JP2002290407A - 安全通信保証装置 - Google Patents
安全通信保証装置Info
- Publication number
- JP2002290407A JP2002290407A JP2001084124A JP2001084124A JP2002290407A JP 2002290407 A JP2002290407 A JP 2002290407A JP 2001084124 A JP2001084124 A JP 2001084124A JP 2001084124 A JP2001084124 A JP 2001084124A JP 2002290407 A JP2002290407 A JP 2002290407A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- communication
- disconnection
- reception
- unauthorized
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Small-Scale Networks (AREA)
Abstract
(57)【要約】
【課題】 接続監視中に不正通信を検出すると、ただち
に通信を強制切断させて、不正通信の完結を防ぐ。 【解決手段】 ネットワークに2接続されて、交信中の
パケットを監視して、このパケットの内容が規定の通信
内容と異なることを検出する不正通信検出手段12と、
交信中のパケットの情報を抽出するパケット情報抽出手
段13と、不正通信検出手段が不正通信を検出すると、
パケット情報抽出手段が抽出した受信先に強制受信切断
パケットを生成送信する切断指示パケット生成手段14
を備えた。
に通信を強制切断させて、不正通信の完結を防ぐ。 【解決手段】 ネットワークに2接続されて、交信中の
パケットを監視して、このパケットの内容が規定の通信
内容と異なることを検出する不正通信検出手段12と、
交信中のパケットの情報を抽出するパケット情報抽出手
段13と、不正通信検出手段が不正通信を検出すると、
パケット情報抽出手段が抽出した受信先に強制受信切断
パケットを生成送信する切断指示パケット生成手段14
を備えた。
Description
【0001】
【発明の属する技術分野】この発明は、ネットワーク上
を流れるパケットを監視して不正と判断される通信を即
時に強制終了させる安全通信保証装置に関するものであ
る。
を流れるパケットを監視して不正と判断される通信を即
時に強制終了させる安全通信保証装置に関するものであ
る。
【0002】
【従来の技術】図5は、特開平8−186569号公報
において示される不正なアドレス管理装置である。この
図に示された従来の技術においては、ネットワーク10
2に接続されたネットワーク監視部114と、監視対象
のパケット中のアドレスが登録された正しいアドレスで
あるかを記憶するアドレスリスト部113とを備えて、
自身の中に登録済アドレスに該当するか否かを判定する
機能を持つアドレス管理装置がある。
において示される不正なアドレス管理装置である。この
図に示された従来の技術においては、ネットワーク10
2に接続されたネットワーク監視部114と、監視対象
のパケット中のアドレスが登録された正しいアドレスで
あるかを記憶するアドレスリスト部113とを備えて、
自身の中に登録済アドレスに該当するか否かを判定する
機能を持つアドレス管理装置がある。
【0003】このような従来の不正な通信を監視するア
ドレス管理装置においては、ネットワークに接続された
通信装置が送受信するパケットをネットワーク監視部1
14が受信し、そのパケットのアドレスをアドレスリス
ト部113のアドレスとを比較して、監視パケットのア
ドレスが登録範囲外の不正なものと判定された場合に、
任意の宛先へ警告のメッセージを送信する。
ドレス管理装置においては、ネットワークに接続された
通信装置が送受信するパケットをネットワーク監視部1
14が受信し、そのパケットのアドレスをアドレスリス
ト部113のアドレスとを比較して、監視パケットのア
ドレスが登録範囲外の不正なものと判定された場合に、
任意の宛先へ警告のメッセージを送信する。
【0004】
【発明が解決しようとする課題】上記のような従来の技
術においては、不正な通信を判定するのみで、これを中
止させることが出来なかった。これでは警告はできて
も、不正な送信元からの進入自体を防ぐことができない
という致命的な課題がある。
術においては、不正な通信を判定するのみで、これを中
止させることが出来なかった。これでは警告はできて
も、不正な送信元からの進入自体を防ぐことができない
という致命的な課題がある。
【0005】この発明は、上述のような課題を解決する
ためになされたもので、監視中に不正通信を検出する
と、ただちに通信を強制切断させて不正通信の簡潔を未
然に防ぐことを目的とする。
ためになされたもので、監視中に不正通信を検出する
と、ただちに通信を強制切断させて不正通信の簡潔を未
然に防ぐことを目的とする。
【0006】
【課題を解決するための手段】この発明に係る安全通信
保証装置は、ネットワークに接続されて、交信中のパケ
ットを監視して、このパケットの内容が規定の通信内容
と異なることを検出する不正通信検出手段と、交信中の
パケットの情報を抽出するパケット情報抽出手段と、不
正通信検出手段が不正通信を検出すると、パケット情報
抽出手段が抽出した受信先に強制受信切断パケットを生
成送信する切断指示パケット生成手段を備えた。
保証装置は、ネットワークに接続されて、交信中のパケ
ットを監視して、このパケットの内容が規定の通信内容
と異なることを検出する不正通信検出手段と、交信中の
パケットの情報を抽出するパケット情報抽出手段と、不
正通信検出手段が不正通信を検出すると、パケット情報
抽出手段が抽出した受信先に強制受信切断パケットを生
成送信する切断指示パケット生成手段を備えた。
【0007】また更に、切断指示パケット生成手段は、
パケット情報抽出手段が抽出した受信パケットのシーケ
ンス番号に正しく挿入できるシーケンス番号を生成し
て、強制受信切断パケットを生成するようにした。
パケット情報抽出手段が抽出した受信パケットのシーケ
ンス番号に正しく挿入できるシーケンス番号を生成し
て、強制受信切断パケットを生成するようにした。
【0008】また更に、切断指示パケット生成手段は、
不正通信検出手段が検出したシーケンスが両方向への送
受信のシーケンスである場合には、送信元と受信先とに
共に強制切断パケットを生成して送信するようにした。
不正通信検出手段が検出したシーケンスが両方向への送
受信のシーケンスである場合には、送信元と受信先とに
共に強制切断パケットを生成して送信するようにした。
【0009】
【発明の実施の形態】実施の形態1.この発明の本実施
の形態における、モニタしている交信中の不正通信の接
続を強制切断する安全通信保証装置の構成を図1に示
す。図1(a)は、ネットワーク2に接続した送受信を
行う複数の端末と、安全通信保証装置1とで構成される
システムを示している。ネットワーク2へは送信を行う
外部端末30も接続が可能である。図1(b)は安全通
信保証装置1の内部構成を示す図である。図において、
ネットワーク2には、ネットワーク監視部11と、プロ
トコル及びメッセージ制御部16が接続され、ネットワ
ーク監視部11を介して不正通信検出部12と、パケッ
ト情報抽出部13がネットワーク2に流れるパケットの
シーケンス、アドレス、内容等をそれぞれルール等を基
に監視検出、抽出している。これらの検出、抽出結果を
基に所定の処理をおこなう処理部15があり、処理部1
