10がゲートウェイ20に「デバイス接続」されていると呼び、機器10とゲートウェイ20との間のインターフェースを「デバイス接続IF」と呼ぶ。
本図では、一例として、ゲートウェイ20-1は、USB機器11-1およびIP機器12-1にデバイス接続される。また、ゲートウェイ20-2は、USB機器11-2およびIP機器12-2にデバイス接続される。また、ゲートウェイ20-nは、IP機器12-kにデバイス接続される。
なお機器10は、USB機器11およびIP機器12に限定されない。機器10は、BLE(Bluetooth(登録商標)Low Energy)インターフェース等を介してゲートウェイ20にデバイス接続される近距離無線通信対応の機器またはその他の任意のデバイス接続IFを介してゲートウェイ20にデバイス接続される機器を含んでもよい。
ゲートウェイ20は、機器10から供給されたデータを、アプリケーションサーバ30に対して、パケットにより転送する中継装置として機能するコンピュータである。ゲートウェイ20はまた、アプリケーションサーバ30から受信したパケットを、機器10に転送する。以下「パケットの転送」は、機器10またはアプリケーションサーバ30から受信したパケットを宛先に転送することに加え、機器10から供給されたデータを所定のプロトコルおよびフォーマットのパケットに変換し、宛先に送信することを含む場合がある。プロトコルおよびフォーマットは、ゲートウェイ20内部の、デバイス接続先の機器10に対応するアプリケーション(プロセス)ごとに定義される。すなわち、ゲートウェイ20は、機器10とアプリケーションサーバ30との通信を中継してもよく、またゲートウェイ20内部のプロセスが、対応するアプリケーションサーバ30と通信してもよい。
なおゲートウェイ20は、Ethernet(登録商標)の通信インターフェース(IF)と、無線LAN IF、USB IFおよびその他の任意のデバイス接続IFのうち少なくとも1種類のデバイス接続IFとが設けられてよい。
ここで、ゲートウェイ20は、運用モードまたは学習モードに設定される。
ゲートウェイ20は、運用モードに設定された場合、データの転送が許可されるパケットの条件が記述されたリストであるホワイトリストを用いて、転送対象のデータにかかるパケットがホワイトリストに適合するか否かを判定する。そしてゲートウェイ20は、ホワイトリストに適合するパケットのみを転送し、それ以外のパケットを破棄する。
ゲートウェイ20は、学習モードに設定された場合、転送対象のデータにかかるパケットを宛先のアプリケーションサーバ30または機器10に転送する。そしてゲートウェイ20は、そのゲートウェイ20用のホワイトリストを生成(学習)するための情報を通信管理装置40aに送信する。ホワイトリストを学習するための情報とは、本実施形態2では、パケットによるデータの転送に関するログ情報、すなわちデータを転送するためにゲートウェイ20が送信したパケットのログ情報である。
アプリケーションサーバ30は、機器10からゲートウェイ20を介して取得したデータを処理するサーバ・コンピュータ等のコンピュータである。アプリケーションサーバ30は、機器10の種別に対応して設けられてよい。
通信管理装置40aは、ゲートウェイ20のホワイトリストを生成するサーバ・コンピュータ等のコンピュータである。通信管理装置40aは、学習モードに設定されたゲートウェイ20から受信した情報に基づいて、そのゲートウェイ20に対応するホワイトリストを生成し、生成したホワイトリストをそのゲートウェイ20に配布する。
また通信管理装置40aは、所定の条件下で、システム管理装置50から受信した登録可否情報に基づいて、ホワイトリストを生成する。登録可否情報は、転送対象のデータにかかるパケットに基づくレコードをホワイトリストに登録してよいか否かを示す情報である。
システム管理装置50は、通信システム1を管理するシステム管理者が使用するコンピュータである。システム管理装置50は、システム管理者が設定した登録可否情報を通信管理装置40aに送信する。なお、システム管理装置50は、通信管理装置40に組み込まれていてもよい。
ここで通信システム1は、IoTシステム等の、事前にシステム設計が行われるシステムを対象としている。このようなシステムは、システムで使用する通信およびデバイス接続方式が一定のパターンに収まるように設計されている。したがって通信システム1で使用され得る機器10、アプリケーションサーバ30およびゲートウェイ20の間の通信およびその機器10のデバイス接続に関する情報を含む設計情報が予め作成されている。なお、ITシステムにおいては、例えばユーザのコンピュータ上のウェブブラウザからインターネットに向けた多種多様な通信が発生するため、事前の設計および通信の把握は困難である。
次に図3を用いて、図4~5を参照しながら、実施形態2にかかる通信管理装置40aの構成について説明する。図3は、実施形態2にかかる通信管理装置40aの構成の一例を示すブロック図である。通信管理装置40aは、設計情報取得部42と、テンプレート生成部43と、記憶部44と、ログ受信部45と、適合判定部46と、ホワイトリスト生成部47と、判定支援部48と、送信部49とを備える。
設計情報取得部42は、機器10の種別ごとに、通信システム1におけるその機器10に関連する設計情報を取得する。ここで設計情報は、通信システム1で使用され得る機器10、アプリケーションサーバ30およびゲートウェイ20の間の通信およびその機器10のデバイス接続に関する情報を含む。そして設計情報取得部42は、取得した設計情報をテンプレート生成部43に供給する。
テンプレート生成部43は、通信システム1で使用され得る機器10として予め定められた機器10の種別ごとに、その機器10に関連する設計情報に基づくテンプレートを生成する。テンプレートは、その機器10から供給されたデータを転送するためのパケットの識別情報を含む。ここで識別情報は、パケットのヘッダ情報、送信元プロセス情報、およびゲートウェイ20と機器10との間のデバイス接続情報のうち、少なくとも1つを含む。
図4は、実施形態2にかかるテンプレート生成部43が生成するテンプレートのデータ構造の一例を示す図である。テンプレートは、通信に関する識別情報にかかるテンプレートTPL(1)と、デバイス接続に関する識別情報にかかるテンプレートTPL(2)とを有する。
本図に示す例では、テンプレートTPL(1)は、通信に関する識別情報として、送信元IPアドレス、送信元ポート番号、送信元プロセス名、宛先IPアドレスおよび宛先ポート番号の項目を含んでいる。なお通信に関する識別情報は、上記項目に限定されず、宛先ドメイン名、送信元プロセスのユーザ名、宛先MAC(Media Access Control)アドレスに対応する項目が含まれていてもよい。ここで、送信元プロセス名は、プロセス名を含むプロセスパスであるが、これに代えて単にプロセス名であってもよい。送信元プロセス名、ドメイン名および送信元プロセスのユーザ名は、ヘッダ情報に含まれるIPアドレスを用いて特定される。
テンプレートTPL(2)は、デバイス接続に関する識別情報として、機器10がUSB機器11の場合、VID(Vendor ID)、PID(Product ID)およびシリアル番号の項目を、機器10がIP機器12の場合、MACアドレスおよびIPアドレスの項目を含んでいる。
テンプレートTPLは、機器10の種別ごとに生成される。本例においては、通信システム1で使用され得る機器10は、温湿度センサと、監視カメラと、設備稼働監視情報収集機器とを有する。たとえばテンプレートTPLの1番目のレコードTPL_Aは、温湿度センサに関連するテンプレートである。TPL_Aに示すように、温湿度センサは、VIDが”0×0001”かつPIDが”0×0230”のUSB機器11である。温湿度センサに関連するデータは、ゲートウェイ20内でプロセス”usr/bin/app1”により処理され、宛先ポート番号”443/tcp”又は”10000/tcp”、宛先IPアドレス”172.16.10.10”に転送されるように設計されている。TPL_Aの送信元アドレス、送信元ポート番号およびシリアル番号の項目は、”Any”に設定され、任意であることを示す。
またテンプレートTPLの2番目のレコードTPL_Bは、監視カメラに関連するレコードである。TPL_Bに示すように、監視カメラは、MACアドレスが”XX:XX:XX:XX:00:01”かつIPアドレスが”192.168.1.5”のIP機器12であり、監視カメラに関連するデータは、2種類の方式で転送されるように設計されている。第1の方式は、送信元IPアドレス”172.16.20.20”から受信したパケットを宛先IPアドレス”192.168.0.5”に転送する方式である。また第2の方式は、監視カメラから取得したデータをゲートウェイ20内でプロセス”usr/bin/camera”により処理し、宛先ポート番号”80tcp”、宛先IPアドレス” 172.16.10.20”に転送する方式である。
記憶部44は、テンプレート生成部43が生成したテンプレートを記憶する記憶媒体である。
ログ受信部45は、複数のゲートウェイ20の各々から、パケットの転送に関するログ情報を受信する。ここで図5は、実施形態2にかかるログ受信部45が受信するログ情報のデータ構造の一例を示す図である。本図には、ゲートウェイ20-1のログ情報L1が示される。一例として、ログ情報L1は、5つのログL1-1~L1-5を含む。ログL1-1~L1-4はそれぞれ、転送したパケット1~4の識別情報を含み、具体的には、送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号および送信元プロセス名を含んでいる。ログL1-5は、デバイス接続に関する識別情報を含み、具体的には、機器10がUSB機器11であればVID、PIDおよびシリアル番号を含んでおり、機器10がIP機器12であればMACアドレスおよびIPアドレスを含んでいる。
本例では、機器10は、VID”0×0001”、PID”0×0200”のUSB機器11であり、データの転送にかかるパケットの宛先ポート番号は”443/tcp”又は”10000/tcp”であり、送信元プロセスは、”usr/bin/app1”である。したがって機器10は、図4に示すTPL_Aで規定される温湿度センサである。なお、ログL1-1~L1-4に記載される送信元IPアドレス”172.16.10.101”は、ゲートウェイ20-1のIPアドレスである。
ログ受信部45は、受信したログ情報を適合判定部46に供給する。
適合判定部46は、受信したログ情報がテンプレートTPLに適合するか否かを判定する。すなわち適合判定部46は、ゲートウェイ20が転送したパケットが、記憶部44に格納されるいずれかのテンプレートTPLに適合するか否かを判定する。適合判定部46は、判定結果をホワイトリスト生成部47または判定支援部48に供給する。
なおテンプレートTPLに適合しない場合とは、転送したパケットが、故障時のエラーを通知するパケットなど、正常運用時には発生しない通信に関するパケットである場合が含まれる。また転送したパケットが、事前にマルウェアに感染し、情報を搾取するための通信にかかるパケット等、意図しない通信にかかるパケットである場合も含まれる。また転送したパケットが、バージョンアップされたソフトウェアや他社製のソフトウェアを利用する通信といった、事前に設計情報を入手できずテンプレート化できなかった通信にかかるパケットである場合も含まれる。
ホワイトリスト生成部47は、複数のゲートウェイ20の各々について、そのゲートウェイ20から受信したログ情報がテンプレートTPLに適合する場合、そのログ情報にかかるパケットの識別情報をホワイトリストに登録する。これにより、ホワイトリスト生成部47は、複数のゲートウェイ20の各々について、ホワイトリストを生成する。ホワイトリスト生成部47は、生成したホワイトリストを、送信部49に供給する。
判定支援部48は、複数のゲートウェイ20の各々について、そのゲートウェイ20から受信したログ情報がテンプレートに適合しない場合、そのログ情報の登録可否情報を取得する。そして判定支援部48は、ログ情報の登録可否情報に基づいてログ情報にかかるパケットの識別情報をホワイトリストに登録するか否かを判定する。判定支援部48は、判定結果をホワイトリスト生成部47に供給する。そしてホワイトリスト生成部47は、登録可と判定されたログ情報にかかるパケットの識別情報を、ホワイトリストに登録する。
送信部49は、複数のゲートウェイ20の各々に対して、複数のゲートウェイ20の各々に対応するホワイトリストを送信する。
図6~7は、実施形態2にかかる通信システム1の動作の一例を示すシーケンス図である。本図では、説明の便宜上、機器10からアプリケーションサーバ30へのデータ通信に関する動作を示し、アプリケーションサーバ30から機器10へのデータ通信に関する動作については省略される。
まず、通信管理装置40aは、機器10の種別ごとにテンプレートTPLを予め生成しておく。具体的には、通信管理装置40aの設計情報取得部42は、通信システム1に使用され得る機器10の設計情報を取得する(図6のステップS100)。そして設計情報取得部42は、通信管理装置40aのテンプレート生成部43に設計情報を供給する。
次に、テンプレート生成部43は、機器10の設計情報に基づいて、通信に関する識別情報およびデバイス接続に関する識別情報を含むテンプレートTPLを生成する(ステップS101)。
次に、テンプレート生成部43は、テンプレートTPLを通信管理装置40aの記憶部44に格納する(ステップS102)。
ここで、ゲートウェイ20が学習モードに設定された場合の通信システム1の動作について説明する。ゲートウェイ20が学習モードに設定されたことに応じて、ゲートウェイ20は、通信管理装置40aに、学習モードの開始について通知する(ステップS103)。これにより、通信管理装置40aは、ホワイトリストの生成処理を開始する。
そしてゲートウェイ20にデバイス接続される機器10は、保持しているデータをゲートウェイ20に供給する(ステップS104)。ここで、機器10がUSB機器11である場合、USB IFを介して、保持しているデータをゲートウェイ20に出力する。このときゲートウェイ20の内部のプロセスが出力されたデータを取得する。なおゲートウェイ20のプロセスは、USB機器11がUSB IFに差し込まれたことに応じて、USB機器11のデバイス接続情報を取得する。また機器10がIP機器12である場合、無線LAN IFを介して、保持しているデータをパケットとしてゲートウェイ20に送信する。送信されるパケットは、機器10とアプリケーションサーバ30の接続を確立するための3ウェイハンドシェイク処理のSYNパケットおよびACKパケットを含んでもよい。ゲートウェイ20は、パケットのヘッダ情報から、送信元IPアドレス、宛先IPアドレス、送信元ポート番号および宛先ポート番号を取得する。そしてゲートウェイ20は、ヘッダ情報に含まれる宛先IPアドレス、宛先ポート番号およびプロトコルから送信元プロセス名を取得する。
