WO2007029396A1 - 情報システム - Google Patents

Abstract

　不正アクセスの検知及び対応を迅速且つ確実に行うことが可能な情報システムを提供する。 　定常運用時におけるトラフィックの特徴を示した指標情報に基づいて、スイッチ１０から送信されたパケット情報に係るトラフィックが異常か否かを判別し、異常と判別したトラフィックに係るスイッチ１０の通信ポートの転送速度を制御する。

Description

明 細 書

†青幸システム 技術分野

[0001] 本発明は、情報システムに関し、特に、ネットワーク上を流れるトラフィックの監視を 行う情報システムに関する。

背景技術

[0002] インターネット等のオープンな情報ネットワークの普及に伴い、悪意ある者による不 正侵入やサービス不能攻撃（Dos Attack: Denial Of Service Attack)等の不正ァクセ ス力 セキュリティ上の問題となっている。従来の情報ネットワークにおいては、上記し たセキュリティ上の問題に対し、ファイアウォール (Firewall)等のアクセス制御を行うこ とが可能な装置をネットワーク経路上に設けることで、不正アクセスを防いでいる（例 えば、特許文献 1参照)。

[0003] 以下、図 10〜図 12を参照して、従来の情報システム 100のネットワーク構成を説明 する。

図 10に示すように、情報システム 100は、内部ネットワーク LANにおいてネットヮー クセグメントを構成し、各端末 20から送信されるパケットを転送するスィッチ 10a、 10b 及び 10cと、内部ネットワーク LANと外部ネットワーク WANとの間におけるパケットの 送受信を制御（アクセスコントロール）するファイアウォール FW、内部ネットワーク LA N、外部ネットワーク WAN間のパケット転送を中継するルータ 30から構成されており 、内部ネットワーク LAN及び外部ネットワーク WANは、ネットワーク Nを介して相互に 通信可能に接続されている。なお、スィッチ内に示された矩形は当該スィッチが有す る物理的な通信ポートを意味しており、矩形内の数値は各ポートを識別するための識 別番号を意味している。

[0004] 図 11は、情報システム 100のファイアウォール FWにより不正アクセスの検知が行わ れる際の動作を示したフローチャートである。

ファイアウォール FWは、外部ネットワーク WAN力 送信されたパケットを受信する と（ステップ S61)、内部ネットワーク LAN—外部ネットワーク WAN間におけるセキュ リティポリシ一が予め規定されたアクセスコントロールテーブル (例えば、送信元及び

Z又は送信先機器の IPアドレスや TCPZUDPポート番号等を対応付けたテーブル )を参照し (ステップ S62)、このパケットに係る一連のトラフィックが許可されたものか 否かを判定する (ステップ S63)。ここで、許可されていない異常な通信と判定した場 合には (ステップ S13 ;No)、このパケットを破棄し (ステップ S64)、本処理は終了す る。一方、許可された正常なトラフィックと判定した場合には (ステップ S63 ; Yes)、こ のパケットを内部ネットワークに転送し (ステップ S65)、本処理は終了する。

[0005] また、情報システム 100に接続された各端末 20に不正アクセスを検知する不正検 知ソフトウェアを導入することにより、ネットワークの末端において不正アクセスの検知 を行うネットワークシステムが提案されている（例えば、特許文献 2参照)。

[0006] 図 12は、情報システム 100の各端末 20により不正アクセスの検知が行われる際の 動作を示したフローチャートである。

端末 20は、スィッチ 10a、 10b又は 10cからパケットを受信すると (ステップ S71)、こ のパケットに係るトラフィックに異常があるか否かを判定する (ステップ S72)。ここで、 異常ありと判定した場合には (ステップ S72 ;No)、このパケットを破棄し (ステップ S7 3)、本処理は終了する。一方、異常なしと判定した場合には (ステップ S72 ; Yes)、こ のパケットに基づいて所定の処理を実行し (ステップ S74)、本処理は終了する。

[0007] 一方、工場施設等のプラントの制御に係るプラント情報システムの分野においても、 近年 TCP/IP技術を用いた情報の送受信が行われるようになってきており、上述し た情報システム同様のセキュリティ上の問題が懸念されている。特に、プラント情報シ ステムにおいては、生産停止等の経済的な損失が甚大となるため可用性の維持は 必須事項となっている。

特許文献 1 :特開 2005— 124055号公報

特許文献 2：特開 2004— 54470号公報

発明の開示

発明が解決しょうとする課題

[0008] し力しながら、従来のファイアウォールを用いたシステム構成では、内部ネットワーク LAN—外部ネットワーク WAN間を通過するトラフィックのみがアクセス制御対象とな るため、内部ネットワーク LAN内で発生する不正アクセスを検知することができず、 不正アクセスに対応することができないため、システムの可用性を維持することが困 難である。

[0009] また、端末にて不正アクセスの検知を行う構成では、各端末に不正アクセス検知ソ フトウェアを導入する必要があるため、コストが増大するという問題がある。また、各端 末の計算資源に制限があるため、不正アクセスを検知する機能を追加することが困 難である場合がある。また、不正アクセスが検知された端末の物理的位置（どこのスィ ツチのどの通信ポートに接続されているカゝ)を判定できず、その対応が遅れる可能性 があるため、システムの可用性を維持することが困難である。

[0010] さらに、上述したファイアウォール等の従来技術は、単独或いは限られたセッション のみのパケットに基づいて不正アクセスか否かを判断するため、内部ネットワーク LA Nに設けられた無線機器等のアクセスポイントや、スィッチの入り口（バックドア）を介 してして不正アクセスが行われたことを検知することができず、内部ネットワーク内で 行われる不正アクセスに対しては有効な手法とはなりえない。そのため、無線ァクセ スポイント等の内部ネットワーク内の入り口（バックドア）からの侵入トラフィックを含む 各端末間のトラフィックを監視する必要があるが、不特定の端末から不定期に送受信 が行われるような動的なトラフィック環境を有するオフィス等の一般の情報システムに おいては、その動的なトラフィック特性により、異常と判断する際の指標の確率が困 難であるため、異常か否力の判断を有効に行うことができないという問題がある。

[0011] 本発明の課題は、不正アクセスの検知及び対応を迅速且つ確実に行うことが可能 な情報システムを提供することである。

課題を解決するための手段

[0012] 上記課題を解決するために、本発明によると、

複数の通信ポートに夫々接続される一又は複数の端末から送信されたパケットを他 の端末に転送するスイッチング手段と、前記送信されたパケットに関するパケット情報 を生成するパケット情報生成手段と、前記生成されたパケット情報を送信するパケット 情報送信手段とを備えたネットワーク機器と、前記ネットワーク機器力も送信されたパ ケット情報を記憶するトラフィック収集サーバと、を有した情報システムであって、 前記収集サーバは、定常運用時におけるトラフィックの特徴を示した指標情報を記 憶する指標情報記憶手段と、前記記憶された指標情報と前記受信されたパケット情 報とに基づいて当該パケット情報に係るトラフィックが異常力否かを判別する異常判 別手段と、前記異常判別手段により異常と判別されたトラフィックに係るネットワーク 機器の通信ポートの転送速度を変更する指示情報を生成し、当該ネットワーク機器 に送信する異常対応手段と、を備え、

前記転送手段は、前記異常対応手段からの指示情報に基づいて、当該指示情報 で指示された前記通信ポートの転送速度を制御する。

[0013] また、前記収集サーバは、前記記憶された複数のパケット情報から前記指標情報を 生成し、前記指標情報記憶手段に記憶させるトラフィック解析手段を備えることが好 ましい。

[0014] また、前記パケット情報は、当該パケット情報を生成したネットワーク機器の識別情 報、当該ネットワーク機器にぉ 、てパケットが送信及び Z又は受信された通信ポート の識別情報、前記パケットの送信元端末及び受信先端末の識別情報、前記パケット のパケットサイズ、前記パケットのヘッダ部に含まれたヘッダ情報、前記パケット情報 の生成日時を示すタイムスタンプ、前記パケットのプロトコル種別に関する情報を少 なくとも含むことが好ましい。

[0015] また、前記指標情報は、前記ネットワーク機器における特定の通信ポートにお！、て 送信及び Z又は受信されるパケット数の上限値及び Z又は下限値、特定の通信ポ ートにおいてパケットが送信及び Z又は受信される際の転送速度の上限値及び Z又 は下限値、特定の通信ポートに接続される前記端末の識別情報の何れか又は全て を含むことが好ましい。

[0016] また。前記指標情報は、前記複数の端末のうち、特定の端末間で送信及び Z又は 受信されるパケット数の上限値及び Z又は下限値、前記特定の端末間においてパケ ットが送信及び Z又は受信される際の転送速度の上限値及び Z又は下限値の何れ か又は全てを含むことが好ま U、。

[0017] また、前記指標情報は、前記複数の端末間のうち、特定の端末間において予め定 められた前記パケットの送信及び Z又は受信に関する設定を含むことが好ましい。 [0018] また、前記ネットワーク機器は、前記端末力ら送信されたパケットから一のパケットを 所定のタイミング毎に抽出するパケットサンプリング手段を備え、

前記パケット情報生成手段は、前記抽出されたパケットのパケット情報を生成するこ とが好ましい。

発明の効果

[0019] 本発明によれば、定常運用時におけるトラフィックの特徴を示した指標情報に基づ いて、ネットワーク機器力も送信されたパケット情報に係るトラフィックが異常力否かを 判別し、異常と判別したトラフィックに係るネットワーク機器の通信ポートの転送速度 を制御する。これにより、不正アクセスの検知及び対応を迅速且つ確実に行うことが 可能であるため、システムの可用性を維持することができる。

図面の簡単な説明

[0020] [図 1]情報システムの構成を示した図である。

[図 2]スィッチの内部構成を示した図である。

[図 3]トラフィック収集サーバの内部構成を示した図である。

[図 4]パケット転送処理の手順を示したフローチャートである。

[図 5]第 1の実施形態におけるトラフィック監視処理の手順を示したフローチャートで ある。

[図 6]第 2の実施形態におけるトラフィック監視処理の手順を示したフローチャートで ある。

[図 7]第 3の実施形態におけるトラフィック監視処理の手順を示したフローチャートで ある。

[図 8]情報システムの他の態様における構成を示した図である。

[図 9]情報システムの他の態様における構成を示した図である。

[図 10]従来の情報システムの構成を示した図である。

[図 11]従来の情報システムにおいて、ファイアウォールにより不正アクセスの検知が 行われる際の手順を示したフローチャートである。

[図 12]従来の情報システムにおいて、各端末により不正アクセスの検知が行われる際 の手順を示したフローチャートである。 発明を実施するための最良の形態

[0021] 以下、図面を参照して本発明を実施するための最良の形態について詳細に説明 する。ただし、発明の範囲は図示例に限定されないものとする。

[0022] <第 1の実施形態 >

まず、図 1を参照して本実施形態における情報システム 100の構成を説明する。な お、本実施形態における情報システム 100は、プラントの稼働監視や、制御を行うプ ラント情報システムであるものとし、内部ネットワーク LAN内のスィッチ 10a、 10b又は 10cに接続される端末 (ノード） 20は、プラント内に設置されたフィールド機器や、当 該フィールド機器から出力される各種プラントデータの収集や稼働監視を行う PC (Pe rsonal Computer)やサーバ等であるものとする。ここでフィールド機器とは、温度セ ンサ、圧力センサ、流量センサ等の計測機器と、バルブ開閉器や火力調整器等の調 整機器を含む意であって、当該フィールド機器により計測される計測量や、調整の度 合いを示す調整量等のプロセス量がプロセスデータとして出力される。

[0023] 図 1に示すとおり、情報システム 100は、内部ネットワーク LANにおいてネットワーク セグメントを構成し、各端末 20において送信されたパケットを他の端末 20に転送する ととも〖こ、当該パケットに係る統計情報を生成し送信するスィッチ 10a、 10b及び 10c ( 以下、スィッチ 10a、 10b及び 10cを総じてスィッチ 10という）と、内部ネットワーク LA N、外部ネットワーク WAN間のパケット転送を中継するルータ 30と、スィッチ 10から 送信された統計情報を受信し、管理するトラフィック収集サーバ 40等カゝら構成される 。内部ネットワーク LANと外部ネットワーク WANとは、ネットワーク Nを介して相互に 通信可能に接続されている。なお、情報システム 100上での通信は、 TCP/IP技術 に準拠した形式で行われるものとし、その形式は IPv4、 IPv6の何れかであってもよ いものとする。また、 IPSec (Security Architecture for Internet Protocol)等の暗号化 通信がなされることとしてもよ 、。

[0024] ここで、情報システム 100内に含まれる各機器には、夫々固有の IPアドレスが付与 されており、各機器間は TCP/IP技術に基づいて情報の送受信が可能となっている 。なお、各スィッチ 10内に示された矩形は当該スィッチが有する物理的な通信ポート を意味しており、矩形内の数値は各通信ポートを識別するための識別番号を意味し ている。

[0025] 図 2は、スィッチ 10の内部構成を示した図である。

同図に示すとおり、スィッチ 10は、パケットサンプリング手段 11、パケット情報生成 手段 12、パケット情報送信手段 13、スイッチング手段 14等を有して構成される。

[0026] パケットサンプリング手段 11は、端末 20から送信される複数のパケットから、一のパ ケットを所定のタイミング (例えば、 500パケットに 1パケット)で抽出（サンプリング)し、 パケット情報生成手段 12に出力する。なお、パケットサンプリング手段 11にて抽出さ れなかった他のパケットに関しては、当該パケットサンプリング手段 11を介してスイツ チング手段 14に出力されるようになって 、る。

[0027] パケット情報生成手段 12は、パケットサンプリング手段 11から入力されたパケットに 関するパケット情報を生成しパケット情報送信手段 13に出力するとともに、パケットサ ンプリング手段 11から入力されたパケットをパケット情報送信手段 13に出力する。

[0028] ここで、パケット情報はパケットのヘッダ部に含まれた情報等に基づ!/、て生成される 情報であって、当該パケット情報を生成したスィッチ 10の IP (Internet Protocol)ァ ドレス、このスィッチ 10においてパケットを送信及び Z又は受信した通信ポートの通 信ポート識別番号、このパケットの送信元及び受信先端末の IPアドレス及び MAC ( Media Access Control)アドレス、前記パケットのパケットサイズ、前記パケットのヘッダ 部に含まれた IPヘッダ情報、前記パケットの生成日時を示すタイムスタンプ、前記パ ケットのプロトコル種別 (TCPZUDPポート番号）に関する情報等を含むものとする。 また、パケット情報は、スィッチ 10 (各通信ポート)の稼働状態を示した統計情報を含 むこととしてもよい。ここで統計情報とは、 SNMP (Simple Network Management Proto col)等のトラフィック監視技術に準拠した MIB (Management Information Base)等の 管理情報データベースに基づいて生成される情報であって、本実施の形態では、パ ケット情報生成手段 12により生成されるものとする。

[0029] パケット情報送信手段 13は、パケット情報生成手段 12で生成されたパケット情報を トラフィック収集サーバ 40に送信するとともに、パケット情報生成手段 12から入力され たパケットをスイッチング手段 14に出力する。なお、上記したパケット情報の送信 (収 集）に係る一連の仕組みとしては、 sFlow (RFC3176)ゃNetFlow(登録商標）等の 規約に準拠した技術を用いることができる。

[0030] スイッチング手段 14は、パケットサンプリング手段 11及びパケット情報送信手段 13 力も入力されたパケットのヘッダ部 (イーサネット（登録商標）ヘッダ、 IPヘッダ及び T CPヘッダ）に含まれる各種情報に基づいて、受信先端末へと転送する。この際に、 受信先端末又は当該受信先端末に転送可能な他のスィッチに接続された通信ポー トを介して転送が行われるものとする。

[0031] また、スイッチング手段 14は、後述するトラフィック監視処理において、トラフィック収 集サーバ 40の異常対応手段 47から送信される指示情報に基づいて、当該指示情 報で指示された通信ポートの転送速度を制御する。

[0032] 次に、図 3を参照してトラフィック収集サーノ Oについて説明する。

図 3は、トラフィック収集サーノ Oの内部構成を示した図である。

同図に示すとおり、トラフィック収集サーバ 40は、制御手段 41、表示手段 42、操作 手段 43、記憶手段 44、トラフィック解析手段 45、異常判別手段 46、異常対応手段 4 7、通信手段 48等を有して構成されており、各部は制御バス 49を介して接続されて いる。

[0033] 制御手段 41は、不図示の CPU (Central Processing Unit)、 RAM (Random Access

Memory)等から構成され、記憶手段 44に記憶された各種制御プログラムを読み出し て RAM内に形成されたワークメモリに展開し、該制御プログラムに従って、各部の動 作を集中制御する。また、制御手段 41は、 RAMに展開した制御プログラムとの協働 により、後述するトラフィック監視処理を実行する。

[0034] 表示手段 42は、 LCD (Liquid Crystal Display)や ELD (Electro Luminescence Disp lay)パネル等により構成され、制御手段 41から入力される表示データに基づいて画 面表示を行う。

[0035] 操作手段 43は、文字入力キー，数字入力キーその他各種機能に対応付けられた キーを備えたキーボード、マウス等を含み、ユーザによる操作に応じた操作信号を制 御手段 41に出力する。

[0036] 記憶手段 44は、プログラムやデータ等が予め記憶された記録媒体 (不図示）を有し 、この記録媒体は磁気的、光学的記録媒体、若しくは半導体等の不揮発性メモリで 構成されている。記録媒体は、記憶手段 44に固定的に設けたもの、若しくは着脱自 在に装着するものであり、記録媒体にはトラフィック収集サーバ 40に対応するシステ ムプログラム、該システムプログラム上で実行可能な各種処理プログラム、これらのプ ログラムで処理されたデータ等を記憶する。これらの各処理プログラムは、読み取り可 能なプログラムコードの形態で格納され、制御手段 41は、当該プログラムコードに従 つた動作を逐次実行する。

[0037] また、記憶手段 44の記憶媒体には、スィッチ 10から送信されたパケット情報を、記 憶 ·管理するためのデータベース 441が構築されており、当該データベース 441にパ ケット情報に含まれる各種情報が記憶 (格納)される。なお、本実施の形態では、デ ータベース 441をトラフィック収集サーノ O内に備えた態様とした力 これに限らず、 トラフィック収集サーバ 40が接続可能な外部記憶手段にデータベース 441を構築す ることとしてもよい。さらに、記憶手段 44は、その記憶媒体に、トラフィック解析手段 45 により生成される指標情報 442を記憶する。

[0038] トラフィック解析手段 45は、データベース 441に記憶された複数のパケット情報を、 統計的手法を用いて解析することにより、定常運用時におけるトラフィック (通信)の特 徴を導出する。ここで、定常運用時とは、情報システム 100内において、各装置により 予め定められた動作 (通信）が正常に行われた時を意味する。

[0039] 具体的に、トラフィック解析手段 45は、パケット情報に含まれた各種情報に基づい て、特定の通信ポートにぉ 、て送信及び Z又は受信されるパケット数の上限値及び Z又は下限値、特定の通信ポートにおいてパケットが送信及び Z又は受信される際 の転送速度の上限値及び Z又は下限値、特定の通信ポートに接続される端末 20の MACアドレス及び Z又は IPアドレス等の、定常運用時におけるスィッチ 10の通信ポ ートに関する情報を定常運用時におけるトラフィックの特徴として導出する。

[0040] また、トラフィック解析手段 45は、パケット情報に含まれた各種情報に基づ 、て、特 定の端末を示す MACアドレス又は IPアドレス間で送信及び Z又は受信されるバケツ ト数の上限値及び Z又は下限値、特定の端末を示す MACアドレス又は IPアドレス 間においてパケットが送信及び Z又は受信される際の転送速度の上限値及び Z又 は下限値等の、定常運用時における通信フローに関する情報を定常運用時におけ るトラフィックの特徴として導出する。

[0041] さらに、トラフィック解析手段 45は、導出された定常運用時におけるトラフィック特徴 を含んだ指標情報 442を生成し、この指標情報 442を記憶手段 44の記憶媒体に記 憶させる。ここで指標情報 442には、導出された種々の特徴が、当該特徴の諸条件（ 例えば、スィッチ 10の IPアドレス、通信ポート識別番号、端末 20の IPアドレス、 MAC アドレス等）と対応づけて記憶されているものとする。

[0042] また、内部ネットワーク LANにおいて、特定の端末 20間で所定のトラフィックが発 生することが予定されているような場合には、このパケットの送信及び Z又は受信に 関する設定を指標情報 442に含めることとしてもよい。例えば、特定の端末 20間にお いて、所定の間隔 (例えば、 1分間に 1回)で通信が必ず行われることが予定されてい るような場合、この特定の端末を示す MACアドレス又は IPアドレス間での通信を許 可する旨の設定、当該端末間で送信及び Z又は受信されるパケット数の上限値及 び Z又は下限値、当該端末間でパケットが送信及び Z又は受信される際の転送速 度の上限値及び/又は下限値等を指標情報 442に含めることができる。

[0043] なお、上記した指標情報 442に含まれる各種情報の閾値 (上限値及び Z又は下限 値）は、内部ネットワーク LANの可用性の維持に影響を与えると想定される値が設定 されることが好ましい。

[0044] 異常判別手段 46は、記憶手段 44の記録媒体に記憶された指標情報 442と、後述 する通信手段 48を介して受信されたパケット情報と、を比較することにより当該バケツ ト情報に係るトラフィックが異常力否かを判別する。なお、本実施の形態では、異常判 別手段 46の機能を、制御手段 41と記憶手段 44の記録媒体に予め記憶された所定 のプログラムとの協働により実現させることとするが、 ASIC (Application Specific Integ rated Circuit)等の専用回路により実現させる態様としてもよ!、。

[0045] 異常対応手段 47は、異常判別手段 46により異常と判別されたトラフィックに係るス イッチ 10の通信ポートの転送速度を変更する指示情報を生成し、当該スィッチ 10に 送信する。ここで、スィッチ 10の転送速度を変更する手段としては、 diffserv、 IEEE 802. lq、 IPフィルタ等を用いることができる。なお、本実施の形態では、異常対応手 段 47の機能を、制御手段 41と記憶手段 44の記録媒体に予め記憶された所定のプ ログラムとの協働により実現させることとするが、 ASIC等の専用回路により実現させる 態様としてもよい。

[0046] 通信手段 48は、ルータや TA (Terminal Adapter)、 LANアダプタ等によって構成さ れ、スィッチ 10との間で授受される各種情報の通信制御を行う。

[0047] 次に、図 4のフローチャートを参照して、スィッチ 10で行われるパケット転送処理に ついて説明する。

まず、一又は複数の端末 20からパケットが夫々送信され、このパケットが通信ポート を介して受信されると (ステップ S11)、パケットサンプリング手段 11により、複数のパ ケットから一のパケットが所定のタイミング毎に抽出される (ステップ S12)。

[0048] ここで、パケットサンプリング手段 11によりパケットの抽出が行われた場合には (ステ ップ S13 ;Yes)、パケット情報生成手段 12により当該パケットに関するパケット情報が 生成された後 (ステップ S14)、このパケット情報がパケット情報送信手段 13によりトラ フィック収集サーノ Oに送信される（ステップ S15)。そして、パケットのヘッダ部に含 まれた各種情報に基づいて、このパケットがスイッチング手段 14により受信先端末へ と転送され (ステップ S16)、本処理は終了する。

[0049] 一方、パケットサンプリング手段 11によりパケットが抽出されな力つた場合には (ステ ップ S13 ;No)、当該パケットのヘッダ部に含まれた各種情報に基づいて、このバケツ トがスイッチング手段 14により受信先端末へと転送され (ステップ S16)、本処理は終 了する。

[0050] 次に、図 5を参照して、トラフィック収集サーノ Oで行われるトラフィック監視処理に ついて説明する。本実施形態のトラフィック監視処理は、指標情報 442に含まれた特 定の通信ポートにぉ 、て受信されるパケット数の上限値（thresh— p (PPS： Packet P er Second) )及び特定の通信ポートにおいてパケットが受信される際の転送速度の上 限値（thresh— b (BPS : Bits Per Second) )に基づいて行われる。なお

、本トラフィック監視処理の各処理は、制御手段 41と、不図示の RAMに展開された 所定のプログラムとの協働により実行される処理を示している。

[0051] まず、スィッチ 10から送信されたパケット情報が通信手段 48を介して受信されると（ ステップ S21)、このパケット情報から、当該パケット情報が生成されたスィッチ 10の I Pアドレス、このパケット情報に係るパケットが受信された通信ポートの通信ポート識別 番号が取得されるとともに (ステップ S22)、この通信ポートが受信したパケット数 (Pkt s_IN (PPS) )及びパケットを受信した際の転送速度 (Bytes_IN (BPS) )に関する 情報が取得される (ステップ S23)。

[0052] 次いで、ステップ S22で取得されたスィッチ 10の IPアドレス通信ポートの通信ポート 識別番号に対応するパケット数の上限値 (thresh— p)及び転送速度の上限値 (thre sh_b)が指標情報 442から読み出されて (ステップ S24)、パケット数 (Pkts_IN)と パケット数の上限値 (thresh— p)、転送速度 (Bytes— IN)と転送速度の上限値 (thr esh_b)が夫々比較される（ステップ S25)。

[0053] ここで、パケット数情報（Pkts— IN)がパケット数の上限値 (thresh— p)以下で、且 つ、転送速度情報 (Bytes— IN)が転送速度の上限値 (thresh— b)以下と判定され た場合には (ステップ S25； Yes)、本処理は終了する。

[0054] 一方、ステップ S25において、パケット数（Pkts— IN)がパケット数の上限値（thres h_p)を上回る、或いは転送速度 (Bytes_IN)が転送速度の上限値 (thresh_b) を上回ると判定された場合には (ステップ S25 ;No)、このパケット情報に係るトラフィ ックが異常と判別される (ステップ S26)。そして、この異常と判別されたトラフィックに 係る通信ポートを備えたスィッチ 10に対して、この通信ポートの転送速度 (転送帯域） を抑制或いは停止させる指示情報がスィッチ 10に送信されるとともに (ステップ S27) 、このスィッチ 10の通信ポートに接続された端末 20から不正なアクセスが行われた 旨を報知する画面が表示手段 42に表示されて (ステップ S28)、本処理は終了する。

[0055] このように、スィッチ 10の通信ポートに関する情報に基づいてパケット情報に係るト ラフィックの異常判別を行うため、特定の端末 20から定常運用時の上限値を上回る パケット数が送信された場合や、定常運用時の上限値を上回る転送速度が確認され た場合に、この通信に係るトラフィックを異常と判別できるため、不正アクセスの検知 を迅速且つ確実に行うことができる。

[0056] 以上のように、本実施形態によれば、定常運用時におけるトラフィックの特徴を示し た指標情報 442に基づいて、スィッチ 10から送信されたパケット情報に係るトラフイツ クが異常力否かを判別し、異常と判別したトラフィックに係るスィッチ 10の通信ポート の転送速度を制御する。これにより、不正アクセスの検知及び対応を迅速且つ確実 に行うことが可能であるため、システムの可用性を維持することができる。

[0057] <第 2の実施形態 >

次に、情報システム 100の第 2の実施形態について説明する。なお、説明の簡略化 のため、上述した第 1の実施形態と同一要素については同符号を付し、その詳細な 説明は適宜省略する。

[0058] 図 6は、本実施形態のトラフィック収集サーノ 0で行われるトラフィック監視処理の 手順を示した図である。本実施形態のトラフィック監視処理は、指標情報 442に含ま れた特定の通信ポートに接続される端末 20の MACアドレス（MAC— Ref Addr)及 び IPアドレス（IP— RefAddr)、特定の通信ポートにおいて受信されるパケット数の下 限値 (thresh— min—p (PPS)、特定の通信ポートにぉ 、てパケットが受信される際 の転送速度の下限値 (thresh— min—b (BPS) )に基づいて行われる。なお、本トラ フィック監視処理の各処理は、制御手段 41と、不図示の RAMに展開された所定の プログラムとの協働により実行される処理を示している。

[0059] まず、スィッチ 10から送信されたパケット情報が通信手段 48を介して受信されると（ ステップ S31)、このパケット情報から、当該パケット情報が生成されたスィッチ 10の I Pアドレス、当該パケット情報に係るパケットが受信された通信ポートの通信ポート識 別番号が取得されるとともに (ステップ S32)、この通信ポートに接続された端末の M ACアドレス (MAC_Addr)、 IPアドレス（IP_Addr)及び当該通信ポートにお！、て 受信されたパケット数 (Pkts_IN)及び転送速度 (Bytes— IN)に関する情報が取得 される（ステップ S33)。

[0060] 次いで、ステップ S32で取得されたスィッチ 10の IPアドレス及び通信ポートの通信 ポート識別番号に対応する規定の MACアドレス（MAC— RefAddr)、規定の IPアド レス（IP— Ref Addr)、パケット数の下限値（thresh— min—p)、転送速度の下限値 (thresh_min_b)力 指標情報 442から読み出される（ステップ S34)。

[0061] 続、て、両 MACアドレス (MAC_Addr)と（MAC_Ref Addr)との値が一致する か否かが判定され、一致しないと判定された場合には (ステップ S35 ;No)、ステップ S39へと移行する。 [0062] 一方、ステップ S35において両 MACアドレスが一致すると判定された場合には（ス テツプ S35； Yes)、ステップ S36へと移行し、両 IPアドレス（IP— Addr)と（IP— RefA ddr)との値が一致するか否かが判定され、一致しないと判定された場合には (ステツ プ S36 ;No)、ステップ S39へと移行する。

[0063] 一方、ステップ S36において、両 IPアドレスが一致すると判定された場合には)ステ ップ S36 ;Yes)、ステップ S37へと移行し、パケット数（Pkts— IN)とパケット数の下限 値（thresh— min—p)、転送速度（Bytes— IN)と転送速度の下限値（thresh— mi n_b)が夫々比較される（ステップ S37)。ここで、パケット数（Pkts_IN)がパケット数 の下限値 (thresh— min—p)以上で、且つ、転送速度（Bytes— IN)が転送速度の 下限値 (thresh— MIN—b)以上と判定された場合には（ステップ S37； Yes)、本処 理は終了する。

[0064] また、ステップ S37において、パケット数（Pkts— IN)がパケット数の下限値（thres h— min—p)を下回る、或 ヽは転送速度 (Bytes— IN)が転送速度の下限値 (thres h_min_b)を下回ると判定された場合には（ステップ S37 ;No)、ステップ S38へと 移行する。

[0065] ステップ S38では、ステップ S35、ステップ S36又はステップ S37で判定されたパケ ット情報に係るトラフィックが異常と判別される (ステップ S38)。そして、この異常と判 別されたトラフィックに係る通信ポートを備えたスィッチ 10に対して、この通信ポートの 転送速度 (転送帯域)を抑制或いは停止させる指示情報がスィッチ 10に送信される とともに (ステップ S39)、このスィッチ 10の通信ポートに接続された端末 20から不正 なアクセスが行われた旨を報知する画面が表示手段 42に表示されて (ステップ S40) 、本処理は終了する。

[0066] このように、スィッチ 10の通信ポートに関する情報に基づいてパケット情報に係るト ラフィックの異常判別を行うため、特定の端末 20から定常運用時の上限値を上回る パケット数が送信された場合や、定常運用時の上限値を上回る転送速度が確認され た場合に、この通信に係るトラフィックを異常と判別できるため、不正アクセスの検知 及び対応を迅速且つ確実に行うことができる。

[0067] なお、上記したトラフィック監視処理において統計情報が取得されるスィッチ 10 (ス イッチ 10a、 10b及び 10c)は、所定の順序で順次取得される態様としてもよいし、全 てのスィッチ 10に対して同時に取得が行われる態様としてもよい。また、統計情報の 取得が行われるタイミングは任意の設定可能であるものとする。

[0068] 以上のように、本実施形態によれば、定常運用時におけるトラフィックの特徴を示し た指標情報 442に基づいて、スィッチ 10から送信されたパケット情報に係るトラフイツ クが異常力否かを判別し、異常と判別したトラフィックに係るスィッチ 10の通信ポート の転送速度を制御する。これにより、不正アクセスの検知及び対応を迅速且つ確実 に行うことが可能であるため、システムの可用性を維持することができる。

なお、ステップ S35、ステップ S36、ステップ S37の判定処理の順序は、上記例に 限らな 、ものとし、任意の順序で行うことが可能であるものとする。

[0069] <第 3の実施形態 >

次に、情報システム 100の第 3の実施形態について説明する。なお、説明の簡略化 のため、上述した第 1の実施形態と同一要素については同符号を付し、その詳細な 説明は適宜省略する。

[0070] 図 7は、本実施形態のトラフィック収集サーノ Oで行われるトラフィック監視処理の 手順を示した図である。本実施形態のトラフィック監視処理は、指標情報 442に含ま れた特定の端末 (IPアドレス; IP— Ref Addr)間で送信及び Z又は受信されるバケツ ト数の下限値と上限値との間の範囲を示す閾値 (thresh— p— flow (PPS) )、特定 の端末間においてパケットが受信される際の転送速度の下限値と上限値との間の範 囲を示す閾値 (thresh— b— Flow (BPS) )に基づいて行われる。なお、本トラフイツ ク監視処理の各処理は、制御手段 41と、不図示の RAMに展開された所定のプログ ラムとの協働により実行される処理を示して 、る。

[0071] まず、スィッチ 10から送信されたパケット情報が通信手段 48を介して受信されると（ ステップ S51)、このパケット情報から、当該パケット情報が生成されたスィッチ 10の I Pアドレス、当該パケット情報に係るパケットが受信された通信ポートの通信ポート識 別番号が取得されるとともに (ステップ S52)、このパケット情報に係るパケットの送信 元端末及び Z又は受信先端末の IPアドレス (IP— Addr)、パケット数 (Pkts— Flow( PPS) )、転送速度（Bytes_Flow(BPS) )に関する情報が取得される（ステップ S53 ) o

[0072] 次!、で、ステップ S52で取得された IPアドレス（IP— Addr)の端末によるパケットの 送信及び Z又は受信が許可されている力否かが指標情報 442に基づいて判定され 、許可されていないと判定された場合には (ステップ S54 ;No)、ステップ S57へと移 行する。

[0073] 一方、ステップ S54において、許可されていると判定された場合には (ステップ S54 ； Yes)、この IPアドレス (IP— Addr)の端末間において送受信されるパケット数の閾 値 (thresh— p— flow)、転送速度の閾値 (thresh— b— Flow)が指標情報 442から 読み出され (ステップ S55)、パケット数（Pkts— Flow)とパケット数の閾値（thresh— flow)、転送速度（Bytes_Flow)と転送速度の閾値（thresh_b_Flow)が夫々比 較される（ステップ S56)。ここで、パケット数（Pkts— Flow)がパケット数の閾値（thre sh—p— flow)の範囲内に適合し、且つ、転送速度（Bytes— Flow)が転送速度の 閾値 (thresh— b— Flow)の範囲内に適合すると判定された場合には (ステップ S56 ； Yes)、本処理は終了する

[0074] また、ステップ S56において、パケット数（Pkts— Flow)がパケット数の閾値（thres h—p— flow)の範囲内に適合しない、或いは転送速度（Bytes— Flow)が転送速度 の閾値 (thresh— b— Flow)の範囲内に適合しな!、と判定された場合には (ステップ S56 ;No)、ステップ S57へと移行する。

[0075] ステップ S57では、ステップ S54又はステップ S56で判定されたパケット情報に係る トラフィックが異常と判別される (ステップ S57)。そして、この異常と判別されたトラフィ ックに係る通信ポートを備えたスィッチ 10に対して、この通信ポートの転送速度 (転送 帯域)を抑制或いは停止させる指示情報がスィッチ 10に送信されるとともに (ステップ S58)、このスィッチ 10の通信ポートに接続された端末 20から不正なアクセスが行わ れた旨を報知する画面が表示手段 42に表示されて (ステップ S59)、本処理は終了 する。

[0076] このように、内部ネットワーク LAN内において予め定められた各端末 20のトラフイツ ク特性に基づいてトラフィックの異常判別を行うため、所定の端末 20間以外でバケツ トの送受信が行われた場合や、所定の端末 20間において定常運用時の閾値を超え るパケット数が送信された場合、所定の端末 20間において定常運用時の閾値を超え る転送速度が確認された場合に、この通信に係るトラフィックを異常と判別できるため 、不正アクセスの検知及び対応を迅速且つ確実に行うことができる。

[0077] 以上のように、本実施形態によれば、定常運用時におけるトラフィックの特徴を示し た指標情報 442に基づいて、スィッチ 10から送信されたパケット情報に係るトラフイツ クが異常力否かを判別し、異常と判別したトラフィックに係るスィッチ 10の通信ポート の転送速度を制御する。これにより、不正アクセスの検知及び対応を迅速且つ確実 に行うことが可能であるため、システムの可用性を維持することができる。

[0078] なお、上述した第 1の実施形態〜第 3の実施形態のトラフィック監視処理は、送受 信されるパケット数、転送速度がある程度一様であり、また特定の端末間においての みパケットが送受信されるような静的なトラフィック環境を有するプラント情報システム において特に好適である。なお、第 1の実施形態〜第 3の実施形態のトラフィック監 視処理の全てがトラフィック収集サーノ Oで実行されることとしてもよい。また、トラフ イツク監視処理におけるトラフィックの異常判別方法に関しては、情報システム 100の システム構成に適合する任意の条件を適宜追加、変更することが可能であるものとす る。

[0079] 本発明の適用は、上述した例に限らず、本発明の趣旨を逸脱しない範囲で適宜変 更可能である。

[0080] 例えば、上記実施形態では、トラフィック収集サーバ 40がトラフィック解析手段 45、 異常判別手段 46及び異常対応手段 47を備えた態様を説明したが、これに限らず、 トラフィック収集サーノ Oのデータベース 441に接続可能な他の装置力 トラフィック 解析手段 45、異常判別手段 46、異常対応手段 47の何れか又は全てを備える態様 としてちよい。

例えば、図 8に示すように、複数の内部ネットワーク LAN1〜3の夫々に、トラフイツ ク解析手段 45及び異常判別手段 46を備えたトラフィック収集サーバ 40を設置し、各 トラフィック収集サーバ 40の異常判別手段 46から送信されるトラフィックの異常を示 す異常判別情報を外部ネットワーク WANの遠隔監視装置 50が送信可能な構成とし てもよい。この場合、遠隔監視装置 50に異常対応手段 47を備えることで、異常判別 手段 46から送信された異常判別情報に応じて内部ネットワーク LAN1〜3に接続さ れたスィッチ 10 (不図示）の転送速度を遠隔的に変更することが可能となる。

[0081] これにより、上記実施の形態と同様の効果を奏するのはもちろんのこと、複数の内 部ネットワーク LANサイトを外部ネットワーク WANから同時に監視することができる ため、トラフィック監視に係るコストを削減することが可能となる。特に、プラント制御に 係るプラント情報システムにおいては、 IPネットワーク技術に関する専門家も少なぐ また、プラント運営にとっても非競争領域であることから専門家を育てることのインセン ティブが働きにくいという実情がある。そのため、遠隔的に異常監視が行うことができ れば、トラフィック監視業務のアウトソーシングが可能となるため、プラント運営側にと つてはコストの削減、トラフィック監視業務側にとっては新たなサービス業務の提携が 可能になると 、う効果を奏する。

[0082] また、上記実施の形態では、スィッチ 10のみが統計情報を生成し送信する態様とし た力 これに限らず、ルータ 30等の他のネットワーク機器力 パケットサンプリング手 段 11、パケット情報生成手段 12及びパケット情報送信手段 13を備えることで、他の ネットワーク機器が統計情報の生成、送信を行う態様としてもよい。例えば、図 9に示 すように、無線通信により内部ネットワーク LAN内に接続された各機器との通信を可 能にせしめる無線基地局 60が内部ネットワーク LANに接続されているような場合に は、この無線基地局 60に、当該無線基地局 60と無線通信可能な端末との間で授受 される通信の統計情報を生成可能な機能を備えることが好ましい。

[0083] また、 IPSec等の暗号ィ匕通信でパケットの送受信が行われる場合、通信ポート識別 番号は暗号化されてしまう力 IPv4ヘッダの TOS (Type Of Service)フィールド や、 IPv6ヘッダの Traffic Classフィールドを利用し、このフィールドに通信ポート識 別番号を格納してパケットを送信することで、トラフィック収集サーバ 40にて通信ポー ト識別番号を識別することが可能となる。

産業上の利用可能性

[0084] 本発明に係る情報システムは、ネットワーク上を流れるトラフィックの監視を行う情報 システムにお 、て利用可能性がある。

符号の説明 100 情報システム

10 スィッチ

11 パケットサンプリング手段

12 パケット情報生成手段

13 パケット情報送信手段

14 スイッチング手段

20 端末

30 ルータ

40 トラフィック収集サーバ

41 制御手段

42 表示手段

43 操作手段

44 記憶手段

441 データベース

442 指標情報

45 トラフィック解析手段

46 異常判別手段

47 異常対応手段

48 通信手段

49 制御バス

50 遠隔監視装置

60 無線基地局

FW ファイアウォール

LAN、： LAN1、 LAN2、 LAN3 内部ネットヮ WAN 外部ネットワーク

Claims

請求の範囲

[1] 複数の通信ポートに夫々接続される一又は複数の端末から送信されたパケットを他 の端末に転送するスイッチング手段と、前記送信されたパケットに関するパケット情報 を生成するパケット情報生成手段と、前記生成されたパケット情報を送信するパケット 情報送信手段とを備えたネットワーク機器と、前記ネットワーク機器力も送信されたパ ケット情報を記憶するトラフィック収集サーバと、を有した情報システムであって、 前記収集サーバは、定常運用時におけるトラフィックの特徴を示した指標情報を記 憶する指標情報記憶手段と、前記記憶された指標情報と前記受信されたパケット情 報とに基づいて当該パケット情報に係るトラフィックが異常力否かを判別する異常判 別手段と、前記異常判別手段により異常と判別されたトラフィックに係るネットワーク 機器の通信ポートの転送速度を変更する指示情報を生成し、当該ネットワーク機器 に送信する異常対応手段と、を備え、

前記転送手段は、前記異常対応手段からの指示情報に基づいて、当該指示情報 で指示された前記通信ポートの転送速度を制御することを特徴とする情報システム。

[2] 前記収集サーバは、前記記憶された複数のパケット情報から前記指標情報を生成 し、前記指標情報記憶手段に記憶させるトラフィック解析手段を備えたことを特徴とす る請求の範囲第 1項に記載の情報システム。

[3] 前記パケット情報は、当該パケット情報を生成したネットワーク機器の識別情報、当 該ネットワーク機器においてパケットが送信及び Z又は受信された通信ポートの識別 情報、前記パケットの送信元端末及び受信先端末の識別情報、前記パケットのパケ ットサイズ、前記パケットのヘッダ部に含まれたヘッダ情報、前記パケット情報の生成 日時を示すタイムスタンプ、前記パケットのプロトコル種別〖こ関する情報を少なくとも 含むことを特徴とする請求の範囲第 1項又は第 2項に記載の情報システム。

[4] 前記指標情報は、前記ネットワーク機器における特定の通信ポートにおいて送信 及び Z又は受信されるパケット数の上限値及び Z又は下限値、特定の通信ポートに おいてパケットが送信及び Z又は受信される際の転送速度の上限値及び Z又は下 限値、特定の通信ポートに接続される前記端末の識別情報の何れか又は全てを含 むことを特徴とする請求の範囲第 1項に記載の情報システム。

[5] 前記指標情報は、前記複数の端末のうち、特定の端末間で送信及び Z又は受信 されるパケット数の上限値及び z又は下限値、前記特定の端末間においてパケット が送信及び Z又は受信される際の転送速度の上限値及び Z又は下限値の何れか 又は全てを含むことを特徴とする請求の範囲第 1項又は第 4項に記載の情報システ ム。

[6] 前記指標情報は、前記複数の端末間のうち、特定の端末間において予め定められ た前記パケットの送信及び Z又は受信に関する設定を含むことを特徴とする請求の 範囲第 1項、第 4項又は第 5項に記載の情報システム。

[7] 前記ネットワーク機器は、前記端末力も送信されたパケットから一のパケットを所定 のタイミング毎に抽出するパケットサンプリング手段を備え、

前記パケット情報生成手段は、前記抽出されたパケットのパケット情報を生成するこ とを特徴とする請求の範囲第 1項に記載の情報システム。