JP2008060766A - ネットワーク監視装置、検疫システム、セキュアゲートウェイ、ネットワーク監視プログラム及びネットワーク監視方法 - Google Patents
ネットワーク監視装置、検疫システム、セキュアゲートウェイ、ネットワーク監視プログラム及びネットワーク監視方法 Download PDFInfo
- Publication number
- JP2008060766A JP2008060766A JP2006233255A JP2006233255A JP2008060766A JP 2008060766 A JP2008060766 A JP 2008060766A JP 2006233255 A JP2006233255 A JP 2006233255A JP 2006233255 A JP2006233255 A JP 2006233255A JP 2008060766 A JP2008060766 A JP 2008060766A
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- quarantine
- network
- connection request
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【解決手段】エージェント3は、エージェント端末300にインストールされ、他の端末からのARP Requestに対してエージェント端末300がARP Replyを出力しないように制御する。SGW100は、監視ネットワークに接続された端末へのARP Requestを検出し、送信元端末の検疫判定を行う。SGW100は、検疫判定の結果、送信元端末が検疫済であれば、ARP Requestの宛先のエージェント端末300にインストールされたエージェント3へ、ARP Requestに対してARP Replyを出力するように指示する。指示を受けたエージェント3は、エージェント端末300をARP Replyを出力するように制御する。
【選択図】図3
Description
また、特許文献1に記載されたクライアントのセキュリティチェック方法においては、接続したクライアントの検疫完了前には攻撃を受け得る。そのため、接続したクライアントの検疫を完了するまでに、クライアントには何らかのセキュリティチェックツールが備わっているという前提を必要としない他の防御方式が必要である。
また新規にネットワークに接続された端末が不正端末であった場合など、不正端末に何らセキュリティチェックツールが備わっていなくても、不正端末を検出し排除することを目的とする。
さらに、新規にネットワークに接続された端末を不正であると判断する前に、上記端末が攻撃を開始した場合であっても、検疫済の端末が被害を受けない検疫システムを構築することを目的とする。
端末が検疫済か否かを示す検疫判定情報を記憶装置に記憶する検疫判定情報記憶部と、
上記検疫判定情報記憶部が記憶した検疫判定情報に基づき、送信元端末が検疫済か否かを処理装置により判定する検疫判定部と、
上記送信元端末が検疫済であると上記検疫判定部が判定した場合、接続要求に対して応答するように送信先端末へ処理装置により指示する応答指示部と
を備えることを特徴とする。
図1において、検疫システム1000は、サーバA910A、サーバB910B、サーバC910C、PC(パーソナルコンピュータ)A909A、PCB909B、PCC909Cなどを備える。また、PCA909A、PCB909B、PCC909Cは、LCD(液晶)901、キーボード902(Key・Board:K/B)、マウス903、FDD904(Flexible・Disc・Drive)などのハードウェア資源を備え、これらのハードウェア資源はケーブルや信号線で接続されている。
サーバA910A、サーバB910B、サーバC910C、PCA909A、PCB909B、PCC909Cは、コンピュータであり、ローカルエリアネットワーク942(LAN)やインターネット940により接続されている。
ここで、サーバA910Aは、SGW100(セキュアゲートウェイ、ネットワーク監視装置)の一例である。また、PCA909A、PCB909B、PCC909C、サーバC910Cは、エージェント端末300の一例である。また、サーバB910Bは、管理サーバ200の一例である。
図2において、SGW100、管理サーバ200及びエージェント端末300は、プログラムを実行するCPU911(Central・Processing・Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介してROM913、RAM914、通信ボード915、LCD901、キーボード902、マウス903、FDD904、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置920の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。
通信ボード915、キーボード902、FDD904などは、入力装置982の一例である。
磁気ディスク装置920又はROM913などには、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
ファイル群924には、以下に述べる実施の形態の説明において、「判定」「指示」として説明する情報やデータや信号値や変数値やパラメータが、「ファイル」や「データベース」の各項目として記憶されている。「ファイル」や「データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリになどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPU911の動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPU911の動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
また、以下に述べる実施の形態の説明において説明するフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、コンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital・Versatile・Disc)等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
実施の形態1では、VLAN機能を使用することなく不正端末を検出し排除する検疫システム1000について説明する。
検疫システム1000は、監視下のネットワークを保護するSGW100と、端末が監視下のネットワークのセキュリティポリシーに合致する正常端末であるかを判断する管理サーバ200と、各端末に設定(インストール)され、当該端末がセキュリティポリシーに合致するものであることを保証するエージェント3とを備える。
図3において、不正端末500はエージェント3がインストールされておらず、また未検疫の端末である。その他のエージェント3がインストールされたエージェント端末300は検疫済の正常端末である。
SGW100は、保護対象のネットワークである監視ネットワークの通信を監視する。SGW100は、未検疫端末を検出し検疫判定を行う機能と、通信を監視し、検疫済端末の通信は透過、未検疫端末の通信は遮断する機能とを有する。図3においては、不正端末500はエージェント3がインストールされておらず、未検疫であるため、SGW100は不正端末500の通信を遮断する。一方、SGW100は、正常端末であるエージェント端末300の通信を透過する。
エージェント3は、端末にインストールされ、端末が安全な状態であることを監視する。また、エージェント3は、OS等のパッチや、ウィルス駆除ソフトの定義ファイルなどが最新であることをチェックし、管理サーバ200に通知する機能と、SGW100が検疫判定を行う際に、端末にエージェント3をインストール済みであることをSGW100へ通知する機能とを有する。
管理サーバ200は、SGW100やエージェント3へ必要な情報を配布する機能と、SGW100やエージェント3からの情報を収集し管理する機能とを有する。
検疫システム1000は、以上の構成要素を用いて、外部から端末を持ち込んでも、自由に通信することを防止するシステムである。
検疫システム1000は、未検疫端末を検出した場合、以下の動作により検疫判定を行う。
1.端末が通信を開始する。SGW100は、この通信を拾い、端末が検疫済か未検疫かを判定する(1)。SGW100は端末が未検疫であると判定すると検疫処理を管理サーバ200へ依頼する。管理サーバ200は、エージェント3がインストールされているか否か、及びパッチ情報を端末へ問合せする(2)。ここでは、管理サーバ200は、SGW100経由で端末へ問合せを行っているが、直接端末へ問合せを行っても構わない。
2.端末にインストールされたエージェント3は、必要な情報を管理サーバ200へ通知する(3,4)。
3.管理サーバ200は、SGW100へ検疫結果を通知する(5)。
4.SWG1は、検疫結果に従い、通信を透過もしくは破棄する。図4において、SGW100は、不正端末500の通信であれば破棄し、エージェント端末300の通信であれば透過する(6)。
SGW100は、一度検疫済みとなった端末を記憶し、それ以降記憶された端末は、SGW100にて透過中継される。
図5及び図6において、各々の端末はスイッチ4により接続される。あるシステムを初めから検疫システムとして構築する場合、一般にスイッチ4はVLAN機能を持つものが用いられる。この理由は、未検疫端末と検疫済端末とを分けるためである。スイッチ4がVLAN機能を持つことにより、仮に新規接続された端末が攻撃端末(不正端末500)であった場合でも、検疫済端末であるエージェント端末300とはVLANが異なり、攻撃端末が接続されてもエージェント端末300に被害が及ぶことは無い。
一方で、VLAN機能が無い環境でそのまま検疫システム1000を構築しようとした場合、検疫済端末と新規接続端末は同じネットワークに存在するため、検疫済端末であるか否かを問わず通信が成立してしまう。
エージェント3とSGW100とが次の動作を行うことにより上記弊害を解決する。
エージェント端末300にインストールされたエージェント3は、エージェント端末300が以下の動作となるように制御する。
(1)エージェント端末300は、SGW100から誘導(指示)がない限り、すべてのARP Requestに対してARP Replyを返さない。また、エージェント端末300は、ARP Requestを受信してもARPキャッシュは更新しない。
(2)エージェント端末300は、SGW100からのARP誘導があった場合のみARP Replyを出力する。
(3)エージェント端末300は、エージェント端末300が出したARP Requestに対するARP Replyだけを受取る。
また、エージェント端末300のARPキャッシュについては、ARP Replyを受信することで通常のARPプロトコルスタックが更新する。
まず、SGW100の動作の概要を説明する。SGW100は、ARP Requestを受信した後、ARP Requestの出力元が正常端末であるか否かの判定を終えるまでこれを保持する。SGW100は、ARP Requestの出力元が正常端末であると判断した場合、ARP Requestの送信先の端末をARP Replyを出力するように誘導する。SGW100は、ARP Requestの出力元が不正端末であると判定した場合、ARP Requestを破棄し、これ以降はどの端末もその出力元の端末へARP Replyを出力しない。
(1)監視(防御対象)ネットワーク内の、検疫済みのすべてのエージェント端末300についてIP(Internet Protocol)アドレスとMACアドレスの対応表を持つ。この表をARP解決テーブルと呼ぶ。SGW100は検疫判定後にARP解決テーブルを更新する。つまり、SGW100は、端末が正常なエージェント端末300であると判定した場合、ARP解決テーブルにIPアドレスとMACアドレスとを追加する。
(2)監視ネットワークから、送信元の端末が監視ネットワーク以外のアドレスを持つARP Requestを受信した場合、送信元端末を不正端末としてARP Requestを破棄する。
(3)監視ネットワークから、送信元端末と送信先端末との両方が監視ネットワークのアドレスであるARP Requestを受信した場合
(3.1)送信元端末と送信先端末とがいずれも検疫済の場合、ARP Replyを出力するように送信先端末を誘導する。ここで、端末が検疫済か否かはARP解決テーブルによって判定できる。
(3.2)送信先端末は検疫済だが送信元端末が未検疫の場合、管理サーバ200へ検疫処理を依頼する。管理サーバ200による検疫処理の結果、送信元端末が正常端末であると判定された場合、ARP Replyを出力するように送信先端末を誘導する。
