JPWO2009031453A1 - ネットワークセキュリティ監視装置ならびにネットワークセキュリティ監視システム - Google Patents

ネットワークセキュリティ監視装置ならびにネットワークセキュリティ監視システム Download PDF

Info

Publication number
JPWO2009031453A1
JPWO2009031453A1 JP2009531199A JP2009531199A JPWO2009031453A1 JP WO2009031453 A1 JPWO2009031453 A1 JP WO2009031453A1 JP 2009531199 A JP2009531199 A JP 2009531199A JP 2009531199 A JP2009531199 A JP 2009531199A JP WO2009031453 A1 JPWO2009031453 A1 JP WO2009031453A1
Authority
JP
Japan
Prior art keywords
information processing
processing terminal
communication
security monitoring
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009531199A
Other languages
English (en)
Other versions
JP4777461B2 (ja
Inventor
キニ グレン マンスフィールド
グレン マンスフィールド キニ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cyber Solutions Inc
Original Assignee
Cyber Solutions Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cyber Solutions Inc filed Critical Cyber Solutions Inc
Priority to JP2009531199A priority Critical patent/JP4777461B2/ja
Publication of JPWO2009031453A1 publication Critical patent/JPWO2009031453A1/ja
Application granted granted Critical
Publication of JP4777461B2 publication Critical patent/JP4777461B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

アクセスポリシーに基づき情報処理端末間の通信の可否を制御するネットワークセキュリティ監視装置ならびにネットワークセキュリティ監視システムを提供する。情報処理端末31,32,33とアプリケーションサーバ20とルータ40とが接続されたネットワーク50内に、不正アクセスを監視し防止するネットワークセキュリティ監視装置10が配置されたシステムにおいて、ネットワーク上に接続された情報処理端末間の通信許可/不許可をアクセスポリシーに基づき判断し、不許可と判断された情報処理端末のアクセスポリシーが不許可から許可に更新されるまで、不許可と判断された情報処理端末間の通信を遮断するための情報を一定時間間隔毎に繰返して送信することで、前記アクセスポリシーで不許可と定義された情報処理端末間の通信を迅速かつ確実に遮断し、許可と定義された情報処理端末間の通信可能状態を保持する。

Description

本発明は、ネットワーク上に接続された情報処理端間の通信の可否をアクセスポリシーに基づき制御するネットワークセキュリティ監視装置ならびにネットワークセキュリティ監視システムに関する。
近年、ネットワーク利用環境が大規模化しネットワーク環境構成の複雑化が進んできている中で、ネットワークセキュリティは必要不可欠のものになってきており、ネットワークへの不正アクセスを防止するための技術に関して多くの研究開発が行われている。
例えば、特許文献1に記載のアクセス制御装置は、ネットワークとのデータを送受信するネットワークアクセス部、ネットワーク内の通信端末間の通信許可/不許可を判断するアクセス判断部、ネットワーク内の通信端末間の通信を監視するネットワーク監視部、各通信端末に対してアクセスを許可する通信端末を示すアクセスポリシー、通信端末間の通信を阻害する情報を送信する通信阻害部、ネットワークアクセス部を介して送受信する情報(パケット)の解析、組み立てを行うプロトコル処理部で構成され、ネットワーク監視部がアクセスポリシーで許可されていない通信端末間の通信を検出した場合、通信阻害部を通じてその通信端末間の通信を阻害することで、通信端末のハードウエアやソフトウエアを変更する事なく、不正端末が静的にARPテーブルを設定した場合でもアクセス制限を可能とし且つ、通信端末の組み合わせでアクセス制御を行うことを可能としている。
また、特許文献2に記載の不正接続防止システムは、ネットワークへの接続を許可されていない不許可装置が当該ネットワークの情報処理装置へ接続することを防止するために、ネットワークへの接続を許可されている情報処理装置のMACアドレスを承認リスト部に登録し、承認リスト部に登録されていない不許可装置によりブロードキャストされたARPリクエストに対して、情報処理装置から正しいARP応答パケットが不許可装置へ送信された後もしくは所定時間経過後に、情報処理装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを不許可装置へ送信する不正接続防止装置を備え、ネットワークへの接続を許可されていないPCなどの不許可装置が、内部サーバや、その他の同一サブネット上に存在する機器に接続することを防止できるとともに、ルータなどを経由して、外部ネットワークにおける機器に接続することも防止することを可能としている。
また、特許文献3に記載のネットワーク不正接続防止装置は、登録済の端末の各々に対してARP リクエストを順次送信する第1手段と、該ARPリクエストに応答して返って来たARPリプライから、その端末の個有情報が登録済であるか否かを判定する第2手段と、第2手段で未登録と判定されたとき、該端末を不正端末と見做して該端末の個有情報が重複して存在することを示す妨害メッセージを送信する第3手段と、を備えることで、LAN内の不正接続防止を抑制することを可能としている。
特開2004-185498 特開2005-079706 特開2005-198090
しかしながら、特許文献1に記載のアクセス制御装置では、ARP要求を監視することで通信端末間の通信を監視し、アクセスポリシーで許可されていない通信端末間(通信端末C1と通信端末C2間)の通信を検出した場合に、アクセス制御装置が通信端末C1およびC2に対して偽造ARP応答を送信することでアクセス制御を行っているため、(i)ネットワーク上に遅延が起きている場合に、アクセス制御装置が通信端末C1およびC2に対して偽造ARP応答を送信し、偽造ARP応答を通信端末C1およびC2が受信した後に、正しいARP応答が通信端末C1またはC2に届くことがあり、この場合は後に届いた情報で通信端末C1およびC2のARPテーブルが書き換えられることになり、通信端末C1と通信端末C2間の通信を遮断するアクセス制御ができないという問題点がある。
また、(ii)アクセスポリシーで許可されている通信端末間(通信端末C1と通信端末C2間)の通信が行われている時にアクセスポリシーが許可から不許可に変更されても、通信端末C1と通信端末C2の通信端末のARPテーブルが設定済である(ARP要求を送信しない)ため、通信端末C1と通信端末C2間の通信を遮断するアクセス制御ができないという問題点がある。
また、(iii)アクセスポリシーで許可されていない通信端末C1のARPテーブルが静的に設定された場合に、通信端末C1からARP要求を送信せずに通信端末C2へ情報が送信され、通信端末C1と通信端末C2間の通信を遮断するアクセス制御ができないという問題点がある。
特許文献2に記載の不正接続防止装置では、ネットワークへの接続を許可されている情報処理装置のMACアドレスを承認リスト部に登録し、承認リスト部に登録されていない不許可装置によりブロードキャストされたARPリクエストに対して、情報処理装置から正しいARP応答パケットが不許可装置へ送信された後もしくは所定時間経過後に、情報処理装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを不許可装置へ送信することとしているため、上記問題点(i)は略解消されている。しかし特許文献1に記載のアクセス制御装置は、アクセスポリシーに基づき特定の通信端末間の通信許可/不許可を判断しアクセス制御を行っているのに対して、特許文献2に記載の不正接続防止装置は、承認リストに登録されていない不許可装置と承認リストに登録されている全情報処理装置との通信を遮断することとしている点に相違はあるが、アクセスポリシーを承認リストに置き換えると、上記問題点(ii)および(iii)は解消されていない。
また特許文献3に記載のネットワーク不正接続防止装置では、ネットワーク内の端末に対してARP リクエストを順次送信し、該ARPリクエストに応答して返って来たARPリプライから、その端末の個有情報がアドレス情報データベース部に登録済であるか否かを判定し、登録されていない不正端末に対して該端末の個有情報が重複して存在することを示す妨害メッセージ(妨害ARPリプライまたは妨害ARPリクエスト)を送信し、さらにネットワーク上のロスを考慮して一定時間間隔毎に所定回数繰返して送信することとしているため、上記問題点(i)は略解消されている。しかし特許文献1に記載のアクセス制御装置は、アクセスポリシーに基づき特定の通信端末間の通信許可/不許可を判断しアクセス制御を行っているのに対して、特許文献3に記載のネットワーク不正接続防止装置は、アドレス情報データベース部に登録されていない不許可装置とアドレス情報データベース部に登録されている全情報処理装置との通信を遮断することとしている点に相違はあるが、アクセスポリシーをアドレス情報データベース部に置き換えると、上記問題点(ii)および(iii)は解消されていない。
本発明は、上記問題を解決するため、アクセスポリシーに基づきネットワーク上に接続された情報処理端末間の通信許可/不許可を判断し、不許可と判断された情報処理端末間の通信を確実に遮断する制御を行うネットワークセキュリティ監視装置ならびにネットワークセキュリティ監視システムを提供することを目的とする。
上記目的を達成するため、請求項1に記載のネットワークセキュリティ監視装置は、ネットワーク上に接続された情報処理端末間の通信の可否をアクセスポリシーに基づき制御するネットワークセキュリティ監視装置であって、ネットワーク上に接続された全ての情報処理端末から送受信されるパケットを監視するパケット監視手段と、ネットワーク内の全ての情報処理端末に関するアクセスポリシーを管理するポリシー管理手段と、前記アクセスポリシーに基づきネットワーク内の情報処理端末間の通信許可/不許可を判断するアクセス制御手段と、特定の情報処理端末間の通信を遮断する通信遮断手段と、で構成され、前記アクセス制御手段が前記パケット監視手段から受け取ったパケット情報の送信元アドレス情報から情報処理端末を特定し、前記アクセスポリシーに基づき該情報処理端末とネットワーク上に接続された他の情報処理端末間の通信許可/不許可を判断するとともに、前記通信遮断手段が不許可と判断された情報処理端末間の通信を遮断するための情報を一定時間間隔毎に繰返して送信することで、前記アクセスポリシーで不許可と定義された情報処理端末間の通信を遮断し、許可と定義された情報処理端末間の通信可能状態を保持することを特徴とする。ここで前記「一定時間間隔毎に繰返して送信すること」は、不許可と判断された情報処理端末のアクセスポリシーが不許可から許可に更新されるまで行われるものとする。すなわち不許可と判断された情報処理端末と他の(複数の)情報処理端末間の通信を一斉に遮断することで、不許可と判断された情報処理端末間の通信を迅速かつ確実に遮断する制御を行うことができる。同時にアクセスポリシーで許可と定義された情報処理端末間の通信可能状態を保持することになる。
請求項2に記載のネットワークセキュリティ監視装置は、請求項1に記載のネットワークセキュリティ監視装置において、前記パケット監視手段がネットワーク上に接続された情報処理端末から送信されるARP要求を受取り、前記アクセス制御手段が該ARP要求の送信元アドレス情報から情報処理端末を特定し、前記アクセス制御手段が前記アクセスポリシーに基づき該情報処理端末とネットワーク上に接続された他の情報処理端末間の通信許可/不許可を判断するとともに、前記通信遮断手段が不許可と判断された情報処理端末間の通信を遮断するための情報(例えば、偽りのARP応答)を一定時間間隔毎に繰返して送信することを特徴とする。ここで前記「一定時間間隔毎に繰返して送信すること」は、ネットワーク上に遅延が起きている場合やARPテーブルが静的に設定された場合においても不許可と判断された情報処理端末間の通信を迅速かつ確実に遮断する制御を行うことを実現している。
すなわち、アクセスポリシーで情報処理端末C1と情報処理端末C2間の通信が不許可に設定されている場合、ネットワーク上に遅延が起きていると、通信を遮断するための情報を通信端末C1(またはC2)が受信した後に、正しいARP応答が情報処理端末C1(またはC2)に届くことがあり、この場合は後に届いた情報で情報処理端末C1(またはC2)のARPテーブルが書き換えられ、情報処理端末C1と情報処理端末C2間の通信を遮断するアクセス制御ができなくなるという問題点を解消することができる。
また、アクセスポリシーで情報処理端末C1と情報処理端末C2間の通信が不許可に設定されている場合、情報処理端末C1のARPテーブルが静的に設定された場合に、情報処理端末C1からARP要求を送信せずに情報処理端末C2へ情報が送信され、情報処理端末C1と情報処理端末C2間の通信を遮断するアクセス制御ができなくなるという問題点を解消することができる。
請求項3に記載のネットワークセキュリティ監視装置は、請求項1に記載のネットワークセキュリティ監視装置において、前記パケット監視手段がネットワーク内の全てのIPアドレスに対して一定時間間隔毎にARP要求をブロードキャストで送信するとともに、受け取ったARP応答の送信元アドレス情報に基づき前記アクセス制御手段が情報処理端末を特定し、前記アクセス制御手段が前記アクセスポリシーに基づき該情報処理端末とネットワーク上に接続された他の情報処理端末間の通信許可/不許可を判断するとともに、前記通信遮断手段が不許可と判断された情報処理端末間の通信を遮断するための情報(例えば、偽りのARP応答)を一定時間間隔毎に繰返して送信することを特徴とする。ここで前記「ネットワーク内の全てのIPアドレスに対して一定時間間隔毎にARP要求をブロードキャストで送信する」ことにより、長時間に渡りパケット送受信していない情報処理端末を検出し、不許可と判断された情報処理端末間の通信を確実に遮断する制御を行うことができる。またアクセスポリシーに登録されていない情報処理端末を検出した場合は、該情報処理端末に関する通信は不許可としてアクセスポリシーに登録することで、確実に不正アクセスを遮断する制御を行うことができる。
請求項4に記載のネットワークセキュリティ監視装置は、請求項1乃至請求項3に記載のネットワークセキュリティ監視装置において、前記通信遮断手段が、不許可と判断された情報処理端末CXと情報処理端末{C1,C2,・・・,CN}(1≦N≦ネットワーク内の情報処理端末数)間の通信を遮断するために、情報処理端末CXに対して情報処理端末{C1,C2,・・・, CN}のMACアドレスとして偽りのMACアドレスを有するARP応答を一定時間間隔毎に繰返して送信するとともに、情報処理端末{C1, C2,・・・, CN}に対しても情報処理端末CXのMACアドレスとして偽りのMACアドレスを有するARP応答を一定時間間隔毎に繰返して送信することを特徴とする。すなわち、アクセスポリシーに基づき情報処理端末CXと通信が不許可とされている情報処理端末(例えばC1,C2,C3)、および情報処理端末CXに対して、偽りのMACアドレスを有するARP応答を一定時間間隔毎に繰返して送信することとなり、情報処理端末間(CXとC1間、CXとC2間、CXとC3間)の通信を速やかに且つ確実に遮断する制御を行うことができる。
請求項5に記載のネットワークセキュリティ監視装置は、請求項2乃至請求項4に記載のネットワークセキュリティ監視装置において、情報処理端末C1と情報処理端末C2間の通信許可/不許可を規定するアクセスポリシーが許可から不許可に変更された時に、前記通信遮断手段が情報処理端末C1に対して情報処理端末C2のMACアドレスとして偽りのMACアドレスを有するARP応答を一定時間間隔毎に繰返して送信するとともに、情報処理端末C2に対して情報処理端末C1のMACアドレスとして偽りのMACアドレスを有するARP応答を一定時間間隔毎に繰返して送信する手段を有することを特徴とする。すなわち、アクセスポリシーが許可から不許可に変更された時に、該当する情報処理端末(例えばC1,C2)に対して偽りのMACアドレスを有するARP応答を一定時間間隔毎に繰返して送信することとなり、情報処理端末間(C1とC2間)の通信を速やかに且つ確実に遮断する制御を行うことができる。
請求項6に記載のネットワークセキュリティ監視装置は、請求項2乃至請求項4に記載のネットワークセキュリティ監視装置において、情報処理端末C1と情報処理端末C2間の通信許可/不許可を規定するアクセスポリシーが不許可から許可に変更された時に、前記通信遮断手段が情報処理端末C1,C2間の通信を遮断するための情報を一定時間間隔毎に繰返して送信することを停止するとともに、情報処理端末C1に対して情報処理端末C2の正しいMACアドレスを有するARP応答を送信し、情報処理端末C2に対して情報処理端末C1の正しいMACアドレスを有するARP応答を送信する手段を有することを特徴とする。すなわち、アクセスポリシーが不許可から許可に変更された時に、情報処理端末間(C1とC2間)の通信遮断の制御を止めるとともに、情報処理端末(C1,C2)に対して正しいMACアドレスを有するARP応答を送信することで、情報処理端末間(C1とC2間)の通信を速やかに再開する制御を行うことができる。
請求項7に記載のネットワークセキュリティ監視装置は、請求項2乃至請求項4に記載のネットワークセキュリティ監視装置において、不許可と判断された情報処理端末CXがネットワーク外部の情報処理端末と接続しようとしている場合、前記通信遮断手段が情報処理端末CXに対して中継装置のMACアドレスとして偽りのMACアドレスを有するARP応答を一定時間間隔毎に繰返して送信するとともに、ネットワーク内の全ての中継装置に対して情報処理端末CXのMACアドレスとして偽りのMACアドレスを有するARP応答を一定時間間隔毎に繰返して送信することを特徴とする。すなわち、不許可と判断された情報処理端末CXに対して中継装置のMACアドレスとして偽りのMACアドレスを有するARP応答を一定時間間隔毎に繰返して送信することで、情報処理端末CXがネットワーク外部の情報処理端末と接続することができなくなる。
請求項8に記載のネットワークセキュリティ監視装置は、請求項1乃至請求項7に記載のネットワークセキュリティ監視装置において、前記ポリシー管理手段はネットワーク内の情報処理端末のMACアドレス/IPアドレスの他に、ソフトウエア更新履歴情報ならびに接続状況などの情報を保持するとともに、前記の情報に基づき情報処理端末間の通信許可/不許可を判断するためのアクセスポリシーを管理することを特徴とする。ここで、アクセスポリシーの管理については、ソフトウエア更新履歴情報などの情報に基づきアクセスポリシーをプログラムで自動更新する場合と、手動によりアクセスポリシーを更新する場合とがある。すなわち、ネットワーク内の情報処理端末のMACアドレス/IPアドレスの他に、ソフトウエア更新履歴情報、ならびに接続状況などの情報に基づき、情報処理端末間の通信の許可/不許可を判断するためのアクセスポリシーを管理することで、例えばウィルス情報が更新されていない情報処理端末のアクセス対象端末を制限することが可能となり、フェイルセーフなシステムを実現することができる。
請求項9に記載のネットワークセキュリティ監視システムは、一つまたは複数のセグメントで構成されるネットワークにおいて、請求項1乃至請求項8に記載のネットワークセキュリティ監視装置をセグメント毎に配置するとともに、セグメント内のセキュリティ管理をするネットワークセキュリティ監視装置がアクセスポリシーで不許可と定義された情報処理端末間の通信を遮断し、許可と定義された情報処理端末間の通信可能状態を保持することを特徴とする。
請求項10に記載のネットワークセキュリティ監視システムは、請求項9に記載のネットワークセキュリティ監視システムに、ネットワーク全体のアクセスポリシーを一元管理するセキュリティマネージャ装置を備え、該マネージャ装置から最新のポリシー情報を各セグメントに配置されたネットワークセキュリティ監視装置にタイムリーに配布するとともに、セグメント内のセキュリティ管理をするネットワークセキュリティ監視装置がアクセスポリシーで不許可と定義された情報処理端末間の通信を遮断し、許可と定義された情報処理端末間の通信可能状態を保持することを特徴とする。
請求項11に記載のネットワークセキュリティ監視装置は、請求項1乃至請求項8に記載のネットワークセキュリティ監視装置において、ネットワーク上に接続された全ての情報処理端末と通信許可された情報処理端末An(n:1以上の自然数)のIPアドレス{IP-An1, IP-An2,・・・, IP-Ani}(i:1以上の自然数)及びMACアドレス{MAC-An1, MAC-An2,・・・, MAC-Anj}(j:1以上の自然数)を有する通信許可リストを保持し、前記アクセス制御手段は、前記パケット監視手段から受け取ったARPパケットの中から該ARPパケットの送信元IPアドレスが前記通信許可リストに登録されたIPアドレスと同じであるARPパケットを抽出するとともに、該IPアドレスから情報処理端末Ak(k:1以上の自然数)を特定し、該ARPパケットの送信元MACアドレスが前記通信許可リストに登録された情報処理端末AkのMACアドレスと異なる場合に、該ARPパケットを不正に通信遮断を行う攻撃と判断するとともに、
(1) 不正に通信遮断を行う攻撃パケットを検出した旨のアラームを発信する
(2) 該ARPパケットの送信先IPアドレスの情報処理端末Bに対して情報処理端末Akの正しいMACアドレスを有するARPパケットを送信する
ことを特徴とする。
請求項12に記載のネットワークセキュリティ監視装置は、請求項1乃至請求項8に記載のネットワークセキュリティ監視装置において、ネットワーク上に接続された全ての情報処理端末と通信許可された情報処理端末An(n:1以上の自然数)のIPアドレス{IP-An1, IP-An2,・・・, IP-Ani}(i:1以上の自然数)及びMACアドレス{MAC-An1, MAC-An2,・・・, MAC-Anj}(j:1以上の自然数)を有する通信許可リストを保持し、前記アクセス制御手段は、前記パケット監視手段から受け取ったARPパケットの中から該ARPパケットの送信先IPアドレスが前記通信許可リストに登録されたIPアドレスと同じであるARPパケットを抽出するとともに、該IPアドレスから情報処理端末Ak(k:1以上の自然数)を特定し、さらに該ARPパケットの送信元IPアドレスから情報処理端末Bを特定し、該ARPパケットの送信元MACアドレスが前記アクセスポリシーに登録された情報処理端末BのMACアドレスと異なる場合に、該ARPパケットを不正に通信遮断を行う攻撃と判断するとともに、
(1) 不正に通信遮断を行う攻撃パケットを検出した旨のアラームを発信する
(2) 情報処理端末Akに対して情報処理端末Bの正しいMACアドレスを有するARPパケット応答を送信する
ことを特徴とする。
請求項13に記載のネットワークセキュリティ監視装置は、請求項1乃至請求項8に記載のネットワークセキュリティ監視装置において、前記アクセスポリシーに基づき不許可と判断された情報処理端末間の通信を遮断するために、該情報処理端末に対して偽りのMACアドレス(FMAC)を有するARPパケットを送信する時に、FMACは複数の入力パラメータを用いて一方向関数genFMACにより生成されるとともに、前記アクセス制御手段は、前記パケット監視手段から受け取ったARPパケットの中から、偽りのMACアドレスを有するARPパケットを抽出し、該MACアドレスが前記一方向関数genFMACを用いて生成したFMACと異なる場合に、該ARPパケットを不正に通信遮断を行う攻撃と判断し、不正に通信遮断を行う攻撃パケットを検出した旨のアラームを発信することを特徴とする。ここで前記一方向関数genFMACは、例えばハッシュ関数としてハッシュ値FMACを算出するために、
FMAC = genFMAC(SeedMac,
Time, Secret)
のように定義される。パラメータSeedMacは、ベンダー識別子(OUI: Organizationally
Unique Identifier)であり、MACアドレス(48bit)中の上位24bitは、このベンダー識別子で構成される。パラメータTimeは、時刻情報であり、年・月・日・時・分・秒などの情報が組合せて使用される。パラメータSecretは、秘密鍵情報であり、特定の管理者だけが知り得る非公開情報である。MACアドレス(48bit)中の下位24bitは、パラメータTime, Secretを入力とするハッシュ関数により生成される疑似乱数で構成される。
請求項14に記載のネットワークセキュリティ監視システムは、請求項9乃至請求項10に記載のネットワークセキュリティ監視システムにおいて、請求項11乃至請求項13に記載のネットワークセキュリティ監視装置をセグメント毎に配置し、該ネットワークセキュリティ監視装置がセグメント内で不正に通信遮断を行う攻撃を検出した場合にアラームを発信するとともに、不正に通信遮断された情報処理端末間の通信を通信可能状態に復旧することを特徴とする。
請求項1に係る発明によれば、ネットワーク上に接続された情報処理端末間の通信許可/不許可をアクセスポリシーに基づき判断し、不許可と判断された情報処理端末のアクセスポリシーが不許可から許可に更新されるまで、不許可と判断された情報処理端末間の通信を遮断するための情報を一定時間間隔毎に繰返して送信すること、および不許可と判断された情報処理端末と他の(複数の)情報処理端末間の通信を一斉に遮断することで、不許可と判断された情報処理端末間の通信を迅速かつ確実に遮断する制御を行うことが可能になる。同時にアクセスポリシーで許可と定義された情報処理端末間の通信可能状態を保持することになる。
請求項2に係る発明によれば、ネットワーク上に接続された情報処理端末間の通信許可/不許可をアクセスポリシーに基づき判断し、不許可と判断された情報処理端末に対して不許可端末と他の情報処理端末間の通信を遮断するための情報(例えば、偽りのARP応答)を一定時間間隔毎に繰返して送信することで、ネットワーク上に遅延が起きている場合やARPテーブルが静的に設定された場合においても不許可と判断された情報処理端末間の通信を迅速かつ確実に遮断する制御を行うことが可能になる。
すなわち、アクセスポリシーで情報処理端末C1と情報処理端末C2間の通信が不許可に設定されている場合、ネットワーク上に遅延が起きていると、通信を遮断するための情報を通信端末C1(またはC2)が受信した後に、正しいARP応答が情報処理端末C1(またはC2)に届くことがあり、この場合は後に届いた情報で情報処理端末C1(またはC2)のARPテーブルが書き換えられ、情報処理端末C1と情報処理端末C2間の通信を遮断するアクセス制御ができなくなるという問題点を解消することができる。
また、アクセスポリシーで情報処理端末C1と情報処理端末C2間の通信が不許可に設定されている場合、情報処理端末C1のARPテーブルが静的に設定された場合に、情報処理端末C1からARP要求を送信せずに情報処理端末C2へ情報が送信され、情報処理端末C1と情報処理端末C2間の通信を遮断するアクセス制御ができなくなるという問題点を解消することができる。
請求項3に係る発明によれば、ネットワーク内の全てのIPアドレスに対して一定時間間隔毎にARP要求をブロードキャストで送信することで、長時間に渡りパケット送受信していない情報処理端末を検出し、不許可と判断された情報処理端末間の通信を確実に遮断する制御を行うことが可能になる。またアクセスポリシーに登録されていない情報処理端末を検出した場合は、該情報処理端末に関する通信は不許可としてアクセスポリシーに登録することで、確実に不正アクセスを遮断する制御を行うことが可能になる。
請求項4に係る発明によれば、アクセスポリシーに基づき情報処理端末CXと通信が不許可とされている情報処理端末(例えばC1,C2,C3)、および情報処理端末CXに対して、偽りのMACアドレスを有するARP応答を一定時間間隔毎に繰返して送信することで、情報処理端末間(CXとC1間、CXとC2間、CXとC3間)の通信を速やかに且つ確実に遮断する制御を行うことが可能になる。
請求項5に係る発明によれば、アクセスポリシーが許可から不許可に変更された時に、該当する情報処理端末(例えばC1,C2)に対して偽りのMACアドレスを有するARP応答を一定時間間隔毎に繰返して送信することで、情報処理端末間(C1とC2間)の通信を速やかに且つ確実に遮断する制御を行うことが可能になる。
請求項6に係る発明によれば、アクセスポリシーが不許可から許可に変更された時に、情報処理端末間(C1とC2間)の通信遮断の制御を止めるとともに、情報処理端末(C1,C2)に対して正しいMACアドレスを有するARP応答を送信することで、情報処理端末間(C1とC2間)の通信を速やかに再開する制御を行うことが可能になる。
請求項7に係る発明によれば、不許可と判断された情報処理端末CXに対して中継装置のMACアドレスとして偽りのMACアドレスを有するARP応答を一定時間間隔毎に繰返して送信することで、情報処理端末CXがネットワーク外部の情報処理端末と接続することができなくなる効果がある。
請求項8に係る発明によれば、ネットワーク内の情報処理端末のMACアドレス/IPアドレスの他に、ソフトウエア更新履歴情報、ならびに接続状況などの情報に基づき、情報処理端末間の通信の許可/不許可を判断するためのアクセスポリシーを管理することで、例えばウィルス情報が更新されていない情報処理端末のアクセス対象端末を制限することが可能となり、フェイルセーフなシステムを実現することが可能になる。
請求項9に係る発明によれば、ネットワークセキュリティ監視装置をセグメント毎に配置してセグメント毎にネットワークセキュリティ監視装置がアクセスポリシーで不許可と定義された情報処理端末間の通信を遮断し、許可と定義された情報処理端末間の通信可能状態を保持することで、セグメント内で不許可と判断された情報処理端末間の通信を迅速かつ確実に遮断する制御を行うことが可能になる。
請求項10に係る発明によれば、ネットワーク全体のアクセスポリシーを一元管理するセキュリティマネージャ装置を備え、該マネージャ装置から最新のポリシー情報を各セグメントに配置されたネットワークセキュリティ監視装置にタイムリーに配布することで、システム全体でポリシー情報を共有し一元管理することが可能になるとともに、セグメント毎に最新のポリシー情報を用いて情報処理端末間の通信を監視し、不許可と判断された情報処理端末間の通信を迅速かつ確実に遮断する制御を行うことが可能になる。
請求項11に係る発明によれば、ARPパケットの送信元IPアドレスが通信許可リストに登録されたIPアドレスと同じであるARPパケットを抽出し、該IPアドレスから情報処理端末Ak(k:1以上の自然数)を特定し、該ARPパケットの送信元MACアドレスが前記通信許可リストに登録された情報処理端末AkのMACアドレスと異なる場合に、該ARPパケットを不正に通信遮断を行う攻撃と判断することで、不正に通信遮断を行う攻撃を確実かつ容易に検出することが可能になる。
また不正に通信遮断を行う攻撃を検出した場合にアラームを発信することで、管理者は迅速な対処を行うことが可能になる。さらに攻撃を検出した場合に、正しいMACアドレスを有するARPパケットを送信することで、不正に通信遮断された情報処理端末間の通信を速やかに通信可能状態に復旧することが可能になる。
請求項12に係る発明によれば、ARPパケットの送信先IPアドレスが通信許可リストに登録されたIPアドレスと同じであるARPパケットを抽出するとともに、該IPアドレスから情報処理端末Ak(k:1以上の自然数)を特定し、さらに該ARPパケットの送信元IPアドレスから情報処理端末Bを特定し、該ARPパケットの送信元MACアドレスが前記アクセスポリシーに登録された情報処理端末BのMACアドレスと異なる場合に、該ARPパケットを不正に通信遮断を行う攻撃と判断することで、不正に通信遮断を行う攻撃を確実かつ容易に検出することが可能になる。
また不正に通信遮断を行う攻撃を検出した場合にアラームを発信することで、管理者は迅速な対処を行うことが可能になる。さらに攻撃を検出した場合に、正しいMACアドレスを有するARPパケットを送信することで、不正に通信遮断された情報処理端末間の通信を速やかに通信可能状態に復旧することが可能になる。
請求項13に係る発明によれば、アクセスポリシーに基づき不許可と判断された情報処理端末間の通信を遮断するために送信するARPパケット中の「偽りのMACアドレス(FMAC)」を、一方向関数genFMACを用いて生成することで、不正に通信遮断を行うARPパケットと本発明で通信を遮断するために送信するARPパケットとを容易に判別ができるようになる。ここで一方向関数genFMACは、例えばハッシュ関数としてハッシュ値FMACを算出するために、
FMAC = genFMAC(SeedMac,
Time, Secret)
のように定義される。パラメータSeedMacは、ベンダー識別子(OUI: Organizationally
Unique Identifier)であり、MACアドレス(48bit)中の上位24bitは、このベンダー識別子で構成される。パラメータTimeは、時刻情報であり、年・月・日・時・分・秒などの情報が組合せて使用される。パラメータSecretは、秘密鍵情報であり、特定の管理者だけが知り得る非公開情報である。MACアドレス(48bit)中の下位24bitは、パラメータTime, Secretを入力とするハッシュ関数により生成される疑似乱数で構成される。ハッシュ関数は、出力から入力のデータを推測できないこと、同じ出力を持つ入力データを容易に作成できないこと等の特徴がある。この特徴を利用して、不正に通信遮断を行うARPパケット中の「偽りのMACアドレス」とFMACの値とを比較照合することで、容易に不正に通信遮断を行う攻撃を検出することが可能になる。
また不正に通信遮断を行う攻撃を検出した場合にアラームを発信することで、管理者は迅速な対処を行うことが可能になる。
請求項14に係る発明によれば、セグメント内に配置されたセキュリティ監視装置が容易に且つ確実に不正に通信遮断を行う攻撃を検出することが可能になる。また攻撃を検出した場合にアラームを発信することで、迅速な対処を行うことが可能になる。さらに攻撃を検出した場合に、正しいMACアドレスを有するARPパケットを送信することで、不正に通信遮断された情報処理端末間の通信を速やかに通信可能状態に復旧することが可能になる。
本発明の実施の形態に係るネットワークセキュリティ監視装置を備えたネットワークの構成例を示す図である。 本発明の実施の形態に係るネットワークセキュリティ監視装置の構成を示すブロック図である。 本発明の実施の形態に係るネットワークセキュリティ監視装置が備えるアクセスポリシーの設定例を示す図である。 本発明の実施の形態に係るネットワークセキュリティ監視装置と情報処理端末C1,C2間および情報処理端末C1とC2間のシーケンス例を示す図である。 本発明の実施の形態に係るネットワークセキュリティ監視装置を備えたネットワークに不正端末が接続された構成例を示す図である。 本発明の実施の形態に係るネットワークセキュリティ監視装置と情報処理端末CX ,C1,C2,C3間のシーケンス例を示す図である。 本発明の実施の形態に係るネットワークセキュリティ監視装置が備えるアクセスポリシーが許可から不許可に変更された時の情報処理端末C1とC2間のシーケンス例を示す図である。 本発明の実施の形態に係るネットワークセキュリティ監視装置が備えるアクセスポリシーが不許可から許可に変更された時の情報処理端末C1とC2間のシーケンス例を示す図である。 本発明の実施の形態に係るネットワークセキュリティ監視システムの構成例を示す図である。 本発明の実施の形態に係るネットワークセキュリティ監視装置が通信許可リストを用いて不正な通信遮断を検出するシーケンス例を示す図である。 本発明の実施の形態に係るネットワークセキュリティ監視装置が備える通信許可リストの設定例を示す図である。 本発明の実施の形態に係るネットワークセキュリティ監視装置がFMAC生成アルゴリズムを用いて不正な通信遮断を検出するシーケンス例を示す図である。
符号の説明
10 ネットワークセキュリティ監視装置
11 パケット監視手段
12 アクセス制御手段
13 通信遮断手段
14 ポリシー管理手段
15 アクセスポリシー
20 アプリケーションサーバ
31 情報処理端末
32 情報処理端末
33 情報処理端末
40 ルータ
50 ネットワーク
次に、本発明の実施の形態に係るネットワークセキュリティ監視システムについて図面に基づいて説明する。なお、この実施の形態により本発明が限定されるものではない。
図1は、本発明の実施の形態に係るネットワークセキュリティ監視装置を備えたネットワークの構成例を示すものである。図1では、ネットワーク50に情報処理端末31,32,33とアプリケーションサーバ20とルータ40とが接続され、ネットワーク50内における不正アクセスを監視し防止するネットワークセキュリティ監視装置10が接続されている。
図2は、本発明の実施の形態に係るネットワークセキュリティ監視装置10の構成を示すブロック図である。
図2に示すように、ネットワークセキュリティ監視装置10は、ネットワーク上に接続された全ての情報処理端末から送受信されるパケットを監視するパケット監視手段11と、ネットワーク内の全ての情報処理端末に関するアクセスポリシー15を管理するポリシー管理手段14と、アクセスポリシー15に基づきネットワーク内の情報処理端末間の通信許可/不許可を判断するアクセス制御手段12と、特定の情報処理端末間の通信を遮断する通信遮断手段13と、で構成され、アクセス制御手段12がパケット監視手段11から受け取ったパケット情報の送信元アドレス情報から情報処理端末を特定し、アクセスポリシー15に基づき該情報処理端末とネットワーク上に接続された他の情報処理端末間の通信許可/不許可を判断するとともに、通信遮断手段13が不許可と判断された情報処理端末間の通信を遮断するための情報を一定時間間隔毎に繰返して送信することで、前記アクセスポリシーで不許可と定義された情報処理端末間の通信を遮断し、許可と定義された情報処理端末間の通信可能状態を保持する。ここで前記「一定時間間隔毎に繰返して送信すること」は、不許可と判断された情報処理端末のアクセスポリシーが不許可から許可に更新されるまで行われるものとする。さらに時間間隔値はユーザが適宜に設定するものとする。すなわち不許可と判断された情報処理端末と他の(複数の)情報処理端末間の通信を一斉に遮断することで、不許可と判断された情報処理端末間の通信を迅速かつ確実に遮断する制御を行うことができる。
図3に本発明の実施の形態に係るネットワークセキュリティ監視装置が備えるアクセスポリシーの設定例を示す。図1、図2および図3を用いて具体例(アクセスポリシー15で情報処理端末C2とサーバA1間、および情報処理端末C2と情報処理端末C1間の通信が不許可に設定されている場合の例)を説明する。
パケット監視手段11が情報処理端末C2からのサーバA1に対して送信したパケット(ARP要求)を受信すると、アクセス制御手段12がパケット監視手段11から受け取ったパケット情報の送信元アドレス情報から情報処理端末を特定し、アクセスポリシー15に基づき該情報処理端末とネットワーク上に接続された他の情報処理端末間の通信許可/不許可を判断する。この場合、情報処理端末C2とサーバA1間、および情報処理端末C2と情報処理端末C1間の通信が不許可であるため、情報処理端末C2とサーバA1間の通信を遮断するための情報を情報処理端末C2およびサーバA1に対して一定時間間隔毎に繰返して送信するとともに、情報処理端末C2と情報処理端末C1間の通信を遮断するための情報を情報処理端末C2および情報処理端末C1に対して一定時間間隔毎に繰返して送信する。この繰返して送信することは、情報処理端末C2とサーバA1間、および情報処理端末C2と情報処理端末C1間のアクセスポリシーが不許可から許可に更新されるまで行われる。以上から、情報処理端末C2からサーバA1に対して送信したパケット(ARP要求)受信を契機として、情報処理端末C2とサーバA1間、および情報処理端末C2と情報処理端末C1間の通信を迅速かつ確実に遮断することができる。同時にアクセスポリシー15で許可と定義された情報処理端末C2と情報処理端末C3間、および情報処理端末C2とルータR1間の通信可能状態を保持することになる。
パケット監視手段11は、ネットワーク上に接続された情報処理端末から送信されるARP要求を受取り、アクセス制御手段12が該ARP要求の送信元アドレス情報から情報処理端末を特定し、アクセス制御手段12がアクセスポリシー15に基づき該情報処理端末とネットワーク上に接続された他の情報処理端末間の通信許可/不許可を判断するとともに、通信遮断手段13が不許可と判断された情報処理端末間の通信を遮断するための情報(例えば、偽りのARP応答)を一定時間間隔毎に繰返して送信する。ここで前記「一定時間間隔毎に繰返して送信すること」は、ネットワーク上に遅延が起きている場合やARPテーブルが静的に設定された場合においても不許可と判断された情報処理端末間の通信を迅速かつ確実に遮断する制御を行うことを実現している。
すなわち、アクセスポリシーで情報処理端末C1と情報処理端末C2間の通信が不許可に設定されている場合、ネットワーク上に遅延が起きていると、通信を遮断するための情報を通信端末C1(またはC2)が受信した後に、正しいARP応答が情報処理端末C1(またはC2)に届くことがあり、この場合は後に届いた情報で情報処理端末C1(またはC2)のARPテーブルが書き換えられ、情報処理端末C1と情報処理端末C2間の通信を遮断するアクセス制御ができなくなるという問題点を解消することができる。
また、アクセスポリシーで情報処理端末C1と情報処理端末C2間の通信が不許可に設定されている場合、情報処理端末C1のARPテーブルが静的に設定された場合に、情報処理端末C1からARP要求を送信せずに情報処理端末C2へ情報が送信され、情報処理端末C1と情報処理端末C2間の通信を遮断するアクセス制御ができなくなるという問題点を解消することができる。
図4に本発明の実施の形態に係るネットワークセキュリティ監視装置と情報処理端末C1
,C2間および情報処理端末C1とC2間のシーケンス例を示す。図4を用いて具体例(アクセス
ポリシーで情報処理端末C1と情報処理端末C2間の通信が不許可に設定されている場合の例
)を説明する。
(1) 情報処理端末C1は情報処理端末C2と通信を開始するにあたって、情報処理端末C2のMACアドレスを得るために、自身のIPアドレスとMACアドレス(mac_C1)、及びC2のIPアドレスを設定してARP要求をブロードキャスト送信する(S01)。
(2) 情報処理端末C2は、自身のIPアドレスが設定されたARP要求を受信すると、送信元C1に対して、自身のIPアドレスとMACアドレス(mac_C2)を設定してARP応答を送信する(S02)。情報処理端末C1はARP応答を受信すると、自身のARPテーブルを更新(情報処理端末C2のMACアドレスとしてmac_C2を設定)する。このARPテーブルの情報は一定時間キャッシュされるため、情報処理端末C1は以降ARP要求を送信せずにARPテーブルの情報を用いて通信が可能となる。
(3) セキュリティ監視装置は、情報処理端末C1から送信されたARP要求を受信し、アクセスポリシーに基づき情報処理端末C1と情報処理端末C2間通信の不許可を判断すると、 情報処理端末C1に対して、C2のIPアドレスと偽造MACアドレス(mac_XX) を設定してARP応答を送信する(S03)。情報処理端末C1はARP応答を受信すると、自身のARPテーブルを更新(情報処理端末C2のMACアドレスとしてmac_XXを設定)する。情報処理端末C1はARPテーブルの情報を用いて通信しようとするが、MACアドレスが不正であるため、情報処理端末C2との通信ができなくなる。
(4) さらにセキュリティ監視装置は、情報処理端末C2に対して、C1のIPアドレスと偽造MACアドレス(mac_YY) を設定してARP応答を送信する(S04)。情報処理端末C2はARP応答を受信すると、自身のARPテーブルを更新(情報処理端末C1のMACアドレスとしてmac_YYを設定)するため、情報処理端末C1との通信ができなくなる。
(5) 上記S02で述べたARP応答が、ネットワーク上に遅延が起きていると、情報処理端末C1に遅れて届くことがある(S02’)。この場合、情報処理端末C1のARPテーブルには、正しい情報が書き換えられる(情報処理端末C2のMACアドレスとしてmac_C2が設定される)ことになる。すなわち情報処理端末C1から情報処理端末C2に対して送信する通信を遮断する制御ができなくなる。
(6) そこでセキュリティ監視装置は、一定時間(T1)経過後に、情報処理端末C1に対して、C2のIPアドレスと偽造MACアドレス(mac_XX) を設定してARP応答を送信する(S05)。情報処理端末C1はARP応答を受信すると、自身のARPテーブルを更新(情報処理端末C2のMACアドレスとしてmac_XXを設定)するため、情報処理端末C2との通信ができなくなる。セキュリティ監視装置は、アクセスポリシーが不許可から許可に更新されるまで一定時間間隔(T1)毎に繰返し送信を続ける(S07,S10)。
(7) 同様にセキュリティ監視装置は、一定時間(T1)経過後に、情報処理端末C2に対して、C1のIPアドレスと偽造MACアドレス(mac_YY) を設定してARP応答を送信する(S06)。情報処理端末C2はARP応答を受信すると、自身のARPテーブルを更新(情報処理端末C1のMACアドレスとしてmac_YYを設定)するため、情報処理端末C1との通信ができなくなる。セキュリティ監視装置は、アクセスポリシーが不許可から許可に更新されるまで一定時間間隔(T1)毎に繰返し送信を続ける(S08,S11)。
(8) 情報処理端末C1のARPテーブルが静的に設定(例えばC2のMACアドレスとしてmac_C2が設定)された場合(S09)に、情報処理端末C1から情報処理端末C2に対して送信する通信を遮断する制御ができなくなるが、セキュリティ監視装置は、一定時間(T1)経過後に、情報処理端末C1に対して、C2のIPアドレスと偽造MACアドレス(mac_XX) を設定してARP応答を送信する(S10)ため、情報処理端末C1は自身のARPテーブルを更新(情報処理端末C2のMACアドレスとしてmac_XXを設定)し、情報処理端末C2との通信ができなくなる。
またパケット監視手段11は、ネットワーク内の全てのIPアドレスに対して一定時間間隔毎にARP要求をブロードキャストで送信するとともに、受け取ったARP応答の送信元アドレス情報に基づきアクセス制御手段12が情報処理端末を特定し、アクセス制御手段12がアクセスポリシー15に基づき該情報処理端末とネットワーク上に接続された他の情報処理端末間の通信許可/不許可を判断するとともに、通信遮断手段13が不許可と判断された情報処理端末間の通信を遮断するための情報(例えば、偽りのARP応答)を一定時間間隔毎に繰返して送信する。ここで前記「ネットワーク内の全てのIPアドレスに対して一定時間間隔毎にARP要求をブロードキャストで送信する」ことにより、長時間に渡りパケット送受信していない情報処理端末を検出し、不許可と判断された情報処理端末間の通信を確実に遮断する制御を行うことができる。またアクセスポリシーに登録されていない情報処理端末を検出した場合は、該情報処理端末に関する通信は不許可としてアクセスポリシーに登録することで、確実に不正アクセスを遮断する制御を行うことができる。
図5は、本発明の実施の形態に係るネットワークセキュリティ監視装置を備えたネットワークに不正端末が接続された構成例を示すものである。
図5に示すように、セキュリティ監視装置が備えるアクセスポリシーには、情報処理端末C1,C2,C3間の通信許可/不許可が設定されており、この時点でセキュリティ監視装置は情報処理端末CXを認識していない状態にある。
セキュリティ監視装置は、ネットワークに接続された情報処理端末を監視するために、ネットワーク内の全てのIPアドレスに対して一定時間間隔毎にARP要求をブロードキャストで送信し、情報処理端末C1,C2,C3,CXからARP応答を受信する。受信したARP応答の送信元アドレス情報に基づき情報処理端末を特定し、アクセスポリシーに基づき情報処理端末C1,C2,C3,CX間の通信許可/不許可を判断するとともに、不許可と判断された情報処理端末に対して通信を遮断するための情報(例えば、偽りのARP応答)を一定時間間隔毎に繰返して送信する。また情報処理端末CXについては、アクセスポリシーに登録されていないため、情報処理端末CXをアクセスポリシーに追加登録し、情報処理端末CXと情報処理端末C1,C2,C3間の通信を不許可として設定する。これにより、不正に接続された情報処理端末CXの不正アクセスを確実に遮断することができる。
次に図6は、図5に示した構成例に基づき、本発明の実施の形態に係るネットワークセキュリティ監視装置と情報処理端末CX ,C1,C2,C3間のシーケンス例を示したものである。図6を用いて具体例を説明する。
(1) セキュリティ監視装置は、ネットワークに接続された情報処理端末を監視するために、ネットワーク内の全てのIPアドレスに対してARP要求をブロードキャストで送信する(S61)。このS61のステップは一定時間間隔毎に繰返して行うものとする。
(2) セキュリティ監視装置は、情報処理端末C1,C2,C3,CXからARP応答を受信する(S62)。受信したARP応答の送信元アドレス情報に基づき情報処理端末を特定し、アクセスポリシーに基づき情報処理端末C1,C2,C3,CX間の通信許可/不許可を判断する。ここで情報処理端末CXについては、アクセスポリシーに登録されていないため、情報処理端末CXをアクセスポリシーに追加登録し、情報処理端末CXと情報処理端末C1,C2,C3間の通信を不許可として設定する。
(3) セキュリティ監視装置は、不許可と判断された情報処理端末CXと他の情報処理端末C1,C2,C3間の通信を遮断するために、情報処理端末CXに対して情報処理端末C1,C2,C3のMACアドレスとして偽造MACアドレス(mac_Z1,mac_Z2,
mac_Z3)を有するARP応答を送信するとともに、情報処理端末C1,C2,C3に対しても情報処理端末CXのMACアドレスとして偽造MACアドレス(mac_XX)を有するARP応答を送信する(S63)。情報処理端末CXはARP応答を受信すると、自身のARPテーブルを更新(情報処理端末C1のMACアドレスとしてmac_Z1を設定、情報処理端末C2のMACアドレスとしてmac_Z2を設定、情報処理端末C3のMACアドレスとしてmac_Z3を設定)するため、情報処理端末C1,C2,C3との通信ができなくなる。同様にして、情報処理端末C1,C2,C3はARP応答を受信すると、自身のARPテーブルを更新(情報処理端末CXのMACアドレスとしてmac_XXを設定)するため、情報処理端末CXとの通信ができなくなる。
(4) セキュリティ監視装置は、アクセスポリシーが不許可から許可に更新されるまで一定時間間隔(T1)毎に繰返し送信を続ける(S64)。
以上から、アクセスポリシーに基づき情報処理端末CXと通信が不許可とされている情報処理端末C1,C2,C3、および情報処理端末CXに対して、偽りのMACアドレスを有するARP応答を一定時間間隔毎に繰返して送信することで、情報処理端末間(CXとC1間、CXとC2間、CXとC3間)の通信を速やかに且つ確実に遮断することができる。
次に図7は、本発明の実施の形態に係るネットワークセキュリティ監視装置が備えるアクセスポリシーが許可から不許可に変更された時の情報処理端末C1とC2間のシーケンス例を示すものである。図7を用いて具体例を説明する。
(1) セキュリティ監視装置は、アクセスポリシーで情報処理端末C1と情報処理端末C2間の通信が許可から不許可に変更された時に、情報処理端末C1に対して、C2のIPアドレスと偽造MACアドレス(mac_XX) を設定してARP応答を送信する(S71)。情報処理端末C1はARP応答を受信すると、自身のARPテーブルを更新(情報処理端末C2のMACアドレスとしてmac_XXを設定)する。情報処理端末C1はARPテーブルの情報を用いて通信しようとするが、MACアドレスが不正であるため、情報処理端末C2との通信ができなくなる。
(2) さらにセキュリティ監視装置は、情報処理端末C2に対して、C1のIPアドレスと偽造MACアドレス(mac_YY) を設定してARP応答を送信する(S72)。情報処理端末C2はARP応答を受信すると、自身のARPテーブルを更新(情報処理端末C1のMACアドレスとしてmac_YYを設定)するため、情報処理端末C1との通信ができなくなる。
