WO2012014509A1 - 不正アクセス遮断制御方法 - Google Patents

Abstract

　Ｌ２スイッチを含むネットワーク構成において、不正アクセスが検出された端末の通信を容易に且つ確実に遮断する方法を提供する。　ネットワーク監視端末ＨがＬ２スイッチＳｊから受け取った管理情報に基づき、通信端末ＣｉのＭＡＣアドレスと当該ＭＡＣアドレスを検出したＬ２スイッチのポート情報の集合との対応表Ｍ１、およびＬ２スイッチＳｊのＭＡＣアドレスと当該ＭＡＣアドレスを検出したＬ２スイッチＳｊのポート情報の集合との対応表Ｍ２をＭｖＰテーブルとして作成する第１ステップと、ＭｖＰテーブルを正規化する処理を行う第２ステップと、正規化後のＭｖＰテーブルから通信端末Ｃｉが接続されているＬ２スイッチのポート情報P(Sj,n)を検出する第３ステップと、第３ステップで検出したＬ２スイッチのポートP(Sj,n)を遮断状態にする第４ステップと、を有する。

Description

不正アクセス遮断制御方法

　本発明は、不正アクセス遮断制御方法に係り、特にネットワーク内の通信端末が接続されているＬ２スイッチ（Layer 2 Switch）のポート情報を検出して当該通信端末の通信の遮断制御を行う技術に関する。

　近年、ネットワーク利用環境が大規模化しネットワーク環境構成の複雑化が進んできている中で、ネットワークセキュリティは必要不可欠のものになってきており、ネットワークへの不正アクセスを防止するための技術に関して多くの研究開発が行われている。

　例えば、例えば、特許文献１に記載のアクセス制御装置は、アクセスポリシーで許可されていない通信端末間の通信を検出した場合、その通信端末間の通信を阻害するために偽造ARP(Address Resolution Protocol)応答を送信することで、通信端末のハードウエアやソフトウエアを変更することなくアクセス制限を可能としている。

　また、特許文献２に記載の不正接続防止システムは、ネットワークへの接続を許可されている情報処理装置のMAC（Media Access Control）アドレスを承認リスト部に登録し、承認リスト部に登録されていない不許可装置によりブロードキャストされたARPリクエストに対して、情報処理装置のMACアドレスとして偽りのMACアドレスを有するARP応答パケットを不許可装置へ送信することで、ネットワークへの接続を許可されていないPCなどの不許可装置が、内部サーバやその他の同一サブネット上に存在する機器に接続することを防止し、ルータなどを経由して外部ネットワークの機器に接続することも防止することを可能としている。

　また、特許文献３に記載のネットワーク不正接続防止装置は、登録済の端末の各々に対してARP リクエストを順次送信し、該ARPリクエストに応答して返って来たARPリプライから、その端末の個有情報が登録済であるか否かを判定し、未登録と判定されたときに該端末を不正端末と見做して該端末の個有情報が重複して存在することを示す妨害メッセージを送信することで、LAN内の不正接続防止を防止することを可能としている。

特開2004-185498号公報 特開2005-079706号公報 特開2005-198090号公報 特開2007-514811号公報

　しかしながら、従来の不正接続防止装置（例えば特許文献１－３）では、通信端末間の通信を遮断する処理をＩＰアドレスに基づいて行っているため、複数ＩＰアドレスを有する通信端末の通信を即時に且つ確実に遮断することが困難であるという問題がある。またARPパケットを用いて遮断する方法では、ネットワーク上に遅延が起きている場合に、通信端末に対して偽造ARP応答を送信し、偽造ARP応答を通信端末が受信した後に、正しいARP応答が通信端末に届くことがあり、この場合は後に届いた情報で通信端末のARPテーブルが書き換えられることになり、通信を遮断するアクセス制御ができないという問題がある。また、アクセスポリシーで許可されていない通信端末のARPテーブルが静的に設定された場合に、通信端末からARP要求を送信せずに他の通信端末へ情報が送信され、通信を遮断するアクセス制御ができないという問題がある。

　一方、ネットワークを中継する機器の一つとして、スイッチングハブに代表されるLayer 2 Switch（以下、Ｌ２スイッチ）があり、Ｌ２スイッチは、パケットに宛先情報として含まれるMACアドレスで中継先を判断している。したがって、複数ＩＰアドレスを有する通信端末の通信を即時に且つ確実に遮断するためには、当該通信端末が接続されているＬ２スイッチのポート情報を検出して、そのポートを遮断することが確実な方法であると言える。この方法では通信端末が接続されているＬ２スイッチのポート情報を検出ことが必要となる。

　例えば特許文献４に記載のネットワークマップ生成方法では、ネットワーク監視端末が管理するＬ２スイッチから管理情報を受け取り、この管理情報からＭＡＣアドレスとＬ２スイッチのポートとの対応表としてＭｖＰテーブルを作成し、このＭｖＰテーブルを基にしてネットワーク内のＬ２スイッチ間のコネクション情報を検出している（特許文献４の発明者は本願の発明者と同一である）。

　本発明では、ＭｖＰテーブルを作成する方法は特許文献４と同じであるが、このＭｖＰテーブルを用いて通信端末が接続されているＬ２スイッチのポート情報を検出して、当該通信端末の通信の遮断制御を行う方法を提供するものである。

　すなわち本発明の目的は、Ｌ２スイッチを含むネットワーク構成において、不正アクセスが検出された端末の通信を容易に且つ確実に遮断する方法を提供することにある。

　上記目的を達成するために、請求項１に係る発明は、ネットワーク内の通信端末が接続されているＬ２スイッチのポート情報を検出して、当該通信端末の通信の遮断制御を行う不正アクセス遮断制御方法であって、
　ネットワーク監視端末がＬ２スイッチから受け取った管理情報に基づき、通信端末Ｃｉ（１≦ｉ≦ネットワーク内の通信端末の総数）のＭＡＣアドレスＭ（Ｃｉ）と当該ＭＡＣアドレスＭ（Ｃｉ）を検出したＬ２スイッチＳｊ（1≦ｊ≦レイヤー２スイッチの総数）のポート情報の集合Ｒｏｗ｛Ｍ（Ｃｉ）｝との対応表Ｍ１、およびＬ２スイッチＳｊのＭＡＣアドレスＭ（Ｓｊ）と当該ＭＡＣアドレスＭ（Ｓｊ）を検出したＬ２スイッチのポート情報の集合Ｒｏｗ｛Ｍ（Ｓｊ）｝との対応表Ｍ２をＭｖＰテーブルとして作成する第１ステップと、
　前記第１ステップで作成したＭｖＰテーブルの対応表Ｍ１の集合Ｒｏｗ｛Ｍ（Ｃｉ）｝と、対応表Ｍ２の集合Ｒｏｗ｛Ｍ（Ｓｊ）｝とを比較して、双方に一致する要素が存在する場合に当該要素を集合Ｒｏｗ｛Ｍ（Ｓｊ）｝から削除する正規化の処理を行う第２ステップと、
　前記第２ステップで正規化した後のＭｖＰテーブルから通信端末Ｃｉが接続されているＬ２スイッチのポート情報を検出する第３ステップと、
　前記第３ステップで検出した通信端末Ｃｉが接続されているＬ２スイッチのポートを遮断状態にする第４ステップと、を有することを特徴とする。

　請求項２に係る発明は、請求項１に記載の不正アクセス遮断制御方法において、
　前記第３ステップは、
（１）対応表Ｍ２の集合Ｒｏｗ｛Ｍ（Ｓｊ）｝が空になったＬ２スイッチＳｊを特定するステップと、
（２）対応表Ｍ１の集合Ｒｏｗ｛Ｍ（Ｃｉ）｝の中から、上記（１）で特定したＬ２スイッチＳｊのポートＰ（Ｓｊ，ｎ）（１≦ｎ≦Ｌ２スイッチＳｊのポートの総数）を抽出し、それを通信端末Ｃｉが接続されているポート情報として特定するステップと、を有することを特徴とする。

　請求項３に係る発明は、請求項１乃至請求項２に記載の不正アクセス遮断制御方法において、
　通信端末Ｃｉが接続されているＬ２スイッチのポートが遮断状態にあるときに、その遮断状態を解除する第５ステップを有することを特徴とする。

　請求項４に係る発明は、ネットワーク内の通信端末が接続されているＬ２スイッチのポート情報を検出して、当該通信端末の通信の遮断制御を行うネットワーク監視端末を機能させる不正アクセス遮断制御プログラムであって、
　前記ネットワーク監視端末がＬ２スイッチから受け取った管理情報に基づき、通信端末Ｃｉ（１≦ｉ≦ネットワーク内の通信端末の総数）のＭＡＣアドレスＭ（Ｃｉ）と当該ＭＡＣアドレスＭ（Ｃｉ）を検出したＬ２スイッチＳｊ（1≦ｊ≦レイヤー２スイッチの総数）のポート情報の集合Ｒｏｗ｛Ｍ（Ｃｉ）｝との対応表Ｍ１、およびＬ２スイッチＳｊのＭＡＣアドレスＭ（Ｓｊ）と当該ＭＡＣアドレスＭ（Ｓｊ）を検出したＬ２スイッチのポート情報の集合Ｒｏｗ｛Ｍ（Ｓｊ）｝との対応表Ｍ２をＭｖＰテーブルとして作成する第１機能と、
　前記第１機能で作成したＭｖＰテーブルの対応表Ｍ１の集合Ｒｏｗ｛Ｍ（Ｃｉ）｝と、対応表Ｍ２の集合Ｒｏｗ｛Ｍ（Ｓｊ）｝とを比較して、双方に一致する要素が存在する場合に当該要素を集合Ｒｏｗ｛Ｍ（Ｓｊ）｝から削除する正規化の処理を行う第２機能と、　前記第２機能で正規化した後のＭｖＰテーブルから通信端末Ｃｉが接続されているＬ２スイッチのポート情報を検出する第３機能と、
　前記第３機能で検出した通信端末Ｃｉが接続されているＬ２スイッチのポートを遮断状態にする第４機能と、を有することを特徴とする。

　請求項５に係る発明は、請求項４に記載の不正アクセス遮断制御プログラムにおいて、前記第３機能は、
（１）対応表Ｍ２の集合Ｒｏｗ｛Ｍ（Ｓｊ）｝が空になったＬ２スイッチＳｊを特定する機能と、
（２）対応表Ｍ１の集合Ｒｏｗ｛Ｍ（Ｃｉ）｝の中から、上記（１）で特定したＬ２スイッチＳｊのポートＰ（Ｓｊ，ｎ）（１≦ｎ≦Ｌ２スイッチＳｊのポートの総数）を抽出し、それを通信端末Ｃｉが接続されているポート情報として特定する機能と、
　を有することを特徴とする。

　請求項６に係る発明は、請求項４乃至請求項５に記載の不正アクセス遮断制御プログラムにおいて、
　通信端末Ｃｉが接続されているＬ２スイッチのポートが遮断状態にあるときに、その遮断状態を解除する第５機能を有することを特徴とする。

　請求項１または請求項４の発明によれば、通信端末が接続されたＬ２スイッチのポート情報を自動検出することができるようになり、ネットワーク監視端末Ｈがネットワーク内の不正アクセスを検出したときに対象となる通信端末を特定した後、当該通信端末が接続されているＬ２スイッチのポートを遮断状態にすることで、当該通信端末の通信を即時に且つ確実に遮断することができるようになる。したがってネットワーク管理の運用効率およびセキュリティを向上させる効果がある。

　請求項２または請求項５の発明によれば、通信端末が接続されたＬ２スイッチのポート情報を容易に検出することができるようになる。

　請求項３または請求項６の発明によれば、通信遮断された通信端末について、不正アクセスの原因究明およびその処置が完了した場合に、容易に通信の遮断状態を解除することができるようになる。

本発明の第１実施形態に係るネットワーク構成図の一例を示した模式図である。 図１に示す構成において、通信端末Ｃ４の通信を遮断する動作の一例を示したフローチャート図である。 本発明の第２実施形態に係るネットワーク構成図の一例を示した模式図である。 図３に示す構成において、通信端末Ｃ４の通信を遮断する動作の一例を示したフローチャート図である。 本発明の第３実施形態に係るネットワーク構成図の一例を示した模式図である。

Ｈ　　　　　ネットワーク監視端末
Ｓ１～Ｓ３　Ｌ２スイッチ
ＳＸ　　　　ノンインテリジェントハブ
Ｃ１～Ｃ６　通信端末

　以下、本発明を実施するための形態について図面を参照して詳細に説明する。なお、本発明は、以下に述べる実施形態により限定されるものではない。

１．第１実施形態
　本発明の第１実施形態に係る不正アクセス遮断制御方法について図１を用いて説明する。図１は第１実施形態に係るネットワーク構成図の一例を示したものである。

　図１に示すように、このネットワーク内にはＳＮＭＰ(Simple Network Management  Protocol)マネージャが実装されたネットワーク監視端末Ｈと、ＯＳＩ参照モデル第２層の機能に基づいてスイッチ動作を行うＬ２スイッチＳ１、Ｓ２、Ｓ３と、Ｌ２スイッチＳ１に接続された通信端末Ｃ１と、Ｌ２スイッチＳ２に接続された通信端末Ｃ２、Ｃ３と、Ｌ２スイッチＳ３に接続された通信端末Ｃ４、Ｃ５、Ｃ６とが存在し、Ｌ２スイッチＳ１、Ｓ２、Ｓ３にはそれぞれＳＮＭＰエージェントが実装されている。またＬ２スイッチＳｊ（1≦ｊ≦３）のｎ番ポートをＰ（Ｓｊ，ｎ）の形式で表記している。

　Ｌ２スイッチＳ１とＳ２は、ポートP(S1,15)とポートP(S2,1)で接続されている。同様に、Ｌ２スイッチＳ２とＳ３は、ポートP(S2,14)とポートP(S3,1)で接続されている。

　本発明の第１実施形態に係る不正アクセス遮断制御方法は、ネットワーク監視端末Ｈがネットワーク内の不正アクセスを検出したときに、対象となる通信端末を特定した後、当該通信端末が接続されているＬ２スイッチのポート情報を検出して、当該通信端末の通信を確実に遮断する制御を行うものである。

　ここで上記の不正アクセスには、例えば、ネットワーク監視端末Ｈが監視している通信パケットに許可されていないＭＡＣアドレスまたはＩＰアドレスが検出された場合や、ネットワーク監視端末Ｈが監視している通信端末のトラフィック量が閾値を越えた場合や、アクセスポリシーで許可されていない通信端末のパケットを検出した場合などがあり、不正アクセスを検出したネットワーク監視端末Ｈは、対象となる通信端末を特定する。ここでは、ネットワーク監視端末Ｈが不正アクセスを検出する方法および不正アクセスの対象となる通信端末を特定する方法については説明を省略する。

　ネットワーク監視端末Ｈは、不正アクセスの対象となる通信端末を特定した後、当該通信端末が接続されているＬ２スイッチのポート情報を検出して、そのポートを遮断状態にすることで、当該通信端末の通信を確実に遮断する。

　次に図２のフローチャートを用いて具体的に説明する。図２は、図１に示す構成において、ネットワーク監視端末Ｈが不正アクセスを検出し不正アクセスの対象となる通信端末Ｃ４を特定したときに、通信端末Ｃ４の通信を遮断する動作を示したものである。

　ステップＳ０１において、ネットワーク監視端末ＨがＬ２スイッチから受け取った管理情報に基づき、通信端末Ｃ４のＭＡＣアドレスＭ（Ｃ４）とＭＡＣアドレスＭ（Ｃ４）を検出したＬ２スイッチＳｊ（1≦ｊ≦３）のポート情報の集合Ｒｏｗ｛Ｍ（Ｃ４）｝との対応表Ｍ１、およびＬ２スイッチＳｊのＭＡＣアドレスＭ（Ｓｊ）と当該ＭＡＣアドレスＭ（Ｓｊ）を検出したＬ２スイッチのポート情報の集合Ｒｏｗ｛Ｍ（Ｓｊ）｝との対応表Ｍ２をＭｖＰテーブルとして作成する。

　図２に示すように、対応表Ｍ１には、通信端末Ｃ４のＭＡＣアドレスＭ（Ｃ４）および集合Ｒｏｗ｛Ｍ（Ｃ４）｝＝｛P(S1,15), P(S2,14), P(S3,2)｝が作成される。また対応表Ｍ２には、Ｌ２スイッチＳ１のＭＡＣアドレスＭ（Ｓ１）および集合Ｒｏｗ｛Ｍ（Ｓ１）｝＝｛P(S2,1), P(S3,1)｝、Ｌ２スイッチＳ２のＭＡＣアドレスＭ（Ｓ２）および集合Ｒｏｗ｛Ｍ（Ｓ２）｝＝｛P(S1,15), P(S3,1)｝、Ｌ２スイッチＳ３のＭＡＣアドレスＭ（Ｓ３）および集合Ｒｏｗ｛Ｍ（Ｓ３）｝＝｛P(S1,15), P(S2,14)｝が作成される。

　ここでネットワーク監視端末ＨがＬ２スイッチから管理情報を取得するために、例えば、ＳＮＭＰエージェントが実装されたＬ２スイッチＳｊに対してＩＰアドレスを指定して問い合わせを行い、その応答としてＳＮＭＰエージェントの管理情報（ＲＦＣ１１５６で規定されているＭＩＢ１、ＲＦＣ１２１３で規定されているＭＩＢ２、ＲＦＣ１４９３で規定されているＢＲＩＤＧＥ－ＭＩＢ、およびＲＦＣ２８６３で規定されているＩＦ－ＭＩＢ）を受け取ることにより、任意のポートＰ（Ｓｊ，ｎ）を通過するフレームのヘッダ上にあるＭＡＣアドレスを検出することができる。

　またネットワーク監視端末ＨがＬ２スイッチＳｊのＩＰアドレスを保持していない場合には、例えば、ネットワーク監視端末Ｈが管理するアドレスレンジの全ＩＰアドレスに対して問い合わせを行うことにより、ＳＮＭＰエージェントが実装されたネットワーク機器からの応答を受け取ることが可能となり、その応答情報からスイッチＳｊのＩＰアドレスを検出することができる。

　次にステップＳ０２において、ステップＳ０１で作成したＭｖＰテーブルの対応表Ｍ１と対応表Ｍ２とを比較して、双方に一致する要素が存在する場合に当該要素を対応表Ｍ２から削除する正規化の処理を行う。

　ステップＳ０１で作成したＭｖＰテーブルの対応表Ｍ２の集合Ｒｏｗ｛Ｍ（Ｓ１）｝には、対応表Ｍ１の集合Ｒｏｗ｛Ｍ（Ｃ４）｝と一致する要素が無いため、削除処理が行われない。また対応表Ｍ２の集合Ｒｏｗ｛Ｍ（Ｓ２）｝には、対応表Ｍ１の集合Ｒｏｗ｛Ｍ（Ｃ４）｝と一致する要素P(S1,15)があるので、当該要素を集合Ｒｏｗ｛Ｍ（Ｓ２）｝から削除する。また対応表Ｍ２の集合Ｒｏｗ｛Ｍ（Ｓ３）｝には、対応表Ｍ１の集合Ｒｏｗ｛Ｍ（Ｃ４）｝と一致する要素P(S1,15)、P(S2,14)があるので、当該要素を集合Ｒｏｗ｛Ｍ（Ｓ３）｝から削除する。図２に示すように、正規化の処理を行った後のＭｖＰテーブルにおいて、対応表Ｍ２の集合Ｒｏｗ｛Ｍ（Ｓ３）｝は空集合となる。

　次にステップＳ０３において、この空集合となったＲｏｗ｛Ｍ（Ｓ３）｝のＬ２スイッチＳ３が、通信端末Ｃ４に接続されていると特定する。さらに、対応表Ｍ１の集合Ｒｏｗ｛Ｍ（Ｃ４）｝の中から、上記で特定したＬ２スイッチＳ３のポート情報P(S3,2)を抽出し、それを通信端末Ｃ４が接続されているポート情報として特定する。

　次にステップＳ０４において、ステップＳ０３で検出した通信端末Ｃ４が接続されているＬ２スイッチＳ３のポートP(S3,2)を遮断状態にする。ここでネットワーク監視端末Ｈは、例えば、Ｌ２スイッチＳ３のポートP(S3,2)に対して遮断用のコマンドを発行する。これにより通信端末Ｃ４の通信が遮断されることになる。

　本発明の第１実施形態に係る不正アクセス遮断制御方法は、ネットワーク監視端末Ｈがネットワーク内の不正アクセスを検出したときに、対象となる通信端末を特定した後、上述した処理（ステップＳ０１～Ｓ０４）を行うことで、容易に且つ確実に当該通信端末の通信の遮断を行うことができるようになる。

　また、例えば上述した処理（ステップＳ０１～Ｓ０４）により通信遮断された通信端末について、不正アクセスの原因究明およびその処置が完了した場合に、通信の遮断状態を解除することがある。その場合は、上記のステップＳ０４の代わりに、Ｌ２スイッチＳ３のポートP(S3,2)の遮断状態を解除するステップＳ０５を入れて、図２のフローチャートに示す処理を行うことで、通信の遮断状態を解除することができる。

　なお上述した処理（ステップＳ０１～Ｓ０５）については、ネットワーク監視端末Ｈのプログラム制御プロセッサ上でプログラムを実行することにより実現することが可能である。

２．第２実施形態
　次にネットワーク内にＳＮＭＰ非対応のノンインテリジェントハブＳＸが存在する場合のネットワーク構成の一例を図３に示す。

　図３に示すように、Ｌ２スイッチＳ１とＳＸは、ポートP(S1,15)とポートP(SX,1)で接続されている。同様に、Ｌ２スイッチＳＸとＳ２は、ポートP(SX,16)とポートP(S2,1)で接続され、Ｌ２スイッチＳＸとＳ３は、ポートP(SX,14)とポートP(S3,1)で接続されている。

　このような構成においても、基本的には第１実施形態で説明した処理（図２）を行うことで、ネットワーク監視端末Ｈが通信端末の接続されているＬ２スイッチのポート情報を検出して、当該通信端末の通信の遮断制御を行うことができる。

　図４のフローチャートは、基本的に図２のフローチャートと同じであるが、具体例を用いて説明する。図４は、図３に示す構成において、ネットワーク監視端末Ｈが不正アクセスを検出し不正アクセスの対象となる通信端末Ｃ４を特定したときに、通信端末Ｃ４の通信を遮断する動作を示したものである。

　ステップＳ０１において、ネットワーク監視端末ＨがＬ２スイッチから受け取った管理情報に基づきＭｖＰテーブルを作成する。なお、ノンインテリジェントハブＳＸにはＳＮＭＰエージェントが実装されていないため、ネットワーク監視端末ＨはノンインテリジェントハブＳＸから管理情報を受け取ることができないことから、ＭｖＰテーブルにはノンインテリジェントハブＳＸに関するものは作成されない。

　図４に示すように、対応表Ｍ１には、通信端末Ｃ４のＭＡＣアドレスＭ（Ｃ４）および集合Ｒｏｗ｛Ｍ（Ｃ４）｝＝｛P(S1,15), P(S2,1), P(S3,2)｝が作成される。また対応表Ｍ２には、Ｌ２スイッチＳ１のＭＡＣアドレスＭ（Ｓ１）および集合Ｒｏｗ｛Ｍ（Ｓ１）｝＝｛P(S2,1), P(S3,1)｝、Ｌ２スイッチＳ２のＭＡＣアドレスＭ（Ｓ２）および集合Ｒｏｗ｛Ｍ（Ｓ２）｝＝｛P(S1,15), P(S3,1)｝、Ｌ２スイッチＳ３のＭＡＣアドレスＭ（Ｓ３）および集合Ｒｏｗ｛Ｍ（Ｓ３）｝＝｛P(S1,15), P(S2,1)｝が作成される。

　次にステップＳ０２において、ステップＳ０１で作成したＭｖＰテーブルの対応表Ｍ１と対応表Ｍ２とを比較して、双方に一致する要素が存在する場合に当該要素を対応表Ｍ２から削除する正規化の処理を行う。

　ステップＳ０１で作成したＭｖＰテーブルの対応表Ｍ２の集合Ｒｏｗ｛Ｍ（Ｓ１）｝には、対応表Ｍ１の集合Ｒｏｗ｛Ｍ（Ｃ４）｝と一致する要素P(S2,1)があるので、当該要素を集合Ｒｏｗ｛Ｍ（Ｓ１）｝から削除する。また対応表Ｍ２の集合Ｒｏｗ｛Ｍ（Ｓ２）｝には、対応表Ｍ１の集合Ｒｏｗ｛Ｍ（Ｃ４）｝と一致する要素P(S1,15)があるので、当該要素を集合Ｒｏｗ｛Ｍ（Ｓ２）｝から削除する。また対応表Ｍ２の集合Ｒｏｗ｛Ｍ（Ｓ３）｝には、対応表Ｍ１の集合Ｒｏｗ｛Ｍ（Ｃ４）｝と一致する要素P(S1,15)、P(S2,1)があるので、当該要素を集合Ｒｏｗ｛Ｍ（Ｓ３）｝から削除する。図４に示すように、正規化の処理を行った後のＭｖＰテーブルにおいて、対応表Ｍ２の集合Ｒｏｗ｛Ｍ（Ｓ３）｝は空集合となる。

　次にステップＳ０３において、この空集合となったＲｏｗ｛Ｍ（Ｓ３）｝のＬ２スイッチＳ３が、通信端末Ｃ４に接続されていると特定する。さらに、対応表Ｍ１の集合Ｒｏｗ｛Ｍ（Ｃ４）｝の中から、上記で特定したＬ２スイッチＳ３のポート情報P(S3,2)を抽出し、それを通信端末Ｃ４が接続されているポート情報として特定する。

　次にステップＳ０４において、ステップＳ０３で検出した通信端末Ｃ４が接続されているＬ２スイッチＳ３のポートP(S3,2)を遮断状態にする。これにより通信端末Ｃ４の通信が遮断されることになる。

　以上から、ネットワーク内にＳＮＭＰ非対応のノンインテリジェントハブＳＸが存在する構成においても、第１実施形態で説明した処理（図２）を行うことで、ネットワーク監視端末Ｈが通信端末の接続されているＬ２スイッチのポート情報を検出して、当該通信端末の通信の遮断制御を行うことができる。

３．第３実施形態
　次にネットワーク内にＳＮＭＰ非対応のノンインテリジェントハブＳＸが存在する場合のネットワーク構成の一例を図５に示す。

　図５に示すように、Ｌ２スイッチＳ１とＳ２は、ポートP(S1,15)とポートP(S2,1)で接続されている。同様に、Ｌ２スイッチＳ２とＳ３は、ポートP(S2,14)とポートP(S3,1)で接続され、Ｌ２スイッチＳ３とＳＸは、ポートP(S3,2)とポートP(SX,1)で接続されている。

　このような構成においても、基本的には第１実施形態で説明した処理（図２）を行うことで、ネットワーク監視端末Ｈが通信端末の接続されているＬ２スイッチのポート情報を検出して、当該通信端末の通信の遮断制御を行うことができる。

　図５において、例えば、ネットワーク監視端末Ｈが不正アクセスを検出し不正アクセスの対象となる通信端末Ｃ４を特定したときに、通信端末Ｃ４の接続されているＬ２スイッチＳ３のポートP(S3,2)を検出して、ポートP(S3,2)を遮断状態にすることで、通信端末Ｃ４の通信を遮断することができる。この場合、ポートP(S3,2)を遮断状態にすることにより、ノンインテリジェントハブＳＸを経由する通信が全て遮断されることになる。

　本発明は、Ｌ２スイッチを含むネットワーク構成において不正アクセスが検出された端末の通信を容易に且つ確実に遮断する技術に適用可能である。

Claims (6)

1. 　ネットワーク内の通信端末が接続されているＬ２スイッチのポート情報を検出して、当該通信端末の通信の遮断制御を行う方法であって、
   　ネットワーク監視端末がＬ２スイッチから受け取った管理情報に基づき、通信端末Ｃｉ（１≦ｉ≦ネットワーク内の通信端末の総数）のＭＡＣアドレスＭ（Ｃｉ）と当該ＭＡＣアドレスＭ（Ｃｉ）を検出したＬ２スイッチＳｊ（1≦ｊ≦レイヤー２スイッチの総数）のポート情報の集合Ｒｏｗ｛Ｍ（Ｃｉ）｝との対応表Ｍ１、およびＬ２スイッチＳｊのＭＡＣアドレスＭ（Ｓｊ）と当該ＭＡＣアドレスＭ（Ｓｊ）を検出したＬ２スイッチのポート情報の集合Ｒｏｗ｛Ｍ（Ｓｊ）｝との対応表Ｍ２をＭｖＰテーブルとして作成する第１ステップと、
   　前記第１ステップで作成したＭｖＰテーブルの対応表Ｍ１の集合Ｒｏｗ｛Ｍ（Ｃｉ）｝と、対応表Ｍ２の集合Ｒｏｗ｛Ｍ（Ｓｊ）｝とを比較して、双方に一致する要素が存在する場合に当該要素を集合Ｒｏｗ｛Ｍ（Ｓｊ）｝から削除する正規化の処理を行う第２ステップと、
   　前記第２ステップで正規化した後のＭｖＰテーブルから通信端末Ｃｉが接続されているＬ２スイッチのポート情報を検出する第３ステップと、
   　前記第３ステップで検出した通信端末Ｃｉが接続されているＬ２スイッチのポートを遮断状態にする第４ステップと、
   　を有することを特徴とする不正アクセス遮断制御方法。
2. 　前記第３ステップは、
   （１）対応表Ｍ２の集合Ｒｏｗ｛Ｍ（Ｓｊ）｝が空になったＬ２スイッチＳｊを特定するステップと、
   （２）対応表Ｍ１の集合Ｒｏｗ｛Ｍ（Ｃｉ）｝の中から、上記（１）で特定したＬ２スイッチＳｊのポートＰ（Ｓｊ，ｎ）（１≦ｎ≦Ｌ２スイッチＳｊのポートの総数）を抽出し、それを通信端末Ｃｉが接続されているポート情報として特定するステップと、
   　を有することを特徴とする請求項１に記載の不正アクセス遮断制御方法。
3. 　通信端末Ｃｉが接続されているＬ２スイッチのポートが遮断状態にあるときに、その遮断状態を解除する第５ステップを有することを特徴とする請求項１乃至請求項２に記載の不正アクセス遮断制御方法。
4. 　ネットワーク内の通信端末が接続されているＬ２スイッチのポート情報を検出して、当該通信端末の通信の遮断制御を行うネットワーク監視端末を機能させるコンピュータプログラムであって、
   　前記ネットワーク監視端末がＬ２スイッチから受け取った管理情報に基づき、通信端末Ｃｉ（１≦ｉ≦ネットワーク内の通信端末の総数）のＭＡＣアドレスＭ（Ｃｉ）と当該ＭＡＣアドレスＭ（Ｃｉ）を検出したＬ２スイッチＳｊ（1≦ｊ≦レイヤー２スイッチの総数）のポート情報の集合Ｒｏｗ｛Ｍ（Ｃｉ）｝との対応表Ｍ１、およびＬ２スイッチＳｊのＭＡＣアドレスＭ（Ｓｊ）と当該ＭＡＣアドレスＭ（Ｓｊ）を検出したＬ２スイッチのポート情報の集合Ｒｏｗ｛Ｍ（Ｓｊ）｝との対応表Ｍ２をＭｖＰテーブルとして作成する第１機能と、
   　前記第１機能で作成したＭｖＰテーブルの対応表Ｍ１の集合Ｒｏｗ｛Ｍ（Ｃｉ）｝と、対応表Ｍ２の集合Ｒｏｗ｛Ｍ（Ｓｊ）｝とを比較して、双方に一致する要素が存在する場合に当該要素を集合Ｒｏｗ｛Ｍ（Ｓｊ）｝から削除する正規化の処理を行う第２機能と、　前記第２機能で正規化した後のＭｖＰテーブルから通信端末Ｃｉが接続されているＬ２スイッチのポート情報を検出する第３機能と、
   　前記第３機能で検出した通信端末Ｃｉが接続されているＬ２スイッチのポートを遮断状態にする第４機能と、
   　を有することを特徴とする不正アクセス遮断制御プログラム。
5. 　前記第３機能は、
   （１）対応表Ｍ２の集合Ｒｏｗ｛Ｍ（Ｓｊ）｝が空になったＬ２スイッチＳｊを特定する機能と、
   （２）対応表Ｍ１の集合Ｒｏｗ｛Ｍ（Ｃｉ）｝の中から、上記（１）で特定したＬ２スイッチＳｊのポートＰ（Ｓｊ，ｎ）（１≦ｎ≦Ｌ２スイッチＳｊのポートの総数）を抽出し、それを通信端末Ｃｉが接続されているポート情報として特定する機能と、
   　を有することを特徴とする請求項４に記載の不正アクセス遮断制御プログラム。
6. 　通信端末Ｃｉが接続されているＬ２スイッチのポートが遮断状態にあるときに、その遮断状態を解除する第５機能を有することを特徴とする請求項４乃至請求項５に記載の不正アクセス遮断制御プログラム。

Images