5の指示で切断指示パケットを生成、送信する切断指示
パケット生成部14がある。また図2は、安全通信保証
装置1が行う動作を説明するフロー図であり、図3は、
図2中のRST(リセット、強制切断指示)パケット作
成ステップS17、S26、S35における具体的なデ
ータ例を示す図である.また図4(a)は、不正通信検
出部12が行う検出動作の例を示すフロー図であり、こ
の場合は図4(b)のアドレスチェック・ルールに基づ
いて不正な送信元や受信先の検出をしている。
の形態における、モニタしている交信中の不正通信の接
続を強制切断する安全通信保証装置の構成を図1に示
す。図1(a)は、ネットワーク2に接続した送受信を
行う複数の端末と、安全通信保証装置1とで構成される
システムを示している。ネットワーク2へは送信を行う
外部端末30も接続が可能である。図1(b)は安全通
信保証装置1の内部構成を示す図である。図において、
ネットワーク2には、ネットワーク監視部11と、プロ
トコル及びメッセージ制御部16が接続され、ネットワ
ーク監視部11を介して不正通信検出部12と、パケッ
ト情報抽出部13がネットワーク2に流れるパケットの
シーケンス、アドレス、内容等をそれぞれルール等を基
に監視検出、抽出している。これらの検出、抽出結果を
基に所定の処理をおこなう処理部15があり、処理部1
5の指示で切断指示パケットを生成、送信する切断指示
パケット生成部14がある。また図2は、安全通信保証
装置1が行う動作を説明するフロー図であり、図3は、
図2中のRST(リセット、強制切断指示)パケット作
成ステップS17、S26、S35における具体的なデ
ータ例を示す図である.また図4(a)は、不正通信検
出部12が行う検出動作の例を示すフロー図であり、こ
の場合は図4(b)のアドレスチェック・ルールに基づ
いて不正な送信元や受信先の検出をしている。
【0010】上記構成の安全通信保障装置による動作を
図2ないし図4により説明する。安全通信保証装置1は
常時、監視対象の端末群の送受信情報を監視している。
外部端末30からネットワーク内の端末A31へ送信が
あったとする。図2のS11で、不正通信検出部12が
この送信は不正であると判定する。S12で、パケット
情報抽出部13がこの送信パケットの種類を判定し、そ
れ以降、厳密には接続開始時、プロトコル応答時、デー
タ送受信時に区分して強制切断指示(RST)パケット
を作成、送信する。代表的な動作として、抽出したパケ
ットがデータ受信時である場合を説明する。即ちS31
のステップを通過する。S32とS33で、図3の取り
出した情報42に示すように、受信アドレスは端末Aの
10.74.5.3で、送信アドレスは10.74.
5.2であることを知る。シーケンス番号(SEQ.N
um)取り出しステップS34で、番号は100である
ことを知る。切断指示パケット生成部14はS35で、
図3の処理手順44ないし46によりRSTパケットを
生成する。即ち同一アドレスを持ち送受信中に挿入され
る形で、かつ自然なシーケンスで取り込まれるように切
断指示パケットを送信する。
図2ないし図4により説明する。安全通信保証装置1は
常時、監視対象の端末群の送受信情報を監視している。
外部端末30からネットワーク内の端末A31へ送信が
あったとする。図2のS11で、不正通信検出部12が
この送信は不正であると判定する。S12で、パケット
情報抽出部13がこの送信パケットの種類を判定し、そ
れ以降、厳密には接続開始時、プロトコル応答時、デー
タ送受信時に区分して強制切断指示(RST)パケット
を作成、送信する。代表的な動作として、抽出したパケ
ットがデータ受信時である場合を説明する。即ちS31
のステップを通過する。S32とS33で、図3の取り
出した情報42に示すように、受信アドレスは端末Aの
10.74.5.3で、送信アドレスは10.74.
5.2であることを知る。シーケンス番号(SEQ.N
um)取り出しステップS34で、番号は100である
ことを知る。切断指示パケット生成部14はS35で、
図3の処理手順44ないし46によりRSTパケットを
生成する。即ち同一アドレスを持ち送受信中に挿入され
る形で、かつ自然なシーケンスで取り込まれるように切
断指示パケットを送信する。
【0011】詳細説明は省略するが、データ受信時以外
の場合も図2のフローからほぼ同様の動作であることは
明らかである。なお、不正通信検出部12が行う不正通
信の種類は、図4(b)に示す許容アドレスを登録して
おく、または禁止アドレスを登録しておく等以外に、
(以下、先行例では、時間帯等が示されています。ここ
に記述する事は後願を排除しますが、同時に将来、別の
特許を出願する場合にも先行例となり、自分の首をしめ
ることにもなります。そもそも、不正対策の具体例の追
記がなかったので、後半の実施の形態を削除しました。
ここに追記をしても、本願のオンラインで即時切断と直
接関係なければ、意味は少ないと考えます。どうする
か、ご指示ください。)
の場合も図2のフローからほぼ同様の動作であることは
明らかである。なお、不正通信検出部12が行う不正通
信の種類は、図4(b)に示す許容アドレスを登録して
おく、または禁止アドレスを登録しておく等以外に、
(以下、先行例では、時間帯等が示されています。ここ
に記述する事は後願を排除しますが、同時に将来、別の
特許を出願する場合にも先行例となり、自分の首をしめ
ることにもなります。そもそも、不正対策の具体例の追
記がなかったので、後半の実施の形態を削除しました。
ここに追記をしても、本願のオンラインで即時切断と直
接関係なければ、意味は少ないと考えます。どうする
か、ご指示ください。)
【0012】
【発明の効果】以上のようにこの発明によれば、不正通
信検出部と、パケット情報抽出部と、切断指示パケット
生成部とを備えたので、交信監視中に不正通信を検出す
ると、直ちに交信を切断して、安全な通信を保証できる
効果がある。
信検出部と、パケット情報抽出部と、切断指示パケット
生成部とを備えたので、交信監視中に不正通信を検出す
ると、直ちに交信を切断して、安全な通信を保証できる
効果がある。
【図1】 本発明の実施の形態1におけるシステム構成
と、安全通信保証装置の内部構成を示す図である。
と、安全通信保証装置の内部構成を示す図である。
【図2】 実施の形態1における安全通信保証装置の動
作を示すフロー図である。
作を示すフロー図である。
【図3】 図2のフロー図における、アドレス情報の抽
出と、切断指示パケットの具体例を説明する図である。
出と、切断指示パケットの具体例を説明する図である。
【図4】 図1における不正通信検出部が行う不正検出
動作フローと、通信アドレスチェック・ルールの例を示
す図である。
動作フローと、通信アドレスチェック・ルールの例を示
す図である。
【図5】 従来のネットワークでの不正アドレス管理装
置の構成を示す図である。
置の構成を示す図である。
1 安全通信保証装置、2 ネットワーク、30 送信
端末、31 端末A、32 端末B、11 ネットワー
ク監視部、12 不正通信検出部、13 パケット情報
抽出部、14 切断指示パケット生成部、15 処理
部、16 プロトコル及びメッセージ制御部。
端末、31 端末A、32 端末B、11 ネットワー
ク監視部、12 不正通信検出部、13 パケット情報
抽出部、14 切断指示パケット生成部、15 処理
部、16 プロトコル及びメッセージ制御部。
Claims (3)
- 【請求項1】 ネットワークに接続されて、交信中のパ
ケットを監視して該パケットの内容が規定の通信内容と
異なることを検出する不正通信検出手段と、 上記交信中のパケットの情報を抽出するパケット情報抽
出手段と、 上記不正通信検出手段が不正通信を検出すると、上記パ
ケット情報抽出手段が抽出した受信先に強制受信切断パ
ケットを生成送信する切断指示パケット生成手段を備え
たことを特徴とする安全通信保証装置。 - 【請求項2】 切断指示パケット生成手段は、パケット
情報抽出手段が抽出した受信パケットのシーケンス番号
に正しく挿入できるシーケンス番号を生成して、強制受
信切断パケットを生成するようにしたことを特徴とする
請求項1記載の安全通信保証装置。 - 【請求項3】 切断指示パケット生成手段は、不正通信
検出手段が検出したシーケンスが両方向への送受信のシ
ーケンスである場合には、送信元と受信先とに共に強制
切断パケットを生成して送信するようにしたことを特徴
とする請求項1記載の安全通信保証装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001084124A JP2002290407A (ja) | 2001-03-23 | 2001-03-23 | 安全通信保証装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001084124A JP2002290407A (ja) | 2001-03-23 | 2001-03-23 | 安全通信保証装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002290407A true JP2002290407A (ja) | 2002-10-04 |
Family
ID=18939841
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001084124A Pending JP2002290407A (ja) | 2001-03-23 | 2001-03-23 | 安全通信保証装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002290407A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010536221A (ja) | 2007-08-08 | 2010-11-25 | サムスン エスディーエス シーオー.エルティディ. | モバイルデバイスに対するtcpベースのサービス拒否攻撃の遮断方法 |
| CN106789982A (zh) * | 2016-12-08 | 2017-05-31 | 北京立思辰新技术有限公司 | 一种应用于工业控制***中的安全防护方法和*** |
| JP2018142927A (ja) * | 2017-02-28 | 2018-09-13 | 沖電気工業株式会社 | マルウェア不正通信対処システム及び方法 |
-
2001
- 2001-03-23 JP JP2001084124A patent/JP2002290407A/ja active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010536221A (ja) | 2007-08-08 | 2010-11-25 | サムスン エスディーエス シーオー.エルティディ. | モバイルデバイスに対するtcpベースのサービス拒否攻撃の遮断方法 |
| CN106789982A (zh) * | 2016-12-08 | 2017-05-31 | 北京立思辰新技术有限公司 | 一种应用于工业控制***中的安全防护方法和*** |
| JP2018142927A (ja) * | 2017-02-28 | 2018-09-13 | 沖電気工業株式会社 | マルウェア不正通信対処システム及び方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US5583940A (en) | Method, apparatus and device for enciphering messages transmitted between interconnected networks | |
| US11102226B2 (en) | Dynamic security method and system based on multi-fusion linkage response | |
| RU2494561C2 (ru) | Двунаправленный шлюз с улучшенным уровнем защиты | |
| Verba et al. | Idaho national laboratory supervisory control and data acquisition intrusion detection system (SCADA IDS) | |
| US7752672B2 (en) | Methods and apparatus for physical layer security of a network communications link | |
| KR20160002058A (ko) | 모드버스 통신 패턴 학습에 기반한 비정상 트래픽 탐지 장치 및 방법 | |
| CN112104604B (zh) | 基于电力物联管理平台的安全接入服务实现***及方法 | |
| CN107277058B (zh) | 一种基于bfd协议的接口认证方法及*** | |
| CN111510436B (zh) | 网络安全*** | |
| JP2000261483A (ja) | ネットワーク監視システム | |
| CN111988289B (zh) | Epa工业控制网络安全测试***及方法 | |
| KR102603512B1 (ko) | Can 컨트롤러에 의해 버스에 연결된 노드를 이용하여 can 버스에서의 조작을 방지하기 위한 방법 및 장치 | |
| JP2002007234A (ja) | 不正メッセージ検出装置、不正メッセージ対策システム、不正メッセージ検出方法、不正メッセージ対策方法、及びコンピュータ読み取り可能な記録媒体 | |
| CN1173529C (zh) | 基于边界网关协议报文的控制报文安全保护方法 | |
| CN101167331B (zh) | 传输网络事件日志协议报文的方法、***和装置 | |
| EP2007066A2 (en) | A policy enforcement point and a linkage method and system for intrude detection system | |
| JP2002290407A (ja) | 安全通信保証装置 | |
| JP2007251906A (ja) | フレーム中継装置及びフレーム検査装置 | |
| US20140297004A1 (en) | Method for detecting abnormal traffic on control system protocol | |
| CN111615814B (zh) | Ip网中的通信线路的相互认证*** | |
| CN107968777B (zh) | 网络安全监控*** | |
| EP1838038B1 (en) | Method for transfering network event protocol messages | |
| JP2010199943A (ja) | 一方向データ通信方法および情報処理装置 | |
| CN115150209A (zh) | 数据处理方法、工业控制***、电子设备及存储介质 | |
| CN101640680B (zh) | 一种网络接入控制的方法、***和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20040517 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040906 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20041019 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060627 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060704 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060831 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20061219 |