(3) セキュリティ監視装置は、アクセスポリシーが不許可から許可に更新されるまで一定時間間隔(T1)毎に繰返し送信を続ける(S73,S74,S75,S76)。
以上から、アクセスポリシーが許可から不許可に変更された時に、該当する情報処理端末(例えばC1,C2)に対して偽りのMACアドレスを有するARP応答を一定時間間隔毎に繰返して送信することで、情報処理端末間C1とC2間の通信を速やかに且つ確実に遮断することができる。
次に図8は、本発明の実施の形態に係るネットワークセキュリティ監視装置が備えるアクセスポリシーが不許可から許可に変更された時の情報処理端末C1とC2間のシーケンス例を示すものである。図8を用いて具体例を説明する。
(1) セキュリティ監視装置は、アクセスポリシーで情報処理端末C1と情報処理端末C2間の通信が不許可に設定されているため、情報処理端末C1に対して、C2のIPアドレスと偽造MACアドレス(mac_XX) を設定してARP応答を一定時間間隔(T1)毎に繰返し送信する(S81,S83)とともに、情報処理端末C2に対して、C1のIPアドレスと偽造MACアドレス(mac_YY) を設定してARP応答を一定時間間隔(T1)毎に繰返し送信する(S82,S84)。
(2) セキュリティ監視装置は、アクセスポリシーで情報処理端末C1と情報処理端末C2間の通信が不許可から許可に変更された時に、(S81,S83)および(S82,S84)の繰返し送信を停止するとともに、情報処理端末C1に対して情報処理端末C2の正しいMACアドレス(mac_C2)を有するARP応答を送信する(S85)。情報処理端末C1はARP応答を受信すると、自身のARPテーブルを更新(情報処理端末C2のMACアドレスとしてmac_C2を設定)し、情報処理端末C2との通信ができるようになる。
(3) さらにセキュリティ監視装置は、情報処理端末C2に対して情報処理端末C1の正しいMACアドレス(mac_C1)を有するARP応答を送信する(S86)。情報処理端末C2はARP応答を受信すると、自身のARPテーブルを更新(情報処理端末C1のMACアドレスとしてmac_C1を設定)し、情報処理端末C1との通信ができるようになる。
以上から、アクセスポリシーが不許可から許可に変更された時に、情報処理端末間(C1とC2間)の通信遮断の制御を止めるとともに、情報処理端末C1,C2に対して正しいMACアドレスを有するARP応答を送信することで、情報処理端末間C1とC2間の通信を速やかに再開することができる。
またネットワークセキュリティ監視装置が備えるアクセスポリシーで不許可と判断された情報処理端末Xがネットワーク外部の情報処理端末と接続しようとしている場合、セキュリティ監視装置が情報処理端末CXに対して中継装置のMACアドレスとして偽りのMACアドレスを有するARP応答を一定時間間隔毎に繰返して送信する。さらにセキュリティ監視装置は、ネットワーク内の全ての中継装置に対して情報処理端末CXのMACアドレスとして偽りのMACアドレスを有するARP応答を一定時間間隔毎に繰返して送信する。すなわち、不許可と判断された情報処理端末CXに対して中継装置のMACアドレスとして偽りのMACアドレスを有するARP応答を一定時間間隔毎に繰返して送信することで、情報処理端末CXがネットワーク外部の情報処理端末と接続することができなくなる。
またネットワークセキュリティ監視装置が備えるポリシー管理手段14は、ネットワーク内の情報処理端末のMACアドレス/IPアドレスの他に、ソフトウエア更新履歴情報ならびに接続状況などの情報を保持するとともに、前記の情報に基づき情報処理端末間の通信許可/不許可を判断するためのアクセスポリシーを管理する。ここで、アクセスポリシーの管理については、ソフトウエア更新履歴情報などの情報に基づきアクセスポリシーをプログラムで自動更新する場合と、手動によりアクセスポリシーを更新する場合とがある。
以上から、ポリシー管理手段14は、ネットワーク内の情報処理端末のMACアドレス/IPアドレスの他に、ソフトウエア更新履歴情報、ならびに接続状況などの情報に基づき、情報処理端末間の通信の許可/不許可を判断するためのアクセスポリシーを管理することで、例えばウィルス情報が更新されていない情報処理端末のアクセス対象端末を制限することが可能となり、フェイルセーフなシステムを実現することができる。
次に図9は、本発明の実施の形態に係るネットワークセキュリティ監視システムの構成例を示すものである。
図9に示すように、ネットワークセキュリティ監視システムは、前記で説明したネットワークセキュリティ監視装置をセグメント毎に配置するとともに、セグメント内のセキュリティ管理をするネットワークセキュリティ監視装置がアクセスポリシーで不許可と定義された情報処理端末間の通信を遮断し、許可と定義された情報処理端末間の通信可能状態を保持している。これにより、セグメント内で不許可と判断された情報処理端末間の通信を迅速かつ確実に遮断する制御を行うことが可能になる。
さらにネットワークセキュリティ監視システムは、ネットワーク全体のアクセスポリシーを一元管理するセキュリティマネージャ装置を備え、該マネージャ装置から最新のポリシー情報を各セグメントに配置されたネットワークセキュリティ監視装置にタイムリーに配布するとともに、セグメント内のセキュリティ管理をするネットワークセキュリティ監視装置がアクセスポリシーで不許可と定義された情報処理端末間の通信を遮断し、許可と定義された情報処理端末間の通信可能状態を保持している。これにより、システム全体でポリシー情報を共有し一元管理することが可能になるとともに、セグメント毎に最新のポリシー情報を用いて情報処理端末間の通信を監視し、不許可と判断された情報処理端末間の通信を迅速かつ確実に遮断する制御を行うことが可能になる。
次に図10は本発明の実施の形態に係るネットワークセキュリティ監視装置が通信許可リストを用いて不正な通信遮断を検出するシーケンス例を示す図である。
[Phase1:通信可能状態]
この段階では情報処理端末A1と情報処理端末B間は通信可能状態にあり、情報処理端末A1のARPテーブルには情報処理端末BのMACアドレス(MAC-B)が設定され、情報処理端末BのARPテーブルには情報処理端末A1のMACアドレス(MAC-A1)が設定されている。
[Phase2:不正な通信遮断が発生していることを検出]
セキュリティ監視装置は、情報処理端末Zが情報処理端末A1と情報処理端末B間の通信を不正に遮断していることを検出する。
情報処理端末Zは、情報処理端末A1に対して、送信元IPアドレス(IP-B)と不正なMACアドレス(MAC-YY)とを有するARPパケットを送信する(P01)。情報処理端末A1は該ARPパケットを受信すると自身のARPテーブルを更新(情報処理端末BのMACアドレスとしてMAC-YYを設定)する。この状態で情報処理端末A1がARPテーブルの情報を用いて情報処理端末Bに対して送信しようとすると、情報処理端末BのMACアドレスが不正であるため送信ができなくなる。
また情報処理端末Zは、情報処理端末Bに対して、送信元IPアドレス(IP-A1)と不正なMACアドレス(MAC-XX)とを有するARPパケットを送信する(P02)。情報処理端末Bは該ARPパケットを受信すると自身のARPテーブルを更新(情報処理端末A1のMACアドレスとしてMAC-XXを設定)する。この状態で情報処理端末BがARPテーブルの情報を用いて情報処理端末A1に対して送信しようとすると、情報処理端末A1のMACアドレスが不正であるため送信ができなくなる。
一方、セキュリティ監視装置は、常時ネットワーク上で送受信されるARPパケットを監
視し、ARPパケットの送信先IPアドレスが通信許可リストに登録された情報処理端末An(n:1以上の自然数)のIPアドレスと同じIPアドレスを有するARPパケットを抽出し、該ARPパケットの送信元IPアドレスから情報処理端末Bを特定し、該ARPパケットの送信元MACアドレスが前記アクセスポリシーに登録された情報処理端末BのMACアドレスと異なる場合に、該ARPパケットを不正に通信遮断を行う攻撃と判断すると共に、不正に通信遮断を行う攻撃パケットを検出した旨のアラームを発信する。
図10の例では、P01で送信されたARPパケットの送信先IPアドレス(IP-A1)が通信許可リストに登録されているため、該ARPパケットを抽出し、該ARPパケットの送信元IPアドレスから情報処理端末Bを特定し、該ARPパケットの送信元MACアドレスが前記アクセスポリシーに登録された情報処理端末BのMACアドレス(MAC-B)と同じか判定する。該ARPパケットの送信元MACアドレスがMAC-YYであり、情報処理端末BのMACアドレス(MAC-B)と異なるため、該ARPパケットを不正に通信遮断を行う攻撃と判断する(P03)と共に、不正に通信遮断を行う攻撃パケットを検出した旨のアラームを発信する(P05)。
ここでセキュリティ監視装置が保持する通信許可リストは、ネットワーク上に接続された全ての情報処理端末と通信許可された情報処理端末An(n:1以上の自然数)のIPアドレス{IP-An1, IP-An2,・・・, IP-Ani}(i:1以上の自然数)及びMACアドレス{MAC-An1, MAC-An2,・・・, MAC-Anj}(j:1以上の自然数)を有するものである。
また、セキュリティ監視装置は、常時ネットワーク上で送受信されるARPパケットを監視し、ARPパケットの送信元IPアドレスが通信許可リストに登録された情報処理端末An(n:1以上の自然数)のIPアドレスと同じIPアドレスを有するARPパケットを抽出し、該ARPパケットの送信元MACアドレスが通信許可リストに登録された情報処理端末AnのMACアドレスと同じものがない場合に、該ARPパケットを不正に通信遮断を行う攻撃と判断すると共に、不正に通信遮断を行う攻撃パケットを検出した旨のアラームを発信する。
図10の例では、P02で送信されたARPパケットの送信元IPアドレス(IP-A1)が通信許可リストに登録されているため、該ARPパケットを抽出し、該ARPパケットの送信元MACアドレスが通信許可リストに登録された情報処理端末A1のMACアドレスと同じものがないか判定する。該パケットの送信元MACアドレスがMAC-XXであり、通信許可リストに登録された情報処理端末A1のMACアドレス(MAC-A1) と異なるため、該ARPパケットを不正に通信遮断を行う攻撃と判断する(P04) と共に、不正に通信遮断を行う攻撃パケットを検出した旨のアラームを発信する(P05)。
[Phase3:通信可能状態に復旧]
セキュリティ監視装置はP03で不正な通信遮断を検出した場合、情報処理端末A1に対して情報処理端末Bの正しいMACアドレス(MAC-B)を有するARPパケットを送信する(P06)。情報処理端末A1は該パケットを受信すると自身のARPテーブルを更新(情報処理端末BのMACアドレスとしてMAC-Bを設定)する。この状態で情報処理端末A1がARPテーブルの情報を用いて情報処理端末Bに対して送信することが可能になる。
またセキュリティ監視装置はP04で不正な通信遮断を検出した場合、情報処理端末Bに対して情報処理端末A1の正しいMACアドレス(MAC-A1)を有するARPパケットを送信する(P07)。情報処理端末Bは該パケットを受信すると自身のARPテーブルを更新(情報処理端末BのMACアドレスとしてMAC-A1を設定)する。この状態で情報処理端末BがARPテーブルの情報を用いて情報処理端末A1に対して送信することが可能になる。
次に図11は本発明の実施の形態に係るネットワークセキュリティ監視装置が備える通信許可リストの設定例を示す図である。
通信許可リストは、ネットワーク上に接続された全ての情報処理端末と通信許可された情報処理端末An(n:1以上の自然数)のIPアドレス{IP-An1, IP-An2,・・・, IP-Ani}(i:1以上の自然数)及びMACアドレス{MAC-An1, MAC-An2,・・・, MAC-Anj}(j:1以上の自然数)を定義したものである。
図11の例では、情報処理端末A1のIPアドレスとして {IP-A1}、MACアドレスとして {MAC-A1}が定義されている。
また情報処理端末A2のIPアドレスとして {IP-A2}、MACアドレスとして {MAC-A21, MAC-A22,・・・, MAC-A2j}(j:2以上の自然数)が定義されている。
また情報処理端末A3のIPアドレスとして {IP-A31, IP-A32,・・・, IP-A3i}(i:2以上の自然数)、MACアドレスとして {MAC-A3}が定義されている。
また情報処理端末A4のIPアドレスとして {IP-A41, IP-A42,・・・, IP-A4k}(k:2以上の自然数)、MACアドレスとして {MAC-A41, MAC-A42,・・・, MAC-A4m}(m:2以上の自然数)が定義されている。
ここで情報処理端末AnのIPアドレス/MACアドレスが複数個定義されている理由は、例えば、仮想ルータのような場合に複数個のIPアドレスやMACアドレスを持つことがあることを考慮しているためである。
次に図12は本発明の実施の形態に係るネットワークセキュリティ監視装置がFMAC生成アルゴリズムを用いて不正な通信遮断を検出するシーケンス例を示す図である。
[Phase1:通信可能状態]
この段階では情報処理端末A1と情報処理端末B間は通信可能状態にあり、情報処理端末A1のARPテーブルには情報処理端末BのMACアドレス(MAC-B)が設定され、情報処理端末BのARPテーブルには情報処理端末A1のMACアドレス(MAC-A1)が設定されている。
[Phase2:不正な通信遮断が発生していることを検出]
セキュリティ監視装置は、情報処理端末Zが情報処理端末A1と情報処理端末B間の通信を不正に遮断していることを検出する。
情報処理端末Zは、情報処理端末A1に対して、送信元IPアドレス(IP-B)と不正なMACアドレス(MAC-YY)とを有するARPパケットを送信する(P11)。情報処理端末A1は該ARPパケットを受信すると自身のARPテーブルを更新(情報処理端末BのMACアドレスとしてMAC-YYを設定)する。この状態で情報処理端末A1がARPテーブルの情報を用いて情報処理端末Bに対して送信しようとすると、情報処理端末BのMACアドレスが不正であるため送信ができなくなる。
また情報処理端末Zは、情報処理端末Bに対して、送信元IPアドレス(IP-A1)と不正なMACアドレス(MAC-XX)とを有するARPパケットを送信する(P12)。情報処理端末Bは該ARPパケットを受信すると自身のARPテーブルを更新(情報処理端末A1のMACアドレスとしてMAC-XXを設定)する。この状態で情報処理端末BがARPテーブルの情報を用いて情報処理端末A1に対して送信しようとすると、情報処理端末A1のMACアドレスが不正であるため送信ができなくなる。
一方、セキュリティ監視装置においては、前記アクセスポリシーに基づき不許可と判断された情報処理端末間の通信を遮断するために、該情報処理端末に対して偽りのMACアドレス(FMAC)を有するARPパケットを送信する時に、FMACは複数の入力パラメータを用いて一方向関数genFMACにより生成されることにする。ここで一方向関数genFMACは、例えばハッシュ関数としてハッシュ値FMACを算出するために、
FMAC = genFMAC(SeedMac,
Time, Secret)
のように定義される。パラメータSeedMacは、ベンダー識別子(OUI: Organizationally
Unique Identifier)であり、MACアドレス(48bit)中の上位24bitは、このベンダー識別子で構成される。パラメータTimeは、時刻情報であり、年・月・日・時・分・秒などの情報が組合せて使用される。パラメータSecretは、秘密鍵情報であり、特定の管理者だけが知り得る非公開情報である。MACアドレス(48bit)中の下位24bitは、パラメータTime, Secretを入力とするハッシュ関数により生成される疑似乱数で構成される。ハッシュ関数は、出力から入力のデータを推測できないこと、同じ出力を持つ入力データを容易に作成できないこと等の特徴がある。
次にセキュリティ監視装置は、常時ネットワーク上で送受信されるARPパケットを監視し、偽りのMACアドレスを有するARPパケットを抽出する。ここで抽出の条件として、例えばARPパケットのMACアドレスが前記通信許可リストまたは前記アクセスポリシーに登録された情報処理端末のMACアドレスと同じでない場合とする。抽出されたARPパケットのMACアドレスが前記一方向関数genFMACを用いて生成したFMACの値と異なる場合に、該ARPパケットを不正に通信遮断を行う攻撃と判断する。すなわち抽出されたARPパケットが、セキュリティ監視装置がアクセスポリシーに基づき不許可と判断された情報処理端末間の通信を遮断するために送信したARPパケットと同じものかを判定し、異なる場合には、該ARPパケットを不正に通信遮断を行う攻撃と判断する。なおFMACの値はハッシュ関数を利用して生成されているため、第三者が不正な通信遮断を行おうとしてこの値を利用することはできない。
また不正に通信遮断を行う攻撃を検出した場合にアラームを発信することで、管理者は迅速な対処を行うことが可能になる。
図12の例では、P11で送信されたARPパケットの送信元MACアドレス(MAC-YY)が偽りのMACアドレスであるため、該ARPパケットを抽出し、該ARPパケットの送信元MACアドレスが前記一方向関数genFMACを用いて生成したFMACの値と同じか判定する。異なる場合には、該ARPパケットを不正に通信遮断を行う攻撃と判断する(P13)と共に、不正に通信遮断を行う攻撃パケットを検出した旨のアラームを発信する(P15)。
またP12で送信されたARPパケットの送信元MACアドレス(MAC-XX)が偽りのMACアドレスであるため、該ARPパケットを抽出し、該ARPパケットの送信元MACアドレスが前記一方向関数genFMACを用いて生成したFMACの値と同じか判定する。異なる場合には、該ARPパケットを不正に通信遮断を行う攻撃と判断する(P14)と共に、不正に通信遮断を行う攻撃パケットを検出した旨のアラームを発信する(P15)。
また前記一方向関数genFMACのパラメータとして時刻情報(Time)を用いることで、FMACの値は時刻により変化する値となるため、仮に第三者がFMACの値を盗んで、この値を用いて不正な通信遮断を行おうとしても、セキュリティ監視装置は不正な通信遮断を検出することができる。
なお時刻情報(Time)としては、年・月・日・時・分・秒などの情報を組合せて使用することが考えられる。この場合セキュリティ監視装置は、例えば、図12のP13で不正な通信遮断を検出するために、ARPパケットの送信元MACアドレスが一方向関数genFMACを用いて生成したFMACの値と同じか判定する時に、タイムラグを考慮した判定処理を行うことが必要になる。例えば次の様な判定処理を行う。
IF { ARPパケットの送信元MACアドレス = genFMAC(SeedMac, T1, Secret)} or
{
ARPパケットの送信元MACアドレス = genFMAC(SeedMac,
T2, Secret)}
ELSE ・・・・不正な通信遮断を検出
ここで、例えばT1=14時11分、T2=14時12分などが使用される。
以上から、アクセスポリシーに基づき不許可と判断された情報処理端末間の通信を遮断するために送信するARPパケット中の「偽りのMACアドレス(FMAC)」を、一方向関数genFMACを用いて生成することで、不正に通信遮断を行うARPパケットと本発明で通信を遮断するために送信するARPパケットとを容易に判別ができるようになる。ハッシュ関数の特徴を利用して、不正に通信遮断を行うARPパケット中の「偽りのMACアドレス」とFMACの値とを比較照合することで、容易に不正に通信遮断を行う攻撃を検出することが可能になる。また不正に通信遮断を行う攻撃を検出した場合にアラームを発信することで、管理者は迅速な対処を行うことが可能になる。
次に前述の図9で説明したネットワークセキュリティ監視システムに、前述の図10〜図12で説明したネットワークセキュリティ監視装置をセグメント毎に配置することで、セグメント内に配置されたセキュリティ監視装置が容易に且つ確実に不正に通信遮断を行う攻撃を検出することが可能になる。また攻撃を検出した場合にアラームを発信することで、迅速な対処を行うことが可能になる。さらに攻撃を検出した場合に、正しいMACアドレスを有するARPパケットを送信することで、不正に通信遮断された情報処理端末間の通信を速やかに通信可能状態に復旧することが可能になる。
近年、インターネットを中心にした情報ネットワーク社会が形成されていく中で、ネットワークセキュリティは必要不可欠のものになってきており、セキュリティ関連のツールが多くのベンダーやソフトハウスからリリースされ、多くの企業や大学などで利用されているが、本発明は、アクセスポリシーに基づき情報処理端末間の通信の可否を制御する技術を提供するものであり、前記セキュリティ関連のツールに本発明の技術を利用することが可能である。
本発明によれば、ネットワーク上に接続された情報処理端末間の通信許可/不許可をアクセスポリシーに基づき判断し、不許可と判断された情報処理端末のアクセスポリシーが不許可から許可に更新されるまで、不許可と判断された情報処理端末間の通信を遮断するための情報を一定時間間隔毎に繰返して送信すること、および不許可と判断された情報処理端末と他の(複数の)情報処理端末間の通信を一斉に遮断することで、不許可と判断された情報処理端末間の通信を迅速かつ確実に遮断する制御を行うことが可能になる。同時にアクセスポリシーで許可と定義された情報処理端末間の通信可能状態を保持することになる。また不正に通信遮断を行う攻撃を検出した場合にアラームを発信することで、管理者は迅速に対処することが可能になる。さらに攻撃を検出した場合に、正しいMACアドレスを有するARPパケットを送信することで、不正に通信遮断された情報処理端末間の通信を速やかに通信可能状態に復旧することが可能になる。
【0004】
記載のアクセス制御装置は、アクセスポリシーに基づき特定の通信端末間の通信許可/不許可を判断しアクセス制御を行っているのに対して、特許文献3に記載のネットワーク不正接続防止装置は、アドレス情報データベース部に登録されていない不許可装置とアドレス情報データベース部に登録されている全情報処理装置との通信を遮断することとしている点に相違はあるが、アクセスポリシーをアドレス情報データベース部に置き換えると、上記問題点(ii)および(iii)は解消されていない。
[0010]
本発明は、上記問題を解決するため、アクセスポリシーに基づきネットワーク上に接続された情報処理端末間の通信許可/不許可を判断し、不許可と判断された情報処理端末間の通信を確実に遮断する制御を行うネットワークセキュリティ監視装置ならびにネットワークセキュリティ監視システムを提供することを目的とする。
課題を解決するための手段
[0011]
【0008】
[0018]
[0019]
[0020]
[0021]
上記目的を達成するため、請求項11に記載のネットワークセキュリティ監視装置は、ネットワーク上に接続された情報処理端末間の通信の可否をアクセスポリシーに基づき制御するネットワークセキュリティ監視装置であって、ネットワーク上に接続された全ての情報処理端末から送受信されるパケットを監視するパケット監視手段と、ネットワーク内の全ての情報処理端末に関するアクセスポリシーを管理するポリシー管理手段と、前記アクセスポリシーに基づきネットワーク内の情報処理端末間の通信許可/不許可を判断するアクセス制御手段と、特定の情報処理端末間の通信を遮断する通信遮断手段と、で構成され、ネットワーク上に接続された全ての情報処理端末と通信許可された情報処理端末An(n:1以上の自然数)のIPアドレス{IP−An1,IP−An2,・・・,IP−Ani}(i:1以上の自然数)及びMACアドレス{MAC−An1,MAC−An2,・・・,MAC−Anj}(j:1以上の自然数)を有する通信許可リストを保持し、前記アクセス制御手段は、前記パケット監視手段から受け取ったARPパケットの中から該ARPパケットの送信元IPアドレスが前記通信許可リストに登録されたIPアドレスと同じであるARPパケットを抽出するとともに、該IPアドレスから情報処理端末Ak(k:1以上の自然数)を特定し、前記通信許可リストに登録された情報処理端末AkのMACアドレスの中に該ARPパケットの送信元MACアドレスと同じものがない場合に、該ARPパケットを不正に通信遮断を行う攻撃と判断するとともに、
(1)不正に通信遮断を行う攻撃パケットを検出した旨のアラームを発信する
(2)該ARPパケットの送信先IPアドレスの情報処理端末Bに対して情報処理端末Akの正しいMACアドレスを有するARPパケットを送信する
【0009】
ことを特徴とする。
[0022]
請求項12に記載のネットワークセキュリティ監視装置は、ネットワーク上に接続された情報処理端末間の通信の可否をアクセスポリシーに基づき制御するネットワークセキュリティ監視装置であって、ネットワーク上に接続された全ての情報処理端末から送受信されるパケットを監視するパケット監視手段と、ネットワーク内の全ての情報処理端末に関するアクセスポリシーを管理するポリシー管理手段と、前記アクセスポリシーに基づきネットワーク内の情報処理端末間の通信許可/不許可を判断するアクセス制御手段と、特定の情報処理端末間の通信を遮断する通信遮断手段と、で構成され、ネットワーク上に接続された全ての情報処理端末と通信許可された情報処理端末An(n:1以上の自然数)のIPアドレス{IP−An1,IP−An2,・・・,IP−Ani}(i:1以上の自然数)及びMACアドレス{MAC−An1,MAC−An2,・・・,MAC−Anj}(j:1以上の自然数)を有する通信許可リストを保持し、前記アクセス制御手段は、前記パケット監視手段から受け取ったARPパケットの中から該ARPパケットの送信先IPアドレスが前記通信許可リストに登録されたIPアドレスと同じであるARPパケットを抽出するとともに、該IPアドレスから情報処理端末Ak(k:1以上の自然数)を特定し、さらに該ARPパケットの送信元IPアドレスから情報処理端末Bを特定し、前記アクセスポリシーに登録された情報処理端末BのMACアドレスの中に該ARPパケットの送信元MACアドレスと同じものがない場合に、該ARPパケットを不正に通信遮断を行う攻撃と判断するとともに、
(1)不正に通信遮断を行う攻撃パケットを検出した旨のアラームを発信する
(2)情報処理端末Akに対して情報処理端末Bの正しいMACアドレスを有するARPパケットを送信する
ことを特徴とする。
[0023]
請求項13に記載のネットワークセキュリティ監視装置は、ネットワーク上に接続された情報処理端末間の通信の可否をアクセスポリシーに基づき制御するネットワークセキュリティ監視装置であって、ネットワーク上に接続された全ての情報処理端末から送受信されるパケットを監視するパケット監視手段と、ネットワーク内の全ての情報処理端末に関するアクセスポリシーを管理するポリシー管理手段と、前記アクセスポリシーに基づきネットワーク内の情報処理端末間の通信許可/不許可を判断するアクセス制御手
【0010】
段と、特定の情報処理端末間の通信を遮断する通信遮断手段と、で構成され、前記通信遮断手段が、前記アクセスポリシーに基づき不許可と判断された情報処理端末間の通信を遮断するために、該情報処理端末に対して偽りのMACアドレス(FMAC)を有するARPパケットを送信する際に、FMACは複数の入力パラメータを用いて一方向関数genFMACにより生成されるとともに、前記アクセス制御手段は、前記パケット監視手段から受け取ったARPパケットの中から、偽りのMACアドレスを有するARPパケットを抽出し、該MACアドレスが前記一方向関数genFMACを用いて生成したFMACと異なる場合に、該ARPパケットを不正に通信遮断を行う攻撃と判断し、不正に通信遮断を行う攻撃パケットを検出した旨のアラームを発信することを特徴とする。ここで前記一方向関数genFMACは、例えばハッシュ関数としてハッシュ値FMACを算出するために、
FMAC=genFMAC(SeedMac,Time,Secret)
のように定義される。パラメータSeedMacは、ベンダー識別子(OUI:Organizationally Unique Identifier)であり、MACアドレス(48bit)中の上位24bitは、このベンダー識別子で構成される。パラメータTimeは、時刻情報であり、年・月・日・時・分・秒などの情報が組合せて使用される。パラメータSecretは、秘密鍵情報であり、特定の管理者だけが知り得る非公開情報である。MACアドレス(48bit)中の下位24bitは、パラメータTime,Secretを入力とするハッシュ関数により生成される疑似乱数で構成される。
[0024]
請求項14に記載のネットワークセキュリティ監視システムは、一つまたは複数のセグメントで構成されるネットワークにおいて、請求項11乃至請求項13に記載のネットワークセキュリティ監視装置をセグメント毎に配置し、該ネットワークセキュリティ監視装置がセグメント内で不正に通信遮断を行う攻撃を検出した場合にアラームを発信するとともに、不正に通信遮断された情報処理端末間の通信を通信可能状態に復旧することを特徴とする。
発明の効果
[0025]
【0013】
[0034]
[0035]
請求項11に係る発明によれば、ARPパケットの送信元IPアドレスが通信許可リストに登録されたIPアドレスと同じであるARPパケットを抽出し、該IPアドレスから情報処理端末Ak(k:1以上の自然数)を特定し、該ARPパケットの送信元MACアドレスが前記通信許可リストに登録された情報処理端末AkのMACアドレスと異なる場合に、該ARPパケットを不正に通信遮断を行う攻撃と判断することで、不正に通信遮断を行う攻撃を確実かつ容易に検出することが可能になる。
また不正に通信遮断を行う攻撃を検出した場合にアラームを発信することで、管理者は迅速な対処を行うことが可能になる。さらに攻撃を検出した場合に、正しいMACアドレスを有するARPパケットを送信することで、不正に通信遮断された情報処理端末間の通信を速やかに通信可能状態に復旧することが可能になる。
[0036]
請求項12に係る発明によれば、ARPパケットの送信先IPアドレスが通信許可リストに登録されたIPアドレスと同じであるARPパケットを抽出するとともに、該IPアドレスから情報処理端末Ak(k:1以上の自然数)を特定し、さらに該ARPパケットの送信元IPアドレスから情報処理端末Bを特定し、該ARPパケットの送信元MACアドレスが前記アクセスポリシーに登録された情報処理端末BのMACアドレスと異なる場合に、該ARPパケットを不正に通信遮断を行う攻撃と判断することで、不正に通信遮断を行う攻撃を確実かつ容易に検出することが可能になる。
【0014】
また不正に通信遮断を行う攻撃を検出した場合にアラームを発信することで、管理者は迅速な対処を行うことが可能になる。さらに攻撃を検出した場合に、正しいMACアドレスを有するARPパケットを送信することで、不正に通信遮断された情報処理端末間の通信を速やかに通信可能状態に復旧することが可能になる。
[0037]
請求項13に係る発明によれば、アクセスポリシーに基づき不許可と判断された情報処理端末間の通信を遮断するために送信する層パケット中の「偽りのMACアドレス(FMAC)」を、一方向関数genFMACを用いて生成することで、不正に通信遮断を行うARPパケットと本発明で通信を遮断するために送信するARPパケットとを容易に判別ができるようになる。ここで一方向関数genFMACは、例えばハッシュ関数としてハッシュ値FMACを算出するために、
FMAC=genFMAC(SeedMac,Time,Secret)
のように定義される。パラメータSeedMacは、ベンダー識別子(OUI:Organizationally Unique Identifier)であり、MACアドレス(48bit)中の上位24bitは、このベンダー識別子で構成される。パラメータTimeは、時刻情報であり、年・月・日・時・分・秒などの情報が組合せて使用される。パラメータSecretは、秘密鍵情報であり、特定の管理者だけが知り得る非公開情報である。MACアドレス(48bit)中の下位24bitは、パラメータTime,Secretを入力とするハッシュ関数により生成される疑似乱数で構成される。ハッシュ関数は、出力から入力のデータを推測できないこと、同じ出力を持つ入力データを容易に作成できないこと等の特徴がある。この特徴を利用して、不正に通信遮断を行うARPパケット中の「偽りのMACアドレス」とFMACの値とを比較照合することで、容易に不正に通信遮断を行う攻撃を検出することが可能になる。
また不正に通信遮断を行う攻撃を検出した場合にアラームを発信することで、管理者は迅速な対処を行うことが可能になる。
[0038]
請求項14に係る発明によれば、セグメント内に配置されたセキュリティ監視装置が容易に且つ確実に不正に通信遮断を行う攻撃を検出することが可能になる。また攻撃を検出した場合にアラームを発信することで、迅速な対処を行うことが可能になる。さらに攻撃を検出した場合に、正しいMACアドレスを有するARPパケットを送信するこ

Claims (14)

  1. ネットワーク上に接続された情報処理端末間の通信の可否をアクセスポリシーに基づき制御するネットワークセキュリティ監視装置であって、ネットワーク上に接続された全ての情報処理端末から送受信されるパケットを監視するパケット監視手段と、ネットワーク内の全ての情報処理端末に関するアクセスポリシーを管理するポリシー管理手段と、前記アクセスポリシーに基づきネットワーク内の情報処理端末間の通信許可/不許可を判断するアクセス制御手段と、特定の情報処理端末間の通信を遮断する通信遮断手段と、で構成され、前記アクセス制御手段が前記パケット監視手段から受け取ったパケット情報の送信元アドレス情報から情報処理端末を特定し、前記アクセスポリシーに基づき該情報処理端末とネットワーク上に接続された他の情報処理端末間の通信許可/不許可を判断するとともに、前記通信遮断手段が不許可と判断された情報処理端末間の通信を遮断するための情報を一定時間間隔毎に繰返して送信することで、前記アクセスポリシーで不許可と定義された情報処理端末間の通信を遮断し、許可と定義された情報処理端末間の通信可能状態を保持することを特徴とするネットワークセキュリティ監視装置。
  2. 請求項1に記載のネットワークセキュリティ監視装置において、前記パケット監視手段がネットワーク上に接続された情報処理端末から送信されるARP要求を受取り、前記アクセス制御手段が該ARP要求の送信元アドレス情報から情報処理端末を特定し、前記アクセス制御手段が前記アクセスポリシーに基づき該情報処理端末とネットワーク上に接続された他の情報処理端末間の通信許可/不許可を判断するとともに、前記通信遮断手段が不許可と判断された情報処理端末間の通信を遮断するための情報を一定時間間隔毎に繰返して送信することを特徴とする請求項1に記載のネットワークセキュリティ監視装置。
  3. 請求項1に記載のネットワークセキュリティ監視装置において、前記パケット監視手段がネットワーク内の全てのIPアドレスに対して一定時間間隔毎にARP要求をブロードキャストで送信するとともに、受け取ったARP応答の送信元アドレス情報に基づき前記アクセス制御手段が情報処理端末を特定し、前記アクセス制御手段が前記アクセスポリシーに基づき該情報処理端末とネットワーク上に接続された他の情報処理端末間の通信許可/不許可を判断するとともに、前記通信遮断手段が不許可と判断された情報処理端末間の通信を遮断するための情報を一定時間間隔毎に繰返して送信することを特徴とする請求項1に記載のネットワークセキュリティ監視装置。
  4. 請求項1乃至請求項3に記載のネットワークセキュリティ監視装置において、前記通信遮断手段が、不許可と判断された情報処理端末CXと情報処理端末{C1,C2,・・・,CN}(1≦N≦ネットワーク内の情報処理端末数)間の通信を遮断するために、情報処理端末CXに対して情報処理端末{C1,C2,・・・, CN}のMACアドレスとして偽りのMACアドレスを有するARP応答を一定時間間隔毎に繰返して送信するとともに、情報処理端末{C1, C2,・・・, CN}に対しても情報処理端末CXのMACアドレスとして偽りのMACアドレスを有するARP応答を一定時間間隔毎に繰返して送信することを特徴とする請求項1乃至請求項3に記載のネットワークセキュリティ監視装置。
  5. 請求項2乃至請求項4に記載のネットワークセキュリティ監視装置において、情報処理端末C1と情報処理端末C2間の通信許可/不許可を規定するアクセスポリシーが許可から不許可に変更された時に、前記通信遮断手段が情報処理端末C1に対して情報処理端末C2のMACアドレスとして偽りのMACアドレスを有するARP応答を一定時間間隔毎に繰返して送信するとともに、情報処理端末C2に対して情報処理端末C1のMACアドレスとして偽りのMACアドレスを有するARP応答を一定時間間隔毎に繰返して送信する手段を有することを特徴とする請求項2乃至請求項4に記載のネットワークセキュリティ監視装置。
  6. 請求項2乃至請求項4に記載のネットワークセキュリティ監視装置において、情報処理端末C1と情報処理端末C2間の通信許可/不許可を規定するアクセスポリシーが不許可から許可に変更された時に、前記通信遮断手段が情報処理端末C1,C2間の通信を遮断するための情報を一定時間間隔毎に繰返して送信することを停止するとともに、情報処理端末C1に対して情報処理端末C2の正しいMACアドレスを有するARP応答を送信し、情報処理端末C2に対して情報処理端末C1の正しいMACアドレスを有するARP応答を送信する手段を有することを特徴とする請求項2乃至請求項4に記載のネットワークセキュリティ監視装置。
  7. 請求項2乃至請求項4に記載のネットワークセキュリティ監視装置において、不許可と判断された情報処理端末CXがネットワーク外部の情報処理端末と接続しようとしている場合、前記通信遮断手段が情報処理端末CXに対して中継装置のMACアドレスとして偽りのMACアドレスを有するARP応答を一定時間間隔毎に繰返して送信するとともに、ネットワーク内の全ての中継装置に対して情報処理端末CXのMACアドレスとして偽りのMACアドレスを有するARP応答を一定時間間隔毎に繰返して送信することを特徴とする請求項2乃至請求項4に記載のネットワークセキュリティ監視装置。
  8. 請求項1乃至請求項7に記載のネットワークセキュリティ監視装置において、前記ポリシー管理手段はネットワーク内の情報処理端末のMACアドレス/IPアドレスの他に、ソフトウエア更新履歴情報ならびに接続状況などの情報を保持するとともに、前記の情報に基づき情報処理端末間の通信許可/不許可を判断するためのアクセスポリシーを管理することを特徴とする請求項1乃至請求項7に記載のネットワークセキュリティ監視装置。
  9. 一つまたは複数のセグメントで構成されるネットワークにおいて、請求項1乃至請求項8に記載のネットワークセキュリティ監視装置をセグメント毎に配置するとともに、セグメント内のセキュリティ管理をするネットワークセキュリティ監視装置がアクセスポリシーで不許可と定義された情報処理端末間の通信を遮断し、許可と定義された情報処理端末間の通信可能状態を保持することを特徴とするネットワークセキュリティ監視システム。
  10. 請求項9に記載のネットワークセキュリティ監視システムに、ネットワーク全体のアクセスポリシーを一元管理するセキュリティマネージャ装置を備え、該マネージャ装置から最新のポリシー情報を各セグメントに配置されたネットワークセキュリティ監視装置にタイムリーに配布するとともに、セグメント内のセキュリティ管理をするネットワークセキュリティ監視装置がアクセスポリシーで不許可と定義された情報処理端末間の通信を遮断し、許可と定義された情報処理端末間の通信可能状態を保持することを特徴とするネットワークセキュリティ監視システム。
  11. 請求項1乃至請求項8に記載のネットワークセキュリティ監視装置において、ネットワーク上に接続された全ての情報処理端末と通信許可された情報処理端末An(n:1以上の自然数)のIPアドレス{IP-An1, IP-An2,・・・, IP-Ani}(i:1以上の自然数)及びMACアドレス{MAC-An1, MAC-An2,・・・, MAC-Anj}(j:1以上の自然数)を有する通信許可リストを保持し、前記アクセス制御手段は、前記パケット監視手段から受け取ったARPパケットの中から該ARPパケットの送信元IPアドレスが前記通信許可リストに登録されたIPアドレスと同じであるARPパケットを抽出するとともに、該IPアドレスから情報処理端末Ak(k:1以上の自然数)を特定し、該ARPパケットの送信元MACアドレスが前記通信許可リストに登録された情報処理端末AkのMACアドレスと異なる場合に、該ARPパケットを不正に通信遮断を行う攻撃と判断するとともに、
    (1) 不正に通信遮断を行う攻撃パケットを検出した旨のアラームを発信する
    (2) 該ARPパケットの送信先IPアドレスの情報処理端末Bに対して情報処理端末Akの正しいMACアドレスを有するARPパケットを送信する
    ことを特徴とする請求項1乃至請求項8に記載のネットワークセキュリティ監視装置。
  12. 請求項1乃至請求項8に記載のネットワークセキュリティ監視装置において、ネットワーク上に接続された全ての情報処理端末と通信許可された情報処理端末An(n:1以上の自然数)のIPアドレス{IP-An1, IP-An2,・・・, IP-Ani}(i:1以上の自然数)及びMACアドレス{MAC-An1, MAC-An2,・・・, MAC-Anj}(j:1以上の自然数)を有する通信許可リストを保持し、前記アクセス制御手段は、前記パケット監視手段から受け取ったARPパケットの中から該ARPパケットの送信先IPアドレスが前記通信許可リストに登録されたIPアドレスと同じであるARPパケットを抽出するとともに、該IPアドレスから情報処理端末Ak(k:1以上の自然数)を特定し、さらに該ARPパケットの送信元IPアドレスから情報処理端末Bを特定し、該ARPパケットの送信元MACアドレスが前記アクセスポリシーに登録された情報処理端末BのMACアドレスと異なる場合に、該ARPパケットを不正に通信遮断を行う攻撃と判断するとともに、
    (1) 不正に通信遮断を行う攻撃パケットを検出した旨のアラームを発信する
    (2) 情報処理端末Akに対して情報処理端末Bの正しいMACアドレスを有するARPパケットを送信する
    ことを特徴とする請求項1乃至請求項8に記載のネットワークセキュリティ監視装置。
  13. 請求項1乃至請求項8に記載のネットワークセキュリティ監視装置において、前記アクセスポリシーに基づき不許可と判断された情報処理端末間の通信を遮断するために、該情報処理端末に対して偽りのMACアドレス(FMAC)を有するARPパケットを送信する時に、FMACは複数の入力パラメータを用いて一方向関数genFMACにより生成されるとともに、前記アクセス制御手段は、前記パケット監視手段から受け取ったARPパケットの中から、偽りのMACアドレスを有するARPパケットを抽出し、該MACアドレスが前記一方向関数genFMACを用いて生成したFMACと異なる場合に、該ARPパケットを不正に通信遮断を行う攻撃と判断し、不正に通信遮断を行う攻撃パケットを検出した旨のアラームを発信することを特徴とする請求項1乃至請求項8に記載のネットワークセキュリティ監視装置。
  14. 請求項9乃至請求項10に記載のネットワークセキュリティ監視システムにおいて、請求項11乃至請求項13に記載のネットワークセキュリティ監視装置をセグメント毎に配置し、該ネットワークセキュリティ監視装置がセグメント内で不正に通信遮断を行う攻撃を検出した場合にアラームを発信するとともに、不正に通信遮断された情報処理端末間の通信を通信可能状態に復旧することを特徴とするネットワークセキュリティ監視システム。
JP2009531199A 2007-09-07 2008-08-28 ネットワークセキュリティ監視装置ならびにネットワークセキュリティ監視システム Active JP4777461B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009531199A JP4777461B2 (ja) 2007-09-07 2008-08-28 ネットワークセキュリティ監視装置ならびにネットワークセキュリティ監視システム

Applications Claiming Priority (6)

Application Number Priority Date Filing Date Title
JP2007232894 2007-09-07
JP2007232894 2007-09-07
JP2008088007 2008-03-28
JP2008088007 2008-03-28
PCT/JP2008/065439 WO2009031453A1 (ja) 2007-09-07 2008-08-28 ネットワークセキュリティ監視装置ならびにネットワークセキュリティ監視システム
JP2009531199A JP4777461B2 (ja) 2007-09-07 2008-08-28 ネットワークセキュリティ監視装置ならびにネットワークセキュリティ監視システム

Publications (2)

Publication Number Publication Date
JPWO2009031453A1 true JPWO2009031453A1 (ja) 2010-12-16
JP4777461B2 JP4777461B2 (ja) 2011-09-21

Family

ID=40428774

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009531199A Active JP4777461B2 (ja) 2007-09-07 2008-08-28 ネットワークセキュリティ監視装置ならびにネットワークセキュリティ監視システム

Country Status (3)

Country Link
US (1) US8819764B2 (ja)
JP (1) JP4777461B2 (ja)
WO (1) WO2009031453A1 (ja)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8510801B2 (en) * 2009-10-15 2013-08-13 At&T Intellectual Property I, L.P. Management of access to service in an access point
JP5395036B2 (ja) * 2010-11-12 2014-01-22 日立オートモティブシステムズ株式会社 車載ネットワークシステム
KR101563413B1 (ko) 2011-03-17 2015-10-26 닛본 덴끼 가부시끼가이샤 통신 시스템, 기지국, 사이버 공격 대처 방법
JP5701715B2 (ja) * 2011-08-12 2015-04-15 株式会社東芝 エネルギー管理装置、電力管理システムおよびプログラム
JP5987627B2 (ja) * 2012-10-22 2016-09-07 富士通株式会社 不正アクセス検出方法、ネットワーク監視装置及びプログラム
JP5920169B2 (ja) * 2012-10-22 2016-05-18 富士通株式会社 不正コネクション検出方法、ネットワーク監視装置及びプログラム
TWI506472B (zh) * 2014-03-12 2015-11-01 Hon Hai Prec Ind Co Ltd 網路設備及其防止位址解析協定報文攻擊的方法
US9761123B2 (en) * 2014-03-27 2017-09-12 Honeywell International Inc. System and method for identifying alarm system problems
WO2016148641A1 (en) * 2015-03-18 2016-09-22 Certis Cisco Security Pte Ltd System and method for information security threat disruption via a border gateway
WO2019028293A1 (en) * 2017-08-02 2019-02-07 CipherTooth, Inc. DETECTION OF INTERCEPTOR ATTACKS ON A LOCAL NETWORK
US11394599B2 (en) 2018-03-12 2022-07-19 Cyber Solutions Inc. System for estimating contact duration between a pair of communication apparatuses
US10938772B2 (en) * 2019-02-25 2021-03-02 Ambit Microsystems (Shanghai) Ltd. Access device for analysis of physical links and method thereof
JP7232121B2 (ja) * 2019-05-10 2023-03-02 アズビル株式会社 監視装置および監視方法
US11050650B1 (en) * 2019-05-23 2021-06-29 Juniper Networks, Inc. Preventing traffic outages during address resolution protocol (ARP) storms
US10762773B1 (en) 2019-08-19 2020-09-01 Ademco Inc. Systems and methods for building and using a false alarm predicting model to determine whether to alert a user and/or relevant authorities about an alarm signal from a security system
RU2748745C1 (ru) * 2020-07-14 2021-05-31 федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Способ контроля и управления информационной безопасностью узлов сети передачи данных
US20220231990A1 (en) * 2021-01-20 2022-07-21 AVAST Software s.r.o. Intra-lan network device isolation
TWI821633B (zh) * 2021-01-22 2023-11-11 飛泓科技股份有限公司 網路終端設備隔離認證方法
CN113507476B (zh) * 2021-07-15 2023-07-07 北京融汇画方科技有限公司 针对arp欺骗攻击的防御方法、系统、设备及存储介质
KR102472556B1 (ko) * 2021-12-23 2022-11-30 주식회사 엠엘소프트 네트워크시스템 및 네트워크시스템에서 수행하는 클라이언트 사이의 횡적이동을 통한 공격을 차단하기 위한 방법
CN114598675A (zh) * 2022-01-20 2022-06-07 北京北信源软件股份有限公司 基于arp实现主机阻断的控制方法、装置、设备及介质

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001211180A (ja) * 2000-01-26 2001-08-03 Nec Commun Syst Ltd クライアント認証機能付きdhcpサーバ、及びその認証方法
JP3534305B2 (ja) * 2000-02-29 2004-06-07 日本電気株式会社 アドレス解決プロトコルを用いたipアドレス重複検出方法
US7134012B2 (en) * 2001-08-15 2006-11-07 International Business Machines Corporation Methods, systems and computer program products for detecting a spoofed source address in IP datagrams
JP2004185498A (ja) * 2002-12-05 2004-07-02 Matsushita Electric Ind Co Ltd アクセス制御装置
JP4174392B2 (ja) * 2003-08-28 2008-10-29 日本電気株式会社 ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置
US20050198242A1 (en) * 2004-01-05 2005-09-08 Viascope Int. System and method for detection/interception of IP collision
JP4245486B2 (ja) * 2004-01-08 2009-03-25 富士通株式会社 ネットワーク不正接続防止方法及び装置
US7623518B2 (en) * 2004-04-08 2009-11-24 Hewlett-Packard Development Company, L.P. Dynamic access control lists
US20060193328A1 (en) * 2005-02-25 2006-08-31 Ramana Rao Network address filter including random access memory
US8107396B1 (en) * 2006-07-24 2012-01-31 Cisco Technology, Inc. Host tracking in a layer 2 IP ethernet network
EP2103075A1 (en) * 2006-12-22 2009-09-23 Telefonaktiebolaget LM Ericsson (PUBL) Preventing spoofing
CN101309165B (zh) * 2007-05-14 2012-04-04 华为技术有限公司 信息报告的控制方法、装置和设备

Also Published As

Publication number Publication date
JP4777461B2 (ja) 2011-09-21
US8819764B2 (en) 2014-08-26
WO2009031453A1 (ja) 2009-03-12
US20100242084A1 (en) 2010-09-23

Similar Documents

Publication Publication Date Title
JP4777461B2 (ja) ネットワークセキュリティ監視装置ならびにネットワークセキュリティ監視システム
US20220231987A1 (en) Network anti-tampering system
JP4327630B2 (ja) インターネット・プロトコルを用いたストレージエリア・ネットワーク・システム、セキュリティ・システム、セキュリティ管理プログラム、ストレージ装置
RU2507702C2 (ru) Способ аутентификации без дублирования учетных данных пользователей, принадлежащих к различным организациям
US20050283831A1 (en) Security system and method using server security solution and network security solution
KR101910605B1 (ko) 무선 단말의 네트워크 접속 제어 시스템 및 방법
CN103413083B (zh) 单机安全防护系统
US20010014912A1 (en) Distributed security system for a communication network
WO2003030001A1 (en) Anti-virus policy enforcement system and method
JPWO2007116605A1 (ja) 通信端末装置、ルール配布装置およびプログラム
CN105262738A (zh) 一种路由器及其防arp攻击的方法
KR100789504B1 (ko) 통신 방법, 통신 네트워크에 대한 침입 방지 방법 및 침입시도 검출 시스템
JP5134141B2 (ja) 不正アクセス遮断制御方法
JP2006287299A (ja) ネットワーク管理方法および装置並びに管理プログラム
US20040158643A1 (en) Network control method and equipment
KR101039092B1 (ko) IPv6 네트워크 내 호스트 보호 및 격리방법
JP2001313640A (ja) 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体
KR100478535B1 (ko) Dhcp를 이용한 인증받지 않은 사용자의 인터넷 및네트워크 접속 방지 시스템과 그의 방법
JP2003258795A (ja) コンピュータ集合体運用方法及びその実施システム並びにその処理プログラム
KR20180103487A (ko) 네트워크 접속 제어 시스템 및 방법
JP2004062416A (ja) 不正アクセス防止方法、セキュリティポリシーダウンロード方法、pc、およびポリシーサーバ
JP4767683B2 (ja) 中継装置、不正アクセス防止装置、およびアクセス制御プログラム
CN115834205A (zh) 一种监控系统违规外联告警系统
CN100484132C (zh) 一种防范网际协议以太网中假冒主机的方法
JP5393286B2 (ja) アクセス制御システム、アクセス制御装置及びアクセス制御方法

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110622

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110629

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4777461

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140708

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250