(3.3)上記(3.1)及び(3.2)以外の場合、ARP Requestを破棄する。つまり、送信先端末をARP Replyを出力するように誘導しない。すなわち、送信先端末はARP Replyを出力しない。
(4)監視ネットワークから、送信元端末が監視ネットワークのアドレスで、送信先端末が外部ネットワークのARP Requestを受信した場合
(4.1)送信元端末が検疫済端末の場合、ARP Requestを中継する。送信元端末が未検疫端末の場合、管理サーバ200へ検疫処理を依頼する。管理サーバ200による検疫処理の結果、送信元端末が正常端末であると判定された場合、ARP Replyを出力するように送信先端末を誘導する。
(4.2)上記(4.1)以外の場合、(3.3)の場合と同様にARP Requestを破棄する。
(5)監視ネットワーク外からARP Requestを受信した場合
(5.1)送信先端末が検疫済の場合、ARP Replyを出力するように送信先端末を誘導する。送信先端末が出力した外部に出て行くARP Replyは、SGW100にて単に中継する。
(5.2)上記(5.1)以外の場合、(3.3)の場合と同様にARP Requestを破棄する。
また、エージェント3がARP解決テーブルのような情報を持つ必要がない。そのため、エージェント3の処理負荷が軽い。また、エージェント3がARP解決テーブルのような情報持たないので、検疫済の端末の増減に伴うARP解決テーブルの変更時に、エージェント3に変更情報を何度も再配信する煩雑さも無い。
SGW100は、ネットワーク監視部110、表示装置A986A、処理装置A980A、入力装置A982A、記憶装置A984A、通信装置A988Aを備える。ネットワーク監視部110は、接続要求受信部112、ネットワーク判定部114、アドレス判定部116、検疫判定情報記憶部118、検疫判定部120、検疫処理指示部122、検疫処理結果受信部124、検疫処理結果判定部126、応答指示部128を備える。
管理サーバ200は、管理サーバ処理部210、処理装置B980B、入力装置B982B、記憶装置B984B、通信装置B988Bを備える。管理サーバ処理部210は、検疫処理実施部212、検疫処理結果送信部214を備える。
エージェント端末300は、端末制御部310、処理装置C980C、入力装置C982C、記憶装置C984C、通信装置C988Cを備える。端末制御部310は、上述したエージェント3である。
送信元端末が内部の端末であり、送信先端末が内部の端末である場合、ネットワーク判定部114は、(S130)へ進む。送信元端末が内部の端末であり、送信先端末が外部の端末である場合、ネットワーク判定部114は、(S131)へ進む。送信元端末が外部の端末であり、送信先端末が内部の端末である場合、ネットワーク判定部114は、(S142)へ進む。ここで、送信元端末が外部の端末であり、送信先端末が外部の端末であるARP Requestについては、監視ネットワークへの影響がない。そのため、送信先端末が外部の端末であるARP Requestは、SGW100は受信しないか、あるいは受信したとしても特に処理は行わない。
まず、上述したSGW100の(3)の動作の前に、アドレス判定処理(S130)において上述したSGW100の(2)の動作を行う。アドレス判定処理(S130)では、アドレス判定部116は、ARP Requestに含まれる送信元端末のアドレスが監視ネットワークのアドレスであるか否かを判定する。アドレス判定部116は、ARP Requestに含まれるアドレスが監視ネットワークの内部のアドレスでないと判定した場合、送信元端末を不正端末であると判定し、受信したARP Requestを破棄する。つまり、送信元端末が内部の端末であるとネットワーク判定部114が判定した場合、すなわち、ARP Requestが監視ネットワークに接続された端末から送信されたとネットワーク判定部114が判定した場合に、ARP Requestに含まれるアドレスが監視ネットワークの外部のアドレスである場合には、送信元端末を不正端末であると判定して、受信したARP Requestを破棄する。
次に、検疫判定処理(S140)では、検疫判定部120は、ARP解決テーブル(検疫判定情報の一例)に基づき、送信元端末及び送信先端末が検疫済か否かを処理装置A980Aにより判定する。送信元端末が検疫済であり、かつ、送信先端末が検疫済であると判定した場合、検疫判定部120は(S180)へ進む。送信先端末は検疫済だが、送信元端末が未検疫であると判定した場合、検疫判定部120は(S150)へ進む。その他の場合には、検疫判定部120は受信したARP Requestを破棄する。
次に、検疫処理指示処理(S150)では、検疫処理指示部122は、管理サーバ200へ送信元端末の検疫処理の指示を処理装置A980Aにより行う。検疫処理の指示を受けた管理サーバ200の動作については後述する。
次に、検疫処理結果受信処理(S160)では、検疫処理結果受信部124は、検疫処理指示部122が指示した検疫処理を、後述する管理サーバ200の検疫処理結果送信部214が行った結果である、送信元端末が不正端末であるか否かを示す検疫処理結果を管理サーバ200から通信装置A988Aにより受信する。
そして、検疫処理結果判定処理(S170)では、検疫処理結果判定部126は、検疫処理結果受信部124が受信した検疫処理結果が送信元端末を不正端末である示しているか否かを処理装置A980Aにより判定する。検疫処理結果が送信元端末を不正端末である示していると判定した場合、検疫処理結果判定部126は受信したARP Requestを破棄する。検疫処理結果が送信元端末を不正端末である示していないと判定した場合、検疫処理結果判定部126は(S180)へ進む。
そして、応答指示処理(S180)では、応答指示部128は、ARP Requestに対して応答する(ARP Replyを出力する)ように送信先端末へ処理装置A980Aにより指示する。ここで送信先端末は、上記の処理によりエージェント3がインストールされたエージェント端末300に限定されている。送信先端末にインストールされたエージェント3(端末制御部310)は、応答指示部128からARP Requestに対して応答するように指示された場合に、ARP Requestに対して応答するように制御する。つまり、送信先端末は、エージェント3(端末制御部310)の制御により、応答指示部128から指示を受けることにより、ARP Replyを送信元端末へ出力する。
まず、上述したSGW100の(4)の動作の前に、アドレス判定処理(S131)において上述したSGW100の(2)の動作を行う。(S131)は上述した(S130)と同様である。
次に、検疫判定処理(S141)では、検疫判定部120は、ARP解決テーブルに基づき、送信元端末が検疫済か否かを処理装置A980Aにより判定する。送信元端末が検疫済であると判定した場合、検疫判定部120は(S181)へ進む。送信元端末が未検疫であると判定した場合、検疫判定部120は(S151)へ進む。
(S151)から(S171)までは、上述した(S150)から(S170)までと同様である。
そして、応答指示処理(S181)では、応答指示部128は、ARP Requestを透過する。つまり、応答指示部128は、送信先端末へARP Requestを送信する。
検疫判定処理(S142)では、検疫判定部120は、ARP解決テーブルに基づき、送信元端末が検疫済か否かを処理装置A980Aにより判定する。送信先端末が検疫済であると判定した場合、検疫判定部120は(S182)へ進む。送信元端末が未検疫であると判定した場合、監視ネットワークの内部に未だ検出されていない不正端末が潜伏している可能性があり、かつ、その不正端末と連絡を取り合おうとする外部の端末がARP Requestを送信したと考えられる。そのため、検疫判定部120は受信したARP Requestを破棄する。
(S182)は、(S180)と同様である。
まず、検疫実施処理(S210)では、検疫処理実施部212は、SGW100の検疫処理指示部122の指示を受け、端末が監視ネットワークのセキュリティポリシーに合致しない不正端末であるか否かを処理装置B980Bにより判定する。ここで、検疫処理実施部212は、端末等からエージェント3がインストールされているか否かを示す情報や、OSのパッチのバージョン情報等を受信し、端末が不正端末か否かを判定する。
次に、検疫処理結果送信処理(S220)では、検疫処理結果送信部214は、検疫処理実施部212が判定した結果である検疫処理結果を通信装置B988Bにより送信する。
まず、図10に基づき、監視ネットワークに正常であるか不正であるか不明な未検疫の端末が接続され、監視ネットワークの内部の端末へアクセスする場合の動作について説明する。つまり、送信元端末が内部の端末であり、送信先端末が内部の端末である場合であり、上述したSGW100の動作では(3)の処理に該当する。
一方、端末Aが不正端末であると判定された場合(S170でNG)、SGW100は端末BへのARP Reply誘導しない。また、端末Bは、自発的にARP Replyを返すことはない。したがって、端末Aに対して端末BからARP Replyが送られることはなく、端末Aは端末Bの存在を知ることができない。そのため、端末Bは端末A等からの攻撃を免れることが可能となる。
一方、送信先の端末についてARP解決テーブルを参照し、ARP解決テーブルに送信先のMACアドレスが無い場合、送信先の端末は未検疫であると判定される(S142でNO)。つまり、この場合、監視ネットワークの内部に未だ検出されていない不正端末が潜伏している可能性があり、かつ、その不正端末と連絡を取り合おうとする外部の端末がARP Requestを送信したと考えられる。そのため、SGW100は、受信したARP Requestを破棄する。
また、VLAN制御を用いる必要がないので、既存のネットワークへ容易に検疫機能を追加することができる。
さらに、各端末にインストールされるエージェント3は、ARP解決テーブルのような情報を持つ必要がない。そのため、各端末の処理負荷が軽く、ARP解決テーブルの変更情報を各端末へ再配信する必要も無いためネットワーク負荷もかからない。
また、さらに、端末はARP Requestを受信しても、SGW100から誘導されるまではARP Replyを出力しない。そのため、新規にネットワークに接続された端末を不正であると判断する前に、上記端末が攻撃を開始した場合であっても、被害を受けることはない。
該エージェント3は、端末がARP Requestに応答することを防ぐ機構と、SGW100から誘導された時のみ誘導されたARP Replyを端末に出力させる機構を有し、
該SGW100は、ARP Requestを受取った際に、それが未検疫端末からであれば先ず検疫判定を行い、次にARP Requestの送信者の検疫結果が正常であれば、ARP Requestの宛先に設定されたエージェント3へARP Replyを出力するように誘導する機構を有することを特徴とする。
また、実施の形態1に係る検疫システム1000は、未検疫端末の検疫判定の実施期間中に未検疫端末が攻撃を開始してもこれを防ぐことを可能とすることを特徴とする。
さらに、実施の形態1に係る検疫システム1000は、検疫ネットワークを想定していない、VLAN機能の無いスイッチネットワークへも、容易に検疫機能をアドオンすることを可能とするアドオン型検疫ネットワークシステムであることを特徴とする。
実施の形態2では、不正端末をおとりネットワークに誘導し、不正端末の挙動の解析を行う方法について説明する。
スイッチ4には、予めおとりネットワーク7のおとり端末71を接続する。例えば、図10(B)に示す検疫処理で端末Aが不正端末であると判定された場合等、送信元端末が不正端末であると判定された場合にはARP Requestを破棄するとした。しかし、ARP Requestを破棄する代わりに、応答指示部128がARP Requestに対してARP Replyを返すようにおとり端末71を誘導する。これにより、不正端末は以後おとり端末71と通信を開始する。以上により、おとりネットワーク7に不正端末を誘い込み、不正端末の挙動を解析することが可能となる。
実施の形態3では、同一ネットワークでの重複したアドレスの使用を防止するgratuitous ARPを上記実施の形態で説明した検疫システム1000で実現する方法について説明する。
gratuitous ARPの目的は、IPアドレスの重複チェックと、ネットワークの内部の端末やスイッチ等の機器のARPキャッシュを更新することである。
gratuitous ARPの動作は、ある端末がネットワークに接続した際に、自分自身へARP Requestを送信し、自分自身でそのARP Requestに対してARP Replyを返すものである。自分が送信したARP Reply以外にARP Replyを受信しなければ、スイッチ以下のネットワークでIPアドレスが重複していないことがわかる。
gratuitous ARP Requestを受取った、送信者以外のすべてのエージェント端末300は、このARP Requestに対してARP Replyを出力しないようにエージェント3が制御する。また、エージェント3はエージェント端末300のARPキャッシュを更新しないように制御する。このようにすることにより、上記実施の形態で説明した検疫システム1000が機能する。一方で、このままではgratuitous ARPの目的であるIPアドレス重複チェックが機能しない。
しかし、gratuitous ARPの目的であるIPアドレス重複チェックは、SGW100のARP解決テーブルを使用することにより実現する。
SGW100は、検疫判定後の端末のIPアドレスはARP解決テーブルで管理している。gratuitous ARP Requestを受信したSGW100は、gratuitous ARP Requestに含まれるIPアドレスが既に検疫済の端末と同一であればIPの重複が発生している。この場合、上記実施の形態で説明したSGW100がARP Requestに対してARP Replyを出力するか否かを判定した動作と同様に、gratuitous ARP Requestに対してARP Replyを出力するか否かを判定する。ここで、上記実施の形態における送信先端末に該当するのは、gratuitous ARP Requestの送信元端末と同じIPアドレスを持つ別の端末である。つまり、SGW100は、gratuitous ARP Requestの送信者と同じIPアドレスを持つ別の端末を、ARP Replyを出力するように誘導するか否かを判定する。ここで、gratuitous ARP Requestの送信元端末が不正端末でないと判定された場合、gratuitous ARP Requestの送信者と同じIPアドレスを持つ別の端末にARP Replyの出力が指示される。その結果出力されたARP Replyをgratuitous ARP Requestの送信元端末が受信し、IPアドレスの重複が検出される。
また、gratuitous ARP Replyを出力した端末が、gratuitous ARPに期待するIPの重複チェックを実施させるために、既に存在している端末から1回のReplyを出力させるようエージェント3を誘導しても良い。
実施の形態4では、外部から到達するARP Requestについて、すべての場合に内部の端末からARP Replyを返すことが危険である場合に、送信元のネットワークの安全性を確認する方法について説明する。
SGW100のネットワーク監視部110は、ホワイトリスト記憶部130、ホワイトリスト判定部132を備える。ホワイトリスト記憶部130は、監視ネットワーク以外で安全なネットワークをホワイトリストとして記憶装置A984Aに記憶する。ホワイトリスト判定部132は、ARP Requestが監視ネットワークでないネットワークに接続された端末から送信された場合に、ホワイトリスト記憶部130が記憶したホワイトリストに基づき、ARP Requestを送信した端末が接続されたネットワークが安全なネットワークであるか否かを処理装置A980Aにより判定する。
(S120)で、送信元端末が外部の端末であり、送信先端末が内部の端末であると判定された場合に、ネットワーク判定部114は(S190)へ進む。ホワイトリスト判定処理(S190)では、ホワイトリスト判定部132は、ホワイトリストに基づき、送信元端末が接続されたネットワークが安全なネットワークであるか否かを判定する。送信元端末が接続されたネットワークが安全なネットワークでないと判定した場合、ホワイトリスト判定部132はARP Requestを破棄する。送信元端末が接続されたネットワークが安全なネットワークであると判定した場合、ホワイトリスト判定部132は、(S142)へ進む。
また、上記実施の形態で「〜処理」として説明したものは、「〜ステップ」と読み替えすることができるものである。
Claims (11)
- 送信元端末から接続要求を受信しても応答の指示がされない限り接続要求に対して応答しない送信先端末に宛てられた接続要求を、ネットワークを介して通信装置により受信する接続要求受信部と、
端末が検疫済か否かを示す検疫判定情報を記憶装置に記憶する検疫判定情報記憶部と、
上記検疫判定情報記憶部が記憶した検疫判定情報に基づき、送信元端末が検疫済か否かを処理装置により判定する検疫判定部と、
上記送信元端末が検疫済であると上記検疫判定部が判定した場合、接続要求に対して応答するように送信先端末へ処理装置により指示する応答指示部と
を備えることを特徴とするネットワーク監視装置。 - 上記ネットワーク監視装置は、さらに、
上記送信元端末が検疫済でないと上記検疫判定部が判定した場合、管理サーバへ上記送信元端末の検疫処理の指示を処理装置により行う検疫処理指示部と、
上記検疫処理指示部が指示した検疫処理を上記管理サーバが行った結果である、送信元端末が不正な端末であるか否かを示す検疫処理結果を上記管理サーバから通信装置により受信する検疫処理結果受信部とを備え、
送信元端末が不正な端末でないと上記検疫処理結果受信部が受信した検疫処理結果が示す場合、上記応答指示部は接続要求に対して応答するように送信先端末へ指示する
ことを特徴とする請求項1記載のネットワーク監視装置。 - 上記検疫判定部は、上記検疫判定情報記憶部が記憶した検疫判定情報に基づき、送信先端末が検疫済か否かを判定し、
上記応答指示部は、上記送信先端末が検疫済でないと上記検疫判定部が判定した場合、接続要求に対して応答するように送信先端末へ指示しない
ことを特徴とする請求項1記載のネットワーク監視装置。 - 上記接続要求受信部は、送信元端末のアドレスを含む接続要求を受信し、
上記ネットワーク監視装置は、さらに、
上記接続要求が監視ネットワークに接続された端末から送信されたか否かを判定するネットワーク判定部と、
上記接続要求に含まれる送信元端末のアドレスが上記監視ネットワークのアドレスであるか否かを処理装置により判定するアドレス判定部とを備え、
上記接続要求が監視ネットワークに接続された端末から送信されたと上記ネットワーク判定部が判定し、かつ、上記接続要求に含まれる送信元端末のアドレスが上記監視ネットワークのアドレスでないと上記アドレス判定部が判定した場合、上記応答指示部は、接続要求に対して応答するように送信先端末へ指示しない
ことを特徴とする請求項1記載のネットワーク監視装置。 - 送信元端末が不正な端末であると上記検疫処理結果受信部が受信した検疫処理結果が示す場合、上記応答指示部は、上記送信先端末とは異なるおとり端末を応答するように指示する
ことを特徴とする請求項2記載のネットワーク監視装置。 - 上記ネットワーク監視装置は、さらに、
監視ネットワーク以外で安全なネットワークをホワイトリストとして記憶装置に記憶するホワイトリスト記憶部と、
上記接続要求が監視ネットワークに接続された端末から送信されたか否かを判定するネットワーク判定部と、
上記接続要求が監視ネットワークでないネットワークに接続された端末から送信されたと上記ネットワーク判定部が判定した場合、上記ホワイトリスト記憶部が記憶したホワイトリストに基づき、上記接続要求を送信した端末が接続されたネットワークが安全なネットワークであるか否かを判定するホワイトリスト判定部とを備え、
上記接続要求を送信した端末が接続されたネットワークが安全なネットワークでないと上記ホワイトリスト判定部が判定した場合、上記応答指示部は、接続要求に対して応答するように送信先端末へ指示しない
ことを特徴とする請求項1記載のネットワーク監視装置。 - 監視ネットワークに接続された端末と監視ネットワークを監視するネットワーク監視装置とを備える検疫システムにおいて、
端末は、
接続要求を受信しても応答しないように制御する端末制御部を備え、
ネットワーク監視装置は、
監視ネットワークに接続された送信先端末宛の接続要求を通信装置により受信する接続要求受信部と、
端末が検疫済か否かを示す検疫判定情報を記憶装置に記憶する検疫判定情報記憶部と、
上記検疫判定情報記憶部が記憶した検疫判定情報に基づき、上記接続要求受信部が受信した接続要求の送信元の端末である送信元端末が検疫済か否かを処理装置により判定する検疫判定部と、
上記送信元端末が検疫済であると上記検疫判定部が判定した場合、接続要求に対して応答するように送信先端末へ処理装置により指示する応答指示部とを備え、
上記端末制御部は、上記応答指示部から接続要求に対して応答するように指示された場合に、接続要求に対して応答するように制御する
ことを特徴とする検疫システム。 - 上記検疫システムは、さらに、管理サーバを備え、
上記ネットワーク監視装置は、さらに、
上記送信元端末が検疫済でないと上記検疫判定部が判定した場合、管理サーバへ上記送信元端末の検疫処理の指示を処理装置により行う検疫処理指示部を備え、
管理サーバは、
上記検疫処理指示部の指示を受け、端末が監視ネットワークのセキュリティポリシーに合致しない不正な端末であるか否かを処理装置により判定する検疫処理実施部と、
上記検疫処理実施部が判定した結果である検疫処理結果を通信装置により送信する検疫処理結果送信部とを備え、
上記ネットワーク監視装置は、さらに、
上記検疫処理結果送信部が送信した検疫処理結果を通信装置により受信する検疫処理結果受信部を備え、
送信元端末が不正な端末でないと上記検疫処理結果受信部が受信した検疫処理結果が示す場合、上記応答指示部は、送信先端末を応答するように指示する
ことを特徴とする請求項7記載の検疫システム。 - 監視ネットワークに接続され、ARP(Address Resolution Protocol) Requestを受信してもセキュアゲートウェイから指示されない限りARP Requestに対してARP Replyを出力しない送信先端末宛のARP Requestを通信装置により受信する接続要求受信部と、
端末が検疫済か否かを示す検疫判定情報を記憶装置に記憶する検疫判定情報記憶部と、
上記検疫判定情報記憶部が記憶した検疫判定情報に基づき、上記接続要求受信部が受信した接続要求の送信元の端末である送信元端末が検疫済か否かを処理装置により判定する検疫判定部と、
上記送信元端末が検疫済であると上記検疫判定部が判定した場合、ARP Requestに対してARP Replyを出力するように、送信先端末を処理装置により指示する応答指示部と
を備えることを特徴とするセキュアゲートウェイ。 - 送信元端末から接続要求を受信しても応答の指示がされない限り接続要求に対して応答しない送信先端末に宛てられた接続要求を、ネットワークを介して通信装置により受信する接続要求受信処理と、
記憶装置に記憶した端末が検疫済か否かを示す検疫判定情報に基づき、送信元端末が検疫済か否かを処理装置により判定する検疫判定処理と、
上記送信元端末が検疫済であると上記検疫判定処理で判定した場合、接続要求に対して応答するように送信先端末を処理装置により指示する応答指示処理と
をコンピュータに実行させることを特徴とするネットワーク監視プログラム。 - 通信装置が、送信元端末から接続要求を受信しても応答の指示がされない限り接続要求に対して応答しない送信先端末に宛てられた接続要求を、ネットワークを介して受信する接続要求受信ステップと、
処理装置が、記憶装置に上記検疫判定情報記憶ステップで記憶した端末が検疫済か否かを示す検疫判定情報に基づき、送信元端末が検疫済か否かを判定する検疫判定ステップと、
処理装置が、上記送信元端末が検疫済であると上記検疫判定ステップで判定した場合、接続要求に対して応答するように送信先端末を指示する応答指示ステップと
を備えることを特徴とするネットワーク監視方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006233255A JP4745922B2 (ja) | 2006-08-30 | 2006-08-30 | ネットワーク監視装置、検疫システム、セキュアゲートウェイ、ネットワーク監視プログラム及びネットワーク監視方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006233255A JP4745922B2 (ja) | 2006-08-30 | 2006-08-30 | ネットワーク監視装置、検疫システム、セキュアゲートウェイ、ネットワーク監視プログラム及びネットワーク監視方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008060766A true JP2008060766A (ja) | 2008-03-13 |
JP4745922B2 JP4745922B2 (ja) | 2011-08-10 |
Family
ID=39243042
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006233255A Expired - Fee Related JP4745922B2 (ja) | 2006-08-30 | 2006-08-30 | ネットワーク監視装置、検疫システム、セキュアゲートウェイ、ネットワーク監視プログラム及びネットワーク監視方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4745922B2 (ja) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009225046A (ja) * | 2008-03-14 | 2009-10-01 | Toshiba Corp | 通信妨害装置及び通信妨害プログラム |
JP2009225045A (ja) * | 2008-03-14 | 2009-10-01 | Toshiba Corp | 通信妨害装置及び通信妨害プログラム |
JP2010118745A (ja) * | 2008-11-11 | 2010-05-27 | Sumitomo Electric System Solutions Co Ltd | 検疫制御装置、検疫制御コンピュータプログラム、通信妨害方法、端末装置、エージェントコンピュータプログラム、コンピュータプログラムセット、及び誤学習処理方法 |
JP2011039850A (ja) * | 2009-08-12 | 2011-02-24 | Nomura Research Institute Ltd | 通信エージェント、検疫ネットワークシステム |
JP2012034129A (ja) * | 2010-07-29 | 2012-02-16 | Pfu Ltd | 管理サーバ、通信遮断装置、情報処理システム、方法およびプログラム |
JP2012080216A (ja) * | 2010-09-30 | 2012-04-19 | Nec Corp | 検疫装置、検疫システム、検疫方法、及びプログラム |
JP2013046214A (ja) * | 2011-08-24 | 2013-03-04 | Mitsubishi Electric Corp | 検疫システム、ゲートウェイ装置、設備機器および設備系lan構築方法 |
KR101585342B1 (ko) * | 2014-09-30 | 2016-01-14 | 한국전력공사 | 이상행위 탐지 장치 및 방법 |
US10356113B2 (en) | 2016-07-11 | 2019-07-16 | Korea Electric Power Corporation | Apparatus and method for detecting abnormal behavior |
JP2019160126A (ja) * | 2018-03-16 | 2019-09-19 | デジタルア−ツ株式会社 | 情報処理装置、情報処理プログラム、記録媒体及び情報処理方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09214550A (ja) * | 1996-01-30 | 1997-08-15 | Fujitsu Ltd | 中継装置 |
JP2002142004A (ja) * | 2000-10-31 | 2002-05-17 | Toshiba Corp | 通信装置 |
JP2006050152A (ja) * | 2004-08-03 | 2006-02-16 | Toshiba Corp | 情報通信システム、情報通信方法、パケット転送装置、パケット転送プログラム、パケット転送方法、防御対象端末、防御対象プログラム及び防御対象方法 |
JP2006109101A (ja) * | 2004-10-05 | 2006-04-20 | Ntt Docomo Inc | 移動通信方法、移動通信システム、セッション制御装置及び発信端末 |
-
2006
- 2006-08-30 JP JP2006233255A patent/JP4745922B2/ja not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09214550A (ja) * | 1996-01-30 | 1997-08-15 | Fujitsu Ltd | 中継装置 |
JP2002142004A (ja) * | 2000-10-31 | 2002-05-17 | Toshiba Corp | 通信装置 |
JP2006050152A (ja) * | 2004-08-03 | 2006-02-16 | Toshiba Corp | 情報通信システム、情報通信方法、パケット転送装置、パケット転送プログラム、パケット転送方法、防御対象端末、防御対象プログラム及び防御対象方法 |
JP2006109101A (ja) * | 2004-10-05 | 2006-04-20 | Ntt Docomo Inc | 移動通信方法、移動通信システム、セッション制御装置及び発信端末 |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009225046A (ja) * | 2008-03-14 | 2009-10-01 | Toshiba Corp | 通信妨害装置及び通信妨害プログラム |
JP2009225045A (ja) * | 2008-03-14 | 2009-10-01 | Toshiba Corp | 通信妨害装置及び通信妨害プログラム |
JP2010118745A (ja) * | 2008-11-11 | 2010-05-27 | Sumitomo Electric System Solutions Co Ltd | 検疫制御装置、検疫制御コンピュータプログラム、通信妨害方法、端末装置、エージェントコンピュータプログラム、コンピュータプログラムセット、及び誤学習処理方法 |
JP2011039850A (ja) * | 2009-08-12 | 2011-02-24 | Nomura Research Institute Ltd | 通信エージェント、検疫ネットワークシステム |
JP2012034129A (ja) * | 2010-07-29 | 2012-02-16 | Pfu Ltd | 管理サーバ、通信遮断装置、情報処理システム、方法およびプログラム |
US9444821B2 (en) | 2010-07-29 | 2016-09-13 | Pfu Limited | Management server, communication cutoff device and information processing system |
JP2012080216A (ja) * | 2010-09-30 | 2012-04-19 | Nec Corp | 検疫装置、検疫システム、検疫方法、及びプログラム |
JP2013046214A (ja) * | 2011-08-24 | 2013-03-04 | Mitsubishi Electric Corp | 検疫システム、ゲートウェイ装置、設備機器および設備系lan構築方法 |
KR101585342B1 (ko) * | 2014-09-30 | 2016-01-14 | 한국전력공사 | 이상행위 탐지 장치 및 방법 |
US10356113B2 (en) | 2016-07-11 | 2019-07-16 | Korea Electric Power Corporation | Apparatus and method for detecting abnormal behavior |
JP2019160126A (ja) * | 2018-03-16 | 2019-09-19 | デジタルア−ツ株式会社 | 情報処理装置、情報処理プログラム、記録媒体及び情報処理方法 |
Also Published As
Publication number | Publication date |
---|---|
JP4745922B2 (ja) | 2011-08-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4745922B2 (ja) | ネットワーク監視装置、検疫システム、セキュアゲートウェイ、ネットワーク監視プログラム及びネットワーク監視方法 | |
KR102181185B1 (ko) | 단말의 안전한 네트워크 접속을 위한 시스템 및 방법 | |
US10282548B1 (en) | Method for detecting malware within network content | |
US8539582B1 (en) | Malware containment and security analysis on connection | |
JP4746393B2 (ja) | ネットワークを介するソフトウェア配信を外部の悪意のある侵入から隔離する方法、システム、および装置 | |
CN106797375B (zh) | 恶意软件代理的行为检测 | |
US20170331842A1 (en) | Sdn controller | |
KR102364445B1 (ko) | 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 | |
US10509904B2 (en) | USB attack protection | |
US20100071065A1 (en) | Infiltration of malware communications | |
JP6256773B2 (ja) | セキュリティシステム | |
KR102379720B1 (ko) | 가상화 단말에서 데이터 플로우를 제어하기 위한 시스템 및 그에 관한 방법 | |
KR102407136B1 (ko) | 컨트롤러 기반 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 | |
JP2008054204A (ja) | 接続装置及び端末装置及びデータ確認プログラム | |
US20060015939A1 (en) | Method and system to protect a file system from viral infections | |
JP7166969B2 (ja) | ルータ攻撃検出装置、ルータ攻撃検出プログラム及びルータ攻撃検出方法 | |
JP2020119596A (ja) | ログ解析システム、解析装置、方法、および解析用プログラム | |
US11159533B2 (en) | Relay apparatus | |
JP6635029B2 (ja) | 情報処理装置、情報処理システム及び通信履歴解析方法 | |
JP6911723B2 (ja) | ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム | |
JP7444596B2 (ja) | 情報処理システム | |
JP6286314B2 (ja) | マルウェア通信制御装置 | |
WO2023079731A1 (ja) | DoS攻撃対処装置及びDoS攻撃対処プログラム | |
JP7067187B2 (ja) | 通信制御装置、通信制御方法、及びプログラム | |
JP2006222662A (ja) | 不正アクセス防止システム、不正アクセス防止方法、および不正アクセス防止プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090414 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20101222 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110111 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110222 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110322 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110413 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110510 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110512 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140520 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |