JP2007129707A - 自動化ネットワークのブロッキングの方法およびシステム - Google Patents
自動化ネットワークのブロッキングの方法およびシステム Download PDFInfo
- Publication number
- JP2007129707A JP2007129707A JP2006291363A JP2006291363A JP2007129707A JP 2007129707 A JP2007129707 A JP 2007129707A JP 2006291363 A JP2006291363 A JP 2006291363A JP 2006291363 A JP2006291363 A JP 2006291363A JP 2007129707 A JP2007129707 A JP 2007129707A
- Authority
- JP
- Japan
- Prior art keywords
- network
- physical address
- layer
- blocking filter
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
【課題】 物理的なリワイヤリングが必要でないように、ホスト・コンピュータをネットワークから論理的に切断するため、およびこれを同じ様式で再接続するための、方法およびシステムを提供すること。
【解決手段】 この方法およびシステムは、影響を受けるホストを即時に分離することによってウィルス攻撃中にセキュリティを提供し、それによって攻撃の伝搬を防ぐ。論理接続は、所与のネットワーク・ホストからのすべてのトラフィックを中断するためのネットワーク・フィルタを使用して管理される。ネットワーク・フィルタリングは、ネットワーク・プロトコルとして、またはネットワーク・サーバからの管理ツールとして実装可能である。
【選択図】 図2
【解決手段】 この方法およびシステムは、影響を受けるホストを即時に分離することによってウィルス攻撃中にセキュリティを提供し、それによって攻撃の伝搬を防ぐ。論理接続は、所与のネットワーク・ホストからのすべてのトラフィックを中断するためのネットワーク・フィルタを使用して管理される。ネットワーク・フィルタリングは、ネットワーク・プロトコルとして、またはネットワーク・サーバからの管理ツールとして実装可能である。
【選択図】 図2
Description
本発明は、一般にコンピュータ・ネットワーク・セキュリティ・システムに関し、具体的にはネットワーク接続の制御に関する。
今日では、特にコンピュータおよびネットワークがインターネットまたは他の信頼できないネットワークに接続されている場合、他者からの攻撃を防ぐために、コンピュータ・セキュリティおよびネットワーク・セキュリティが非常に重要である。これらの攻撃は、コンピュータ・ウィルス、ワーム、サービス不能、データへの不正アクセス、または他の種類の悪意あるソフトウェアなど、全体としてウィルスと呼ばれる形の場合がある。一般に通信ネットワーク・セキュリティ、特にコンピュータ・ネットワーク・セキュリティは、ハッカーを含む未許可の侵入者による巧妙な攻撃の対象となる場合が多い。こうしたネットワークへの侵入者は、アクセス権および未許可の特権を得るためにネットワークの弱点を悪用することにますます熟練してきており、こうした攻撃の検出および追跡を困難にしている。さらに、ウィルスおよびワームなどの悪意あるソフトウェアからのセキュリティの脅威は人的監視なしに伝搬可能であり、他のネットワーク・システムへの複製および移動が可能である。こうした侵入はコンピュータ・システムに損害を与え、影響を受けるネットワークに関連付けられたエンティティの重大な利益に悪影響を与える可能性がある。
特に、ネットワーク内での悪意あるソフトウェアの伝播により、短時間に指数関数的に増加するような損害を生じさせる可能性がある。コンピュータ・ネットワークに対するウィルス攻撃の悪影響が、クライアント・コンピュータ、ネットワーク・インフラストラクチャ、およびネットワーク・サーバを行動不能にする可能性がある。その結果、ビジネスに不可欠な動作がシャットダウンし、ダウンタイムおよび生産性の損失から大規模な経済的損失が生じかねない。ウィルス攻撃により与えられる業務上の損害には、悪意あるソフトウェアの封じ込めに必要なすべての努力、ならびに修理および復元の実行に必要な多大な労働力資源が含まれる。したがって、攻撃の阻止および損害の封じ込めはネットワーク・セキュリティにとって重大な側面である。
従来のネットワーク・セキュリティは、未許可の人間を中に入れないための境界線のセットアップに集中していた。現在の業務情報のセキュリティは、ビジネスを実行可能にすること、ならびに従業員、顧客、供給業者、および許可されたパーティにアクセス権を認めることができる境界線を作成することに、焦点を置く必要がある。境界線のネットワーク・セキュリティが侵害された場合、他のセキュリティ手段には、ネットワーク・クライアント上およびウェブサーバなどの他のアクセス・ポイントでの様々な種類のウィルス防止システムが含まれる。他のセキュリティ手段は、ファイアウォールの設置などのネットワーク・トポロジを含むことができる。残念ながらウィルス防止は、依然として本質的にある程度不確実である。したがって、損害を防ぐための積極的な方法には、感染したホスト・マシン、ならびに保護されておらず依然として攻撃を受けやすいホスト・マシンの識別が含まれる。攻撃が疑われる場合、破滅的な発生を修正する際の第1のステップは、感染したホストをネットワークから分離することである。ネットワーク・ホストの分離は、攻撃や、一般にネットワーク・ホストを制御してそれらをさらなる攻撃に使用するように設計されている悪意あるソフトウェアが、さらに広がるのを防ぐために必要である。ネットワーク・ホストの分離は、ネットワーク・ケーブルを切断するのと同様に単純なものとすることが可能であり、それによって他のホストとそれ以上通信できなくなり、攻撃の伝搬連鎖が断ち切られる。このソリューションは単純であるが、管理者がマシンの場所を突き止め、物理的にこれを切断した後、修復時に再接続する必要がある。何百何千のクライアントを抱えた大規模ネットワークの場合、物理的な切断は非現実的かつ遅いため、ウィルス攻撃中にネットワーク・ホストを分離する効果的な方法とは言えない。
前述の結果として、ネットワークに接続されたホスト・コンピュータの接続を管理するための高速かつ自動的な方法の提供が求められている。
本発明は、ホスト・コンピュータをネットワークから論理的に切断するため、および同様の様式でこれを再接続するための方法およびシステムを提供することにより、前述の必要性に対処する。論理的切断という用語は、ホスト・コンピュータによる伝送を許可しないようネットワークの転送コンポーネントに指示する概念のことである。この様式では、ホスト・コンピュータはネットワークとのその物理接続を維持することはできるが、他のホスト・コンピュータを感染させるために必要ないかなる通信も中断されることになるため、それ以上ウィルス攻撃を伝搬させることはできなくなる。論理的切断は、管理者が手動で発行したコマンド、またはホスト・コンピュータによって公開された不審な挙動に応答して自動的に起動されたコマンドに応答して、実行することができる。論理的再接続は、ネットワーク・セキュリティが再確立され、ホスト・システムが修復された場合に、実行することができる。論理的再接続とは、ホスト・コンピュータによる伝送を許可するようネットワークの転送コンポーネントに指示する概念のことである。本発明の一利点は自動化機能であり、これによって最小限の努力だけでよく、ウィルス攻撃に対してタイムリーに、すなわち大規模な損害が発生する前に応答することができる。本発明は、たとえ多数のホスト・コンピュータへのネットワーク・トラフィックを中断し、後に復元する必要がある場合でも、実行可能なソリューションである。本発明の一実施形態は、各ネットワーク・インターフェースにコマンドを送信するネットワーク・プロトコルとして実装可能である。本発明の他の実施形態は、ネットワーク・サーバ上で実行可能な管理ツールとして実装可能である。
本発明の一目的は、ネットワークからホストを論理的に切断することによって、ネットワーク・ホストに属する所与の物理アドレスからのネットワーク・トラフィックを中断するための手段を提供することである。
本発明の他の目的は、ネットワークからホストを論理的に再接続することによって、ネットワーク・ホストに属する所与の物理アドレスからのネットワーク・トラフィックを再開するための手段を提供することである。
本発明の他の目的は、所与の物理アドレスに関するデータ・パケットをブロックするようネットワーク・デバイスに指示することによって、所与の物理アドレスからのネットワーク・トラフィックをフィルタリングするための手段を提供することである。
本発明の他の目的は、ネットワークからネットワーク・ホストを論理的に切断するための、手動または自動メカニズムを提供することである。
前述の目的のうちの少なくとも1つが、本発明によって全体的または部分的に満たされる。前述の内容は、以下に示す本発明の詳細な説明がよりよく理解されるように、本発明の特徴および技術的利点をより広義に概説したものである。以下に、本発明の特許請求の範囲の主題を形成する、本発明の追加の特徴および利点について説明する。
本発明およびその利点についてより完全に理解するために、添付の図面に関連して以下の説明を行う。
以下の説明では、本発明を完全に理解するために、特定のワードまたはバイト長さなどの多数の特定の細部について説明する。しかしながら、当業者であれば、本発明がこうした特定の細部なしでも実施可能であることは明らかであろう。その他の場合には、不必要に詳細にして本発明が不明瞭にならないために、良く知られた回路はブロック図形式で示されている。ほとんどの部分では、タイミングなどの考慮すべき点に関する詳細は、こうした細部が本発明を完全に理解するために必要ではなく、当業者の技術範囲内にあるため、省略されている。
次に図面を参照すると、記載されている要素は必ずしも基準化する(scale)ために示されたものではなく、同じまたは同様の要素にはいくつかの図面を通じて同じ参照番号が指定されている。
所与のネットワークに結合されたホスト・コンピュータをローカライズするために、物理アドレスは、ネットワークからアクセスできる固有のハードウェア依存アドレスまたは識別を示すものである。物理アドレスは一般に、ネットワーク・ホストに結合されたハードウェア・コンポーネントが置き換えられない限り変更されない。これに対してネットワーク・アドレスは、ネットワーク・プロトコルまたは管理者によって割り当てられるアドレスまたは識別である。ネットワーク・アドレスは一般に、取り消すか、または指定された時と同じ様式で他のネットワーク・ホストに再割り当てすることができる。ネットワーク・アドレスは、ネットワークのトポロジおよび編成に関する情報も含むことができる。
本発明は、ネットワーク指向のデバイス上で実行されるアプリケーションが互いに通信し合う方法を説明するために、国際標準機構(ISO)によって標準化されたOpen System Interconnection(OSI) Reference Modelのある特徴に依拠している。図1に示されたモデルは、一般にOSI 7層モデルまたはISO 7層モデルと呼ばれる。図1では、第1の層110は物理層またはレイヤ1であり、ネットワーク・メディアとネットワーク・デバイスとをインターフェース接続するための、物理的手段の光、電気、および機械的特徴を定義する。レイヤ1デバイスの一例が、銅線ネットワーク・メディアを使用してネットワーク・インターフェース・コントローラ(NIC)に結合されたコネクタの後ろにあるネットワーク・インターフェースである。図1の第2の層112はデータ・リンク層またはレイヤ2であり、通信リンクを動作させるための手順、および物理メディアを共有するためのアクセス・ストラテジを定義する。データ・リンクおよびメディア・アクセス問題は、データ・パケットのフレーム化および伝送エラーの管理のためにレイヤ2内で処理される。イーサネット・ネットワークの例では、アクセスを管理する物理アドレスは、各NICに固有の6バイトのメディア・アクセス・コントロール(MAC)アドレスである。レベル2に依存する他のデバイスはブリッジおよびスイッチであり、どのMACアドレスが個々のポートに接続されているかを適応的に学習すること、および物理アドレスにマッピングされたネットワーク・アドレスのテーブルを格納することができる。ネットワーク・アドレスの一例が、データ・リンク・コントロール(DLC)アドレスとも呼ばれる4バイトのインターネット・アドレス、またはIPアドレスである。ネットワークのトポロジ・マップを習得するためのレイヤ2デバイス用のプロトコルの一例が、アドレス解決プロトコル(ARP)である。図1の第3の層114はネットワーク層またはレイヤ3であり、ネットワーク・デバイス間でデータをどのように伝送するのかを決定し、ネットワーク接続を確立、維持、および終了するための手段を提供する。レイヤ3デバイスの一例がルータである。レイヤ3内のプロトコルの一例がインターネット・プロトコルであり、固有のネットワーク・デバイス・アドレスに従ってパケットをルーティングし、ネットワーク・トラフィックが円滑に流れることを保証するためにフローおよび輻輳制御を提供する。図1のさらに高位の層116、118、120、および122は、それぞれトランスポート、セッション、プレゼンテーション、およびアプリケーション層に対応し、それぞれレイヤ4〜7と呼ばれる。図1の諸層はしばしばまとめてネットワーク・スタックと呼ばれ、デバイスA上で実行されるレイヤ7のアプリケーションは、デバイスB上で実行されるアプリケーションとネットワーク上でスタックを介して通信することができる。AからBへと交換される各パケットは、第1に、デバイスAのレイヤ7からスタックの各層を下方に向かって通過し、物理的にはデバイスAからBへレイヤ1上を転送され、デバイスBのレイヤ7へとスタックを上方に進まなければならない。こうしたネットワーク階層化アーキテクチャは、当分野でよく知られている。
図2を参照すると、ネットワークのレイヤ3およびレイヤ2中のデバイス機能に依拠した本発明の一実施形態が示されている。プロセス202は、所与のホスト・コンピュータを論理的に切断および再接続するための機能を有する。プロセス202の諸実施形態は、レイヤ2およびレイヤ3デバイスにホスト・システムの物理およびネットワーク・アドレッシングを提供する、任意のタイプのネットワーク上で動作可能であることに留意されたい。ネットワークのタイプは、ガルヴァーニ・コネクタ、光コネクタ、無線トランシーバ、またはそれらの任意の組み合わせを使用する、有線ネットワークとすることができる。
本発明は、他の諸実施形態で、悪意あるコード攻撃に応答して特定のネットワーク・デバイスをブロックする目的で、または所与のネットワーク・デバイスまたはコンポーネントを分離する他の目的で、無線通信ネットワークを使用して実施することもできる。無線ネットワークの場合、必要に応じて、物理アドレスおよびネットワーク・アドレスを、固有のネットワーク・デバイスおよびその論理ネットワーク・アドレスを識別する働きをする他の識別情報に置き換えることもできる。一例では、移動音声通信用のセルラ無線ネットワークにおいて、セルラ電話デバイスに関連付けられたデバイス番号、またはセルラ電話デバイスを活動状態にするために使用されるSIMカードのシリアル番号などの、固有のハードウェア識別子は、物理アドレスとして働くことが可能であり、セルラ電話番号はネットワーク・アドレスとして働くことが可能である。こうした配置構成により、特定の移動電話または特定のSIMカードをブロックすることができる。特定のSIMカードとは無関係のセルラ電話をブロックする機能は、移動電話のローカル・メモリに常駐可能な悪意あるコードからネットワークを保護するために必要な場合がある。1つのシナリオでは、ネットワーク・システムおよびそれらのエンド・デバイス全体にわたることが可能なハイブリッド・ウィルスから、ネットワーク・デバイスを保護するために、本発明を採用することができる。無線通信ネットワークにおける本発明の一実施形態では、無線ネットワーク・インターフェースに関連付けられたデバイス番号またはMACなどの固有のハードウェア識別子は、物理アドレスとして働くことが可能であり、無線ネットワーク・インターフェースのIPアドレスはネットワーク・アドレスとして働くことが可能である。一例では、GSMおよびIEEE 802.11機能の両方を備えた無線デバイスを、本発明の方法を使用してウィルス攻撃を検出すると同時に、いずれかのネットワークから切断することができる。
201で開始された後、図2におけるプロセス202の最初のステップ210には、論理的切断のためにネットワーク・ホストの物理アドレスを識別するステップが含まれる。一例では、物理アドレスは、ホストを識別する働きをするホストNICのMACアドレスとすることができる。他の場合、IPアドレスなどのネットワーク・アドレスを使用して、ネットワーク・ホストの物理アドレスを解決することができる。
図3では、プロセス210の一例がプロセス302に示されている。301で開始された後、第1のステップ304はホストのネットワーク・アドレスを識別することである。第2のステップ306では、ホストの物理アドレスを解決するためにネットワーク・アドレスが使用される。ステップ210、304の識別するステップは、プロンプトに応答したユーザ・インターフェースへのアドレス情報の入力を含むことができる。IPアドレスまたは他のネットワーク識別子などの2次情報から物理アドレスを解決するステップ306は、ユーザ入力に応答して自動的に実行するか、または手動で実行することができる。自動的な解決は、デバイスから物理アドレスを再取得するためにアドレス解決テーブルを維持するネットワーク・デバイスの照会を含むことができる。手動解決は、物理アドレスを取得するためのネットワーク・プロトコルを使用したコマンドの発行を含むことができる。プロセス302はステップ311で終了する。
図2におけるプロセス202の次のステップ212は、ネットワーク・ホストが結合されたネットワーク・セグメントを識別すること212を含む。本発明の一実施形態では、ネットワーク・セグメント内のすべてのデバイスと対話するためにグローバル・アドレスが使用される。他の場合には、ネットワーク・コアとネットワーク・ホストとの間の通信パスを含む、有効なネットワーク・トポロジが解決される。
図4では、ネットワーク・セグメントを識別するためのプロセス212を実装するための一実施形態が、別のプロセス322として示されている。プロセス322は、ネットワーク・ホストが結合されているレイヤ2およびレイヤ3のデバイスそれぞれの検索を含む。321で開始された後、第1のステップ324はコア・ネットワーク・アドレスを識別することを含む。これには、プロセス302を通じて、または210で識別された物理アドレスからホスト・ネットワーク・アドレスを解決することによって、ネットワーク・ホストのネットワーク・アドレスが識別される必要がある。ホスト・ネットワーク・アドレスがわかれば、ホストの通信パスを決定することができる。これには、ネットワークのコアで開始される検索が含まれる。この意味でのコアという用語は、個々に管理された自律ネットワークの中心のことである。一例では、こうしたネットワークには、コアとして働くドメイン・サーバによって管理されるネットワーク・ドメインが含まれる。ステップ326では、ルーティング機能を使用してネットワーク内のレイヤ3デバイスが決定される。一例では、ICMPルート追跡機能を使用して、ネットワーク上の各レイヤ3デバイスが決定される。その後ステップ328で、ネットワーク・ホストが結合された第1のレイヤ3デバイスが識別される。このレイヤ3デバイスは、切断されることになるネットワーク・ホスト用のネットワーク・ルータとして働き、このレイヤ3ルータへのパスまたはゲートウェイをブロックすることは、任意の他のネットワーク接続からホストを効果的に切断する働きをする。ネットワーク・セグメントを識別するプロセス322は、ステップ328で識別された第1のレイヤ3デバイスに結合された各レイヤ2デバイスを決定することによって、さらにステップ330に進む。ステップ330は、第1のレイヤ3デバイス上で、ネットワーク・ホストの物理アドレスがどの物理インターフェースに関連付けられているかを決定することによって開始される。そこから、次の直接結合されたネットワーク・デバイスを照会することによって、第1のレイヤ3デバイスとネットワーク・ホストとの間にあるそれぞれの連続するレイヤ2デバイスが決定される。その後、ホップとも呼ばれる通信パス内の各ステップが解決される。一実装では、Cisco Discovery Protocol(CDP)を使用して、通信パス内の次のホップを決定することができる。一例では、通信パッチおよびデバイス・アドレスが解決されると、Telnetプロトコルを使用してネットワーク・デバイスとの対話が実行される。ステップ332では、ネットワーク・ホストに接続された第1のレイヤ2デバイスが決定される。以前の諸ステップでネットワーク・トポロジが有効に解決されているため、ステップ334ではこの情報がローカル・データベースに記録される。プロセス322はステップ351で終了する。
図2におけるプロセス202の次のステップ214は、ネットワーク・ホストを論理的に切断するための意思決定ステップである。この意思決定ステップ214は、手動または自動で発行可能な切断コマンドに応答して実行することができる。手動切断コマンドは、ネットワークの管理者によりユーザ・インターフェース要素を動作させることによって実行された意思決定の結果とすることができる。自動切断コマンドは、ネットワーク・トラフィックの特定の挙動またはパターン、ネットワーク上でのソフトウェア・バージョンのインストール・マップ、あるいは、特定のホストをネットワークから論理的に切断すべきであるかどうかを判別するための他の基準などの、事前に定義された基準に応答して発行することができる。自動切断コマンドは、詳細なネットワーク・アドレスおよびアクションのタイムスタンプと共に実行されたアクションの、管理者への通知を伴うことができる。こうした所与のネットワーク・ホストを論理的に切断するように意思決定214されるなどの時点まで、プロセス202はアイドル状態のままとするか、または切断コマンドの発行についてポーリングすることができる。切断コマンドに応答して、プロセス202はネットワーク・ホストを論理的に切断するために、ブロッキング・フィルタを活動状態にする216。ブロッキング・フィルタには様々な実装が可能である。フィルタを適用する方法の一例では、ネットワーク・デバイスは、論理的に切断されているネットワーク・ホストからのトラフィックをブロックするために、Telnetを介してMACフィルタを適用するように指示される。ブロッキング・フィルタの一実施形態では、本発明は、ネットワーク・ホストが結合されている第1のレイヤ2デバイスにブロッキング・フィルタを適用する。ブロッキング・フィルタの一実施形態では、本発明は、ネットワーク・コアへのパス内のネットワーク・ホストと第1のレイヤ3デバイスとの間にあるあらゆるレイヤ2デバイスにブロッキング・フィルタを適用し、これによって実質上ネットワーク・ホストが物理的にネットワークに再接続されるのを防ぐ。ブロッキング・フィルタの一実施形態では、本発明はネットワーク・プロトコルに依拠して、ホストの物理アドレスに基づいて所与のホストに対する伝送を無視するための、転送デバイスへの命令でネットワークをフラッディング(flood)させる。実装の一例では、すべてのネットワーク・デバイス上のMACアドレス・フィルタを活動状態にするために、Simple Network Management Protocol(SNMP)で使用されているものと同様のメッセージがネットワークを介してフラッディングされる。ブロッキング・フィルタが活動状態になると216、ネットワーク・ホストはネットワークから論理的に切断されたものとみなされる。
図2におけるプロセス202の次のステップは、ネットワーク・ホストをネットワークに論理的に再接続するべきかどうかの意思決定218である。この意思決定ステップ218は、手動または自動で発行可能な再接続コマンドに応答して実行することができる。手動再接続コマンドは、ネットワークの管理者によりユーザ・インターフェース要素を動作させることによって実行された意思決定の結果とすることができる。自動再接続コマンドは、ホストが修復された場合などに、ネットワーク・トラフィックの特定の挙動またはパターン、ネットワーク上でのソフトウェア・バージョンのインストール・マップ、あるいは、特定のホストをネットワークに論理的に再接続すべきであるかどうかを判別するための他の基準などの、事前に定義された基準に応答して発行することができる。自動再接続コマンドは、詳細なネットワーク・アドレスおよびアクションのタイムスタンプと共に実行されたアクションの、管理者への通知を伴うことができる。こうした所与のネットワーク・ホストを論理的に再接続するように意思決定218されるなどの時点まで、プロセス202はアイドル状態のままとするか、または再接続コマンドの発行についてポーリングすることができる。再接続コマンドに応答して、プロセス202はネットワーク・ホストを論理的に再接続するために、ブロッキング・フィルタを非活動状態にする220。ブロッキング・フィルタには様々な実装、すなわちブロッキング・フィルタの除去の様々な実装が可能である。フィルタを除去する方法の一例では、ネットワーク・デバイスは、論理的に再接続されているネットワーク・ホストからのトラフィックを許可するように、Telnetを介してMACフィルタを除去するように指示される。ブロッキング・フィルタの一実施形態では、本発明は、ネットワーク・ホストが結合されている第1のレイヤ2デバイス上のブロッキング・フィルタを除去する。ブロッキング・フィルタの一実施形態では、本発明は、ネットワーク・コアへのパス内のネットワーク・ホストと第1のレイヤ3デバイスとの間にあるあらゆるレイヤ2デバイスからブロッキング・フィルタを除去する。ブロッキング・フィルタの一実施形態では、本発明はネットワーク・プロトコルに依拠して、ホストの物理アドレスに基づいて所与のホストに対する伝送を確認および転送するための、転送デバイスへの命令でネットワークをフラッディングさせる。実装の一例では、すべてのネットワーク・デバイス上のMACアドレス・フィルタを非活動状態にするために、Simple Network Management Protocol(SNMP)で使用されているものと同様のメッセージがネットワークを介してフラッディングされる。ブロッキング・フィルタが非活動状態になると218、ネットワーク・ホストはネットワークに論理的に再接続されたものとみなされ、これによってステップ216で論理的に切断される前の元の状態が得られる。プロセス202はステップ250で終了する。
プロセス202は、ネットワークからの論理的切断およびその後の再接続を必要とする複数のネットワーク・ホストに対して、開始ステップ201から終了ステップ250まで、またはその一部を反復できることに留意されたい。一例では、複数のネットワーク・ホストは順番にネットワークへの参加を中断され、各ネットワーク・ホストに対する個々の修復が確認されると同時に復元されることが可能である。他の例では、複数のネットワーク・ホストに対して、再入可能、同時、または並列様式で中断および復元の両方が行われる。
本発明は、完全なハードウェア実施形態、完全なソフトウェア実施形態、またはハードウェアおよびソフトウェアの両方の要素を含む実施形態の形を取ることができる。一実施形態では、本発明はファームウェア、常駐ソフトウェア、マイクロコードなどを含むがこれらに限定されるものではない、ソフトウェアで実装される。さらに本発明は、コンピュータまたは任意の命令実行システムによって、あるいはこれらと共に使用するためのプログラム・コードを提供する、コンピュータ使用可能またはコンピュータ読み取り可能メディアからアクセス可能な、コンピュータ・プログラム製品の形を取ることができる。これを説明する目的で、コンピュータ使用可能またはコンピュータ読み取り可能メディアは、命令実行システム、装置、またはデバイスによって、あるいはこれらと共に使用するためのプログラムを、包含、格納、通信、伝搬、または移送することが可能な、任意の装置とすることができる。メディアは、電子、磁気、光、電磁、赤外線、または半導体システム(あるいは装置またはデバイス)、あるいは伝搬媒体とすることができる。コンピュータ読み取り可能メディアの例には、半導体またはソリッド・ステート・メモリ、磁気テープ、取り外し可能コンピュータ・ディスケット、ランダム・アクセス・メモリ(RAM)、読み取り専用メモリ(ROM)、剛性磁気ディスク、および光ディスクが含まれる。現在の光ディスクの例には、コンパクト・ディスク−読み取り専用メモリ(CD−ROM)、コンパクト・ディスク−読み取り/書き込み(CD−R/W)、およびDVDが含まれる。
プログラム・コードの格納あるいは実行またはその両方に好適なデータ処理システムには、システム・バスを介してメモリ要素に直接または間接的に結合された少なくとも1つのプロセッサが含まれることになる。メモリ要素は、プログラム・コードの実際の実行中に採用されるローカル・メモリ、大容量ストレージ、および、実行中にコードを大容量ストレージから取り出さなければならない回数を削減するために少なくともいくつかのプログラム・コードの一時ストレージを提供するキャッシュ・メモリを、含むことができる。入力/出力またはI/Oデバイス(キーボード、ディスプレイ、ポインティング・デバイスなどを含むがこれに限定されるものではない)は、直接またはI/Oコントローラの介入を通じて、システムに結合することができる。データ処理システムを、私設または公衆ネットワークの介入を通じて、他のデータ処理システムあるいはリモートのプリンタまたはストレージ・デバイスに結合できるようにするために、ネットワーク・アダプタをシステムに結合することもできる。モデム、ケーブル・モデム、およびイーサネット・カードは、ネットワーク・アダプタの現在使用可能なタイプのごく一部である。
図5では、本発明の一実施形態を実施するために使用可能なネットワーク構成401が概略的に表されている。ネットワーク・コアは、401で表されたネットワーク・ドメイン用のメイン・サーバとして働くことが可能なサーバ・システム402で表される。サーバは、ルータ404および406などの複数のレベル3デバイスに接続するための、高性能のネットワーク・インターフェース403を装備することができる。ルータ406は、ネットワーク・インターフェース407を介してブリッジ408に接続可能であり、これが外部ネットワーク・セグメント415(詳細には図示せず)をこのドメイン401に接続する。一例では、外部ネットワーク・セグメント415はインターネットを表す。ルータ404は、ネットワーク接続のシステム405を介して、スイッチ410および412などの複数のレベル2デバイスに接続可能である。無線アクセス・ポイント420などの他のレベル2デバイスは、スイッチ410および412を介して、または直接、ルータ404に接続可能である。他の例では、ハブおよび中継器(repeater)(図示せず)と組み合わされたスイッチ410、412の階層ネットワークを使用して、ネットワーク・アクセスを多数のクライアント・デバイスへと拡張することができる。スイッチ410は、ネットワーク接続のシステム409を介してクライアント・コンピュータ・システム422、424、426に接続された、例示的な構成で示されている。一例では、システム426などの単一のネットワーク・ホストが、本発明の論理的切断/再接続の対象である。図5の図式は例示の目的で示されたものであり、本発明の適用範囲または実践をネットワーク構成の任意の所与の実施形態の範囲または複合内に限定するものではない。多数のレイヤ1、レイヤ2、およびレイヤ3デバイスを備えたネットワーク構成は、本発明を実施するための典型的な環境を表す。
無線アクセス・ポイント420によって提供される無線ネットワーク430は、通信デバイス440またはクライアント・コンピュータ・システム442にサービスを提供する。1つのケースでは、本発明は、ネットワーク・ホスト442またはネットワーク・ホスト440のいずれかを論理的に切断/再接続するために、無線ネットワーク430を使用して実施することができる。無線通信デバイス440は、セルラ・ネットワーク・インターフェースなどの追加の無線インターフェースを装備することができる。一例では、無線アクセス・ポイント420は、移動電話などの多数のセルラ・デバイスに無線通信サービスを提供するためのセルを表すことができる。他のケースでは、無線アクセス・ポイント420は、広域全体にわたってブロードバンド無線アクセスを提供することができる。たとえば当分野では、無線通信向けの移動体通信用グローバル・システム(GSM)標準に準拠するネットワークが、OSI−7層基準モデルを使用してモデル化できることが知られている。本発明は、OSI−7層基準モデルに準拠するかまたはこれによって表すことが可能な、任意のこうした無線ネットワークを使用して実施することができる。
典型的なネットワーク・ホスト・コンピュータ・システム(図5のアイテム422、424、426など)のシステム構成が図6に示されており、この図は、従来のマイクロプロセッサなどの中央処理ユニット(CPU)510、およびシステム・バス512を介して相互接続されたいくつかの他のユニットを有する、データ処理システム501の例示的ハードウェア構成を示す。データ処理システム501は、ランダム・アクセス・メモリ(RAM)514、読み取り専用メモリ(ROM)516、および周辺デバイスを接続するための入力/出力(I/O)アダプタ518を含むことができる。アダプタ518に対する周辺デバイスは、周辺バス519を介してバス512に接続された、ディスク・ユニット520、テープ・ドライブ540、光ドライブ542とすることができる。データ処理システム501は、キーボード524、マウス526、あるいはタッチ・スクリーン・デバイス(図示せず)などの他のユーザ・インターフェース・ドライブまたはそれらすべてを、バス512に接続するための、ユーザ・インターフェース・アダプタ522を含むこともできる。さらにシステム501は、データ処理システム513をデータ処理ネットワーク544に接続するための通信アダプタ534、およびバス512をディスプレイ・デバイス538に接続するためのディスプレイ・アダプタ536を含むこともできる。データ処理ネットワーク544は、スター型、リング型、または他のトポロジの、無線、ガルヴァーニ有線、または光メディアのネットワークとすることができる。一例では、通信アダプタ534のMACアドレスは、システム501として示されたネットワーク・ホストの物理アドレスを表す。さらにシステム501は、バス512をマイクロフォン552およびスピーカ・システム554に接続するためのマルチメディア・アダプタ550を含むことも可能であり、アダプタ550とのアナログまたはデジタルのインターフェースを介して、ヘッドフォンおよびステレオ・スピーカ(図示せず)などの他のタイプのマルチメディア出力および入力デバイスを使用することも可能である。CPU 510は、本明細書に示されていない他の回路を含むことが可能であり、たとえば実行ユニット、バス・インターフェース・ユニット、演算論理ユニットなどの、マイクロプロセッサ内で一般に見られる回路を含むことになる。
以上、本発明およびその利点について詳細に説明してきたが、添付の特許請求の範囲によって画定された本発明の趣旨および範囲を逸脱することなく、本明細書での様々な変更、置換、および改変が可能であることを理解されたい。
Claims (13)
- ネットワーク・ホストの固有の物理アドレスを識別するステップと、
前記物理アドレスに関連付けられたネットワーク・トラフィックをブロックするためのブロッキング・フィルタを適用するために、ネットワーク・セグメントを識別するステップと、
切断コマンドに応答して、前記物理アドレスに対して前記ブロッキング・フィルタを活動状態にするように、前記ネットワーク・セグメントに結合されたネットワーク・デバイスに指示するステップと、
再接続コマンドに応答して、前記物理アドレスに対して前記ブロッキング・フィルタを非活動状態にするように、前記ネットワーク・セグメントに結合されたネットワーク・デバイスに指示するステップと、
を有する、ネットワーク・ホストの論理ネットワーク接続を制御することにより、ネットワーク・ホストのネットワーク・トラフィックを中断するための方法。 - 前記物理アドレスに対して前記ブロッキング・フィルタを活動状態にするように、前記ネットワーク・セグメントに結合されたネットワーク・デバイスに指示するステップが、前記物理アドレスに対してすべてのネットワーク・トラフィックをブロックするように、ネットワーク上の各デバイスに指示するステップをさらに有し、
前記物理アドレスに対して前記ブロッキング・フィルタを非活動状態にするように、前記ネットワーク・セグメントに結合されたネットワーク・デバイスに指示するステップが、前記物理アドレスに対してすべてのネットワーク・トラフィックを伝送するように、ネットワーク上の各デバイスに指示するステップをさらに有する、
請求項1に記載の方法。 - 前記ネットワーク・ホストが無線通信デバイスを有し、
前記物理アドレスが無線通信アダプタを一意的に識別する、
請求項1に記載の方法。 - 前記物理アドレスに関連付けられたネットワーク・トラフィックをブロックするためのブロッキング・フィルタを適用するために、ネットワーク・セグメントを識別するステップが、前記物理アドレスへのネットワーク通信パスを決定するステップをさらに有し、
前記方法は、ネットワーク・コアのネットワーク・アドレスを識別するステップと、
前記ネットワーク・コアと前記物理アドレスとの間にある各レイヤ3デバイスのネットワーク・アドレスを決定するステップと、
前記物理アドレスに物理的に結合された第1のレイヤ3デバイスを識別するステップと、
前記第1のレイヤ3デバイスと前記物理アドレスとの間で結合された各レイヤ2デバイスのネットワーク・アドレスを決定するステップと、
前記物理アドレスに物理的に結合された第1のレイヤ2デバイスを識別するステップと、
レイヤ3およびレイヤ2の各デバイスのネットワーク・アドレスを、ネットワーク接続トポロジと共に記録するステップと、
をさらに有する、請求項1に記載の方法。 - 前記物理アドレスに対して前記ブロッキング・フィルタを活動状態にするように、前記ネットワーク・セグメントに結合されたネットワーク・デバイスに指示するステップが、前記物理アドレスに対してすべてのネットワーク・トラフィックをブロックするように、前記物理アドレスに物理的に結合された第1のレイヤ2デバイスに指示するステップをさらに有し、
前記物理アドレスに対して前記ブロッキング・フィルタを非活動状態にするように、前記ネットワーク・セグメントに結合されたネットワーク・デバイスに指示するステップが、前記物理アドレスに対してすべてのネットワーク・トラフィックを伝送するように、前記物理アドレスに物理的に結合された第1のレイヤ2デバイスに指示するステップをさらに有する、請求項4に記載の方法。 - 前記物理アドレスに対して前記ブロッキング・フィルタを活動状態にするように、前記ネットワーク・セグメントに結合されたネットワーク・デバイスに指示するステップが、前記物理アドレスに対してすべてのネットワーク・トラフィックをブロックするように、前記第1のレイヤ3デバイスと前記物理アドレスとの間の各レイヤ2デバイスに指示するステップをさらに有し、
前記物理アドレスに対して前記ブロッキング・フィルタを非活動状態にするように、前記ネットワーク・セグメントに結合されたネットワーク・デバイスに指示するステップが、前記物理アドレスに対してすべてのネットワーク・トラフィックを伝送するように、前記第1のレイヤ3デバイスと前記物理アドレスとの間の各レイヤ2デバイスに指示するステップをさらに有する、
請求項4に記載の方法。 - 請求項1乃至6のいずれかに記載の方法の各ステップをコンピュータに実行させるためのコンピュータ・プログラム。
- プロセッサと、
ネットワーク・ホストの論理ネットワーク接続を制御することにより、ネットワーク・ホストのネットワーク・トラフィックを中断するようにコンピュータを機能させるためのコンピュータ・プログラムを格納したメモリ・ユニットと、
通信アダプタと、
前記プロセッサを前記メモリおよび前記通信アダプタに結合するバス・システムと、
を有し、前記コンピュータ・プログラムは、コンピュータに
ネットワーク・ホストの固有の物理アドレスを識別するステップと、
前記物理アドレスに関連付けられたネットワーク・トラフィックをブロックするためのブロッキング・フィルタを適用するために、ネットワーク・セグメントを識別するステップと、
切断コマンドに応答して、前記物理アドレスに対して前記ブロッキング・フィルタを活動状態にするように、前記ネットワーク・セグメントに結合されたネットワーク・デバイスに指示するステップと、
再接続コマンドに応答して、前記物理アドレスに対して前記ブロッキング・フィルタを非活動状態にするように、前記ネットワーク・セグメントに結合されたネットワーク・デバイスに指示するステップと、
を実行させるためのコンピュータ・プログラムである、システム。 - 前記物理アドレスに対して前記ブロッキング・フィルタを活動状態にするように、前記ネットワーク・セグメントに結合されたネットワーク・デバイスに指示するステップが、前記物理アドレスに対してすべてのネットワーク・トラフィックをブロックするように、ネットワーク上の各デバイスに指示するステップをさらに有し、
前記物理アドレスに対して前記ブロッキング・フィルタを非活動状態にするように、前記ネットワーク・セグメントに結合されたネットワーク・デバイスに指示するステップが、前記物理アドレスに対してすべてのネットワーク・トラフィックを伝送するように、ネットワーク上の各デバイスに指示するステップをさらに有する、
請求項8に記載のシステム。 - 前記ネットワーク・ホストが無線通信デバイスを有し、
前記物理アドレスが無線通信アダプタを一意的に識別する、
請求項8に記載のシステム。 - 前記物理アドレスに関連付けられたネットワーク・トラフィックをブロックするためのブロッキング・フィルタを適用するために、ネットワーク・セグメントを識別するステップが、前記物理アドレスへのネットワーク通信パスを決定するステップをさらに有し、
前記コンピュータ・プログラムがコンピュータにネットワーク・コアのネットワーク・アドレスを識別するステップと、
前記ネットワーク・コアと前記物理アドレスとの間にある各レイヤ3デバイスのネットワーク・アドレスを決定するステップと、
前記物理アドレスに物理的に結合された第1のレイヤ3デバイスを識別するステップと、
前記第1のレイヤ3デバイスと前記物理アドレスとの間で結合された各レイヤ2デバイスのネットワーク・アドレスを決定するステップと、
前記物理アドレスに物理的に結合された第1のレイヤ2デバイスを識別するステップと、
レイヤ3およびレイヤ2の各デバイスのネットワーク・アドレスを、ネットワーク接続トポロジと共に記録するステップと、
をさらに実行させるコンピュータ・プログラムである、請求項8に記載のシステム。 - 前記物理アドレスに対して前記ブロッキング・フィルタを活動状態にするように、前記ネットワーク・セグメントに結合されたネットワーク・デバイスに指示するステップが、前記物理アドレスに対してすべてのネットワーク・トラフィックをブロックするように、前記物理アドレスに物理的に結合された第1のレイヤ2デバイスに指示するステップをさらに有し、
前記物理アドレスに対して前記ブロッキング・フィルタを非活動状態にするように、前記ネットワーク・セグメントに結合されたネットワーク・デバイスに指示するステップが、前記物理アドレスに対してすべてのネットワーク・トラフィックを伝送するように、前記物理アドレスに物理的に結合された第1のレイヤ2デバイスに指示するステップをさらに有する、
請求項8に記載のシステム。 - 前記物理アドレスに対して前記ブロッキング・フィルタを活動状態にするように、前記ネットワーク・セグメントに結合されたネットワーク・デバイスに指示するステップが、前記物理アドレスに対してすべてのネットワーク・トラフィックをブロックするように、前記第1のレイヤ3デバイスと前記物理アドレスとの間の各レイヤ2デバイスに指示するステップをさらに有し、
前記物理アドレスに対して前記ブロッキング・フィルタを非活動状態にするように、前記ネットワーク・セグメントに結合されたネットワーク・デバイスに指示するステップが、前記物理アドレスに対してすべてのネットワーク・トラフィックを伝送するように、前記第1のレイヤ3デバイスと前記物理アドレスとの間の各レイヤ2デバイスに指示するステップをさらに有する、
請求項8に記載のシステム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/263,039 US20070101422A1 (en) | 2005-10-31 | 2005-10-31 | Automated network blocking method and system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2007129707A true JP2007129707A (ja) | 2007-05-24 |
Family
ID=37998186
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006291363A Pending JP2007129707A (ja) | 2005-10-31 | 2006-10-26 | 自動化ネットワークのブロッキングの方法およびシステム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20070101422A1 (ja) |
| JP (1) | JP2007129707A (ja) |
| CN (1) | CN1960376A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010095446A1 (ja) | 2009-02-19 | 2010-08-26 | 日本電気株式会社 | ネットワークセキュリティシステム及びリモートマシン隔離方法 |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8191145B2 (en) * | 2006-04-27 | 2012-05-29 | The Invention Science Fund I, Llc | Virus immunization using prioritized routing |
| US8539581B2 (en) * | 2006-04-27 | 2013-09-17 | The Invention Science Fund I, Llc | Efficient distribution of a malware countermeasure |
| US8151353B2 (en) | 2006-04-27 | 2012-04-03 | The Invention Science Fund I, Llc | Multi-network virus immunization with trust aspects |
| US9258327B2 (en) | 2006-04-27 | 2016-02-09 | Invention Science Fund I, Llc | Multi-network virus immunization |
| US8966630B2 (en) * | 2006-04-27 | 2015-02-24 | The Invention Science Fund I, Llc | Generating and distributing a malware countermeasure |
| US8863285B2 (en) * | 2006-04-27 | 2014-10-14 | The Invention Science Fund I, Llc | Virus immunization using prioritized routing |
| US7917956B2 (en) * | 2006-04-27 | 2011-03-29 | The Invention Science Fund I, Llc | Multi-network virus immunization |
| US8117654B2 (en) * | 2006-06-30 | 2012-02-14 | The Invention Science Fund I, Llc | Implementation of malware countermeasures in a network device |
| US8613095B2 (en) * | 2006-06-30 | 2013-12-17 | The Invention Science Fund I, Llc | Smart distribution of a malware countermeasure |
| US8787899B2 (en) * | 2006-06-30 | 2014-07-22 | Nokia Corporation | Restricting and preventing pairing attempts from virus attack and malicious software |
| KR100789722B1 (ko) * | 2006-09-26 | 2008-01-02 | 한국정보보호진흥원 | 웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법 |
| US9729467B2 (en) * | 2009-05-12 | 2017-08-08 | Qualcomm Incorporated | Method and apparatus for managing congestion in a wireless system |
| KR101486128B1 (ko) * | 2010-04-14 | 2015-01-23 | 미쓰비시덴키 가부시키가이샤 | 엔지니어링 툴과 산업 제품의 시큐리티 방법, 및 시큐리티 시스템 |
| CN102857395A (zh) * | 2011-06-29 | 2013-01-02 | 上海地面通信息网络有限公司 | 采用统一网络安全防护设备的网络接入*** |
| FR2977432B1 (fr) * | 2011-06-29 | 2013-07-19 | Netasq | Procede de detection et de prevention d'intrusions dans un reseau informatique, et systeme correspondant |
| US8973140B2 (en) | 2013-03-14 | 2015-03-03 | Bank Of America Corporation | Handling information security incidents |
| CN104579780A (zh) * | 2015-01-09 | 2015-04-29 | 北京京东尚科信息技术有限公司 | 模拟网络断网的方法和装置 |
| US10148519B2 (en) * | 2016-06-09 | 2018-12-04 | Honeywell International Inc. | Automation network topology determination for C and I systems |
| CN109795277B (zh) * | 2018-10-17 | 2021-11-05 | 南京林业大学 | 一种针对主动悬架***受到DoS攻击的可靠性控制方法 |
| US11095610B2 (en) * | 2019-09-19 | 2021-08-17 | Blue Ridge Networks, Inc. | Methods and apparatus for autonomous network segmentation |
| MX2022009045A (es) * | 2020-01-22 | 2022-08-11 | Siemens Industry Inc | Sistema de vigilancia de ciberataques en tiempo real e independiente y de respuesta automatica a los mismos. |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005252717A (ja) * | 2004-03-04 | 2005-09-15 | Hitachi Ltd | ネットワーク管理方法及びネットワーク管理サーバ |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6356551B1 (en) * | 1997-02-14 | 2002-03-12 | Advanced Micro Devices, Inc. | Method and network switch having dual forwarding models with a virtual lan overlay |
| US6754622B1 (en) * | 1999-05-24 | 2004-06-22 | 3Com Corporation | Method for network address table maintenance in a data-over-cable system using destination reachibility |
| US6718462B1 (en) * | 2000-04-20 | 2004-04-06 | International Business Machines Corporation | Sending a CD boot block to a client computer to gather client information and send it to a server in order to create an instance for client computer |
| US7200865B1 (en) * | 2000-12-01 | 2007-04-03 | Sprint Communications Company L.P. | Method and system for communication control in a computing environment |
| US20020104017A1 (en) * | 2001-01-30 | 2002-08-01 | Rares Stefan | Firewall system for protecting network elements connected to a public network |
| TW561740B (en) * | 2002-06-06 | 2003-11-11 | Via Tech Inc | Network connecting device and data packet transferring method |
| US7512808B2 (en) * | 2003-08-29 | 2009-03-31 | Trend Micro, Inc. | Anti-computer viral agent suitable for innoculation of computing devices |
| US7676841B2 (en) * | 2005-02-01 | 2010-03-09 | Fmr Llc | Network intrusion mitigation |
-
2005
- 2005-10-31 US US11/263,039 patent/US20070101422A1/en not_active Abandoned
-
2006
- 2006-10-26 JP JP2006291363A patent/JP2007129707A/ja active Pending
- 2006-10-30 CN CNA2006101427298A patent/CN1960376A/zh active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005252717A (ja) * | 2004-03-04 | 2005-09-15 | Hitachi Ltd | ネットワーク管理方法及びネットワーク管理サーバ |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010095446A1 (ja) | 2009-02-19 | 2010-08-26 | 日本電気株式会社 | ネットワークセキュリティシステム及びリモートマシン隔離方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20070101422A1 (en) | 2007-05-03 |
| CN1960376A (zh) | 2007-05-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2007129707A (ja) | 自動化ネットワークのブロッキングの方法およびシステム | |
| EP1723745B1 (en) | Isolation approach for network users associated with elevated risk | |
| US9497080B1 (en) | Election and use of configuration manager | |
| US20170310669A1 (en) | Device Blocking Tool | |
| Azzouni et al. | sOFTDP: Secure and efficient topology discovery protocol for SDN | |
| GB2372400A (en) | Network management apparatus and method for determining the topology of a network | |
| Azzouni et al. | sOFTDP: Secure and efficient OpenFlow topology discovery protocol | |
| TW201933840A (zh) | 具有鏈路層發現之自動多機箱鏈路聚合組態 | |
| JP6052692B1 (ja) | セキュリティ管理方法、プログラム、およびセキュリティ管理システム | |
| US11641341B2 (en) | System and method for remotely filtering network traffic of a customer premise device | |
| JP5134141B2 (ja) | 不正アクセス遮断制御方法 | |
| Mahmood et al. | Network security issues of data link layer: An overview | |
| WO2011079607A1 (zh) | 一种实现交换机端口mac地址防迁移的方法及装置 | |
| WO2016197782A2 (zh) | 一种服务端口管理的方法、装置和计算机可读存储介质 | |
| US11533335B2 (en) | Fast internetwork reconnaissance engine | |
| WO2015127735A1 (zh) | 环网用户安全的实现方法及装置 | |
| WO2016200232A1 (ko) | 서버 장애 시 원격 서버 복구 시스템 및 방법 | |
| US9628480B2 (en) | Device blocking tool | |
| CN101312465B (zh) | 一种异常报文接入点的发现方法和装置 | |
| KR102092015B1 (ko) | 소프트웨어 정의 네트워크에서 네트워크 장비를 인식하는 방법, 장치 및 컴퓨터 프로그램 | |
| Keerthan Kumar et al. | Performance evaluation of packet injection and DOS attack controller software (PDACS) module | |
| Frank et al. | Securing smart homes with openflow | |
| KR20040039636A (ko) | 단말의 어드레스 관리 방법 및 시스템 | |
| US10609064B2 (en) | Network device access control and information security | |
| KR20170127852A (ko) | 하나의 서브넷에서 망분리를 구현하는 방법과 그에 따라 망분리된 네트워크 세그먼트간 arp 프로토콜을 지원하는 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090828 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110805 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110823 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120207 |