JP2019125914A - 通信装置及びプログラム - Google Patents

通信装置及びプログラム Download PDF

Info

Publication number
JP2019125914A
JP2019125914A JP2018005228A JP2018005228A JP2019125914A JP 2019125914 A JP2019125914 A JP 2019125914A JP 2018005228 A JP2018005228 A JP 2018005228A JP 2018005228 A JP2018005228 A JP 2018005228A JP 2019125914 A JP2019125914 A JP 2019125914A
Authority
JP
Japan
Prior art keywords
communication
permission
abnormality
program
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2018005228A
Other languages
English (en)
Inventor
超 長尾
Cho Nagao
超 長尾
圭吾 内住
Keigo Uchizumi
圭吾 内住
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alaxala Networks Corp
Original Assignee
Alaxala Networks Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alaxala Networks Corp filed Critical Alaxala Networks Corp
Priority to JP2018005228A priority Critical patent/JP2019125914A/ja
Priority to US16/247,882 priority patent/US11095651B2/en
Publication of JP2019125914A publication Critical patent/JP2019125914A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】ホワイトリストに登録された対象の異常を検知する。【解決手段】受信したデータを転送する通信装置であって、通信装置を経由した通信が許可された対象である許可対象を管理するためのホワイトリストを保持し、ホワイトリストに基づいて、受信したデータの転送制御を行う転送部、及び許可対象の通信に関する挙動を解析する制御部を有し、制御部は、許可対象の通信に関する挙動を示す監視パラメータを算出し、監視パラメータに基づいて、異常が発生した許可対象を検知する。【選択図】図2

Description

本発明は、ホワイトリスト機能を有する通信装置に関する。
近年、発電所等の重要なインフラのネットワークが攻撃者に侵入され、システム制御が奪われる等のインシデントが多発している。重要なインフラのネットワークに対する攻撃の防御策として、ファイアウォール装置、及びパーソナルコンピュータ等の計算機に搭載されるセキュリティソフト等が利用されている。しかし、前述のような防御策を講じていても攻撃者の侵入を防ぎ切れていない。
ネットワークに侵入された場合のリスクの軽減手法として、ホワイトリスト機能を利用する方法がある。ホワイトリスト機能とは、通信等の動作を許可する端末及びアプリケーション等の対象のリストを事前に生成し、当該リストに登録されていない対象の動作を排除する機能である。「稼動後は一定の動きを継続することが多く、例外的な動きをすることは極めて少ない」制御システムのようなシステム及び設備において、規定されていない動作を禁止する手法として、ホワイトリスト機能は大きな効果を発揮する。
ホワイトリスト機能をネットワークスイッチ等の通信装置に適用する技術として、特許文献1に記載の技術が知られている。
特許文献1には、「生成期間中に、受信したデータに含まれるヘッダ情報を格納するホワイトリストを記憶する記憶部と、運用期間中にデータを受信する場合、データに含まれるヘッダ情報がホワイトリストに格納されており、データの受信が生成期間中に受信したデータの受信履歴に基づく、データに含まれるヘッダ情報のホワイトリストを用いた通信制御に関する時間幅であるとき、データを宛先に向けて転送することを許可し、データに含まれるヘッダ情報がホワイトリストに格納されており、データの受信が時間幅ではないとき、データを宛先に向けて転送することを許可しない転送部と、を備える通信装置」が記載されている。
一方、システム内部の稼動状態を監視する技術として、特許文献2に記載の技術が知られている。
特許文献2には、「ネットワーク管理システムは、IPノードから送信されるデータを受信して少なくとも各IPノードが送信したデータの最新受信時刻を記憶するデータ取得装置と、データ取得装置の記憶部に記憶された各IPノードの最新受信時刻に基づき各IPノードの稼動状態を把握する管理装置と、を備える。」ことが記載されている。
特許文献1、2に記載の従来技術では、ホワイトリスト機能を有する通信装置は、受信したパケットのヘッダ情報等に基づいて、通信を許可する対象を登録したホワイトリストを生成する。従来の通信装置は、ホワイトリストに基づいて、登録されていない対象のパケットを検知できる。
特開2017−005402号公報 特開2010−003054号公報
従来の通信装置は、ホワイトリストに登録される対象に関連するパケットを受信した場合、正当な通信と判定し、当該パケットの転送処理を行う。そのため、従来の通信装置は、ホワイトリストに登録された対象の異常を検知しないという課題がある。ホワイトリストに登録された対象の異常は、例えば、不正な持ち出し及び盗難等による端末の紛失、並びに、ウイルスに感染した対象を用いたネットワークへの侵入等である。
前述のような対象の異常を検知するためには、通信装置とは別に、端末等の対象の稼動を監視するシステム、及びセキュリティアプライアンス等を導入する必要がある。しかし、前述のシステム及びセキュリティアプライアンスの導入は、システムの全体の複雑化及びコストの増加を招いてしまうという課題がある。
本発明の目的は、ホワイトリストに登録される対象の異常を検知する通信装置及びプログラムを実現する。
本願において開示される発明の代表的な一例を示せば以下の通りである。すなわち、受信したデータを転送する通信装置であって、演算装置、前記演算装置に接続される記憶装置、及び前記演算装置に接続される通信インタフェースを備え、前記通信装置を経由した通信が許可された対象である許可対象を管理するためのホワイトリストを保持し、前記ホワイトリストに基づいて、前記受信したデータの転送制御を行う転送部、及び前記許可対象の通信に関する挙動を解析する制御部を有し、前記制御部は、前記許可対象の通信に関する挙動を示す監視パラメータを算出し、前記監視パラメータに基づいて、異常が発生した前記許可対象を検知することを特徴とする。
本発明の一態様によれば、ホワイトリスト機能を有する通信装置が、通信が許可された端末等の対象の異常を検知できる。上記した以外の課題、構成及び効果は、以下の実施例の説明により明らかにされる。
実施例1の通信システムの構成例を示す図である。 実施例1の中継装置の構成例を示す図である。 実施例1のホワイトリスト格納メモリに格納されるホワイトリストのデータ構造の一例を示す図である。 実施例1のホワイトリスト格納メモリに格納されるホワイトリストのデータ構造の一例を示す図である。 実施例1の学習状態のパケット転送部が実行する処理を説明するフローチャートである。 実施例1の学習状態のホワイトリスト生成プログラムが実行する処理を説明するフローチャートである。 実施例1の学習状態の監視プログラムが実行する処理を説明するフローチャートである。 実施例1の運用状態のパケット転送部が実行する処理を説明するフローチャートである。 実施例1の運用状態の監視プログラムが実行する処理を説明するフローチャートである。 実施例1の運用状態の監視プログラムが周期的に実行する処理を説明するフローチャートである。
まず、本発明の概要について説明する。
本発明の中継装置は、ホワイトリストに登録された対象(端末及びアプリケーション)に対して以下のような処理を実行する。なお、以下の説明では、ホワイトリストに登録された対象を許可対象と記載する。
中継装置は、ネットワーク内の許可対象の通信に関する挙動を解析する。具体的には、中継装置は通信に関する挙動を示す監視パラメータを算出する。後述するように、通信間隔が監視パラメータとして用いられる。
許可対象である端末又は許可対象であるアプリケーションが稼働する端末がウイルスに感染し、DDoS攻撃の踏み台端末として利用された場合、短い間隔で頻繁に通信が行われる。そこで、中継装置は、通信間隔が所定の閾値より小さい通信を行う許可対象を、ウイルスに感染した許可対象として検知する。
不正な持ち出し又は盗難によって許可対象である端末又は許可対象であるアプリケーションが稼働する端末が紛失した場合、長時間通信が行われない。そこで、中継装置は、通信間隔が所定の閾値より大きい場合、すなわち、一定時間通信が行われていない場合、通信を行っていない許可対象を、紛失した許可対象として検知する。
以下、本発明に係る実施例を添付図面を用いて説明する。各図において共通の構成については同一の参照符号が付されている。
図1は、実施例1の通信システムの構成例を示す図である。図2は、実施例1の中継装置100の構成例を示す図である。
通信システムは、複数の中継装置100及び複数の端末101から構成される。中継装置100及びその他の通信装置は、LAN(Local Area Network)、WAN(Wide Area Network)、及びインターネット等のネットワーク105を構成する。
各中継装置100は、複数の端末101と接続する。端末101は、アプリケーションが稼働するサーバ、スマートフォン、及びタブレット端末等である。なお、本実施例では、端末101の種別に限定されない。
中継装置100は、ネットワークを通過するデータ(パケット)を中継する通信装置である。本実施例の中継装置100は、ホワイトリスト機能を実現するためのホワイトリスト800(図3A参照)を保持する。ホワイトリスト800は、通信が許可された対象(許可対象)を特定するための情報から構成されるリストである。
中継装置100は、複数のパケット受信部200、複数のパケット送信部250、パケット転送部300、ソフトウェア制御部400、装置時刻管理部500、及び入出力インタフェース600を有する。本実施例では、前述した各構成はハードウェアとして搭載される。
なお、各パケット受信部200の番号は、各パケット受信部200の識別番号を示し、各パケット送信部250の番号は、各パケット送信部250の識別番号を示す。なお、パケット受信部200及びパケット送信部250は、一つのデバイス(パケット送受信部)として実現してもよい。
パケット受信部200は、端末101及び他の中継装置100等の外部装置からパケットを受信し、パケット転送部300に当該パケットを送信する。このとき、パケット受信部200は、受信したパケットに制御情報を付与する。制御情報は、例えば、パケット受信部200の識別番号及びVLAN(Virtual LAN)の識別番号等である。パケット受信部200及び外部装置の接続方式は、有線及び無線のいずれでもよい。接続方式が有線である場合、パケット受信部200は、メタルケーブル及び光ケーブル等の回線を介して外部装置と接続する。
パケット送信部250は、パケット転送部300からパケットを受信し、外部装置に当該パケットを送信する。パケット送信部250及び外部装置の接続方式は、有線及び無線のいずれでもよい。接続方式が有線である場合、パケット送信部250は、メタルケーブル及び光ケーブル等の回線を介して外部装置と接続する。
パケット転送部300は、ホワイトリスト800に基づいて、受信したパケットの転送又は廃棄等の転送制御を行う。パケット転送部300は、ホワイトリスト800に登録された情報の高速な検索、パケットのワイヤレートでの通信等、単純かつ高速な命令を実行するため、FPGA(Field Programmable Gate Array)等のハードウェアで構成される。パケット転送部300の詳細な構成については後述する。
ソフトウェア制御部400は、ホワイトリスト800の生成、並びに、アラートの生成及び送信等の処理を実行する。ソフトウェア制御部400の詳細な構成については後述する。
装置時刻管理部500は、中継装置100の時刻を管理する。なお、中継装置100の時刻は、NTP(Network Time Protocol)等を用いて時刻サーバと同期することによって取得してもよいし、また、入出力装置700を介した入力に基づいて取得してもよい。この場合、中継装置100は、装置時刻管理部500を含まなくてもよい。
入出力インタフェース600は、入出力装置700と接続するためのインタフェースである。なお、入出力装置700は、キーボード、マウス、及びタッチパネル等の入力装置、並びに、ディスプレイ及びプリンタ等の出力装置を含む。管理者等は、入出力装置700を用いて、中継装置100に情報を入力し、また、中継装置100から情報を取得する。なお、入出力装置700は中継装置100に含まれてもよい。
次に、パケット転送部300及びソフトウェア制御部400の詳細な構成について説明する。
まず、パケット転送部300の構成について説明する。パケット転送部300は、転送先決定部310、時刻決定部320、転送テーブルメモリ330、ホワイトリスト格納メモリ340、転送設定メモリ350、及びタイマ格納メモリ360を含む。
転送テーブルメモリ330は、パケットを転送するために使用される転送テーブル(図示省略)を格納する記憶装置である。転送テーブルメモリ330は、例えば、CAM(Content Addressable Memory)及びDRAM(Dynamic Random Access Memory)等である。
なお、転送テーブルは、公知のものであるため詳細な説明は省略するが、パケットのヘッダ情報及びパケットの転送先となるパケット送信部250の識別情報の対応関係を格納するエントリを含む。転送テーブルは管理者等によって設定される。転送テーブルは、例えば、OSI(Open Systems Interconnection)参照モデルのレイヤ2の通信に用いられるMac Address Table、及びOSI参照モデルのレイヤ3の通信に用いられるRouting Tableである。
ホワイトリスト格納メモリ340は、ホワイトリスト800(図3A参照)を格納する記憶装置である。ホワイトリスト格納メモリ340は、例えば、CAM及びDRAM等である。後述するように、ホワイトリスト800は、ソフトウェア制御部400によって生成される。
転送設定メモリ350は、中継装置100の状態を指定する情報及び転送制御の設定情報等を格納する記憶装置である。転送設定メモリ350は、例えば、DRAM等である。転送設定メモリ350に格納される情報は管理者等によって設定される。
本実施例の中継装置100の状態には、学習状態及び運用状態が存在する。学習状態はホワイトリスト800を生成するための状態を示し、運用状態はホワイトリスト800に基づくパケットの転送制御を行うための状態を示す。学習状態は、ネットワークの構築期間等、実際に通信システムが運用されていない期間に設定されることを想定している。
中継装置100の状態は、管理者等が入力した指示(コマンド)に基づいて変更される。なお、中継装置100の状態を変更する場合、管理者等は、入出力装置700を用いて指示を入力する。
タイマ格納メモリ360は、許可対象の通信に関する挙動を監視するためのパラメータ(タイマ値)を格納する記憶装置である。タイマ格納メモリ360は、例えば、RAM(Random Access Memory)等である。
転送先決定部310は、受信したパケットのヘッダ情報をキーとして、転送テーブルメモリ330に格納される転送テーブルを参照し、パケットの転送先を決定する。また、転送先決定部310は、転送設定メモリ350に格納される情報に基づいて、中継装置100の状態を制御する。
学習状態では、転送先決定部310は、パケットを受信した場合、受信したパケットからヘッダ情報及び制御情報を取得し、ソフトウェア制御部400に送信する。また、転送先決定部310は、転送設定メモリ350に格納される情報に基づいて、パケットの転送制御処理を実行する。
運用状態では、転送先決定部310は、パケットを受信した場合、ホワイトリスト800及び転送テーブルを用いて転送制御を行う。具体的には、転送先決定部310は、ホワイトリスト800を参照して、パケットの送信又は受信を行う対象が許可対象であるか否かを判定する。また、転送先決定部310は、パケットの送信又は受信を行う対象が許可対象でないと判定された場合、転送設定メモリ350に設定された情報に基づいて、パケットの転送制御処理を実行する。
時刻決定部320は、装置時刻管理部500から現時刻を取得し、パケットの受信時刻等を決定する。また、時刻決定部320は、後述する監視プログラム423を実行するCPU410に、決定された時刻を送信する。
次に、ソフトウェア制御部400の構成について説明する。ソフトウェア制御部400は、CPU(Control Processing Unit)410及びソフトウェアメモリ420を有する。
CPU410は、ソフトウェアメモリ420に格納されるプログラムを実行する。CPU410が、プログラムにしたがって処理を実行することによって、特定の機能を実現する機能部として動作する。以下の説明では、特定の機能を実現するプログラムを主語に処理を説明する場合、CPU410がプログラムを実行していることを示す。
ソフトウェアメモリ420は、不揮発性の記憶素子であるROM(Read Only Memory)及び揮発性の記憶素子であるRAMから構成される。ROMは、BIOS(Basic Input/Output System)等のプログラムを格納する。RAMは、CPU410が実行するプログラムを格納し、また、プログラムが一時的に使用するワークエリアを含む。
本実施例のソフトウェアメモリ420は、ホワイトリスト生成プログラム421、転送設定プログラム422、及び監視プログラム423を格納する。
ホワイトリスト生成プログラム421は、受信したパケットを解析することによってホワイトリスト800を生成し、ホワイトリスト格納メモリ340に格納する。
転送設定プログラム422は、入出力装置700を介して入力された設定情報を転送テーブルメモリ330及び転送設定メモリ350に格納する。
監視プログラム423は、学習状態において、許可対象の異常を検知するための監視パラメータを設定する。また、監視プログラム423は、運用状態において、監視パラメータに基づいて許可対象の異常を検知する。
なお、パケット転送部300及びソフトウェア制御部400は、それぞれ、異なるハードウェアとして実現しているが、一つのハードウェアとして実現してもよい。
図3A及び図3Bは、実施例1のホワイトリスト格納メモリ340に格納されるホワイトリスト800のデータ構造の一例を示す図である。説明のため、ホワイトリスト800を二つに分けて記載しているが、実際には一つのテーブルとして管理される。
ホワイトリスト800は、複数のフィールドから構成されるエントリを一つ以上含む。一つのエントリが一つの許可対象に対応する。図3Aに示すホワイトリスト800にはn個のエントリが含まれる。エントリを構成する各フィールドには、制御情報及びヘッダ情報から取得された値が設定され、また、許可対象の通信の挙動を監視するための値が設定される。
ホワイトリスト800に含まれるエントリは、ID801、パケット受信部番号802、VLAN番号803、Source_Mac_Address804、Destination_Mac_Address805、Protocol806、Source_IP_Address807、Destination_IP_Address808、Source_Port番号809、Destination_Port番号810、最小通信間隔811、最大通信間隔812、最終通信時刻813、及びタイマ814から構成される。
ID801は、ホワイトリスト800に含まれるエントリを一意に識別するための識別情報を格納するフィールドである。
パケット受信部番号802は、パケット受信部200を一意に識別するための識別番号を格納するフィールドである。VLAN番号803は、パケット受信部200が所属するVLANの識別番号を格納するフィールドである。パケット受信部番号802及びVLAN番号803には、制御情報に含まれる値が設定される。
Source_Mac_Address804は、パケットの送信元のMacアドレスを格納するフィールドである。Destination_Mac_Address805は、パケットの宛先のMacアドレスを格納するフィールドである。Protocol806は、プロトコルの種類を示す値を格納するフィールドである。Source_IP_Address807は、パケットの送信元のIPアドレスを格納するフィールドである。Destination_IP_Address808は、パケットの宛先のIPアドレスを格納するフィールドである。Source_Port番号809は、パケットの送信元のポート番号を格納するフィールドである。Destination_Port番号810は、パケットの宛先のポート番号を格納するフィールドである。
Source_Mac_Address804、Destination_Mac_Address805、Protocol806、Source_IP_Address807、Destination_IP_Address808、Source_Port番号809、及びDestination_Port番号810には、ヘッダ情報に含まれる値が設定される。
最小通信間隔811は、通信間隔の最小値を格納するフィールドである。最大通信間隔812は、通信間隔の最大値を格納するフィールドである。最終通信時刻813は、エントリに対応する通信が行われた時刻を格納するフィールドである。最終通信時刻813には、例えば、パケットを最後に受信した時刻が格納される。タイマ814は、最終通信時刻813からの経過時間を格納するフィールドである。すなわち、タイマ814には、許可対象の通信間隔を示す値が格納される。
最小通信間隔811及び最大通信間隔812には、許可対象の通信の挙動を監視するための閾値が格納され、最終通信時刻813には、中継装置100が許可対象に関連するパケットを最後に受信した時刻が格納される。また、タイマ814には、タイマによって計測されたタイマ値が設定される。
なお、エントリの構成は一例であってこれに限定されない。エントリには、制御情報及びヘッダ情報に含まれる少なくとも一つの値を設定するフィールドが含まれればよい。例えば、エントリは、TOS(Type Of Service)、フラグ、TTL(Time To Live)、ID、バージョン、及びヘッダ値等のヘッダ情報に含まれる値を格納するフィールドを含んでもよい。
次に、中継装置100の学習状態及び運用状態における処理の詳細について説明する。まず、学習状態の中継装置100の処理について説明する。
図4は、実施例1の学習状態のパケット転送部300が実行する処理を説明するフローチャートである。図5は、実施例1の学習状態のホワイトリスト生成プログラム421が実行する処理を説明するフローチャートである。図6は、実施例1の学習状態の監視プログラム423が実行する処理を説明するフローチャートである。
学習状態では、中継装置100は、受信したパケットを解析し、解析結果に基づいてホワイトリスト800の生成及び更新を行う。また、必要に応じて転送テーブルも更新される。
まず、図4を用いてパケット転送部300が実行する処理について説明する。
パケット転送部300は、パケット受信部200からパケットを受信した場合、当該パケットのヘッダ情報及び制御情報を取得し、取得したヘッダ情報及び制御情報をソフトウェア制御部400に送信する(ステップS101)。このとき、パケット転送部300の時刻決定部320は、装置時刻管理部500から現時刻を取得し、パケットの受信時刻を決定する。パケット転送部300は、ヘッダ情報、制御情報、及びパケットの受信時刻をソフトウェア制御部400に送信する。
次に、パケット転送部300は、転送テーブルを更新するか否かを判定する(ステップS102)。
例えば、パケット転送部300は、ソフトウェア制御部400から登録用のアドレスの通知を受信した場合、転送テーブルを更新すると判定する。
転送テーブルを更新しないと判定された場合、パケット転送部300は、処理を終了する。
転送テーブルを更新すると判定された場合、パケット転送部300は、転送テーブルを更新する(ステップS103)。なお、転送テーブルの更新方法は、公知の技術であるため詳細な説明は省略する。
ソフトウェア制御部400は、パケット転送部300からヘッダ情報等を受信した場合、受信したヘッダ情報等をソフトウェアメモリ420に一時的に格納し、ホワイトリスト生成プログラム421を呼び出す。
図5を用いてホワイトリスト生成プログラム421が実行する処理を説明する。
ホワイトリスト生成プログラム421は、ソフトウェアメモリ420からパケットのヘッダ情報及び制御情報を取得する(ステップS201)。
次に、ホワイトリスト生成プログラム421は、ヘッダ情報及び制御情報に基づいてホワイトリスト800を参照し、パケットに関連する対象がホワイトリスト800に登録されているか否かを判定する(ステップS202)。
具体的には、ホワイトリスト生成プログラム421は、ヘッダ情報及び制御情報に含まれる値と、ホワイトリスト800のエントリに含まれる各フィールドの値とを比較する。ホワイトリスト生成プログラム421は、比較結果に基づいて、パケットに対応するエントリが存在するか否かを判定する。パケットに対応するエントリが存在する場合、ホワイトリスト生成プログラム421は、パケットに関連する対象がホワイトリスト800に登録されていると判定する。
パケットに関連する対象がホワイトリスト800に登録されていないと判定された場合、ホワイトリスト生成プログラム421は、ホワイトリスト800に対象を登録する(ステップS203)。具体的には、以下のような処理が実行される。
ホワイトリスト生成プログラム421は、ホワイトリスト800に含まれるエントリと同じデータ構造の一時エントリをソフトウェアメモリ420に生成する。
ホワイトリスト生成プログラム421は、一時エントリのID801に一意な識別番号を設定し、一時エントリの最小通信間隔811、最大通信間隔812、及びタイマ814に「0」を設定する。また、ホワイトリスト生成プログラム421は、一時エントリの最終通信時刻813にパケットの受信時刻を設定する。さらに、ホワイトリスト生成プログラム421は、一時エントリの残りのフィールドにヘッダ情報等に含まれる値を設定する。
ホワイトリスト生成プログラム421は、パケット転送部300を介して、ホワイトリスト格納メモリ340に格納されるホワイトリスト800に一時エントリを追加する。以上がステップS203の処理の説明である。
次に、ホワイトリスト生成プログラム421は、監視プログラム423にタイマ値の計測の開始を指示する(ステップS204)。当該指示には、ID801に設定された識別番号が含まれる。
監視プログラム423は、指示を受け付けた場合、当該指示に含まれる識別番号に対応するタイマを起動させ、タイマ値の計測を開始する。具体的には、監視プログラム423は、ID801と対応づけたタイマをタイマ格納メモリ360に格納し、タイマ値の計測を開始する。
ステップS202において、パケットに関連する対象がホワイトリスト800に登録されていると判定された場合、ホワイトリスト生成プログラム421は、監視プログラム423を呼び出し(ステップS205)、その後、処理を終了する。このとき、ホワイトリスト生成プログラム421は、検索されたエントリのID801に設定された識別番号を監視プログラム423に入力する。
図6を用いて監視プログラム423が実行する処理について説明する。
監視プログラム423は、変数Tmin及び変数Tmaxを設定する(ステップS301)。
具体的には、監視プログラム423は、ホワイトリスト800を参照し、ID801が入力された識別情報に一致するエントリを検索する。監視プログラム423は、検索されたエントリの最小通信間隔811に格納される値を変数Tminに設定し、最大通信間隔812に格納される値を変数Tmaxに設定する。
次に、監視プログラム423は、検索されたエントリのタイマ814を更新する(ステップS302)。
具体的には、監視プログラム423は、タイマ格納メモリ360を参照し、検索されたエントリに対応するタイマからタイマ値を取得し、検索されたエントリのタイマ814に取得したタイマ値を設定する。また、監視プログラム423は、タイマを初期化し、再度、計測を開始させる。
次に、監視プログラム423は、変数Tmin及び変数Tmaxが「0」であるか否かを判定する(ステップS303)。
変数Tmin及び変数Tmaxが「0」であると判定された場合、監視プログラム423は、検索されたエントリの最小通信間隔811、最大通信間隔812、及び最終通信時刻813を更新する(ステップS307)。その後、監視プログラム423は処理を終了する。
具体的には、監視プログラム423は、検索されたエントリの最終通信時刻813に現時刻を設定する。現時刻は時刻決定部320によって決定された時刻である。また、監視プログラム423は、検索されたエントリの最小通信間隔811及び最大通信間隔812に、タイマ814に格納されるタイマ値を設定する。
変数Tmin及び変数Tmaxのいずれかが「0」ではないと判定された場合、監視プログラム423は、検索されたエントリの最終通信時刻813を更新する(ステップS304)。
具体的には、監視プログラム423は、検索されたエントリの最終通信時刻813に現時刻を設定する。
次に、監視プログラム423は、検索されたエントリのタイマ814に格納されるタイマ値が変数Tminより小さいか否かを判定する(ステップS305)。
検索されたエントリのタイマ814に格納されるタイマ値が変数Tminより小さいと判定された場合、監視プログラム423は、検索されたエントリの最小通信間隔811を更新する(ステップS308)。その後、監視プログラム423は処理を終了する。
具体的には、監視プログラム423は、検索されたエントリの最小通信間隔811に、タイマ814に格納されるタイマ値を設定する。
検索されたエントリのタイマ814に格納されるタイマ値が変数Tmin以上であると判定された場合、監視プログラム423は、検索されたエントリのタイマ814に格納されるタイマ値が変数Tmaxより大きいか否かを判定する(ステップS306)。
検索されたエントリのタイマ814に格納されるタイマ値が変数Tmaxより大きいと判定された場合、監視プログラム423は、検索されたエントリの最大通信間隔812を更新する(ステップS309)。その後、監視プログラム423は処理を終了する。
具体的には、監視プログラム423は、検索されたエントリの最大通信間隔812に、検索されたエントリのタイマ814に格納されるタイマ値を設定する。
検索されたエントリのタイマ814に格納されるタイマ値が変数Tmax以下であると判定された場合、監視プログラム423は処理を終了する。
以上で説明したように、本実施例の中継装置100は、学習状態において、ホワイトリスト800を生成するとともに、許可対象の異常を検知するために用いる閾値(最小通信間隔及び最大通信間隔)を学習する。
なお、中継装置100は、学習状態から運用状態に移行する場合、全ての許可対象のタイマ値の計測を終了する。
次に、運用状態の中継装置100の処理について説明する。
図7は、実施例1の運用状態のパケット転送部300が実行する処理を説明するフローチャートである。図8は、実施例1の運用状態の監視プログラム423が実行する処理を説明するフローチャートである。図9は、実施例1の運用状態の監視プログラム423が周期的に実行する処理を説明するフローチャートである。
なお、図7及び図8は、中継装置100がパケットを受信した場合に実行される処理を説明するフローチャートであり、図9は、周期的に実行される処理を説明するフローチャートである。
運用状態では、中継装置100は、受信したパケットを解析し、解析結果及びホワイトリスト800に基づいて当該パケットの転送制御を行う。また、中継装置100は、周期的に、各許可対象の通信間隔を監視する。
図7を用いてパケット転送部300が実行する処理について説明する。
パケット転送部300は、パケット受信部200からパケットを受信した場合、ホワイトリスト格納メモリ340に格納されるホワイトリスト800を参照し、パケットに関連する対象がホワイトリスト800に登録されているか否かを判定する(ステップS401)。
具体的には、パケット転送部300は、パケットから取得されたヘッダ情報及び制御情報に基づいてホワイトリスト800を参照し、ヘッダ情報及び制御情報に一致するエントリを検索する。ヘッダ情報及び制御情報に一致するエントリが存在する場合、パケット転送部300は、パケットに関連する対象がホワイトリスト800に登録されていると判定する。
パケットに関連する対象がホワイトリスト800に登録されていないと判定された場合、パケット転送部300は、パケット転送制御を実行する(ステップS406)。その後、パケット転送部300は処理を終了する。
ステップS406のパケット転送制御では、パケット転送部300は、受信したパケットの破棄、及びホワイトリスト800に登録されていない対象のパケットを受信した旨の通知等を行う。なお、本実施例は、ホワイトリスト800に登録されていない対象のパケットを検知した場合に実行される処理の内容に限定されない。
パケットに関連する対象がホワイトリスト800に登録されていると判定された場合、パケット転送部300は、監視プログラム423を呼び出す(ステップS402)。その後、パケット転送部300は待ち状態に移行する。
このとき、パケット転送部300は、時刻決定部320によって決定されたパケットの受信時刻及び検索されたエントリのID801に設定された識別番号を入力する。
パケット転送部300は、監視プログラム423から応答を受信したか否かを判定する(ステップS403)。
監視プログラム423から応答を受信していないと判定された場合、パケット転送部300は、一定時間経過した後、ステップS403に戻る。
監視プログラム423から応答を受信したと判定された場合、パケット転送部300は、応答に基づいて、受信したパケットの転送が可能か否かを判定する(ステップS404)。
具体的には、パケット転送部300は、応答の種別が「転送許可」及び「アラート」のいずれであるかを判定する。応答の種別が「転送許可」である場合、パケット転送部300は受信したパケットの転送が可能であると判定する。一方、応答種別が「アラート」である場合、パケット転送部300は受信したパケットの転送が可能でないと判定する。
受信したパケットの転送が可能でないと判定された場合、パケット転送部300は、パケット転送制御を実行する(ステップS406)。その後、パケット転送部300は処理を終了する。
受信したパケットの転送が可能であると判定された場合、パケット転送部300は、パケットの転送制御を実行する(ステップS405)。その後、パケット転送部300は処理を終了する。
ステップS405のパケット転送制御では、パケット転送部300は、パケットのヘッダ情報に含まれる宛先情報等に基づいて、送信先の装置にパケットを転送する。
図8を用いて、パケット転送部300から呼び出された監視プログラム423が実行する処理について説明する。
監視プログラム423は、変数Tmin及び変数Tmaxを設定する(ステップS501)。
具体的には、監視プログラム423は、ホワイトリスト800を参照し、ID801が入力された識別情報に一致するエントリを検索する。監視プログラム423は、検索されたエントリの最小通信間隔811に格納される値を変数Tminに設定し、最大通信間隔812に格納される値を変数Tmaxに設定する。
監視プログラム423は、検索されたエントリのタイマ814を更新する(ステップS502)。
具体的には、監視プログラム423は、タイマ格納メモリ360を参照し、検索されたエントリに対応するタイマからタイマ値を取得し、検索されたエントリのタイマ814に取得したタイマ値を設定する。また、監視プログラム423は、タイマを初期化し、再度、計測を開始させる。
次に、監視プログラム423は、検索されたエントリの最終通信時刻813を更新する(ステップS503)。
具体的には、監視プログラム423は、検索されたエントリの最終通信時刻813に、入力されたパケットの受信時刻を設定する。
次に、監視プログラム423は、検索されたエントリのタイマ814に格納されるタイマ値が変数Tminより小さいか否かを判定する(ステップS504)。
検索されたエントリのタイマ814に格納されるタイマ値が変数Tminより小さいと判定された場合、監視プログラム423は、種別が「アラート」である応答をパケット転送部300に送信する(ステップS507)。その後、監視プログラム423は処理を終了する。なお、監視プログラム423は、管理者等に許可対象の異常を通知するために、アラートを入出力装置700に送信してもよい。
なお、生成されるアラートには、許可対象の通信間隔が短いことを示す情報が含まれてもよい。
検索されたエントリのタイマ814に格納されるタイマ値が変数Tmin以上であると判定された場合、監視プログラム423は、検索されたエントリのタイマ814に格納されるタイマ値が変数Tmaxより大きいか否かを判定する(ステップS505)。
検索されたエントリのタイマ814に格納されるタイマ値が変数Tmaxより大きいと判定された場合、監視プログラム423は、種別が「アラート」である応答をパケット転送部300に送信する(ステップS507)。その後、監視プログラム423は処理を終了する。
なお、生成されるアラートには、許可対象の通信間隔が長いことを示す情報が含まれてもよい。
検索されたエントリのタイマ814に格納されるタイマ値が変数Tmax以下であると判定された場合、監視プログラム423は、種別が「転送許可」である応答をパケット転送部300に送信する(ステップS506)。
以上で説明したように、実施例1の中継装置100は、ホワイトリスト800に登録された許可対象の通信であっても、通信間隔が最小通信間隔811より小さい場合、及び、通信間隔が最大通信間隔812より大きい場合、通信を遮断し、又は異常が検知された旨を通知することができる。
なお、ステップS504及びステップS505の判定回数に基づいて、種別が「アラート」である応答を生成するか否かを判定してもよい。判定回数は、任意のタイミングで管理者が設定し、また、更新できる。
次に、図9を用いて、監視プログラム423が周期的に実行する処理について説明する。
監視プログラム423は、実行契機を検知したか否かを判定する(ステップS601)。
本実施例では、監視プログラム423は、実行周期を経過したか否かを判定する。実行周期を経過した場合、監視プログラム423は、実行契機を検知したと判定する。なお、監視プログラム423は、管理者等から実行指示を受け付けた場合、実行契機を検知したと判定してもよい。
実行契機を検知していないと判定された場合、監視プログラム423は、一定時間経過した後、ステップS601に戻る。
実行契機を検知したと判定された場合、監視プログラム423は、ホワイトリスト800に含まれるエントリのループ処理を開始する(ステップS602)。
具体的には、監視プログラム423は、ホワイトリスト800からターゲットエントリを一つ選択する。また、監視プログラム423は、時刻決定部320から現時刻を取得する。なお、本実施例は、ターゲットエントリの選択方法に限定されない。
次に、監視プログラム423は、変数Tmaxを設定する(ステップS603)。
具体的には、監視プログラム423は、ターゲットエントリの最大通信間隔812に格納される値を変数Tmaxに設定する。
次に、監視プログラム423は、ターゲットエントリのタイマ814を更新する(ステップS604)。
具体的には、監視プログラム423は、タイマ格納メモリ360を参照し、ターゲットエントリに対応するタイマからタイマ値を取得し、ターゲットエントリのタイマ814に取得したタイマ値を設定する。なお、ステップS604ではタイマは初期化されない。
次に、監視プログラム423は、ターゲットエントリのタイマ814に格納されるタイマ値が変数Tmaxより大きいか否かを判定する(ステップS605)。
ターゲットエントリのタイマ814に格納されるタイマ値が変数Tmax以下であると判定された場合、監視プログラム423は、ステップS607に進む。
ターゲットエントリのタイマ814に格納されるタイマ値が変数Tmaxより大きいと判定された場合、監視プログラム423は、種別が「アラート」である応答をパケット転送部300に送信する(ステップS606)。その後、監視プログラム423はステップS607に進む。なお、監視プログラム423は、アラートを入出力装置700に送信してもよい。
なお、生成されるアラートには、通信が長い期間行われていないことを示す情報が含まれてもよい。
パケット転送部300は、応答を受信した場合、ターゲットエントリに対応する対象の通信を遮断できるようにターゲットエントリにフラグを付与してもよい。
ステップS607では、監視プログラム423は、ホワイトリスト800に含まれる全てのエントリについて処理が完了したか否かを判定する。
ホワイトリスト800に含まれる全てのエントリについて処理が完了していないと判定された場合、監視プログラム423は、ステップS602に戻り、新たなターゲットエントリを選択し、同様の処理を実行する。
ホワイトリスト800に含まれる全てのエントリについて処理が完了したと判定された場合、監視プログラム423は、一定時間経過した後、ステップS601に戻る。
以上で説明したように、実施例1の中継装置100は、ホワイトリスト800に登録された許可対象の通信であっても、通信間隔が最大通信間隔812より大きい場合、通信を遮断し、又は異常が検知された旨を通知することができる。
ホワイトリスト800に登録された端末がウイルスに感染し、DDoS攻撃の踏み台端末となった場合、当該端末から、短時間に多量のパケットが送信される。従来の中継装置は、ホワイトリストに登録された端末から送信されたパケットを転送する。したがって、DDoS攻撃の検知及び防御ができない。一方、実施例1の中継装置100は、通信時間が短い通信を検知した場合、通信を遮断できる。これによって、DDoS攻撃の検知及び防御が可能となる。
ホワイトリストに登録された端末又はアプリケーションが稼働する端末において故障又は盗難等の異常が発生した場合、従来の中継装置は、異常を検知することができない。一方、実施例1の中継装置100は、ホワイトリストに登録された端末であって、一定時間通信を行っていない端末を検知することによって、対象の異常を検知できる。
許可対象の異常を検知するための装置を別途用意する必要がなく、また、中継装置100の構成を大幅に変更する必要がない。そのため、低コストで許可対象の異常を検知する機能を提供できる。
特許請求の範囲に記載した以外の発明の観点の代表的なものとして、次のものがあげられる。
(1)受信したデータを転送する通信装置が実行する転送制御方法であって、
演算装置、前記演算装置に接続される記憶装置、及び前記演算装置に接続される通信インタフェースを備え、
前記通信装置を経由した通信が許可された対象である許可対象を管理するためのホワイトリストを保持し、
前記転送制御方法は、
前記演算装置が、前記ホワイトリストに基づいて、前記受信したデータの転送制御を行う第1のステップと、
前記演算装置が、前記許可対象の通信に関する挙動を解析する第2のステップと、を含み、
前記第2のステップは、
前記演算装置が、前記許可対象の通信に関する挙動を示す監視パラメータを算出するステップと、
前記演算装置が、前記監視パラメータに基づいて、異常が発生した前記許可対象を検知するステップと、を含むことを特徴とする転送制御方法。
(2)(1)に記載の転送制御であって、
前記監視パラメータは、前記許可対象が行う通信の通信間隔であり、
前記第2のステップは、前記演算装置が、前記通信間隔及び閾値の比較結果に基づいて、前記異常が発生した許可対象を検知するステップを含むことを特徴とする転送制御方法。
(3)(2)に記載の転送制御方法であって、
前記通信装置は、前記閾値として最大通信間隔を管理し、
前記第2のステップは、前記演算装置が、第1許可対象の前記通信間隔が前記最大通信間隔より大きい場合、前記第1許可対象に異常が発生したことを検知するステップを含むことを特徴とする転送制御方法。
(4)(2)に記載の転送制御方法であって、
前記通信装置は、前記閾値として最小通信間隔を管理し、
前記第2のステップは、前記演算装置が、第1許可対象の前記通信間隔が前記最小通信間隔より小さい場合、前記第1許可対象に異常が発生したことを検知するステップを含むことを特徴とする転送制御方法。
(5)(2)に記載の転送制御方法であって、
前記演算装置が、前記異常が発生した許可対象を検知した場合、前記異常が発生した許可対象が検知された旨を通知するためのアラートを生成し、送信するステップを含むことを特徴とする転送制御方法。
(6)(2)に記載の転送制御方法であって、
前記演算装置が、前記異常が発生した許可対象が検知した場合、前記異常が発生した許可対象の通信を遮断するステップを含むことを特徴とする転送制御方法。
(7)(2)に記載の転送制御方法であって、
前記演算装置が、前記通信装置を経由する複数の許可対象の通信を解析するステップと、
前記演算装置が、前記複数の許可対象の通信の解析結果に基づいて、前記複数の許可対象の各々の通信間隔を算出するステップと、
前記演算装置が、前記記憶装置に、前記複数の許可対象の各々の前記通信間隔を前記閾値として格納するステップと、を含むことを特徴とする転送制御方法。
なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。また、例えば、上記した実施例は本発明を分かりやすく説明するために構成を詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、各実施例の構成の一部について、他の構成に追加、削除、置換することが可能である。
また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、本発明は、実施例の機能を実現するソフトウェアのプログラムコードによっても実現できる。この場合、プログラムコードを記録した記憶媒体をコンピュータに提供し、そのコンピュータが備えるプロセッサが記憶媒体に格納されたプログラムコードを読み出す。この場合、記憶媒体から読み出されたプログラムコード自体が前述した実施例の機能を実現することになり、そのプログラムコード自体、及びそれを記憶した記憶媒体は本発明を構成することになる。このようなプログラムコードを供給するための記憶媒体としては、例えば、フレキシブルディスク、CD−ROM、DVD−ROM、ハードディスク、SSD(Solid State Drive)、光ディスク、光磁気ディスク、CD−R、磁気テープ、不揮発性のメモリカード、ROM等が用いられる。
また、本実施例に記載の機能を実現するプログラムコードは、例えば、アセンブラ、C/C++、perl、Shell、PHP、Java(登録商標)等の広範囲のプログラム又はスクリプト言語で実装できる。
さらに、実施例の機能を実現するソフトウェアのプログラムコードを、ネットワークを介して配信することによって、それをコンピュータのハードディスクやメモリ等の記憶手段又はCD−RW、CD−R等の記憶媒体に格納し、コンピュータが備えるプロセッサが当該記憶手段や当該記憶媒体に格納されたプログラムコードを読み出して実行するようにしてもよい。
上述の実施例において、制御線や情報線は、説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。全ての構成が相互に接続されていてもよい。
100 中継装置
200 パケット受信部
250 パケット送信部
300 パケット転送部
310 転送先決定部
320 時刻決定部
330 転送テーブルメモリ
340 ホワイトリスト格納メモリ
350 転送設定メモリ
360 タイマ格納メモリ
400 ソフトウェア制御部
410 CPU
420 ソフトウェアメモリ
421 ホワイトリスト生成プログラム
422 転送設定プログラム
423 監視プログラム
500 装置時刻管理部
600 入出力インタフェース
700 入出力装置
800 ホワイトリスト

Claims (14)

  1. 受信したデータを転送する通信装置であって、
    演算装置、前記演算装置に接続される記憶装置、及び前記演算装置に接続される通信インタフェースを備え、
    前記通信装置を経由した通信が許可された対象である許可対象を管理するためのホワイトリストを保持し、
    前記ホワイトリストに基づいて、前記受信したデータの転送制御を行う転送部、及び前記許可対象の通信に関する挙動を解析する制御部を有し、
    前記制御部は、
    前記許可対象の通信に関する挙動を示す監視パラメータを算出し、
    前記監視パラメータに基づいて、異常が発生した前記許可対象を検知することを特徴とする通信装置。
  2. 請求項1に記載の通信装置であって、
    前記監視パラメータは、前記許可対象が行う通信の通信間隔であり、
    前記制御部は、前記通信間隔及び閾値の比較結果に基づいて、前記異常が発生した許可対象を検知することを特徴とする通信装置。
  3. 請求項2に記載の通信装置であって、
    前記制御部は、
    前記閾値として最大通信間隔を管理し、
    第1許可対象の前記通信間隔が前記最大通信間隔より大きい場合、前記第1許可対象に異常が発生したことを検知することを特徴とする通信装置。
  4. 請求項2に記載の通信装置であって、
    前記制御部は、
    前記閾値として最小通信間隔を管理し、
    第1許可対象の前記通信間隔が前記最小通信間隔より小さい場合、前記第1許可対象に異常が発生したことを検知することを特徴とする通信装置。
  5. 請求項2に記載の通信装置であって、
    前記制御部は、
    前記異常が発生した許可対象を検知した場合、前記異常が発生した許可対象が検知された旨を通知するためのアラートを生成し、送信することを特徴とする通信装置。
  6. 請求項2に記載の通信装置であって、
    前記制御部は、前記異常が発生した許可対象を検知した場合、前記異常が発生した許可対象の通信の遮断を前記転送部に指示することを特徴とする通信装置。
  7. 請求項2に記載の通信装置であって、
    前記制御部は、
    前記通信装置を経由する複数の許可対象の通信を解析し、
    前記複数の許可対象の通信の解析結果に基づいて、前記複数の許可対象の各々の通信間隔を算出し、
    前記記憶装置に、前記複数の許可対象の各々の前記通信間隔を前記閾値として格納することを特徴とする通信装置。
  8. 受信したデータを転送する通信装置に実行させるためのプログラムであって、
    演算装置、前記演算装置に接続される記憶装置、及び前記演算装置に接続される通信インタフェースを備え、
    前記通信装置を経由した通信が許可された対象である許可対象を管理するためのホワイトリストを保持し、
    前記プログラムは、
    前記ホワイトリストに基づいて、前記受信したデータの転送制御を行う第1の手順と、
    前記許可対象の通信に関する挙動を解析する第2の手順と、を前記通信装置に実行させ、
    前記第2の手順は、
    前記許可対象の通信に関する挙動を示す監視パラメータを算出する手順と、
    前記監視パラメータに基づいて、異常が発生した前記許可対象を検知する手順と、を含むことを特徴とするプログラム。
  9. 請求項8に記載のプログラムであって、
    前記監視パラメータは、前記許可対象が行う通信の通信間隔であり、
    前記第2の手順は、前記通信間隔及び閾値の比較結果に基づいて、前記異常が発生した許可対象を検知する手順を含むことを特徴とするプログラム。
  10. 請求項9に記載のプログラムであって、
    前記通信装置は、前記閾値として最大通信間隔を管理し、
    前記第2の手順は、第1許可対象の前記通信間隔が前記最大通信間隔より大きい場合、前記第1許可対象に異常が発生したことを検知する手順を含むことを特徴とするプログラム。
  11. 請求項9に記載のプログラムであって、
    前記通信装置は、前記閾値として最小通信間隔を管理し、
    前記第2の手順は、第1許可対象の前記通信間隔が前記最小通信間隔より小さい場合、前記第1許可対象に異常が発生したことを検知する手順を含むことを特徴とするプログラム。
  12. 請求項9に記載のプログラムであって、
    前記異常が発生した許可対象が検知された場合、前記異常が発生した許可対象が検知された旨を通知するためのアラートを生成し、送信する手順を前記通信装置に実行させるためのプログラム。
  13. 請求項9に記載のプログラムであって、
    前記異常が発生した許可対象が検知された場合、前記異常が発生した許可対象の通信の遮断する手順を前記通信装置に実行させるためのプログラム。
  14. 請求項9に記載のプログラムであって、
    前記通信装置を経由する複数の許可対象の通信を解析する手順と、
    前記複数の許可対象の通信の解析結果に基づいて、前記複数の許可対象の各々の通信間隔を算出する手順と、
    前記記憶装置に、前記複数の許可対象の各々の前記通信間隔を前記閾値として格納する手順と、を前記通信装置に実行させるためのプログラム。
JP2018005228A 2018-01-16 2018-01-16 通信装置及びプログラム Pending JP2019125914A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2018005228A JP2019125914A (ja) 2018-01-16 2018-01-16 通信装置及びプログラム
US16/247,882 US11095651B2 (en) 2018-01-16 2019-01-15 Communication apparatus and non-transitory computer readable storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018005228A JP2019125914A (ja) 2018-01-16 2018-01-16 通信装置及びプログラム

Publications (1)

Publication Number Publication Date
JP2019125914A true JP2019125914A (ja) 2019-07-25

Family

ID=67214440

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018005228A Pending JP2019125914A (ja) 2018-01-16 2018-01-16 通信装置及びプログラム

Country Status (2)

Country Link
US (1) US11095651B2 (ja)
JP (1) JP2019125914A (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6816300B2 (ja) 2018-12-28 2021-01-20 アドバンスド ニュー テクノロジーズ カンパニー リミテッド ブロックチェーンネットワークにおけるトランザクションの並列実行
EP3566391B1 (en) * 2018-12-28 2021-04-21 Advanced New Technologies Co., Ltd. Parallel execution of transactions in a blockchain network based on smart contract whitelists

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015050767A (ja) * 2013-09-03 2015-03-16 韓國電子通信研究院Electronics and Telecommunications Research Institute ホワイトリスト基盤のネットワークスイッチ
JP2017005402A (ja) * 2015-06-08 2017-01-05 アラクサラネットワークス株式会社 通信装置
JP2017050841A (ja) * 2015-08-31 2017-03-09 パナソニック インテレクチュアル プロパティ コーポレ 不正検知方法、不正検知電子制御ユニット及び不正検知システム
JP2018007179A (ja) * 2016-07-07 2018-01-11 エヌ・ティ・ティ・コミュニケーションズ株式会社 監視装置、監視方法および監視プログラム

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4512196B2 (ja) * 2005-10-20 2010-07-28 アラクサラネットワークス株式会社 異常トラヒックの検出方法およびパケット中継装置
JP2010003054A (ja) 2008-06-19 2010-01-07 Yokogawa Electric Corp ネットワーク管理システム、データ取得装置及びノード稼動状態把握方法
JP5086585B2 (ja) * 2006-08-11 2012-11-28 アラクサラネットワークス株式会社 ネットワーク中継装置
JP5053974B2 (ja) * 2008-10-06 2012-10-24 アラクサラネットワークス株式会社 パケット中継装置
JP5283638B2 (ja) * 2010-01-08 2013-09-04 アラクサラネットワークス株式会社 パケット中継装置
JP5498889B2 (ja) * 2010-08-06 2014-05-21 アラクサラネットワークス株式会社 パケット中継装置および輻輳制御方法
JP5870009B2 (ja) * 2012-02-20 2016-02-24 アラクサラネットワークス株式会社 ネットワークシステム、ネットワーク中継方法及び装置
JP6587462B2 (ja) 2015-09-04 2019-10-09 リンテック株式会社 シート貼付装置およびシート貼付方法
US20200314130A1 (en) * 2017-01-19 2020-10-01 Mitsubishi Electric Corporation Attack detection device, attack detection method, and computer readable medium
JP7147361B2 (ja) * 2018-08-20 2022-10-05 富士通株式会社 異常診断プログラムおよび異常診断方法
US10992703B2 (en) * 2019-03-04 2021-04-27 Malwarebytes Inc. Facet whitelisting in anomaly detection

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015050767A (ja) * 2013-09-03 2015-03-16 韓國電子通信研究院Electronics and Telecommunications Research Institute ホワイトリスト基盤のネットワークスイッチ
JP2017005402A (ja) * 2015-06-08 2017-01-05 アラクサラネットワークス株式会社 通信装置
JP2017050841A (ja) * 2015-08-31 2017-03-09 パナソニック インテレクチュアル プロパティ コーポレ 不正検知方法、不正検知電子制御ユニット及び不正検知システム
JP2018007179A (ja) * 2016-07-07 2018-01-11 エヌ・ティ・ティ・コミュニケーションズ株式会社 監視装置、監視方法および監視プログラム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"プラント制御システムにおけるホワイトリスト型攻撃検知機能の可能性について", SCIS2016 2016 SYMPOSIUM ON CRYPTOGRAPHY AND INFORMAT, JPN6021026463, 22 January 2016 (2016-01-22), JP, pages 1 - 6, ISSN: 0004678919 *

Also Published As

Publication number Publication date
US20190222578A1 (en) 2019-07-18
US11095651B2 (en) 2021-08-17

Similar Documents

Publication Publication Date Title
US11176459B2 (en) Extracting encryption metadata and terminating malicious connections using machine learning
US10901470B2 (en) Power distribution unit self-identification
US9369434B2 (en) Whitelist-based network switch
US9667653B2 (en) Context-aware network service policy management
US8640239B2 (en) Network intrusion detection in a network that includes a distributed virtual switch fabric
US10044830B2 (en) Information system, control apparatus, method of providing virtual network, and program
CN108259226B (zh) 网络接口设备管理方法与装置
US11108738B2 (en) Communication apparatus and communication system
US8898784B1 (en) Device for and method of computer intrusion anticipation, detection, and remediation
CN109804610B (zh) 限制具有网络功能的设备的数据流量传输的方法和***
JP6454224B2 (ja) 通信装置
US20170063861A1 (en) Communication apparatus
US10313396B2 (en) Routing and/or forwarding information driven subscription against global security policy data
CN109964469B (zh) 用于在网络节点处更新白名单的方法和***
CN111869189A (zh) 网络探针和处理消息的方法
US8955049B2 (en) Method and a program for controlling communication of target apparatus
WO2019102811A1 (ja) 制御装置および制御システム
JP2019125914A (ja) 通信装置及びプログラム
Tippenhauer et al. Vbump: Securing ethernet-based industrial control system networks with vlan-based traffic aggregation
US10205738B2 (en) Advanced persistent threat mitigation
CN116055080A (zh) 用于隐私保留的去中心化的学***台
US10587677B2 (en) Control apparatus, computer readable medium, and equipment control system
JP2018098727A (ja) サービスシステム、通信プログラム、及び通信方法
US20230129367A1 (en) Method of analysing anomalous network traffic
KR20190128929A (ko) 홈 네트워크 보안 시스템 및 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200618

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210511

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210706

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20220111