ゲートウェイ20は、機器10から取得したデータを、宛先のアプリケーションサーバ30に転送する(ステップS105)。具体的には、ゲートウェイ20は、USB機器11から取得したデータまたはIP機器12から受信したパケットにかかるデータを、内部のプロセスにより所定のプロトコルおよびフォーマットのパケットに変換し、宛先のアプリケーションサーバ30に送信する。あるいは、ゲートウェイ20は、IP機器12から受信したパケットを、宛先のアプリケーションサーバ30に転送する。
ゲートウェイ20は、ステップS105におけるパケットの転送で発生したログ情報を、通信管理装置40aのログ受信部45に送信する(ステップS106)。ログ受信部45は、受信したログ情報を適合判定部46に供給する。
通信管理装置40aの適合判定部46は、受信したログ情報が、記憶部44に格納されるいずれかのテンプレートTPLに適合するか否かを判定する(ステップS106)。たとえば図4~5に示す例では、適合判定部46は、ゲートウェイ20-1から受信したログ情報が温湿度センサに関連するテンプレートTPL_Aに適合すると判定する。適合判定部46は、適合するテンプレートTPLがある場合は(ステップS106でYes)、その旨およびゲートウェイ20を識別するエッジゲートウェイ番号をホワイトリスト生成部47に通知する。そして、ホワイトリスト生成部47は、受信したログ情報に含まれるパケットの識別情報およびデバイス接続に関する識別情報を、ホワイトリストに新規登録する(ステップS109)。これによりホワイトリスト生成部47は、ホワイトリストを生成する。なお、すでに同様の識別情報がホワイトリストに登録されている場合は、新規登録を省略してよい。
ここで、ホワイトリスト生成部47が生成するホワイトリストについて説明する。図8は、実施形態2にかかるホワイトリスト生成部47が生成するホワイトリストのデータ構造の一例を示す図である。本図には、ゲートウェイ20-1によるデータの転送が許可される条件として、通信に関する条件を規定するホワイトリストWL(1)と、デバイス接続に関する条件を規定するホワイトリストWL(2)が示されている。なお、本図に示すホワイトリストWL(1),(2)は、図4に示す温湿度センサに関連するテンプレートTPL_A(1),(2)と同一の情報を有する。
図6に戻り、判定支援部48は、受信したログ情報に適合するテンプレートTPLがない場合は(ステップS106でNo)、適合しないことを示す差分情報を、システム管理装置50に通知する(ステップS107)。
ここで、図9~10を用いて、判定支援部48が通知する差分情報について説明する。図9~10は、実施形態2にかかる通信管理装置40aによる、ログ情報がテンプレートに適合しない場合の処理を説明するための図である。図9には、ゲートウェイ20-1から受信したログ情報L2が示される。また図10には、ログ情報L2に基づいて生成された差分情報D(1),D(2)を含むテンプレートTPL_A(1)/D(1)およびTPL_A(2)/D(2)が示される。
図9に示すように、ログ情報L2は、図5に示すログ情報L1に含まれるログL1-1,L1-3,L1-5に加えて、ログL2-3を含む。ログL1-1、L1-3およびL1-5に含まれる各種識別情報は、テンプレートTPL_Aに適合するが、ログL2-3に含まれるパケットの識別情報は、いずれのテンプレートTPLにも適合しない。したがって判定支援部48は、図10に示すように、適合したテンプレートTPL_Aに、いずれのテンプレートTPLにも適合しないログL2-3に含まれるパケットの識別情報を差分情報として追加した情報を生成する。そして判定支援部48は、生成した情報をシステム管理装置50に送信する。これにより、システム管理者に判断を促してよい。
なおシステム管理装置50が、通信管理装置40に組み込まれている場合は、判定支援部48は、生成した情報を管理用のウェブ画面に表示させることで、システム管理者に通知してよい。
再び図6に戻り、システム管理装置50は、取得した差分情報に基づいて、ログ情報に含まれる識別情報をホワイトリストに登録するか否かを判定し、判定結果を示す登録可否情報を、通信管理装置40aの判定支援部48に送信する(ステップS108)。登録可否情報は、システム管理者の知識に基づいてシステム管理者により判断され、かつシステム管理者により入力された情報であってよく、あるいは予め定められた判定基準に基づいて判定された情報であってもよい。そして判定支援部48は、システム管理装置50から登録可否情報を取得したことに応じて、ログ情報にかかるパケットの識別情報をホワイトリストに登録するか否かを判定する。そして、判定支援部48は、登録可であった場合のみ、ホワイトリスト生成部47にその旨および差分情報を通知し、処理を上述のステップS109に進める。
次に、ゲートウェイ20が運用モードに設定された場合の通信システム1の動作について説明する。ゲートウェイ20の学習モードが解除され、運用モードが設定されたことに応じて、ゲートウェイ20は、通信管理装置40aに学習モードの終了について通知する(図7のステップS110)。そして、通信管理装置40aの送信部49は、生成したホワイトリストを、エッジゲートウェイ番号に対応するゲートウェイ20に送信する(ステップS111)。
そして機器10は、ステップS104に示す処理と同様に、保持しているデータをゲートウェイ20に供給する(ステップS112)。
ゲートウェイ20は、機器10から取得したデータにかかるパケットが、通信管理装置40aから取得したホワイトリストのいずれかのレコードに適合するか否かを判定する(ステップS113)。このときゲートウェイ20は、USB機器11またはIP機器12から取得したデータを、内部のプロセスにより所定のプロトコルおよびフォーマットのパケットに変換したもの、またはIP機器12から受信したパケットを、判定対象としてよい。
ゲートウェイ20は、パケットがホワイトリストのいずれかのレコードに適合すると判定した場合(ステップS113でYes)、機器10から取得したデータにかかるパケットを、宛先のアプリケーションサーバ30に転送する(ステップS115)。そして、ゲートウェイ20は、ステップS115におけるパケットの転送で発生したログ情報を、通信管理装置40aに送信する(ステップS116)。
一方、ゲートウェイ20は、パケットがホワイトリストのいずれのレコードにも適合しないと判定した場合(ステップS113でNo)、パケットを破棄する(ステップS114)。
このように実施形態2によれば、通信管理装置40aは、転送にかかるパケットに関するログ情報が予め想定して用意されたテンプレートに適合しない場合、ログ情報の登録可否情報に基づいてホワイトリストに登録するか否かを判定する。したがって、通信管理装置40aは、予め想定されていない未知または不正なパケットを、ホワイトリストに誤って登録してしまうことを回避し、必要と判定された場合のみホワイトリストに登録することができる。
また通信管理装置40aは、転送にかかるパケットに関するログ情報がテンプレートに適合しない場合、適合しないことを示す情報をシステム管理装置50に通知する。したがって、システム管理者は、未知または不正なパケットの存在に容易に気づくことができ、通信管理装置40aは、システム管理者からの指示をオンデマンドで受け、反映させることができる。
また通信管理装置40aは、複数のゲートウェイ20について、上述のホワイトリストの生成処理を実行するため、通信システム1上のホワイトリストの一元管理が容易となる。
なお実施形態2では、通信管理装置40aは、ゲートウェイ20が学習モードに設定されている期間に、ホワイトリストの生成処理を行うとしたが、学習モードが解除された後に、ログ情報に基づいてホワイトリストの追加生成処理を行ってよい。なぜなら、学習モードに設定された期間で許可される通信の全てが発生しない可能性があり、その場合は、発生しなかった通信がホワイトリストに反映されないためである。
具体的には、図7のステップS116において、運用モードに設定されているゲートウェイ20は、パケットの転送で発生したログ情報を、通信管理装置40aのログ受信部45に送信する。通信管理装置40aは、受信したログ情報に対して、図6のステップS106~109に示す処理を行い、テンプレートとの差分が発生した場合に、システム管理装置50の指示に基づいてホワイトリストに追加するか否かを判定する。これにより、学習モードに設定された期間で発生しなかった通信について、ホワイトリストに追加登録することができる。
<実施形態3>
次に図11~13を用いて、本開示の実施形態3について説明する。図11は、実施形態3にかかる通信管理装置40bの構成の一例を示すブロック図である。実施形態3にかかる通信管理装置40bは、実施形態2にかかる通信管理装置40aと基本的に同様の構成および機能を有する。ただし通信管理装置40bは、判定支援部48に代えて、判定支援部48bを有する点で通信管理装置40aと相違する。
判定支援部48bは、判定支援部48の機能に加えて、ログ情報がテンプレートに適合しない場合、システム管理装置50から取得したテンプレート可否情報に基づいて、ログ情報に基づくテンプレートを生成するか否かを判定する。そして判定支援部48bは、判定結果をテンプレート生成部43に供給する。そしてテンプレート生成部43は、生成可と判定されたログ情報にかかるパケットの識別情報から、テンプレートを生成する。
図12は、実施形態3にかかる通信システム1の動作の一例を示すシーケンス図である。図12に示す処理は、図6に示す処理のステップS108に代えて、ステップS200~201を有する。なお図6と同様のステップについては、同一の記号を付して説明を省略する。
システム管理装置50は、差分情報を取得したことに応じて(ステップS107)、ログ情報に含まれる識別情報をテンプレート化するか否かを判定する。そしてシステム管理装置50は、登録可否情報に加えて、テンプレートを生成するか否かの判定結果を示すテンプレート可否情報を通信管理装置40bの判定支援部48に送信する(ステップS200)。テンプレート可否情報は、システム管理者の知識に基づいてシステム管理者により判断され、かつシステム管理者により入力された情報であってよく、あるいは予め定められた判定基準に基づいて判定された情報であってもよい。
そして、通信管理装置40bの判定支援部48は、テンプレート可否情報を取得したことに応じて、ログ情報に基づくテンプレートを生成するか否かを判定する。そして、判定支援部48は、生成可であった場合のみ、テンプレート生成部43にその旨および差分情報を通知する。
そしてテンプレート生成部43は、差分情報に基づいてテンプレートを生成し、既存のテンプレートに追加する(ステップS201)。
図13は、実施形態3にかかる通信管理装置40bのテンプレート追加処理を説明するための図である。本図には、テンプレートTPL_A(1)’および(2)’が示される。テンプレートTPL_A(1)’および(2)’は、図4に示すTPL_A(1)および(2)の3番目のレコードに、図10に示す差分情報が追加されたものである。
なお通信管理装置40bは、学習モードが解除された後にホワイトリストの追加生成処理を行う場合は、運用モードに設定されているゲートウェイ20からログ情報を受信し、図12のステップS106~109,200および201に示す処理を行ってよい。これにより、学習モードに設定された期間で発生しなかった通信について、テンプレートに追加することができる。
このように、実施形態3によれば、通信管理装置40bは、未知または不正なパケットにかかる情報を、システム管理者からの指示を受けて、恒久的にホワイトリストに登録されるようにテンプレート化することができる。また、生成されたテンプレートは、他のゲートウェイ20についても適用させることができる。したがってシステム管理者は、同様のパケットについてホワイトリストへの登録可否情報を通信管理装置40bに送信する手間が省略される。
上述の実施形態ではコンピュータは、パーソナルコンピュータやワードプロセッサ等を含むコンピュータシステムで構成される。しかしこれに限らず、コンピュータは、LAN(ローカル・エリア・ネットワーク)のサーバ、コンピュータ(パソコン)通信のホスト、インターネット上に接続されたコンピュータシステム等によって構成されることも可能である。また、ネットワーク上の各機器に機能分散させ、ネットワーク全体でコンピュータを構成することも可能である。
また、上述の実施形態では、本開示をハードウェアの構成として説明したが、本開示は、これに限定されるものではない。本発明は、任意の処理を、プロセッサにコンピュータプログラムを実行させることにより実現することも可能である。
上述の例において、プロセッサは、CPU(Central Processing Unit)、GPU(Graphics Processing Unit)、FPGA(field-programmable gate array)、DSP(digital signal processor)およびASIC(application specific integrated circuit)等が用いられてよい。
上述の例において、プログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば光磁気ディスク)、CD-ROM(Read Only Memory)、CD-R、CD-R/W、DVD(Digital Versatile Disc)、BD(Blu-ray(登録商標) Disc)、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(Random Access Memory))を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。
請求の範囲、明細書、および図面中において示したシステムおよび方法における各処理の実行順序は、特段「より前に」、「先立って」等と明示しておらず、また、前の処理の出力を後の処理で用いるのではない限り、任意の順序で実現しうる。請求の範囲、明細書および図面中の動作フローに関して、便宜上「まず、」、「次に、」等を用いて説明したとしても、この順序で実施することが必須であることを意味するものではない。
以上、実施の形態を参照して本開示を説明したが、本開示は上記によって限定されるものではない。本開示の構成や詳細には、発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
1 通信システム
4 ネットワーク
10 機器
11 USB機器
12 IP機器
20 中継装置(ゲートウェイ)
30 アプリケーションサーバ
40,40a,40b 通信管理装置
42 設計情報取得部
43 テンプレート生成部
44 記憶部
45 ログ受信部
46 適合判定部
47 ホワイトリスト生成部
48,48b 判定支援部
49 送信部
50 システム管理装置

Claims (9)

  1. 通信システムが備える通信管理装置であって、
    前記通信システムの設計情報に基づいて、予め定められた機器から供給されたデータを転送するためのパケットの識別情報を含むテンプレートを生成するテンプレート生成部と、
    前記通信システムが備える機器から供給されたデータをパケットにより転送する中継装置から、前記パケットによるデータの転送に関するログ情報を受信するログ受信部と、
    前記ログ情報が前記テンプレートに適合する場合、前記ログ情報に基づいて、前記中継装置によるデータの転送が許可されるパケットの条件が記述された許可リストを生成する許可リスト生成部と、
    前記ログ情報が前記テンプレートに適合しない場合、前記ログ情報の登録可否情報に基づいて前記ログ情報にかかるパケットの識別情報を許可リストに登録するか否かを判定する判定支援部と、
    生成された前記許可リストを、前記中継装置に送信する送信部と
    を有する通信管理装置。
  2. 前記判定支援部は、前記ログ情報が前記テンプレートに適合しない場合、適合しないことを示す情報をシステム管理装置に通知し、前記システム管理装置から前記登録可否情報を取得したことに応じて、前記ログ情報にかかるパケットの識別情報を許可リストに登録するか否かを判定する
    請求項1に記載の通信管理装置。
  3. 前記判定支援部は、前記ログ情報が前記テンプレートに適合しない場合、システム管理装置から取得したテンプレート可否情報に基づいて、前記ログ情報に基づくテンプレートを生成するか否かを判定する
    請求項1または2に記載の通信管理装置。
  4. 前記パケットの識別情報は、前記パケットのヘッダ情報、送信元プロセス情報、および前記中継装置と前記機器との間のデバイス接続情報のうち、少なくとも1つを含む
    請求項1から3のいずれか一項に記載の通信管理装置。
  5. 前記ログ受信部は、複数の中継装置の各々からログ情報を受信し、
    前記許可リスト生成部は、前記複数の中継装置の各々について、受信した前記ログ情報が前記テンプレートに適合する場合に許可リストを生成し、
    前記判定支援部は、前記複数の中継装置の各々について、前記ログ情報が前記テンプレートに適合しない場合、前記ログ情報の登録可否情報に基づいて、前記ログ情報にかかるパケットの識別情報を許可リストに登録するか否かを判定し、
    前記送信部は、前記複数の中継装置の各々に対して、前記複数の中継装置の各々に対応する許可リストを送信する
    請求項1から4のいずれか一項に記載の通信管理装置。
  6. 複数の機器と、
    複数の中継装置と、
    通信管理装置と、
    を備える通信システムであって、
    前記中継装置は、前記通信システムが備える前記機器から供給されたデータをパケットにより転送し、
    前記通信管理装置は、
    前記通信システムの設計情報に基づいて、予め定められた機器から供給されたデータを転送するためのパケットの識別情報を含むテンプレートを生成するテンプレート生成部と、
    前記中継装置から、前記パケットによるデータの転送に関するログ情報を受信するログ受信部と、
    前記ログ情報が前記テンプレートに適合する場合、前記ログ情報に基づいて、前記中継装置によるデータの転送が許可されるパケットの条件が記述された許可リストを生成する許可リスト生成部と、
    前記ログ情報が前記テンプレートに適合しない場合、前記ログ情報の登録可否情報に基づいて前記ログ情報にかかるパケットの識別情報を許可リストに登録するか否かを判定する判定支援部と、
    生成された前記許可リストを、前記中継装置に送信する送信部と
    を有する
    通信システム。
  7. システム管理装置をさらに備え、
    前記判定支援部は、前記ログ情報が前記テンプレートに適合しない場合、適合しないことを示す情報を前記システム管理装置に通知し、前記システム管理装置から前記登録可否情報を取得したことに応じて、前記ログ情報にかかるパケットの識別情報を許可リストに登録するか否かを判定する
    請求項6に記載の通信システム。
  8. コンピュータが、
    通信システムの設計情報に基づいて、予め定められた機器から供給されたデータを転送するためのパケットの識別情報を含むテンプレートを生成
    前記通信システムが備える機器から供給されたデータをパケットにより転送する中継装置から、前記パケットによるデータの転送に関するログ情報を受信
    前記ログ情報が前記テンプレートに適合する場合、前記ログ情報に基づいて、前記中継装置によるデータの転送が許可されるパケットの条件が記述された許可リストを生成
    前記ログ情報が前記テンプレートに適合しない場合、前記ログ情報の登録可否情報に基づいて前記ログ情報にかかるパケットの識別情報を許可リストに登録するか否かを判定
    生成された前記許可リストを、前記中継装置に送信する、
    通信管理方法。
  9. 通信システムの設計情報に基づいて、予め定められた機器から供給されたデータを転送するためのパケットの識別情報を含むテンプレートを生成するテンプレート生成ステップと、
    前記機器から供給されたデータをパケットにより転送する中継装置から、前記パケットによるデータの転送に関するログ情報を受信するログ受信ステップと、
    前記ログ情報が前記テンプレートに適合する場合、前記ログ情報に基づいて、前記中継装置によるデータの転送が許可されるパケットの条件が記述された許可リストを生成する許可リスト生成ステップと、
    前記ログ情報が前記テンプレートに適合しない場合、前記ログ情報の登録可否情報に基づいて前記ログ情報にかかるパケットの識別情報を許可リストに登録するか否かを判定する判定支援ステップと、
    生成された前記許可リストを、前記中継装置に送信する送信ステップと
    をコンピュータに実行させる通信管理プログラム。
JP2022531195A 2020-06-18 2020-06-18 通信管理装置、通信システム、通信管理方法および通信管理プログラム Active JP7409501B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2020/023931 WO2021255889A1 (ja) 2020-06-18 2020-06-18 通信管理装置、通信システム、通信管理方法およびコンピュータ可読媒体

Publications (3)

Publication Number Publication Date
JPWO2021255889A1 JPWO2021255889A1 (ja) 2021-12-23
JPWO2021255889A5 JPWO2021255889A5 (ja) 2023-02-22
JP7409501B2 true JP7409501B2 (ja) 2024-01-09

Family

ID=79268704

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022531195A Active JP7409501B2 (ja) 2020-06-18 2020-06-18 通信管理装置、通信システム、通信管理方法および通信管理プログラム

Country Status (3)

Country Link
US (1) US20230156007A1 (ja)
JP (1) JP7409501B2 (ja)
WO (1) WO2021255889A1 (ja)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019153890A (ja) 2018-03-01 2019-09-12 日本電信電話株式会社 作成装置、作成システム、作成方法および作成プログラム
WO2020050206A1 (ja) 2018-09-03 2020-03-12 パナソニック株式会社 ログ出力装置、ログ出力方法およびログ出力システム

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6493475B1 (ja) * 2017-09-28 2019-04-03 日本電気株式会社 通信装置、通信システム、通信制御方法、通信プログラムおよびデバイス接続制御プログラム
US10944638B1 (en) * 2019-09-26 2021-03-09 Vmware, Inc. Internet of things device discovery and configuration

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019153890A (ja) 2018-03-01 2019-09-12 日本電信電話株式会社 作成装置、作成システム、作成方法および作成プログラム
WO2020050206A1 (ja) 2018-09-03 2020-03-12 パナソニック株式会社 ログ出力装置、ログ出力方法およびログ出力システム

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
張 一凡、他4名,非集中化IoTセキュリティ制御の検討,電子情報通信学会技術研究報告 ICSS2017-58,日本,一般社団法人電子情報通信学会,2018年02月28日,Vol.117,No.481,pp.43-48
野村 公輝、他2名,loT-GW向けホワイトリストの機械学習期間における暫定的なホワイトリストの提供手法の提案,第80回(平成30年)全国大会講演論文集(3) ネットワーク セキュリティ,日本,一般社団法人情報処理学会 2E-03,2018年03月13日,pp.3-449-3-450

Also Published As

Publication number Publication date
US20230156007A1 (en) 2023-05-18
JPWO2021255889A1 (ja) 2021-12-23
WO2021255889A1 (ja) 2021-12-23

Similar Documents

Publication Publication Date Title
US11356475B2 (en) Frame transmission prevention apparatus, frame transmission prevention method, and in-vehicle network system
JP5088517B2 (ja) 検疫装置、検疫システム、検疫方法、及びプログラム
JP6056640B2 (ja) 通信装置,管理装置,処理方法,および処理プログラム
JP6665190B2 (ja) ネットワーク共有実施方法及び装置
US6631415B1 (en) Method and system for providing a communication connection using stream identifiers
TW510994B (en) Method of and apparatus for detecting direction of reception of bus packets and controlling direction of transmission of bus packets within an IEEE 1394 serial bus node
JP2020027961A (ja) ミラーパケット転送プログラム及びミラーパケット転送方法
JP6229368B2 (ja) アクセス制御方法、アクセス制御システム及びアクセス制御装置
JP7409501B2 (ja) 通信管理装置、通信システム、通信管理方法および通信管理プログラム
US6910090B1 (en) Maintaining communications in a bus bridge interconnect
JP2013182467A (ja) 画像形成装置、画像形成システム、画像形成制御方法及び画像形成制御プログラム
WO2019054435A1 (ja) 情報通信装置、情報通信方法、情報通信システム及び記憶媒体
JP2001274813A (ja) 情報信号処理装置及び情報信号処理方法並びに記憶媒体
JP6655658B2 (ja) 通信先限定システム、通信先限定装置、管理装置、通信先限定方法及びコンピュータプログラム
JP7087819B2 (ja) 通信装置
TWI709309B (zh) 網管裝置及其網管方法
JP5994459B2 (ja) 情報処理装置、通信制御方法及び通信制御プログラム
US11962433B2 (en) Switch device, in-vehicle communication system, and communication method
CN112751946B (zh) 一种隧道建立方法、装置、设备及计算机可读存储介质
JP5370013B2 (ja) 通信中継装置、通信中継プログラム、及び通信システム
JP7139789B2 (ja) 中継装置及び中継処理プログラム
JP2003030064A (ja) ネットワークシステム及び通信方法
JP6629645B2 (ja) パケット中継装置及びパケット中継方法
US20100312866A1 (en) Redundancy pair detecting method, communication device and recording medium for recording redundancy pair detection program
JP5652538B2 (ja) 中継装置、設定値設定方法、設定値設定プログラム及び中継システム

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20221207

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20221207

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231121

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20231204

R151 Written notification of patent or utility model registration

Ref document number: 7409501

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151