JPWO2020054818A1 - 通信制御装置 - Google Patents
通信制御装置 Download PDFInfo
- Publication number
- JPWO2020054818A1 JPWO2020054818A1 JP2020546203A JP2020546203A JPWO2020054818A1 JP WO2020054818 A1 JPWO2020054818 A1 JP WO2020054818A1 JP 2020546203 A JP2020546203 A JP 2020546203A JP 2020546203 A JP2020546203 A JP 2020546203A JP WO2020054818 A1 JPWO2020054818 A1 JP WO2020054818A1
- Authority
- JP
- Japan
- Prior art keywords
- attack
- client
- communication control
- data
- processor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 201
- 238000003384 imaging method Methods 0.000 description 17
- 238000007726 management method Methods 0.000 description 13
- 230000006870 function Effects 0.000 description 11
- 238000000034 method Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 238000012546 transfer Methods 0.000 description 6
- 238000013500 data storage Methods 0.000 description 5
- 241000700605 Viruses Species 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 238000013473 artificial intelligence Methods 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 238000010248 power generation Methods 0.000 description 2
- 230000009385 viral infection Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000004378 air conditioning Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/40—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y40/00—IoT characterised by the purpose of the information processing
- G16Y40/50—Safety; Security of things, users, data or systems
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
Abstract
攻撃に関する情報をクライアント装置から取得することができる通信制御装置を提供する。実施形態によれば、装置とネットワークとの間に接続される通信制御装置であって、第1の通信部と、第2の通信部と、制御部と、を備える。第1の通信部は、前記装置とデータを送受信する。第2の通信部は、前記ネットワークとデータを送受信する。制御部は、前記第1の通信部を通じて前記装置からデータを受信し、前記データに基づいて、前記装置が攻撃されているかを判定し、前記装置が攻撃されていると判定すると、前記ネットワークとの通信を遮断し、前記第1の通信部を通じて前記装置から前記装置への攻撃に関する攻撃情報を取得する。
Description
本発明の実施形態は、通信制御装置に関する。
通信制御装置には、IoT機器などのクライアント装置とインターネットなどのネットワークとの間の通信を中継するものがある。そのような通信制御装置には、クライアント装置がウイルス感染などの攻撃を受けたことを検知した場合、ネットワークとの通信を遮断する。
従来、通信制御装置は、攻撃に関する情報をクライアント装置から取得することができないという課題がある。
上記の課題を解決するため、攻撃に関する情報をクライアント装置から取得することができる通信制御装置を提供する。
実施形態によれば、装置とネットワークとの間に接続される通信制御装置であって、第1の通信部と、第2の通信部と、制御部と、を備える。第1の通信部は、前記装置とデータを送受信する。第2の通信部は、前記ネットワークとデータを送受信する。制御部は、前記第1の通信部を通じて前記装置からデータを受信し、前記データに基づいて、前記装置が攻撃されているかを判定し、前記装置が攻撃されていると判定すると、前記ネットワークとの通信を遮断し、前記第1の通信部を通じて前記装置から前記装置への攻撃に関する攻撃情報を取得する。
以下、実施形態に係る通信制御システムについて図面を参照して説明する。
図1は、実施形態の通信制御システム1の構成例を示す図である。通信制御システム1は、クライアント装置10(10−1〜10−N)と、サーバ装置20と、クライアント側通信制御装置30(30−1〜30−N)と、サーバ側通信制御装置40と、通信制御管理装置50と、ネットワーク60と、ゲートウェイ70と、を備える。
なお、通信制御システム1は、図1が示すような構成の他に必要に応じた構成を具備したり、通信制御システム1から特定の構成が除外されたりしてもよい。
以下の説明においては、ネットワーク60と、ネットワーク60とクライアント装置10等とを接続するゲートウェイ70と、をまとめて「ネットワークNW」とも称する。
クライアント装置10は、クライアント側通信制御装置30を介してネットワークNWと接続する。クライアント装置10は、ネットワークNWを介してサーバ装置20などとデータを送受信する。クライアント装置10については後述する。
サーバ装置20は、サーバ側通信制御装置40を介してネットワークNWと接続する。
サーバ装置20は、クライアント装置10を管理する。たとえば、サーバ装置20は、クライアント装置10へ種々のコマンドを送信する。また、サーバ装置20は、クライアント装置10から種々のデータを受信する。サーバ装置20については後述する。
サーバ装置20は、クライアント装置10を管理する。たとえば、サーバ装置20は、クライアント装置10へ種々のコマンドを送信する。また、サーバ装置20は、クライアント装置10から種々のデータを受信する。サーバ装置20については後述する。
クライアント側通信制御装置30は、クライアント装置10とネットワークNWとの間に接続され、クライアント装置10とサーバ装置20との間の通信を仲介する。クライアント側通信制御装置30は、クライアント装置10によりサーバ装置20に対して送信されるデータを取得し、取得したデータをサーバ装置20に対して出力する。なお、クライアント側通信制御装置30は、サーバ装置20に対してデータを送信する際に、クライアント装置10から取得したデータを暗号化し、暗号化したデータをサーバ装置20に対して送信してもよい。
また、クライアント側通信制御装置30は、サーバ装置20によりクライアント装置10に対して送信されるデータを取得し、取得したデータをクライアント装置10に対して出力する。たとえば、クライアント側通信制御装置30が取得するデータは、暗号化されたデータであってもよい。この場合、クライアント側通信制御装置30は、クライアント装置10にデータを出力する際に、サーバ装置20からサーバ側通信制御装置40を介して取得したデータを復号し、復号したデータをクライアント装置10に出力する。
サーバ側通信制御装置40は、サーバ装置20とネットワークNWとの間に接続され、クライアント装置10とサーバ装置20との間の通信を仲介する。サーバ側通信制御装置40は、サーバ装置20によりクライアント装置10に対して送信されるデータを取得し、取得したデータをクライアント装置10に対して送信する。なお、サーバ側通信制御装置40は、クライアント装置10に対してデータを送信する際に、サーバ装置20から取得したデータを暗号化し、暗号化したデータをクライアント装置10に対して送信してもよい。
また、サーバ側通信制御装置40は、クライアント装置10によりサーバ装置20に対して送信されるデータを取得し、取得したデータをサーバ装置20に対して出力する。たとえば、サーバ側通信制御装置40が取得するデータは、暗号化されたデータであってもよい。この場合、サーバ側通信制御装置40は、サーバ装置20にデータを出力する際に、クライアント装置10からクライアント側通信制御装置30を介して取得したデータを復号し、復号したデータをサーバ装置20に出力する。
実施形態において、たとえば、クライアント側通信制御装置30及びサーバ側通信制御装置40は、SSL(Secure Socket Layer)/TLS(Transport Layer Security)のプロトコルによってデータを暗号化する。たとえば、クライアント側通信制御装置30及びサーバ側通信制御装置40は、SSL/TLSプロトコルを、HTTPと組み合わせることで、HTTPに含まれるデータを暗号化し、安全性を向上させたHTTPS(HTTP Secure)として送信する。
なお、クライアント側通信制御装置30及びサーバ側通信制御装置40が行うデータの暗号化は、HTTPをHTTPSとすることに限定されない。クライアント側通信制御装置30及びサーバ側通信制御装置40は、SSL/TLSプロトコルを種々の通信プロトコルと組み合わせることにより、安全性を向上させたセキュアな通信プロトコルに置き換えてもよい。例えば、クライアント側通信制御装置30及びサーバ側通信制御装置40は、FTP(File Transfer Protocol)をFTPS(FTP Secure)に置き換えてもよい。
通信制御管理装置50は、クライアント側通信制御装置30及びサーバ側通信制御装置40などを管理する。たとえば、通信制御管理装置50は、クライアント側通信制御装置30に対し、クライアント証明書及び秘密鍵などを発行する。また、通信制御管理装置50は、サーバ側通信制御装置40に対し、サーバ証明書及び秘密鍵などを発行する。
次に、クライアント装置10及びサーバ装置20の構成について説明する。たとえば、クライアント装置10とサーバ装置20とは、社会インフラシステムを構築する構成要素(コンポーネント)である。社会インフラとは、例えば、道路交通網、発電設備、配送電設備、水処理設備、又はガス配給設備等、社会基盤を整えるために必要な設備である。社会インフラシステムとは、例えば、社会インフラを監視し、状況の変化を把握し、その変化に対応することにより、社会インフラを安定的に動作させる仕組みである。以下においては、クライアント装置10とサーバ装置20とは、道路や公共設備などを監視する監視システムのコンポーネントである場合を例に説明する。この場合、クライアント装置10は、道路の状況等が撮像された撮像データを、ネットワークNWを介して送信する装置(ネットワーク監視カメラ)である。サーバ装置20は、クライアント装置10により送信された撮像データを、ネットワークNWを介して受信する装置である。
なお、クライアント装置10とサーバ装置20とは、監視システムのコンポーネントに限定されることはない。例えば、クライアント装置10とサーバ装置20とは、発電設備又は配送電設備における電力状況をモニタリングするシステムのコンポーネントであってもよい。また、クライアント装置10とサーバ装置20とは、物流センタにおける配送状況を取得するシステム、又は、工場若しくは研究機関における設備の稼働状況を取得するシステム等のコンポーネントであってもよい。
クライアント装置10とサーバ装置20とが用いられるシステム又はクライアント装置10とサーバ装置20との機能は、特定の構成に限定されるものではない。
次に、クライアント装置10及びサーバ装置20について説明する。
図2は、クライアント装置10及びサーバ装置20の構成例を示すブロック図である。
図2は、クライアント装置10及びサーバ装置20の構成例を示すブロック図である。
図2が示すように、クライアント装置10は、ネットワーク通信部11と、クライアント制御部12と、撮像部13とを備える。クライアント制御部12と、ネットワーク通信部11及び撮像部13とは、互いに通信可能に接続する。なお、クライアント装置10は、図2が示すような構成の他に必要に応じた構成を具備したり、クライアント装置10から特定の構成が除外されたりしてもよい。
ネットワーク通信部11は、クライアント側通信制御装置30とデータを送受信するためのインターフェースである。ネットワーク通信部11は、クライアント側通信制御装置30に接続される。ネットワーク通信部11は、クライアント制御部12からサーバ装置20に対して送信されるデータをクライアント側通信制御装置30に出力する。また、ネットワーク通信部11は、クライアント側通信制御装置30からのデータをクライアント制御部12へ出力する。たとえば、ネットワーク通信部11は、LAN接続をサポートする。
クライアント制御部12は、クライアント装置10を統括的に制御する。たとえば、クライアント制御部12は、サーバ装置20からの制御に従い、撮像部13に撮像を開始又は停止させたり、撮像部13に対し撮像するカメラの方向又は撮像する際の倍率等の撮像条件を設定したりする。
クライアント制御部12は、プロセッサなどから構成される。たとえば、クライアント制御部12は、プロセッサ及びメモリなどから構成されてもよい。また、クライアント制御部12は、ASIC(application specific integrated circuit)又はFPGA(field-programmable gate array)などから構成されてもよい。
撮像部13は、クライアント制御部12の指示に従い、所定箇所を撮像する。撮像部13は、撮像したデータ(撮像データ)を、クライアント制御部12に出力する。たとえば、撮像部13は、CCD(Charge Coupled Device)などから構成されるカメラを備える。
なお、クライアント装置10は、撮像部13以外の機器を備えるものであってもよい。
たとえば、クライアント装置10は、種々のセンサ、照明、空調、スピーカ又はマイクなどを備えるものであってもよい。
たとえば、クライアント装置10は、種々のセンサ、照明、空調、スピーカ又はマイクなどを備えるものであってもよい。
また、クライアント装置10は、ディスクトップPC、ノートPC、タブレットPC、スマートフォン又はウェアラブル端末などであってもよい。
クライアント装置10の構成は、特定の構成に限定されるものではない。
クライアント装置10の構成は、特定の構成に限定されるものではない。
図2が示すように、サーバ装置20は、ネットワーク通信部21と、サーバ制御部22と、撮像データ記憶部23とを備える。サーバ制御部22と、ネットワーク通信部21及び撮像データ記憶部23とは、互いに通信可能に接続する。なお、サーバ装置20は、図2が示すような構成の他に必要に応じた構成を具備したり、サーバ装置20から特定の構成が除外されたりしてもよい。
ネットワーク通信部21は、サーバ側通信制御装置40とデータを送受信するためのインターフェースである。ネットワーク通信部21は、サーバ側通信制御装置40に接続される。ネットワーク通信部21は、サーバ装置20からクライアント装置10に対して送信されるデータをサーバ側通信制御装置40に出力する。また、ネットワーク通信部21は、サーバ側通信制御装置40からのデータをサーバ制御部22へ出力する。たとえば、ネットワーク通信部21は、LAN接続をサポートする。
サーバ制御部22は、サーバ装置20を統括的に制御する。たとえば、サーバ制御部22は、クライアント装置10により撮像された撮像データを、撮像データ記憶部23に記憶させる。サーバ制御部22は、プロセッサなどから構成される。たとえば、サーバ制御部22は、プロセッサ及びメモリなどから構成されてもよい。
撮像データ記憶部23は、サーバ制御部22の指示に従い、撮像データを記憶する。撮像データ記憶部23は、HDD(Hard Disk Drive)、SSD(Solid State Drive)、又はフラッシュメモリなどから構成される。
次に、クライアント側通信制御装置30について説明する。
図3は、クライアント側通信制御装置30の構成例を示すブロック図である。
図3は、クライアント側通信制御装置30の構成例を示すブロック図である。
図3に示すように、クライアント側通信制御装置30は、ネットワーク通信部31(第2の通信部)と、プロセッサ32と、装置通信部33(第1の通信部)と、メモリ34とを備える。プロセッサ32と、ネットワーク通信部31及び装置通信部33とは、互いに通信可能に接続する。なお、クライアント側通信制御装置30は、図3が示すような構成の他に必要に応じた構成を具備したり、クライアント側通信制御装置30から特定の構成が除外されたりしてもよい。
ネットワーク通信部31は、ネットワークNWとデータを送受信するためのインターフェースである。ネットワーク通信部31は、ネットワークNWに接続される。ネットワーク通信部31は、ネットワークNWを介して、他のクライアント側通信制御装置30及びサーバ側通信制御装置40と通信を行う。即ち、ネットワーク通信部31は、プロセッサ32からサーバ装置20に対して送信されるデータをネットワークNWに出力する。また、ネットワーク通信部31は、ネットワークNWからのデータをプロセッサ32へ出力する。たとえば、ネットワーク通信部31は、LAN接続をサポートする。
プロセッサ32は、クライアント側通信制御装置30を統括的に制御する。プロセッサ32は、ネットワーク通信部31及び装置通信部33を用いて、クライアント装置10とネットワークNWとの間の通信を仲介する。即ち、プロセッサ32は、装置通信部33を通じてクライアント装置10から受信したデータを、ネットワーク通信部31を通じてネットワークNWへ送信する。また、プロセッサ32は、ネットワーク通信部31を通じて受信したデータを、装置通信部33を通じてクライアント装置10へ送信する。
たとえば、プロセッサ32は、メモリ34などに格納される制御プログラムを実行する。また、プロセッサ32は、ASIC(application specific integrated circuit)又はFPGA(field-programmable gate array)などから構成されてもよい。
装置通信部33は、クライアント装置10とデータを送受信するためのインターフェースである。装置通信部33は、クライアント装置10に接続され、クライアント装置10と通信を行う。即ち、装置通信部33は、プロセッサ32からのデータをクライアント装置10に出力する。また、装置通信部33は、クライアント装置10からのデータをプロセッサ32へ出力する。たとえば、装置通信部33は、LAN接続をサポートする。
メモリ34は、種々のデータを格納する。たとえば、メモリ34は、ROM、RAM及びNVMとして機能する。
たとえば、メモリ34は、制御プログラム及び制御データなどを記憶する。制御プログラム及び制御データは、クライアント側通信制御装置30の仕様に応じて予め組み込まれる。たとえば、制御プログラムは、クライアント側通信制御装置30で実現する機能をサポートするプログラムなどである。
たとえば、メモリ34は、制御プログラム及び制御データなどを記憶する。制御プログラム及び制御データは、クライアント側通信制御装置30の仕様に応じて予め組み込まれる。たとえば、制御プログラムは、クライアント側通信制御装置30で実現する機能をサポートするプログラムなどである。
また、メモリ34は、プロセッサ32の処理中のデータなどを一時的に格納する。また、メモリ34は、アプリケーションプログラムの実行に必要なデータ及びアプリケーションプログラムの実行結果などを格納してもよい。
メモリ34は、ネットワークNWへデータを転送することが許可される通信を示すホワイトリストを予め格納する。たとえば、ホワイトリストは、宛先、宛先のポート、送信元のポート、プロトコル又はそれらの組合せなどから構成される。また、ホワイトリストは、通信が許可される期間などを示すものであってもよい。
また、メモリ34は、攻撃を特定するための攻撃毎の辞書情報を含む攻撃リストを格納する。たとえば、通信制御管理装置50は、攻撃リストをクライアント側通信制御装置30へ送信する。ネットワーク通信部31は、通信制御管理装置50等から送信される攻撃リストを受信する。プロセッサ32は、通信制御管理装置50等から送信される攻撃リストをメモリ34に格納する。たとえば、攻撃リストに含まれる辞書情報は、攻撃(攻撃手法又はウイルスなど)の特徴などを示す情報である。また、辞書情報は、学習によって構築されたAIモデルなどであってもよい。
次に、クライアント側通信制御装置30が実現する機能について説明する。クライアント側通信制御装置30が実現する機能は、プロセッサ32によって実現される。
まず、プロセッサ32は、クライアント装置10からのデータに基づいてクライアント装置10が攻撃されているかを判定する機能を有する。
クライアント装置10は、攻撃者からの攻撃によって不正な動作を行うことがある。たとえば、クライアント装置10は、攻撃者の所持する装置(パソコン又はメモリなど)を接続され、装置から不正なコマンド又はウイルスなどを入力される。クライアント装置10は、不正なコマンド又はウイルス感染などによって不正な動作を行う。また、クライアント装置10は、ネットワークNWからのデータによってウイルスなどに感染することもある。
プロセッサ32は、クライアント装置10からのデータをネットワークNWに中継する際に、クライアント装置10からのデータに基づいてクライアント装置10が攻撃されているかを判定する。
プロセッサ32は、クライアント装置10からのデータを受信すると、メモリ34が格納するホワイトリストを参照してクライアント装置10が攻撃されているかを判定する。
即ち、プロセッサ32は、クライアント装置10からのデータが、ホワイトリストが示す通信以外の通信によって送信される場合、クライアント装置10が攻撃されていると判定する。
即ち、プロセッサ32は、クライアント装置10からのデータが、ホワイトリストが示す通信以外の通信によって送信される場合、クライアント装置10が攻撃されていると判定する。
なお、プロセッサ32は、人工知能によって攻撃されているかを判定してもよい。たとえば、プロセッサ32は、判定用のAIモデルを予め格納し、クライアント装置10からのデータとモデルとをマッチングさせて攻撃されているかを判定してもよい。
クライアント装置10が攻撃されているかを判定する方法は、特定の方法に限定されるものではない。
また、プロセッサ32は、クライアント装置10が攻撃されていると判定すると、ネットワークNWとの通信を遮断する機能を有する。
即ち、プロセッサ32は、クライアント装置10からのデータをネットワークNWへ転送しない。また、プロセッサ32は、ネットワークNWからのデータをクライアント装置10へ転送しない。
また、プロセッサ32は、クライアント装置10とデータを送受信することで、クライアント装置10への攻撃に関する情報(攻撃情報)を取得する機能を有する。
攻撃情報は、攻撃に用いられる攻撃機器固有情報又は通信日時情報などを含む。
攻撃情報は、攻撃に用いられる攻撃機器固有情報又は通信日時情報などを含む。
プロセッサ32は、ネットワークNWへの通信を遮断した後も、クライアント装置10との通信を維持する。プロセッサ32は、クライアント装置10との通信によって種々のデータをクライアント装置10から取得する。
たとえば、プロセッサ32は、所定の情報を取得するためのコマンド(情報取得コマンド)を送信する。情報取得コマンドは、クライアント装置10の状態などを取得する。たとえば、情報取得コマンドは、クライアント装置10の型番又はバージョンなど、クライアント装置10自体に関する情報を取得する。また、情報取得コマンドは、クライアント装置10で動作しているアプリケーション、プロセッサなどの使用率若しくは温度、又は、メモリの使用率など、クライアント装置10の動作に関する情報を取得してもよい。また、情報取得コマンドは、クライアント装置10に接続する機器を示す情報(攻撃機器固有情報)を取得するものであってもよい。たとえば、情報取得コマンドは、攻撃者がクライアント装置10に接続した情報処理装置を示す情報を取得する。
なお、情報取得コマンドが取得する情報は、特定の構成に限定されるものではない。
なお、情報取得コマンドが取得する情報は、特定の構成に限定されるものではない。
プロセッサ32は、情報取得コマンドによって得られた情報を攻撃情報として取得する。なお、プロセッサ32は、複数の情報取得コマンドをクライアント装置10に送信してもよい。
また、プロセッサ32は、攻撃情報を取得するためのセキュリティ上のハニーポットを構築する。たとえば、プロセッサ32は、ハニーポットとして、仮想のプラットフォーム上にシステムを構築する。つまり、ハニーポットは、脆弱性が判明しているOSやアプリケーションをそのまま使用したり、それらのOSをエミュレートした構成を具現化したプログラムを実行して構築することができる。なお、これらのいわゆる高対話型、低対話型に限らず、製品化する時点で知られている様々なタイプのハニーポットを用いることができる。
プロセッサ32は、ハニーポットを通じてクライアント装置10に対してダミーデータを送信する。たとえば、プロセッサ32は、ネットワークNWとの通信が継続しているかのように偽装するダミーデータをクライアント装置10に送信する。
プロセッサ32は、予め設定されたダミーデータをクライアント装置10に送信してもよい。また、プロセッサ32は、人工知能を用いてダミーデータを送信してもよい。たとえば、プロセッサ32は、所定のAIモデルを用いてダミーデータの内容及び順序などを決定してもよい。
プロセッサ32は、クライアント装置10にデータを送信した後に、クライアント装置10の挙動(たとえば、クライアント装置10から送信されるデータなど)を取得する。
プロセッサ32は、クライアント装置10の挙動を示す情報を攻撃情報として取得する。
たとえば、プロセッサ32は、クライアント装置10からのデータの内容又は通信日時などを攻撃情報として取得する。
プロセッサ32は、クライアント装置10の挙動を示す情報を攻撃情報として取得する。
たとえば、プロセッサ32は、クライアント装置10からのデータの内容又は通信日時などを攻撃情報として取得する。
なお、プロセッサ32は、クライアント装置10の挙動によってAIモデルを更新してもよい。
プロセッサ32は、情報取得コマンド及びハニーポットの両者を用いて攻撃情報を取得してもよいし、一方を用いて攻撃情報を取得してもよい。また、プロセッサ32は、他の手法を用いて攻撃情報を取得してもよい。プロセッサ32が攻撃情報を取得する方法は、特定の構成に限定されるものではない。
また、プロセッサ32は、攻撃情報に基づいて攻撃を特定する機能を有する。即ち、プロセッサ32は、攻撃情報に基づいて、クライアント装置10に対する攻撃の攻撃手法又はクライアント装置10に感染しているウイルスなどを特定する。
プロセッサ32は、攻撃情報とメモリ34が格納する攻撃リストに含まれる各辞書情報とをマッチングさせる。プロセッサ32は、マッチングの結果に基づいて、攻撃を特定する。プロセッサ32は、特定された攻撃を示す情報を外部装置に送信してもよい。また、プロセッサ32は、特定された攻撃を示す情報をメモリ34などに格納してもよい。
なお、プロセッサ32は、攻撃を特定できなかった場合には、当該攻撃を特定するための新たな辞書情報を攻撃リストへ格納してもよい。即ち、プロセッサ32は、攻撃が特定されなかった攻撃情報に基づいて、クライアント装置10に対する攻撃の新たな辞書情報を生成し、新たな辞書情報を攻撃リストへ登録する。また、プロセッサ32は、攻撃を特定できた場合でも、攻撃が特定された攻撃情報に基づいて、新たな辞書情報を生成し、新たな辞書情報を攻撃リストへ登録するようにしてもよい。このようにして、プロセッサ32は、攻撃情報の取得に応じて、通信制御管理装置50から送信された攻撃リストへ辞書情報を追加登録し、攻撃リストを更新する。ネットワーク通信部31は、更新される攻撃リストを通信制御管理装置50へ送信する。通信制御管理装置50は、各クライアント側通信制御装置30へ新たな攻撃リストを配信することができる。
また、プロセッサ32は、攻撃を特定できなかった場合には、当該攻撃に関する攻撃情報を通信制御管理装置50に送信してもよい。通信制御管理装置50は、攻撃情報に含まれる攻撃機器固有情報及び通信日時情報等から攻撃の傾向等を分析することができる。
また、プロセッサ32は、攻撃を受けたクライアント装置10を停止させる機能を有する。
たとえば、プロセッサ32は、クライアント装置10に対してシャットダウンさせるコマンドを送信する。
たとえば、プロセッサ32は、クライアント装置10に対してシャットダウンさせるコマンドを送信する。
また、プロセッサ32は、クライアント装置10に対する電力供給を停止させてもよい。たとえば、クライアント側通信制御装置30がPoE(Power of Ethernet(登録商標))でクライアント装置10へ電力を供給している場合、プロセッサ32は、PoEでの電力供給を停止させる。
また、プロセッサ32は、クライアント装置10へ電力を供給している電源部などに対してクライアント装置10への電力供給を停止させるコマンドを送信してもよい。
プロセッサ32がクライアント装置10を停止させる方法は、特定の方法に限定されるものではない。
次に、クライアント側通信制御装置30の動作例について説明する。図4は、クライアント側通信制御装置30の動作例について説明するためのフローチャートである。
まず、クライアント側通信制御装置30のプロセッサ32は、クライアント装置10からデータを受信する(S11)。データを受信すると、プロセッサ32は、データに基づいて、クライアント装置10が攻撃されているかを判定する(S12)。
クライアント装置10が攻撃されていると判定すると(S12、YES)、プロセッサ32は、ネットワークNWとの通信を遮断する(S13)。ネットワークNWとの通信を遮断すると、プロセッサ32は、クライアント装置10から攻撃情報を取得する(S14)。
攻撃情報の取得に成功すると(S15、YES)、プロセッサ32は、攻撃情報と攻撃リストに含まれる辞書情報とをマッチングする(S16)。攻撃情報と辞書情報とをマッチングすると、プロセッサ32は、攻撃を特定できたか判定する(S17)。
攻撃を特定できないと判定すると(S17、NO)、プロセッサ32は、攻撃情報に基づいて、新たに辞書情報を生成し、新たな辞書情報を攻撃リストへ登録する(S18)。
攻撃を特定できたと判定した場合(S17、YES)、又は、新たな辞書情報を攻撃リストへ登録した場合(S18)、プロセッサ32は、クライアント装置10を停止させる(S19)。
攻撃を特定できたと判定した場合(S17、YES)、又は、新たな辞書情報を攻撃リストへ登録した場合(S18)、プロセッサ32は、クライアント装置10を停止させる(S19)。
クライアント装置10が攻撃されていないと判定すると(S12、NO)、プロセッサ32は、通常の動作を行う(S20)。即ち、プロセッサ32は、クライアント装置10からのデータをネットワークNWへ転送する。
クライアント装置10を停止させた場合(S19)、又は、通常の動作を行った場合(S20)、プロセッサ32は、動作を終了する。
なお、プロセッサ32は、攻撃情報を取得した後にクライアント装置10を停止させてもよい。
また、通信制御システム1は、各クライアント側通信制御装置30で更新された攻撃リストを共有することにより対攻撃性能の向上を図ることができる。上記したように、通信制御管理装置50は、各クライアント側通信制御装置30から送信される攻撃リストを分析して新たな攻撃リストを生成し、新たな攻撃リストを各クライアント側通信制御装置30へ配信する。クライアント側通信制御装置30は、他のクライアント側通信制御装置30が受けた攻撃の分析結果を利用して生成された新たな攻撃リストを参照し、攻撃を特定しクライアント装置10を停止させるなどの対応を取ることができる。
また、サーバ側通信制御装置40は、クライアント側通信制御装置30の機能を有するものであってもよい。この場合、サーバ側通信制御装置40は、サーバ装置20に対してクライアント側通信制御装置30の動作と同様の動作を行う。
また、クライアント側通信制御装置30は、複数のクライアント装置10とネットワークNWとの間の通信を仲介してもよい。この場合、クライアント側通信制御装置30は、各クライアント装置10に対して同様の動作を行う。
以上のように構成されたクライアント側通信制御装置は、クライアント装置が攻撃されていると判定すると、ネットワークとの通信を遮断する。その結果、クライアント側通信制御装置は、クライアント装置が不正にデータを外部に送信することを防止することができる。
また、クライアント側通信制御装置は、ネットワークとの通信を遮断するが、クライアント装置との通信を維持する。クライアント側通信制御装置は、維持している通信を用いてクライアント装置から種々のデータを取得する。その結果、クライアント側通信制御装置は、不正なデータ通信を遮断しつつ、攻撃に関する攻撃情報を取得することができる。
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
Claims (8)
- 装置とネットワークとの間に接続される通信制御装置であって、
前記装置とデータを送受信する第1の通信部と、
前記ネットワークとデータを送受信する第2の通信部と、
前記第1の通信部を通じて前記装置からデータを受信し、
前記データに基づいて、前記装置が攻撃されているかを判定し、
前記装置が攻撃されていると判定すると、前記ネットワークとの通信を遮断し、前記第1の通信部を通じて前記装置から前記装置への攻撃に関する攻撃情報を取得する、
制御部と、
を備える通信制御装置。 - 前記制御部は、前記第1の通信部を通じて情報取得コマンドを送信することで前記攻撃情報を取得する、
前記請求項1に記載の通信制御装置。 - 前記制御部は、前記情報取得コマンドを送信することで前記装置に接続する機器を示す情報を含む前記攻撃情報を取得する、
前記請求項2に記載の通信制御装置。 - 前記制御部は、前記攻撃情報を取得するためのセキュリティ上のハニーポットを構築する、
前記請求項1乃至3の何れか1項に記載の通信制御装置。 - 前記制御部は、ハニーポットを通じてダミーデータを前記装置に送信する、
前記請求項4に記載の通信制御装置。 - 前記制御部は、前記攻撃情報及び攻撃リストに基づいて、前記装置への攻撃を特定する、
前記請求項1乃至5の何れか1項に記載の通信制御装置。 - 前記制御部は、前記装置への攻撃を特定できない場合、前記攻撃情報に基づく辞書情報を前記攻撃リストへ登録する、
前記請求項6に記載の通信制御装置。 - 前記制御部は、前記攻撃情報を取得した後に前記装置を停止させる、
前記請求項1乃至7の何れか1項に記載の通信制御装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018172126 | 2018-09-14 | ||
| JP2018172126 | 2018-09-14 | ||
| PCT/JP2019/035962 WO2020054818A1 (ja) | 2018-09-14 | 2019-09-12 | 通信制御装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2020054818A1 true JPWO2020054818A1 (ja) | 2021-04-30 |
| JP7068482B2 JP7068482B2 (ja) | 2022-05-16 |
Family
ID=69777076
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020546203A Active JP7068482B2 (ja) | 2018-09-14 | 2019-09-12 | 通信制御システム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20210144175A1 (ja) |
| EP (1) | EP3852346A4 (ja) |
| JP (1) | JP7068482B2 (ja) |
| SG (1) | SG11202100631VA (ja) |
| WO (1) | WO2020054818A1 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11681804B2 (en) * | 2020-03-09 | 2023-06-20 | Commvault Systems, Inc. | System and method for automatic generation of malware detection traps |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002342276A (ja) * | 2001-05-17 | 2002-11-29 | Ntt Data Corp | ネットワーク侵入検知システムおよびその方法 |
| WO2004075056A1 (ja) * | 2003-02-21 | 2004-09-02 | National Institute Of Advanced Industrial Science And Technology | ウイルスチェック装置及びシステム |
| WO2006043310A1 (ja) * | 2004-10-19 | 2006-04-27 | Fujitsu Limited | 不正アクセスプログラム監視処理方法、不正アクセスプログラム検出プログラムおよび不正アクセスプログラム対策プログラム |
| JP2006319982A (ja) * | 2005-05-10 | 2006-11-24 | At & T Corp | 通信ネットワーク内ワーム特定及び不活化方法及び装置 |
| JP2012014437A (ja) * | 2010-06-30 | 2012-01-19 | Nippon Telegr & Teleph Corp <Ntt> | データ転送装置及びアクセス解析方法 |
| JP2012023686A (ja) * | 2010-07-16 | 2012-02-02 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク監視方法及びシステム及び装置及びプログラム |
| JP2013009185A (ja) * | 2011-06-24 | 2013-01-10 | Nippon Telegr & Teleph Corp <Ntt> | 通信監視システム及び方法及び通信監視装置及び仮想ホスト装置及び通信監視プログラム |
| JP2013085124A (ja) * | 2011-10-11 | 2013-05-09 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃情報管理システム、攻撃情報管理装置、攻撃情報管理方法及びプログラム |
| JP2015026182A (ja) * | 2013-07-25 | 2015-02-05 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | セキュリティサービス効果表示システム、セキュリティサービス効果表示方法、及びセキュリティサービス効果表示プログラム |
| JP2015176579A (ja) * | 2014-03-18 | 2015-10-05 | 株式会社エヌ・ティ・ティ・データ | 通信制御装置、通信制御方法、及びプログラム |
| JP2016152594A (ja) * | 2015-02-19 | 2016-08-22 | 富士通株式会社 | ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム |
| JP2017091280A (ja) * | 2015-11-12 | 2017-05-25 | 富士通株式会社 | 監視方法および監視システム |
| JP2018073397A (ja) * | 2016-10-27 | 2018-05-10 | 国立大学法人 名古屋工業大学 | 通信装置 |
| WO2018159361A1 (ja) * | 2017-03-03 | 2018-09-07 | 日本電信電話株式会社 | 攻撃パターン抽出装置、攻撃パターン抽出方法および攻撃パターン抽出プログラム |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120023572A1 (en) * | 2010-07-23 | 2012-01-26 | Q-Track Corporation | Malicious Attack Response System and Associated Method |
| US7748040B2 (en) * | 2004-07-12 | 2010-06-29 | Architecture Technology Corporation | Attack correlation using marked information |
| WO2008001972A1 (en) * | 2006-06-26 | 2008-01-03 | The Industry & Academic Cooperation In Chungnam National University | Method for proactively preventing wireless attacks and apparatus thereof |
| JP6129523B2 (ja) | 2012-11-19 | 2017-05-17 | 株式会社東芝 | 通信装置およびプログラム |
| US10637888B2 (en) * | 2017-08-09 | 2020-04-28 | Sap Se | Automated lifecycle system operations for threat mitigation |
| US10887346B2 (en) * | 2017-08-31 | 2021-01-05 | International Business Machines Corporation | Application-level sandboxing |
| JP2019533841A (ja) * | 2017-09-28 | 2019-11-21 | キュービット セキュリティ インコーポレーテッドQubit Security Inc. | ウェブハッキングのリアルタイム検知のためのウェブトラフィックロギングシステム及び方法 |
| US11074370B2 (en) * | 2018-03-09 | 2021-07-27 | Megachips Corporation | Information processing system, information processing device, and method for controlling information processing device |
| US11063967B2 (en) * | 2018-07-03 | 2021-07-13 | The Boeing Company | Network threat indicator extraction and response |
-
2019
- 2019-09-12 WO PCT/JP2019/035962 patent/WO2020054818A1/ja unknown
- 2019-09-12 EP EP19860494.4A patent/EP3852346A4/en active Pending
- 2019-09-12 SG SG11202100631VA patent/SG11202100631VA/en unknown
- 2019-09-12 JP JP2020546203A patent/JP7068482B2/ja active Active
-
2021
- 2021-01-25 US US17/156,849 patent/US20210144175A1/en active Pending
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002342276A (ja) * | 2001-05-17 | 2002-11-29 | Ntt Data Corp | ネットワーク侵入検知システムおよびその方法 |
| WO2004075056A1 (ja) * | 2003-02-21 | 2004-09-02 | National Institute Of Advanced Industrial Science And Technology | ウイルスチェック装置及びシステム |
| WO2006043310A1 (ja) * | 2004-10-19 | 2006-04-27 | Fujitsu Limited | 不正アクセスプログラム監視処理方法、不正アクセスプログラム検出プログラムおよび不正アクセスプログラム対策プログラム |
| JP2006319982A (ja) * | 2005-05-10 | 2006-11-24 | At & T Corp | 通信ネットワーク内ワーム特定及び不活化方法及び装置 |
| JP2012014437A (ja) * | 2010-06-30 | 2012-01-19 | Nippon Telegr & Teleph Corp <Ntt> | データ転送装置及びアクセス解析方法 |
| JP2012023686A (ja) * | 2010-07-16 | 2012-02-02 | Nippon Telegr & Teleph Corp <Ntt> | ネットワーク監視方法及びシステム及び装置及びプログラム |
| JP2013009185A (ja) * | 2011-06-24 | 2013-01-10 | Nippon Telegr & Teleph Corp <Ntt> | 通信監視システム及び方法及び通信監視装置及び仮想ホスト装置及び通信監視プログラム |
| JP2013085124A (ja) * | 2011-10-11 | 2013-05-09 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃情報管理システム、攻撃情報管理装置、攻撃情報管理方法及びプログラム |
| JP2015026182A (ja) * | 2013-07-25 | 2015-02-05 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | セキュリティサービス効果表示システム、セキュリティサービス効果表示方法、及びセキュリティサービス効果表示プログラム |
| JP2015176579A (ja) * | 2014-03-18 | 2015-10-05 | 株式会社エヌ・ティ・ティ・データ | 通信制御装置、通信制御方法、及びプログラム |
| JP2016152594A (ja) * | 2015-02-19 | 2016-08-22 | 富士通株式会社 | ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム |
| JP2017091280A (ja) * | 2015-11-12 | 2017-05-25 | 富士通株式会社 | 監視方法および監視システム |
| JP2018073397A (ja) * | 2016-10-27 | 2018-05-10 | 国立大学法人 名古屋工業大学 | 通信装置 |
| WO2018159361A1 (ja) * | 2017-03-03 | 2018-09-07 | 日本電信電話株式会社 | 攻撃パターン抽出装置、攻撃パターン抽出方法および攻撃パターン抽出プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| SG11202100631VA (en) | 2021-02-25 |
| US20210144175A1 (en) | 2021-05-13 |
| EP3852346A1 (en) | 2021-07-21 |
| EP3852346A4 (en) | 2022-06-08 |
| WO2020054818A1 (ja) | 2020-03-19 |
| JP7068482B2 (ja) | 2022-05-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Tariq et al. | A critical cybersecurity analysis and future research directions for the Internet of Things: A comprehensive review | |
| US10454961B2 (en) | Extracting encryption metadata and terminating malicious connections using machine learning | |
| JP7086327B2 (ja) | アプリケーション間でユーザ情報を安全に転送すること | |
| US10470102B2 (en) | MAC address-bound WLAN password | |
| CN111133427B (zh) | 生成和分析网络配置文件数据 | |
| US20160248734A1 (en) | Multi-Wrapped Virtual Private Network | |
| JP6901850B2 (ja) | コンピュータテストツールとクラウドベースのサーバとの間の安全な通信のためのシステム及び方法 | |
| US20170238236A1 (en) | Mac address-bound wlan password | |
| TW201824899A (zh) | 用於物聯網智能設備的智慧路由系統 | |
| US11245589B2 (en) | IoT topology analyzer defining an IoT topology and associated methods | |
| US11190354B2 (en) | Randomness verification system and method of verifying randomness | |
| US20190207954A1 (en) | Systems and methods for evaluating encrypted data packets in a networked environment | |
| US20170187523A1 (en) | Mobile device management delegate for managing isolated devices | |
| WO2016068941A1 (en) | Secure transactions in a memory fabric | |
| JP6571591B2 (ja) | 端末隔離通知システム | |
| US9888018B1 (en) | Configuration management for network activity detectors | |
| US10122737B1 (en) | Local area network ecosystem of verified computer security resources | |
| JP7068482B2 (ja) | 通信制御システム | |
| US20160050189A1 (en) | End point secured network | |
| WO2019122242A1 (en) | System for securing deployed security cameras | |
| KR20190135185A (ko) | LoRa 통신 디바이스의 실행코드 무결성 검증 장치 및 방법 | |
| CN117397223A (zh) | 物联网设备应用工作负荷捕捉 | |
| US9178855B1 (en) | Systems and methods for multi-function and multi-purpose cryptography | |
| ES2917448T3 (es) | Método y aparato para procesar datos de mensaje | |
| KR101730405B1 (ko) | 네트워크 경로를 관리하는 방법 및 이를 수행하는 네트워크 엔티티 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201027 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210803 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211001 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211207 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220203 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220405 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220428 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7068482 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |