JP7449256B2 - 不正通信対処システム及び方法 - Google Patents
不正通信対処システム及び方法 Download PDFInfo
- Publication number
- JP7449256B2 JP7449256B2 JP2021038932A JP2021038932A JP7449256B2 JP 7449256 B2 JP7449256 B2 JP 7449256B2 JP 2021038932 A JP2021038932 A JP 2021038932A JP 2021038932 A JP2021038932 A JP 2021038932A JP 7449256 B2 JP7449256 B2 JP 7449256B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- unauthorized
- countermeasure
- information
- fraudulent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 461
- 238000000034 method Methods 0.000 title claims description 12
- 238000001514 detection method Methods 0.000 claims description 56
- 230000009471 action Effects 0.000 claims description 33
- 230000004044 response Effects 0.000 claims description 14
- 230000000903 blocking effect Effects 0.000 claims description 9
- 238000012545 processing Methods 0.000 description 56
- 238000001914 filtration Methods 0.000 description 27
- 230000006870 function Effects 0.000 description 22
- 230000006399 behavior Effects 0.000 description 12
- 238000004458 analytical method Methods 0.000 description 9
- 230000008569 process Effects 0.000 description 8
- 238000011144 upstream manufacturing Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 230000007123 defense Effects 0.000 description 4
- 230000002085 persistent effect Effects 0.000 description 4
- 230000010485 coping Effects 0.000 description 3
- 230000010365 information processing Effects 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 230000008685 targeting Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000001174 ascending effect Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000011143 downstream manufacturing Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000002068 genetic effect Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000007637 random forest analysis Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Description
本発明は、概して、不正通信についての対処に関する。
3GPP(Third Generation Partnership Project)で定義される無線通信の一つとして、LTE(Long Term Evolution)通信がある。特許文献1は、コアネットワーク装置からデータを送信する通信回線の異常を検出し異常の検出された通信回線の通信可能容量を低減する防御装置を開示する。
特許文献1によれば、防御装置は、コアネットワーク装置よりサーバ側に配置されている。このため、コアネットワーク装置と基地局とを繋ぐ無線通信区間での不正通信を検知することができず、故に、当該不正通信に対処することはできない。
無線通信区間での不正通信を検知し対処するために防御装置を無線通信区間に配置することが考えられるが、無線通信区間における通信を常に防御装置がチェックするため無線通信が遅延するおそれがある。
この種の問題は、LTE通信以外の無線通信(例えば、5G(5th Generation)通信)についてもあり得る。
通信が不正通信か否かの判定である不正通信判定をパケットに基づき行う不正通信検知装置により検知された不正通信についての対処である不正通信対処を行う不正通信対処システムが構築される。当該システムは、ルーティング装置と、不正通信対処装置とを備える。ルーティング装置は、基地局とコアネットワーク装置とを繋ぐ通信区間である無線通信区間において無線通信プロトコルに従いパケットのルーティングを行う装置であり、ルーティング対象のパケットについてネットワークタップを行い、当該ネットワークタップされたパケットを不正通信検知装置に送信する。不正通信対処装置は、ネットワークタップされたパケットに基づく不正通信判定の結果が真となった通信である不正通信について、当該不正通信の制御のための情報である通信制御情報をルーティング装置及びコアネットワーク装置のうちの少なくとも一つに設定することを含む不正通信対処を行う。
本発明によれば、無線通信の遅延無しに無線通信区間における不正通信についての対処を行うことができる。
以下の説明では、「インターフェース装置」は、一つ以上のインターフェースデバイスでよい。当該一つ以上のインターフェースデバイスは、下記のうちの少なくとも一つでよい。
・一つ以上のI/O(Input/Output)インターフェースデバイス。I/O(Input/Output)インターフェースデバイスは、I/Oデバイスと遠隔の表示用計算機とのうちの少なくとも一つに対するインターフェースデバイスである。表示用計算機に対するI/Oインターフェースデバイスは、通信インターフェースデバイスでよい。少なくとも一つのI/Oデバイスは、ユーザインターフェースデバイス、例えば、キーボード及びポインティングデバイスのような入力デバイスと、表示デバイスのような出力デバイスとのうちのいずれでもよい。
・一つ以上の通信インターフェースデバイス。一つ以上の通信インターフェースデバイスは、一つ以上の同種の通信インターフェースデバイス(例えば一つ以上のNIC(Network Interface Card))であってもよいし二つ以上の異種の通信インターフェースデバイス(例えばNICとHBA(Host Bus Adapter))であってもよい。
・一つ以上のI/O(Input/Output)インターフェースデバイス。I/O(Input/Output)インターフェースデバイスは、I/Oデバイスと遠隔の表示用計算機とのうちの少なくとも一つに対するインターフェースデバイスである。表示用計算機に対するI/Oインターフェースデバイスは、通信インターフェースデバイスでよい。少なくとも一つのI/Oデバイスは、ユーザインターフェースデバイス、例えば、キーボード及びポインティングデバイスのような入力デバイスと、表示デバイスのような出力デバイスとのうちのいずれでもよい。
・一つ以上の通信インターフェースデバイス。一つ以上の通信インターフェースデバイスは、一つ以上の同種の通信インターフェースデバイス(例えば一つ以上のNIC(Network Interface Card))であってもよいし二つ以上の異種の通信インターフェースデバイス(例えばNICとHBA(Host Bus Adapter))であってもよい。
また、以下の説明では、「メモリ」は、一つ以上の記憶デバイスの一例である一つ以上のメモリデバイスであり、典型的には主記憶デバイスでよい。メモリにおける少なくとも一つのメモリデバイスは、揮発性メモリデバイスであってもよいし不揮発性メモリデバイスであってもよい。
また、以下の説明では、「永続記憶装置」は、一つ以上の記憶デバイスの一例である一つ以上の永続記憶デバイスでよい。永続記憶デバイスは、典型的には、不揮発性の記憶デバイス(例えば補助記憶デバイス)でよく、具体的には、例えば、HDD(Hard Disk Drive)、SSD(Solid State Drive)、NVME(Non-Volatile Memory Express)ドライブ、又は、SCM(Storage Class Memory)でよい。
また、以下の説明では、「記憶装置」は、メモリと永続記憶装置の少なくともメモリでよい。
また、以下の説明では、「プロセッサ」は、一つ以上のプロセッサデバイスでよい。少なくとも一つのプロセッサデバイスは、典型的には、CPU(Central Processing Unit)のようなマイクロプロセッサデバイスでよいが、GPU(Graphics Processing Unit)のような他種のプロセッサデバイスでもよい。少なくとも一つのプロセッサデバイスは、シングルコアでもよいしマルチコアでもよい。少なくとも一つのプロセッサデバイスは、プロセッサコアでもよい。少なくとも一つのプロセッサデバイスは、処理の一部又は全部を行うハードウェア記述言語によりゲートアレイの集合体である回路(例えばFPGA(Field-Programmable Gate Array)、CPLD(Complex Programmable Logic Device)又はASIC(Application Specific Integrated Circuit))といった広義のプロセッサデバイスでもよい。
また、以下の説明では、「xxxテーブル」といった表現にて、入力に対して出力が得られる情報を説明することがあるが、当該情報は、どのような構造のデータでもよいし(例えば、構造化データでもよいし非構造化データでもよいし)、入力に対する出力を発生するニューラルネットワーク、遺伝的アルゴリズムやランダムフォレストに代表されるような学習モデルでもよい。従って、「xxxテーブル」を「xxx情報」と言うことができる。また、以下の説明において、各テーブルの構成は一例であり、一つのテーブルは、二つ以上のテーブルに分割されてもよいし、二つ以上のテーブルの全部又は一部が一つのテーブルであってもよい。
また、以下の説明では、「yyy部」の表現にて機能を説明することがあるが、機能は、一つ以上のコンピュータプログラムがプロセッサによって実行されることで実現されてもよいし、一つ以上のハードウェア回路(例えばFPGA又はASIC)によって実現されてもよいし、それらの組合せによって実現されてもよい。プログラムがプロセッサによって実行されることで機能が実現される場合、定められた処理が、適宜に記憶装置及び/又はインターフェース装置等を用いながら行われるため、機能はプロセッサの少なくとも一部とされてもよい。機能を主語として説明された処理は、プロセッサあるいはそのプロセッサを有する装置が行う処理としてもよい。プログラムは、プログラムソースからインストールされてもよい。プログラムソースは、例えば、ネットワークで接続されたプログラム配付計算機又は計算機が読み取り可能な記録媒体(例えば非一時的な記録媒体)であってもよい。各機能の説明は一例であり、複数の機能が一つの機能にまとめられたり、一つの機能が複数の機能に分割されたりしてもよい。
また、以下の説明では、同種の要素を区別しないで説明する場合には、参照符号のうちの共通符号を使用し、同種の要素を区別する場合は、参照符号を使用することがある。
以下、幾つかの実施形態を説明する。なお、以下の説明では、下記が採用される。
・U-plane及びC-planeが必要とされる通信サービスとして、5Gを例に取る。しかし、本発明は、5G以外の通信、例えば、LTEにも適用可能である。
・「端末」は、UE(User Equipment)の一例であり、ユーザの情報処理端末(典型的にはモバイル端末)である。端末は、ユーザ又はその関係者が所有する又は貸与された情報処理端末でよい。ユーザの関係者は、例えば、ユーザの従業員又は顧客でよい。
・「サーバ」は、端末の通信相手の一例である。端末が別の端末の通信相手の一例となることもある。
・「U-plane」は、ユーザプレーンのことであり、具体的には、ユーザデータの転送を行う機能群(一つ以上の機能)である。以下の実施形態では、U-planeは、装置(例えば、一つ以上のデバイス)として実現されるが、装置における機能群でもよい。装置として実現されるU-planeは、「U-plane装置」と呼ばれてよい。
・「C-plane」は、制御プレーンのことであり、具体的には、端末の認証とセッション管理に関する制御とのうちの少なくとも一つを行う機能群(一つ以上の機能)である。C-planeが行う制御として、例えば、端末を接続するための認証に関する制御や、端末の移動に伴うハンドオーバに関する制御がある。以下の実施形態では、C-planeは、装置(例えば、一つ以上のデバイス)として実現されるが、装置における機能群でもよい。装置として実現されるC-planeは、「C-plane装置」と呼ばれてよい。
・U-plane及びC-planeが必要とされる通信サービスとして、5Gを例に取る。しかし、本発明は、5G以外の通信、例えば、LTEにも適用可能である。
・「端末」は、UE(User Equipment)の一例であり、ユーザの情報処理端末(典型的にはモバイル端末)である。端末は、ユーザ又はその関係者が所有する又は貸与された情報処理端末でよい。ユーザの関係者は、例えば、ユーザの従業員又は顧客でよい。
・「サーバ」は、端末の通信相手の一例である。端末が別の端末の通信相手の一例となることもある。
・「U-plane」は、ユーザプレーンのことであり、具体的には、ユーザデータの転送を行う機能群(一つ以上の機能)である。以下の実施形態では、U-planeは、装置(例えば、一つ以上のデバイス)として実現されるが、装置における機能群でもよい。装置として実現されるU-planeは、「U-plane装置」と呼ばれてよい。
・「C-plane」は、制御プレーンのことであり、具体的には、端末の認証とセッション管理に関する制御とのうちの少なくとも一つを行う機能群(一つ以上の機能)である。C-planeが行う制御として、例えば、端末を接続するための認証に関する制御や、端末の移動に伴うハンドオーバに関する制御がある。以下の実施形態では、C-planeは、装置(例えば、一つ以上のデバイス)として実現されるが、装置における機能群でもよい。装置として実現されるC-planeは、「C-plane装置」と呼ばれてよい。
図1は、実施形態に係るシステム全体の構成例を示す。
端末101とサーバ107間の通信において、パケットが、基地局(基地局には電波を送受するアンテナを含む)108、ルーティング装置102及びコアネットワーク装置109を経由する。コアネットワーク装置109は、C-plane装置105及びU-plane装置106のうち少なくとも一つ(例えば少なくともC-plane装置105)を含む。
基地局108とコアネットワーク装置109とを繋ぐ通信区間が、無線通信区間111(典型的にはMBH(Mobile Back Haul))である。無線通信区間111では、無線通信プロトコルに従う無線通信が行われる。具体的には、例えば、端末101は、SIM(Subscriber Identity Module)カード113を有しており、SIMカード113に記憶されているICCID(Integrated Circuit Card ID)を用いた無線通信を行う。SIMカード113は、拡張されたSIMカード(例えばUIM(User Identity Module)カード)でもよい。ICCIDは、無線通信に使用されるデバイスIDの一例でよい。ICCIDに代えて又は加えて、他種のデバイスID(例えば、IMSI(International Mobile Subscriber Identity))が採用されてよい。ここで言う「デバイスID」は、送信元及び宛先の各々について、装置それ自体又は装置が有する通信用デバイス(例えば、SIMカード113のようなICカード)を同定するためのIDでよい。
コアネットワーク装置109とサーバ107とを繋ぐ通信区間が、IP(Internet
Protocol)通信区間112である。IP通信区間112は、IPに従う通信が行われる通信区間である。コアネットワーク装置109は、例えば、EPC(Evolved Packet Core)装置である。
Protocol)通信区間112である。IP通信区間112は、IPに従う通信が行われる通信区間である。コアネットワーク装置109は、例えば、EPC(Evolved Packet Core)装置である。
端末101とサーバ107間の通信において、パケットは、無線通信区間111、コアネットワーク装置109及びIP通信区間112を経由する。端末101と端末101間の通信において、パケットは、無線通信区間111、コアネットワーク装置109及び無線通信区間111を経由する。これらの通信の経路において、適宜、スイッチ群150(一つ以上のスイッチ装置)をパケットが経由してよい。例えば、基地局108とルーティング装置102間の通信がスイッチ群150A経由で行われてもよいし、ルーティング装置102とコアネットワーク装置109間の通信がスイッチ群150B経由で行われてもよいし、C-plane装置105とU-plane装置106間の通信がスイッチ群150C経由で行われてもよい。スイッチ群150A~150Cが一つのスイッチ群であってもよい。
本実施形態に係る不正通信対処システムは、パケットに基づき通信が不正通信か否かの判定である不正通信判定を行う不正通信検知装置(以下、検知装置)103により検知された不正通信についての対処である不正通信対処を行う。当該システムは、ルーティング装置102と不正通信対処装置(以下、対処装置)104とを備える。
ルーティング装置102は、無線通信区間111において無線通信プロトコルに従いパケットのルーティング(トラフィックルーティング)を行う装置であり、例えば、MEC(Multi-access Edge Computing)装置である。ルーティング装置102は、ルーティング対象のパケットについてネットワークタップを行い、当該ネットワークタップされたパケットを検知装置103に送信する。
対処装置104は、ネットワークタップされたパケットに基づく不正通信判定の結果が真となった通信である不正通信(つまり、検知装置103により検知された不正通信)について、当該不正通信の制御のための情報である通信制御情報を、破線矢印で示すように、ルーティング装置102及びコアネットワーク装置109(具体的には、例えば、C-plane装置105)のうちの少なくとも一つに設定することを含む不正通信対処を行う。
検知装置103及び対処装置104は、端末101が送受信するパケットが経由する無線通信区間111から分岐した経路に存在する。無線通信区間111におけるルーティング装置102がネットワークタップを行うことで、無線通信区間111から分岐した経路に、ネットワークタップされたパケットが送信されて、不正通信の検知及び対処が行われる。このため、無線通信区間111における無線通信の遅延無しに無線通信区間111における不正通信についての対処を行うことができる。
また、ネットワークタップされて検知装置103に送信されるパケットは、ルーティング対象のパケットそれ自体(無線通信プロトコルに従うパケット)の複製でもよいが、本実施形態では、送信元及び宛先の各々のIPアドレスを表す情報を含んだIPヘッダを有するIPパケットである。具体的には、例えば、本実施形態において、「ネットワークタップ」は、無線通信プロトコルに従うルーティング対象のパケットをデカプセル化することでIPパケットを抽出し、抽出されたIPパケットを複製すること(又は、抽出されたルーティング対象のパケットを複製した後にデカプセル化を行うことで複製パケットからIPパケットを抽出すること)でよい。検知装置103の一例としてIDS(Intrusion Detection System)があるが、IDSは、一般的に、IPパケットを基に不正通信を検知するようになっており、無線通信プロトコルに従うパケットを分析することができるようにはなっていない。本実施形態において、ルーティング装置102によりネットワークタップされて検知装置103に送信されるパケットは、IPパケットである。このため、無線通信区間111における不正通信を一般的なIDSにより検知することの実現が期待される。
以下、図1に示された装置102~106の各々を詳細に説明する。
図2は、ルーティング装置102の構成例を示す。
ルーティング装置102は、インターフェース装置、記憶装置、及び、それらに接続されたプロセッサを有してよい。インターフェース装置の一例が、ダウンストリームIF203、MEC IF204、アップストリームIF205及び設定IF206である。記憶装置に格納される情報の一例が、フィルタリングルールテーブル201及びルーティングアクションテーブル202である。記憶装置に格納されプロセッサにより実行されるプログラムの一例が、ルーティング管理部207及びルーティング処理部208といった機能を実現するためのプログラムである。ルーティング管理部207及びルーティング処理部208の少なくとも一部が、ハードウェア回路により実現されてもよい。
IF203~206のうちのいずれも、一つ又は複数備えられてよい。IF203~206のうちのいずれも、例えばポートである。ダウンストリームIF203は、基地局108に接続されるIFである。アップストリームIF205は、コアネットワーク装置109に接続されるIFである。IF203及び205経由で、端末101とサーバ107間の通信が行われる。MEC IF204は、ネットワークタップされたIPパケットが出力されるIFであり、検知装置103に接続されるIFである。設定IF206は、テーブル201及び202の少なくとも一つに設定される情報が受け付けられるIFである。
フィルタリングルールテーブル201は、ルーティング処理部208が行うフィルタリングのルールを表すテーブルである。ルーティングアクションテーブル202は、ルーティング処理部208が行うルーティングアクションが規定されたテーブルである。
ルーティング管理部207が、ルーティング装置102を管理する。例えば、ルーティング管理部207は、設定IF206が受け付けた設定情報(テーブル201及び202の少なくとも一つに設定される情報)をテーブル201及び202の少なくとも一つに設定する。設定は、ルーティング処理部208経由又は非経由で行われてよい。
ルーティング処理部208は、フィルタリングルールテーブル201に基づきパケットのフィルタリングを行ったり、ルーティングアクションテーブル202に基づきパケットのルーティングを行ったりする。
図3は、検知装置103の構成例を示す。
検知装置103は、インターフェース装置、記憶装置、及び、それらに接続されたプロセッサを有してよい。インターフェース装置の一例が、受信IF302、アラート通知IF303及び設定IF304である。記憶装置に格納される情報の一例が、不正通信判定テーブル301である。記憶装置に格納されプロセッサにより実行されるプログラムの一例が、検知装置管理部305及び不正通信検知部306といった機能を実現するためのプログラムである。検知装置管理部305及び不正通信検知部306の少なくとも一部が、ハードウェア回路により実現されてもよい。
IF302~304のうちのいずれも、一つ又は複数備えられてよい。IF302~304のうちのいずれも、例えばポートである。受信IF302は、ルーティング装置102に接続されるIFであり、ネットワークタップされたパケットをルーティング装置102から受信するIFである。アラート通知IF303は、対処装置104に接続されるIFであり、不正通信検知部306により検知された不正通信についての情報であるアラート情報が出力されるIFである。設定IF304は、不正通信判定テーブル301に設定される情報が受け付けられるIFである。
不正通信判定テーブル301は、受信IF302で受信されたパケットに基づき行われる不正通信判定(通信が不正通信か否かの判定)に使用されるテーブルである。
検知装置管理部305が、検知装置103を管理する。例えば、検知装置管理部305は、設定IF304が受け付けた設定情報(テーブル301に設定される情報)をテーブル301に設定する。設定は、不正通信検知部306経由又は非経由で行われてよい。
不正通信検知部306は、不正通信判定テーブル301を用いて、受信IF302が受信したパケットに基づき不正通信判定を行い、不正通信判定の結果が真となった不正通信についてのアラート情報をアラート通知IF303経由で対処装置104に送信する。不正通信検知部306が行う処理は、後に詳述する。
図4は、対処装置104の構成例を示す。
対処装置104は、インターフェース装置、記憶装置、及び、それらに接続されたプロセッサを有してよい。インターフェース装置の一例が、アラート受信IF404、対処IF405、設定IF406及び管理IF407である。記憶装置に格納される情報の一例が、IP-SIMテーブル401、SIM-対処テーブル402及び対処内容テーブル403である。記憶装置に格納されプロセッサにより実行されるプログラムの一例が、対処装置管理部408及び不正通信対処部409といった機能を実現するためのプログラムである。対処装置管理部408及び不正通信対処部409の少なくとも一部が、ハードウェア回路により実現されてもよい。
IF404~407のうちのいずれも、一つ又は複数備えられてよい。IF404~407のうちのいずれも、例えばポートである。アラート受信IF404は、検知装置103に接続されるIFであり、アラート情報を検知装置103から受信するIFである。対処IF405は、コアネットワーク装置109(例えばC-plane装置105)及びルーティング装置102の少なくとも一つに接続されるIFであり、不正通信の制御のための情報である通信制御情報が出力されるIFである。設定IF406は、テーブル401~403の少なくとも一つに設定される情報が受け付けられるIFである。管理IF407は、管理画面(例えば、インシデントを表す情報が表示される画面)の提供に使用されるIFであり、例えば、図示しない管理者装置に接続される。図示しない管理者装置が、管理者の情報処理端末(例えば、パーソナルコンピュータ又はスマートフォン)でよい。管理者装置に、管理画面が表示されてよい。管理者装置が、装置102~106のうちの少なくとも一つに設定情報を送信してよい。
IP-SIMテーブル401は、IPアドレスとSIM(ICCID)との関係を表すテーブルである。SIM-対処テーブル402は、SIM(ICCID)と不正通信対処との関係を表すテーブルである。対処内容テーブル403は、不正通信対処の内容を表すテーブルである。
対処装置管理部408が、対処装置104を管理する。例えば、対処装置管理部408は、設定IF406が受け付けた設定情報(テーブル401~403の少なくとも一つに設定される情報)をテーブル401~403の少なくとも一つに設定する。設定は、不正通信対処部409経由又は非経由で行われてよい。
不正通信対処部409は、アラート受信IF404が受信したアラート情報と、テーブル401~403とを基に、不正通信対処の内容を判定し、判定された内容の不正通信対処のための通信制御情報を対処IF405経由でコアネットワーク装置109及びルーティング装置102の少なくとも一つに設定する。不正通信対処部409が行う処理は、後に詳述する。
図5は、C-plane装置105の構成例を示す。
C-plane装置105、インターフェース装置、記憶装置、及び、それらに接続されたプロセッサを有してよい。インターフェース装置の一例が、C-plane信号IF502、U-plane操作IF503及び設定IF504である。記憶装置に格納される情報の一例が、SIM状態テーブル501である。記憶装置に格納されプロセッサにより実行されるプログラムの一例が、C-plane管理部505及びC-Planeパケット処理部506といった機能を実現するためのプログラムである。C-plane管理部505及びC-Planeパケット処理部506の少なくとも一部が、ハードウェア回路により実現されてもよい。
IF502~504のうちのいずれも、一つ又は複数備えられてよい。IF502~504のうちのいずれも、例えばポートである。C-plane信号IF502は、C-plane信号による制御対象の装置に接続されるIFであり、C-plane信号が出力されるIFである。U-plane操作IF503は、U-plane装置106に接続されるIFであり、U-plane操作のための信号が出力されるIFである。設定IF504は、SIM状態テーブル501に設定される情報が受け付けられるIFであり、例えば対処装置104に接続されるIFである。
SIM状態テーブル501は、ICCID毎にSIMの状態を表すテーブルである。
C-plane管理部505が、C-plane装置105を管理する。例えば、C-plane管理部505は、設定IF504が受け付けた設定情報(例えば通信制御情報)をSIM状態テーブル501に設定する。
C-Planeパケット処理部506は、無線通信区間111を経由するパケットの送受信を、SIM状態テーブル501に基づき制御する。C-Planeパケット処理部506は、通信制御情報に基づきデバイスID単位で通信を制御する機能の一例である。
図6は、U-plane装置106の構成例を示す。
U-plane装置106は、インターフェース装置、記憶装置、及び、それらに接続されたプロセッサを有してよい。インターフェース装置の一例が、モバイルIF601、LAN IF602及び設定IF603である。記憶装置に格納される情報の一例が、処理テーブル605である。記憶装置に格納されプロセッサにより実行されるプログラムの一例が、U-plane管理部606及びU-planeパケット処理部604といった機能を実現するためのプログラムである。U-plane管理部606及びU-planeパケット処理部604の少なくとも一部が、ハードウェア回路により実現されてもよい。
IF601~603のうちのいずれも、一つ又は複数備えられてよい。IF601~603のうちのいずれも、例えばポートである。モバイルIF601は、基地局108に接続され、無線通信プロトコルに従うパケットフォーマットのパケットを基地局108との間で送受信する。LAN IF602は、基地局108との間で送受信されるパケットに基づくIPパケットを送受信する。設定IF603は、処理テーブル605に設定される情報が受け付けられるIFである。
処理テーブル605は、U-plane装置106が送受信するパケットの処理のために参照されるテーブルである。サーバ107へのパケットの送信が「上り通信」であり、サーバ107からのパケットの送信が「下り通信」である。処理テーブル605としては、上り通信の処理のための上り処理テーブルと、下り通信の処理のための下り処理テーブルとがある。
U-plane管理部606が、U-plane装置106を管理する。例えば、U-plane管理部606は、設定IF603が受け付けた設定情報を処理テーブル605に設定する。設定は、U-planeパケット処理部604経由又は非経由で行われてよい。
U-planeパケット処理部604は、モバイルIF601又はLAN IF602経由でパケットを受信し、受信したパケットを、処理テーブル605に基づき処理する。具体的には、U-planeパケット処理部604が、処理テーブル605を基に、無線通信区間111経由でモバイルIF601が受信したパケットに基づくIPパケットをLAN IF602からIP通信区間112経由でサーバ107へ送信したり、IP通信区間112経由でLAN IF602が受信したIPパケットに基づくパケットをモバイルIF601から無線通信区間111経由で端末101へ送信したりする。
図7は、対処装置104から提供される管理画面700の一例を示す。
管理画面700は、UI(User Interface)の一例であり、例えばGUI(Graphical
User Interface)である。管理画面700の提供は、不正通信対処の実施の少なくとも一部に該当してもよい。管理画面700は、図7に例示のように、インシデント(例えば、不正通信の検知)を表すインシデント情報710を表示した画面である。インシデント情報710は、例えば、インシデント毎に、インシデント通知日時(インシデントが通知された日時)を表す情報711、インシデント内容(インシデントの詳細)を表す情報712、及び、自動対処済み(不正通信対処が既に自動で行われた)か否かを表す情報713を含んでよい。自動対処済みのインシデントについては、情報713は、不正通信対処に対応した対処IDを表してよい。
User Interface)である。管理画面700の提供は、不正通信対処の実施の少なくとも一部に該当してもよい。管理画面700は、図7に例示のように、インシデント(例えば、不正通信の検知)を表すインシデント情報710を表示した画面である。インシデント情報710は、例えば、インシデント毎に、インシデント通知日時(インシデントが通知された日時)を表す情報711、インシデント内容(インシデントの詳細)を表す情報712、及び、自動対処済み(不正通信対処が既に自動で行われた)か否かを表す情報713を含んでよい。自動対処済みのインシデントについては、情報713は、不正通信対処に対応した対処IDを表してよい。
なお、不正通信対処部409が、当該対処IDをキーとした問合せを管理画面700経由で受け付けてもよい。不正通信対処部409は、当該問合せを受け付けた場合、当該対処IDに対応した対処内容を対処内容テーブル403から特定し、特定された対処内容を表す情報を管理画面700(又は別のUI)経由で管理者に提供してよい。
また、管理画面700は、インシデントの通知のためのUIの一例であることに代えて又は加えて、不正通信対処の実施の許否の問合せと当該実施の承認の受付けとのためのUIの一例でもよい。不正通信対処の実施の承認が受け付けられた場合に、承認された不正通信対処が実施されてよい。不正通信対処の実施の許否の問合せと当該実施の承認の受付けも、不正通信対処の実施の一部でもよい。
また、インシデント内容を表す情報712は、事前に用意した文章変換ルールに従ってインシデント内容や対処内容が文章化されたものでもよいし、手動入力された対処内容を表す情報でもよい。
以下、各種テーブルを説明する。なお、本実施形態において、異なる組織(例えば、異なる企業、異なる部署)又は異なる管理権限の管理者が存在する場合、少なくとも一つのテーブルについて、テーブルのうち管理権限がある部分にのみ閲覧又は更新といったアクセスが可能なアクセス制御が設定されてもよい。
図8は、フィルタリングルールテーブル201の構成例を示す。
フィルタリングルールテーブル201は、フィルタリングルール毎にレコードを有する。各レコードが、基地局IPアドレス801、MBH QCI802、送信元IPアドレス803、送信元ポート番号804、宛先IPアドレス805、宛先ポート番号806、プロトコル807及びルーティングアクションID808といった情報を有する。一つのフィルタリングルールを例に取る(図8の説明において「対象ルーティングアクション」)。なお、例えば、レコードは、フィルタリングルールの優先順位の昇順(又は降順)でよい。
基地局IPアドレス801は、対象フィルタリングルールが採用されるパケットが送受信される基地局108のIPアドレスを表す。MBH QCI802は、対象フィルタリングルールが採用されるパケットで指定されているMBH QCI(無線通信区間111であるMBHでのパケットで指定されているQCI(QoS Class Identifier))を表す。
送信元IPアドレス803、送信元ポート番号804、宛先IPアドレス805、宛先ポート番号806は、対象フィルタリングルールが採用されるパケット内のIPヘッダに記述されている送信元IPアドレス、送信元ポート番号、宛先IPアドレス及び宛先ポート番号を表す。プロトコル807は、対象ルーティングアクションが採用されるパケットについてIPパケットの通信に使用されるプロトコルを表す。
ルーティングアクションID808は、対象フィルタリングルールが採用されるパケットのルーティングアクションのIDを表す。
情報801~807の各々について、“Any”は、いずれの値でもよいことを意味する。
図9は、ルーティングアクションテーブル202の構成例を示す。
ルーティングアクションテーブル202は、ルーティングアクション毎にレコードを有する。各レコードが、ルーティングアクションID901、アクション902及び送出先IF903といった情報を有する。一つのルーティングアクションを例に取る(図8の説明において「対象ルーティングアクション」)。
ルーティングアクションID901は、対象ルーティングアクションのIDを表す。アクション902は、対象ルーティングアクションの内容を表す。送出先IF903は、対象ルーティングアクションに従うパケットの送出先のIFを表す。
図8及び図9に例示のテーブル201及び202によれば、例えば下記の通りである。
・フィルタリングルールテーブル201の1番目のレコードに該当する通信におけるパケットは、“RA000”以外のルーティングアクションID808が無いため、ルーティング装置102を単に通過する。
・フィルタリングルールテーブル201の2番目のレコードに該当する通信におけるパケットは、ルーティングアクションID808が“RA999”及び“RA001”であるため、ルーティング装置102を通過できず遮断され、且つ、ネットワークタップされる。
・フィルタリングルールテーブル201の3番目のレコードに該当する通信におけるパケットは、ルーティングアクションID808が“RA000”及び“RA001”であるため、ルーティング装置102を通過し、且つ、ネットワークタップされる。
・フィルタリングルールテーブル201の1番目のレコードに該当する通信におけるパケットは、“RA000”以外のルーティングアクションID808が無いため、ルーティング装置102を単に通過する。
・フィルタリングルールテーブル201の2番目のレコードに該当する通信におけるパケットは、ルーティングアクションID808が“RA999”及び“RA001”であるため、ルーティング装置102を通過できず遮断され、且つ、ネットワークタップされる。
・フィルタリングルールテーブル201の3番目のレコードに該当する通信におけるパケットは、ルーティングアクションID808が“RA000”及び“RA001”であるため、ルーティング装置102を通過し、且つ、ネットワークタップされる。
送信元IPアドレス及び宛先IPアドレスのセットは、送信元と宛先のペアの単位での通信を定義する。送信元IPアドレス及び宛先IPアドレスの他に送信元ポート番号、宛先ポート番号及びプロトコルを含んだセットは、送信元と宛先のペアの単位での通信におけるIPフローを定義する。本実施形態では、送信元と宛先のペアの単位での不正通信も、IPフロー単位での不正通信も、検知及び対処することができる。
また、ネットワークタップされるパケットは、通信が上り通信であるか下り通信であるかに関わらずルーティング装置102が受信した全てのパケットでもよいが、図8及び図9が示す例によれば、ネットワークタップされるパケットは、ルーティング対象のパケットが有するIPパケットのうち、所定の条件を満たす情報を含んだIPヘッダを有するIPパケットでよい。「所定の条件を満たす情報を含んだIPヘッダ」としては、例えば、フィルタリングルールにおいて指定されたIPアドレス及びポート番号に適合しているIPアドレス及びポート番号を含んだIPヘッダでよい。これにより、検知装置103に送信されるパケットの量が削減されるので、検知装置103が分析するパケットの量が削減され、以って、検知装置103の処理負荷を軽減することができる。また、契約等により分析対象外とすべきIPパケットの分析を避けることも期待できる。
図10は、不正通信判定テーブル301Aの構成例を示す。図20は、不正通信判定テーブル301Bの構成例を示す。
上述したように、本実施形態では、送信元と宛先のペアの単位での不正通信も、IPフロー単位での不正通信も、検知及び対処することができる。不正通信判定テーブル301Aは、送信元と宛先のペアの単位での特定された通信が不正通信であるか否かの判定に使用されるテーブルであり、不正通信判定テーブル301Bは、特定されたIPフローが不正通信であるか否かの判定に使用されるテーブルである。なお、不正通信判定テーブル301Bの方が詳細なテーブルであるため、不正通信判定テーブル301Bがある場合、不正通信判定テーブル301Aは無くてもよい。
不正通信判定テーブル301Aは、図10に示すように、送信元と宛先のペア毎にレコードを有する。各レコードが、送信元IPアドレス1001、宛先IPアドレス1002、通信量1003、パケット数1004、パケットサイズ1005及び無通信時間1006といった情報を有する。一つのペアを例に取る(図10の説明において「対象ペア」)。
送信元IPアドレス1001及び宛先IPアドレス1002は、対象ペアを構成する送信元と宛先のIPアドレスを表す。
情報1003~1006は、対象ペアの通信が不正通信であることの条件又は当該条件の基の一例である。通信量1003は、対象ペアの通信の通信量を表す。パケット数1004は、対象ペアの通信におけるパケットの数を表す。パケットサイズ1005は、対象ペアの通信におけるパケットのサイズを表す。無通信時間1006は、対象ペアの通信がされていない継続時間長を表す。
不正通信判定テーブル301Bは、図20に示すように、IPフロー毎にレコードを有する。各レコードが、図10に示した情報1001~1006の他に、送信元ポート番号2011、宛先ポート番号2012及びプロトコル2013といった情報を有する。送信元ポート番号2011、宛先ポート番号2012及びプロトコル2013は、IPフローの定義の要素である送信元ポート番号、宛先ポート番号及びプロトコルを表す。
送信元と宛先のペアの通信が不正通信であると判定される条件は、予め定義されていてよい。例えば、送信元と宛先のペアがテーブル301A及び301Bのいずれからも特定されない場合、当該ペアの通信は不正通信と判定されてよい。送信元と宛先のペアがテーブル301A及び301Bのいずれかから特定される場合、当該ペア(又は、当該ペアを含むIPフロー)の通信の振舞い(例えば、一定時間における通信量、パケット数、パケットサイズの平均及び無通信時間)と、当該ペア(又は当該IPフロー)に対応した情報1003~1006が表す状況との差が一定量以下か否かでもよし、当該ペア(又は当該IPフロー)の通信の振舞いが、当該ペアに対応した情報1003~1006の少なくとも一部を超えているか(又は下回っているか)否かでもよい。
図11は、IP-SIMテーブル401の構成例を示す。
IP-SIMテーブル401は、装置(SIMカード)毎に、レコードを有する。各レコードは、IPアドレス1101及びICCID1102といった情報を有する。一つの装置を例に取る(図11の説明において「対象装置」)。
IPアドレス1101は、対象装置のIPアドレスを表す。“Other”は、テーブル401に記述されているIPアドレス以外のいずれのIPアドレスでもよいことを意味する。本実施形態では、一つ以上のサーバ107のいずれのサーバ107についても、当該サーバ107のIPアドレスは“Other”に該当し、当該サーバ107のICCIDとして“サーバ”が設定されている。サーバ107毎に、IPアドレスとICCIDのペアが定義されていてもよい。また、本実施形態では、IP-SIMテーブル401の通り、IPアドレスとICCIDとの関係が動的に変更されず固定でよい。
図12は、SIM-対処テーブル402Aの構成例を示す。図21は、SIM-対処テーブル402Bの構成例を示す。
SIM-対処テーブル402Aは、送信元と宛先のペアの単位での検知された不正通信の対処内容の判定に使用されるテーブルであり、SIM-対処テーブル402Bは、検知された不正通信としてのIPフローの対処内容の判定に使用されるテーブルである。なお、SIM-対処テーブル402Bの方が詳細なテーブルであるため、SIM-対処テーブル402Bがある場合、SIM-対処テーブル402Aは無くてもよい。
SIM-対処テーブル402Aは、図12に示すように、送信元と宛先のペア毎にレコードを有する。各レコードが、送信元ICCID1201、宛先ICCID1202及び対処ID1203といった情報を有する。一つのペアを例に取る(図12の説明において「対象ペア」)。
送信元ICCID1201及び宛先ICCID1202は、対象ペアを構成する送信元と宛先のICCIDを表す。対処IDは、対象ペアに対応した対処IDを表す。
SIM-対処テーブル402Bは、図21に示すように、IPフロー毎にレコードを有する。各レコードが、図12に示した情報1201~1203の他に、送信元ポート番号2311、宛先ポート番号2312及びプロトコル2313といった情報を有する。送信元ポート番号2311、宛先ポート番号2312及びプロトコル2313は、IPフローの定義の要素である送信元ポート番号、宛先ポート番号及びプロトコルを表す。
図13は、対処内容テーブル403の構成例を示す。
対処内容テーブル403は、不正通信対処毎にレコードを有する。各レコードは、対処ID1301、アプリケーション種別1302及び対処内容1303といった情報を有する。以下、一つの不正通信対処を例に取る(図13の説明において「対象対処」)。
対処ID1301は、対象対処の対処IDを表す。アプリケーション種別1302は、ユーザの業務遂行に対する該当の通信の重要性(言い換えれば、該当の通信を維持する優先度)を表す。対処内容1303は、対象対処の内容(詳細)を表す。
図13が示す例によれば、対処内容は、SIMカード113の無効化、又は、IPフローの遮断を含む。SIMカード113の無効化が、送信元と宛先のペア単位での通信の遮断の一例である。遮断に代えて、帯域制限が採用されてもよい。対処内容は、管理者に不正通信対処の内容(及び当該内容の実施)の許否の問合せを含んでもよい。すなわち、不正通信対処は、例えば、下記(a)乃至(f)のうちの少なくとも一つでよい。このため、送信元と宛先のペア単位での通信と、当該通信の一部としてのIPフローのいずれについても、不正と検知された場合に適切な対処が期待できる。
(a)検知された不正通信の送信元及び宛先の少なくとも一つについて、コアネットワーク装置109(例えばC-plane装置105)に、IPアドレスに対応したICCIDに関し無効化又は帯域制限を意味する通信制御情報を設定すること。
(b)(a)を行ったことの通知を、例えば管理者が使用する管理者装置に送信すること。
(c)(a)を行うことの許否の問合せを行い、当該問合せに応答して許可を受けた場合に、(a)を行うこと。
(d)検知された不正通信の送信元及び宛先の少なくとも一つについて、ルーティング装置102に、IPフローの遮断又は帯域制限を意味する通信制御情報を設定すること。
(e)(d)を行ったことの通知を、例えば管理者が使用する管理者装置に送信すること。
(f)(d)を行うことの許否の問合せを行い、当該問合せに応答して許可を受けた場合に、(d)を行うこと。
(a)検知された不正通信の送信元及び宛先の少なくとも一つについて、コアネットワーク装置109(例えばC-plane装置105)に、IPアドレスに対応したICCIDに関し無効化又は帯域制限を意味する通信制御情報を設定すること。
(b)(a)を行ったことの通知を、例えば管理者が使用する管理者装置に送信すること。
(c)(a)を行うことの許否の問合せを行い、当該問合せに応答して許可を受けた場合に、(a)を行うこと。
(d)検知された不正通信の送信元及び宛先の少なくとも一つについて、ルーティング装置102に、IPフローの遮断又は帯域制限を意味する通信制御情報を設定すること。
(e)(d)を行ったことの通知を、例えば管理者が使用する管理者装置に送信すること。
(f)(d)を行うことの許否の問合せを行い、当該問合せに応答して許可を受けた場合に、(d)を行うこと。
図14は、SIM状態テーブル501の構成例を示す。
SIM状態テーブル501は、送信元及び宛先のいずれかとなり得る装置(例えばSIMカード113)毎にレコードを有する。各レコードは、ICCID401及び状態1402といった情報を有する。ICCID1401は、装置(SIMカード113)のICCIDを表す(“サーバ”という値が採用されてもよい)。状態1402は、装置の状態(例えば、“有効”又は“無効”)を表す。状態1402“無効”は、送信元及び宛先のペア単位の通信の通信制御情報の一例であり、当該状態に対応した装置の通信が遮断されることを意味する。
図15は、上り処理テーブル605Uの構成例を示す。
上り処理テーブル605Uは、U-plane装置106における処理テーブル605の一つであり、上り通信の処理のためのテーブルである。上り処理テーブル605Uは、端末101毎にレコードを有する。各レコードは、ICCID1501、M-ID1502、APN1503及びQCI1504といった情報を有する。一つの端末101を例に取る(図15の説明において「対象端末101」)。
ICCID1501は、対象端末101のSIMカード113のIDを表す。M-ID1502は、対象端末101のID(例えば、IPアドレスやシステム内でデバイスを一意に識別するためのID)を表す。APN1503は、対象端末101の通信で指定されるAPN(Access Point Name)を表す。
図16は、下り処理テーブル605Dの構成例を示す。
下り処理テーブル605Dは、U-plane装置106における処理テーブル605の一つであり、下り通信の処理のためのテーブルである。下り処理テーブル605Dは、端末101毎にレコードを有する。各レコードは、ICCID1601、M-ID1602及びAPN1603といった情報を有する。情報1601~1603は、図15を参照して説明した情報1501~1503と同様である。
以下、本実施形態で行われる処理の例を説明する。
図17は、不正通信の検知及び対処の第1のケースの流れの例を示す。第1のケースは、送信元と宛先のペア単位の通信についての不正通信検知及び対処のケースである。
或る端末101にマルウェアが侵入し、当該マルウェアが侵入した端末101から、或るサーバ107を攻撃対象とした不正な通信が行われたとする(S1701)。
ルーティング装置102において、ルーティング処理部208が、当該通信におけるパケットが、フィルタリングルールテーブル201のいずれかのレコードが表すフィルタリングルール(情報801~807)に該当するか否かを判定する。
ここで、当該パケットから特定される送信元IPアドレス及び宛先IPアドレスを含んだ通信セットが、ルーティングアクションID808“RA001”(ネットワークタップ)に該当しているために、当該パケットがネットワークタップされ、ネットワークタップされたIPパケットが検知装置103に送信される(S1702)。ここで言う「通信セット」を、図17~図19を参照した説明において「対象通信セット」と言う。
検知装置103において、不正通信検知部306が、ネットワークタップされたIPパケットをルーティング装置102から受信する都度に、当該IPパケットを分析し(S1703)、分析結果を表す情報を記憶装置に格納する。不正通信検知部306は、対象通信セットについての当該分析結果(又は、対象通信セットについての一定時間におけるIPパケットの分析結果の統計)を基に、対象通信セットについての通信が不正通信であると不正通信判定テーブル301A(図10参照)を基に検知された場合、検知された不正通信についての情報を表すアラート情報を、対処装置104に送信する(S1704)。
対処装置104において、不正通信対処部409が、アラート情報と、テーブル401、402A(図12参照)及び403とを基に対処内容を特定する(S1705)。特定された対処内容によって、不正通信対処部409は、通信制御情報(該当するICCIDに対応したSIMカード113の無効化)の設定をコアネットワーク装置109(C-plane装置105)に対して行ったり(S1706)、管理画面700経由でインシデント情報を通知したりする(S1707)。なお、S1706の設定は、S1707で通知された情報を見た管理者からの手動操作に応答して行われてもよい。
図18は、第1のケースにおける不正通信検知部306の処理流れの例を示す。この処理は、図17に示したS1703及びS1704を含む。
不正通信検知部306が、ネットワークタップされたパケットを受信し(S1801)、受信したパケットを分析することで、送信元IPアドレス及び宛先IPアドレスを表す情報を含む通信セットを特定する(S1802)。通信セットは、送信元ポート番号、宛先ポート番号及びプロトコルを表す情報を更に含んでもよい。
不正通信検知部306が、S1802で特定された通信セット中の送信元IPアドレス及び宛先IPアドレスのペアと一致するペアを表す情報が不正通信判定テーブル301A(又は301B)に存在するか否かを判定する(S1803)。S1803の判定結果が偽の場合(S1803:NO)、不正通信検知部306が、S1802で特定された通信セットを「不正な通信セット」と判定する(S1804)。
S1803の判定結果が真の場合(S1803:YES)、不正通信検知部306が、当該通信セットについて一定時間に行われたパケット分析結果を基に当該通信セットについて通信の振舞い(通信量、パケット数、パケットサイズ及び無通信時間)を特定する(S1805)。不正通信検知部306が、不正通信判定テーブル301A(又は301B)のうちの、S1802で特定された通信セットに対応したレコードを基に、S1805で特定された通信の振舞いが適正範囲か否かを判定する(S1806)。「通信の振舞いが適正範囲」とは、当該レコードが表す情報1003~1006に基づく、不正通信としての振舞いに該当しないことを意味する。S1806の判定結果が真の場合(S1806:YES)(すなわち、S1805で特定された通信の振舞いが不正通信としての振舞いに該当しない場合)、処理が終了する。
S1806の判定結果が偽の場合(S1806:NO)(すなわち、S1805で特定された通信の振舞いが不正通信としての振舞いに該当した場合)、不正通信検知部306が、S1802で特定された通信セットを「不正な振舞いの通信セット」と判定する(S1807)。
S1804又はS1807が行われた場合、不正通信検知部306が、S1802で特定された通信セットについて、「不正な通信セット」又は「不正な振舞いの通信セット」に対応した不正通信についてのアラート情報を送信する(S1808)。第1のケースは、送信元と宛先のペア単位の通信についての不正通信検知であるため、アラート情報は、送信元及び宛先のペアの各々のIPアドレス(S1801で受信されたパケットの分析により特定されたIPアドレス)を表す情報と、検知された不正通信(例えば、「不正な通信セット」又は「不正な振舞いの通信セット」)を含む。
図19は、第1のケースにおける不正通信対処部409の処理流れの例を示す。この処理は、図17に示したS1705~S1707を含む。
不正通信対処部409が、アラート情報を検知装置103から受信する(S1901)。不正通信対処部409が、送信元及び宛先の各々について、S1901で受信されたアラート情報からIPアドレスを特定し、当該IPアドレスに対応したICCIDをIP-SIMテーブル401から特定する(S1902)。不正通信対処部409が、送信元と宛先のICCID(S1902で特定されたICCID)のペアに対応した対処IDを、SIM-対処テーブル402Aから特定する(S1903)。不正通信対処部409が、S1903で特定された対処IDに対応した対処内容1303を、対処内容テーブル403から特定する(S1904)。
S1904で特定された対処内容1303が、SIMの無効化(例えば、「送信元SIM及び宛先SIMの無効化」)を含んでいる場合(S1905:YES)、不正通信対処部409が、S1902で特定されたICCIDに対応した状態1402“無効”を、C-plane装置105のSIM状態テーブル501に設定する(S1906)。
S1904で特定された対処内容1303が、インシデント通知(例えば、「管理画面にインシデント通知」)を含んでいる場合(S1907:YES)、不正通信対処部409が、インシデント(例えば、検知された不正通信と、実施された不正通信対処の内容)を表す情報を管理画面700通じて通知する(S1908)。
図17~図19が示した例によれば、不正通信対処部409は、IP-SIMテーブル401を基に、アラート情報が表す送信元IPアドレス及び宛先IPアドレスの両方(又は一方)について、IPアドレスに対応したICCID1102を特定する。不正通信対処は、特定されたICCIDから同定される装置の通信の制御のための情報である通信制御情報を、ルーティング装置102及びコアネットワーク装置109のうちの少なくとも一つに設定することを含む。これにより、装置(例えばSIMカード113)単位、装置と装置とのペアの単位、及び、当該装置と装置とのペアでのIPフローの単位といった異なる単位のうちの任意の単位で不正通信に対する対処を行うことができる。例えば、不正通信対処部409は、検知された不正通信の送信元及び宛先の少なくとも一つについて、IPアドレスに対応したICCIDの状態1402“無効”を、C-plane装置105のSIM状態テーブル501に設定する。これにより、装置単位、又は、装置と装置とペアの単位での不正通信対処がされる。なお、常にIPフローの単位で不正通信の検知及び対処する必要がある場合(すなわち、コアネットワーク装置109に対する通信制御情報の設定が不要な場合)、不正通信対処のためにアラート情報から特定される送信元IPアドレス及び宛先IPアドレスをICCIDに変換することは行われないでもよい。
図22は、不正通信の検知及び対処の第2のケースの流れの例を示す。第2のケースは、IPフローとしての通信についての不正通信検知及び対処のケースである。
或る端末101にマルウェアが侵入し、当該マルウェアが侵入した端末101から、或るサーバ107を攻撃対象とした不正な通信が行われたとする(S2201)。
ルーティング装置102において、ルーティング処理部208が、当該通信におけるパケットが、フィルタリングルールテーブル201のいずれかのレコードが表すフィルタリングルール(情報801~807)に該当するか否かを判定する。
ここで、当該パケットから特定される送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号及びプロトコルを含んだ通信セットが、ルーティングアクションID808“RA001”(ネットワークタップ)に該当しているために、当該パケットがネットワークタップされ、ネットワークタップされたIPパケットが検知装置103に送信される(S2202)。ここで言う「通信セット」を、図22及び図23を参照した説明において「対象通信セット」と言う。
検知装置103において、不正通信検知部306が、ネットワークタップされたIPパケットをルーティング装置102から受信する都度に、当該IPパケットを分析し(S2203)、分析結果を表す情報を記憶装置に格納する。不正通信検知部306は、対象通信セットについての当該分析結果(又は、対象通信セットについての一定時間におけるIPパケットの分析結果の統計)を基に、対象通信セットについてのIPフローが不正通信であると不正通信判定テーブル301B(図20参照)を基に検知された場合、検知された不正通信についての情報を表すアラート情報を、対処装置104に送信する(S2204)。
対処装置104において、不正通信対処部409が、アラート情報と、テーブル401、402B(図21参照)及び403とを基に対処内容を特定する(S2205)。特定された対処内容によって、不正通信対処部409は、通信制御情報(該当するIPフローの遮断)の設定をルーティング装置102に対して行ったり(S2206)、管理画面700経由でインシデント情報を通知したりする(S2207)。なお、S2206の設定は、S2207で通知された情報を見た管理者からの手動操作に応答して行われてもよい。
第2のケースにおける不正通信検知部306の処理流れの例は、図18に示した例と同様でよい。第2のケースでの処理の例は、S2203及びS2204を含む。S1802で特定される通信セットは、送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号及びプロトコルを含んだ通信セットであり、IPフローを表す。
図23は、第2のケースにおける不正通信対処部409の処理流れの例を示す。この処理は、図22に示したS2205~S2207を含む。
S1901~S1904と同様の処理が行われる(S2301~S2304)。アラート情報は、検知された不正通信としてのIPフロー(送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号及びプロトコル)を表す情報を含んでいる。
S2304で特定された対処内容1303が、「IPフローの遮断」を含んでいる場合(S2305:YES)、不正通信対処部409が、S2302で特定されたICCIDに対応したIPアドレス(送信元及び宛先の各々について)を含むフィルタリングルールをフィルタリングルールテーブル201から特定する(S2306)。不正通信対処部409が、S2306で特定されたフィルタリングルールに対応したルーティングアクションID808から“RA001”(ネットワークタップ)以外を削除する(S2307)。不正通信対処部409が、S2306で特定されたフィルタリングルールに対応したルーティングアクションID808に“RA999”(遮断)を追加する(S2308)。
S2304で特定された対処内容1303が、インシデント通知(例えば、「管理画面にインシデント通知」)を含んでいる場合(S2309:YES)、不正通信対処部409が、インシデント(例えば、検知された不正通信と、実施された不正通信対処の内容)を表す情報を管理画面700通じて通知する(S2310)。
図17~図23(特に図22及び図23が示した例)によれば、不正通信対処部409は、検知された不正通信の送信元及び宛先の両方(又は一方)について、IPフローの通信制御情報の一例として、当該IPフローが該当するフィルタリングルールに対応したルーティングアクションID808として“RA999”(遮断)を、ルーティング装置102のフィルタリングルールテーブル201に設定する。これにより、IPフロー単位の不正通信対処が実現される。
また、不正通信対処部409は、送信元と宛先の一方又は両方である通信単位毎にどのような不正通信対処を行うかを表す対処内容を表す情報である対処管理情報(例えば、図11~図13に示したテーブル401~403)を基に、検知された不正通信の送信元及び宛先(例えば、アラート情報から特定された送信元及び宛先)の少なくとも一つについて対処内容を判定し、当該判定された対処内容に従う不正通信対処を行う。これにより、検知された不正通信の内容(例えば特性又は種類)に適した不正通信対処が期待できる。具体的には、例えば、下記の対処がされる。つまり、検知された不正通信が送信元及び宛先のペア単位であるかIPフロー単位であるかに応じた適切な対処(対処先の決定、及び、対処として設定される情報の決定)が期待できる。
・判定された対処内容1303が、SIM単位の通信制御を含む場合、不正通信対処部409は、不正通信の送信元及び宛先の少なくとも一つについて、IPアドレスに対応したICCIDについての通信制御情報をC-plane装置105に設定する。一方、例えば、
・判定された対処内容1303が、IPフロー単位の通信制御の場合、不正通信対処部409は、不正通信の送信元及び宛先の少なくとも一つについて、IPフローについての通信制御情報を、ルーティング装置102に設定する。
・判定された対処内容1303が、SIM単位の通信制御を含む場合、不正通信対処部409は、不正通信の送信元及び宛先の少なくとも一つについて、IPアドレスに対応したICCIDについての通信制御情報をC-plane装置105に設定する。一方、例えば、
・判定された対処内容1303が、IPフロー単位の通信制御の場合、不正通信対処部409は、不正通信の送信元及び宛先の少なくとも一つについて、IPフローについての通信制御情報を、ルーティング装置102に設定する。
以上、一実施形態を説明したが、これは本発明の説明のための例示であって、本発明の範囲をこの実施形態にのみ限定する趣旨ではない。本発明は、他の種々の形態でも実行することが可能である。例えば、本発明は、送信元と宛先のペアの単位での不正通信と、IPフロー単位での不正通信と両方を対処可能なシステムに限らず、それらのうちの一方の不正通信のみを対処するシステムにも適用可能である。
102…ルーティング装置 103…不正通信検知装置 104…不正通信対処装置
Claims (11)
- 通信が不正通信か否かの判定である不正通信判定をパケットに基づき行う不正通信検知装置により検知された不正通信についての対処である不正通信対処を行う不正通信対処システムであって、
基地局とコアネットワーク装置とを繋ぐ通信区間である無線通信区間において無線通信プロトコルに従いパケットのルーティングを行う装置であり、ルーティング対象のパケットについてネットワークタップを行い、当該ネットワークタップされたパケットを前記不正通信検知装置に送信するルーティング装置と、
前記ネットワークタップされたパケットに基づく不正通信判定の結果が真となった通信である不正通信について、当該不正通信の制御のための情報である通信制御情報を前記ルーティング装置及び前記コアネットワーク装置のうちの少なくとも一つに設定することを含む不正通信対処を行う不正通信対処装置と
を備える不正通信対処システム。 - 前記コアネットワーク装置は、前記無線通信区間とIP通信区間とに接続されており、
前記IP通信区間は、IPに従う通信が行われる通信区間であり、
前記ネットワークタップされたパケットは、送信元及び宛先の各々のIPアドレスを表す情報を含んだIPヘッダを有するIPパケットである、
請求項1に記載の不正通信対処システム。 - 前記ネットワークタップされたパケットは、前記ルーティング対象のパケットが有するIPパケットのうち、所定の条件を満たす情報を含んだIPヘッダを有するIPパケットである、
請求項2に記載の不正通信対処システム。 - 前記コアネットワーク装置は、前記無線通信区間とIP通信区間とに接続されており、
前記IP通信区間は、IPに従う通信が行われる通信区間であり、
前記不正通信検知装置は、前記ネットワークタップされたパケットに基づき送信元及び宛先の各々のIPアドレスを特定する装置であり、
前記不正通信対処装置は、IPアドレスとデバイスIDとの対応関係を表す情報であるIP-SIM情報を基に、前記検知された不正通信の送信元及び宛先の少なくとも一つについて、IPアドレスに対応したデバイスIDを特定し、
前記不正通信対処は、前記特定されたデバイスIDから同定される装置の通信の制御のための情報である通信制御情報を、前記ルーティング装置及び前記コアネットワーク装置のうちの少なくとも一つに設定することを含む、
請求項1に記載の不正通信対処システム。 - 前記コアネットワーク装置は、通信制御情報に基づきデバイスID単位で通信を制御する装置であり、
前記不正通信対処装置は、前記検知された不正通信の送信元及び宛先の少なくとも一つについて、IPアドレスに対応したデバイスIDの通信制御情報を、前記コアネットワーク装置に設定する、
請求項4に記載の不正通信対処システム。 - 前記ルーティング装置が、IPフローを特定し当該特定されたIPフローの通信制御情報に従うルーティングアクションを行う装置であり、
IPフローは、送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号、及び、前記IP通信区間で使用されるプロトコル、に従う通信であり、
前記不正通信対処装置は、前記検知された不正通信の送信元及び宛先の少なくとも一つについて、IPフローの通信制御情報を、前記ルーティング装置に設定する、
請求項4に記載の不正通信対処システム。 - 前記不正通信対処装置は、
送信元と宛先の一方又は両方である通信単位毎にどのような不正通信対処を行うかを表す対処内容を表す情報である対処管理情報を基に、前記検知された不正通信の送信元及び宛先の少なくとも一つについて対処内容を判定し、
当該判定された対処内容に従う不正通信対処を行う、
請求項1に記載の不正通信対処システム。 - 前記ルーティング装置が、IPフローを特定し当該特定されたIPフローの通信制御情報に従うルーティングアクションを行う装置であり、
前記コアネットワーク装置は、設定された通信制御情報に基づきデバイスID単位で通信を制御する装置であり、
前記不正通信対処装置は、
前記判定された対処内容が、デバイスID単位の通信制御を含む場合、前記不正通信の送信元及び宛先の少なくとも一つについて、IPアドレスに対応したデバイスIDについての通信制御情報を、前記コアネットワーク装置に設定し、
前記判定された対処内容が、IPフロー単位の通信制御の場合、前記不正通信の送信元及び宛先の少なくとも一つについて、IPフローについての通信制御情報を、前記ルーティング装置に設定する、
請求項7に記載の不正通信対処システム。 - 前記不正通信対処は、下記(a)乃至(f)のうちの少なくとも一つである、
(a)前記検知された不正通信の送信元及び宛先の少なくとも一つについて、前記コアネットワーク装置に、IPアドレスに対応したデバイスIDに関し無効化又は帯域制限を意味する通信制御情報を設定すること、
(b)(a)を行ったことの通知を行うこと、
(c)(a)を行うことの許否の問合せを行い、当該問合せに応答して許可を受けた場合に、(a)を行うこと、
(d)前記検知された不正通信の送信元及び宛先の少なくとも一つについて、前記ルーティング装置に、IPフローの遮断又は帯域制限を意味する通信制御情報を設定すること、
(e)(d)を行ったことの通知を行うこと、
(f)(d)を行うことの許否の問合せを行い、当該問合せに応答して許可を受けた場合に、(d)を行うこと、
請求項7に記載の不正通信対処システム。 - 通信が不正通信か否かの判定である不正通信判定をパケットに基づき行う不正通信検知装置により検知された不正通信についての対処である不正通信対処を行う不正通信対処方法であって、
無線通信プロトコルに従う通信が行われ基地局とコアネットワーク装置とを繋ぐ通信区間である無線通信区間において前記無線通信プロトコルに従いパケットのルーティングを行うルーティング装置によりネットワークタップされたパケットに基づく不正通信判定の結果が真となった場合、当該不正通信判定の結果が真となった不正通信についての情報であるアラート情報を受信し、
当該アラート情報が表す不正通信について、当該不正通信の制御のための情報である通信制御情報を前記ルーティング装置及び前記コアネットワーク装置のうちの少なくとも一つに設定することを含む不正通信対処を行う、
不正通信対処方法。 - パケットに基づき通信が不正通信か否かの判定である不正通信判定を行う不正通信検知装置により検知された不正通信についての対処である不正通信対処を行う不正通信対処装置であって、
基地局とコアネットワーク装置とを繋ぐ通信区間である無線通信区間において無線通信プロトコルに従いパケットのルーティングを行うルーティング装置によりネットワークタップされたパケットに基づく不正通信判定の結果が真となった場合、当該不正通信判定の結果が真となった不正通信についての情報であるアラート情報を受信するインターフェース装置と、
当該アラート情報が表す不正通信について、当該不正通信の制御のための情報である通信制御情報を前記ルーティング装置及び前記コアネットワーク装置のうちの少なくとも一つに設定することを含む不正通信対処を行う対処制御装置と
を備える不正通信対処装置。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021038932A JP7449256B2 (ja) | 2021-03-11 | 2021-03-11 | 不正通信対処システム及び方法 |
| US17/592,735 US11856400B2 (en) | 2021-03-11 | 2022-02-04 | Unauthorized-communication coping system and unauthorized-communication coping method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021038932A JP7449256B2 (ja) | 2021-03-11 | 2021-03-11 | 不正通信対処システム及び方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2022138829A JP2022138829A (ja) | 2022-09-26 |
| JP7449256B2 true JP7449256B2 (ja) | 2024-03-13 |
Family
ID=83194203
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021038932A Active JP7449256B2 (ja) | 2021-03-11 | 2021-03-11 | 不正通信対処システム及び方法 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US11856400B2 (ja) |
| JP (1) | JP7449256B2 (ja) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006164038A (ja) | 2004-12-09 | 2006-06-22 | Nippon Telegr & Teleph Corp <Ntt> | DoS攻撃あるいはDDoS攻撃に対処する方法、ネットワーク装置、および分析装置 |
| JP2012129624A (ja) | 2010-12-13 | 2012-07-05 | Fujitsu Ltd | 通過制御装置、通過制御方法、及び通過制御プログラム |
| JP2017147575A (ja) | 2016-02-16 | 2017-08-24 | 富士通株式会社 | 制御プログラム、制御装置、および、制御方法 |
| JP2019114950A (ja) | 2017-12-25 | 2019-07-11 | 株式会社Lte−X | Lte通信システム及び通信制御方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4120607B2 (ja) * | 2003-04-03 | 2008-07-16 | 松下電器産業株式会社 | ルータ装置および通信方法 |
-
2021
- 2021-03-11 JP JP2021038932A patent/JP7449256B2/ja active Active
-
2022
- 2022-02-04 US US17/592,735 patent/US11856400B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006164038A (ja) | 2004-12-09 | 2006-06-22 | Nippon Telegr & Teleph Corp <Ntt> | DoS攻撃あるいはDDoS攻撃に対処する方法、ネットワーク装置、および分析装置 |
| JP2012129624A (ja) | 2010-12-13 | 2012-07-05 | Fujitsu Ltd | 通過制御装置、通過制御方法、及び通過制御プログラム |
| JP2017147575A (ja) | 2016-02-16 | 2017-08-24 | 富士通株式会社 | 制御プログラム、制御装置、および、制御方法 |
| JP2019114950A (ja) | 2017-12-25 | 2019-07-11 | 株式会社Lte−X | Lte通信システム及び通信制御方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US11856400B2 (en) | 2023-12-26 |
| JP2022138829A (ja) | 2022-09-26 |
| US20220295278A1 (en) | 2022-09-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7449256B2 (ja) | 不正通信対処システム及び方法 | |
| JP2009181226A (ja) | ファイアウォール装置 | |
| JP2009188573A (ja) | 経路情報管理装置 | |
| JP2009182516A (ja) | 不正侵入防止装置 | |
| JP2009188576A (ja) | 試験装置 | |
| EP2040437B1 (en) | Distributed ISP system for the inspection and elimination of eThreats in a multi-path environment | |
| JP2009182474A (ja) | ファイアウォール装置 | |
| JP2009182723A (ja) | 監視装置 | |
| JP2009182714A (ja) | データ処理装置 | |
| JP2009147691A (ja) | データ処理装置 | |
| JP2009182702A (ja) | 回路検査装置 | |
| JP2009182695A (ja) | データベース検査装置 | |
| Ekabua et al. | Towards Spectrum Resource Management in Cognitive Radio Networks via Intrusion Detection and Response Model | |
| JP2009182497A (ja) | 防御装置 | |
| JP2009182500A (ja) | 防御装置 | |
| JP2009182496A (ja) | 防御装置 | |
| JP2009188574A (ja) | 経路情報管理装置 | |
| JP2009182475A (ja) | ファイアウォール装置 | |
| JP2009182514A (ja) | 不正侵入防止装置 | |
| JP2009188575A (ja) | 経路情報管理装置 | |
| JP2009188571A (ja) | 経路情報管理装置 | |
| JP2009182499A (ja) | 防御装置 | |
| JP2009182515A (ja) | 不正侵入防止装置 | |
| JP2009188558A (ja) | ルータ装置 | |
| JP2009188559A (ja) | ルータ装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230522 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20240221 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240227 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240301 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7449256 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |