JP4398316B2 - ネットワーク管理装置、ネットワーク管理方法、およびプログラム - Google Patents
ネットワーク管理装置、ネットワーク管理方法、およびプログラム Download PDFInfo
- Publication number
- JP4398316B2 JP4398316B2 JP2004205742A JP2004205742A JP4398316B2 JP 4398316 B2 JP4398316 B2 JP 4398316B2 JP 2004205742 A JP2004205742 A JP 2004205742A JP 2004205742 A JP2004205742 A JP 2004205742A JP 4398316 B2 JP4398316 B2 JP 4398316B2
- Authority
- JP
- Japan
- Prior art keywords
- segment
- connection device
- illegal packet
- network
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、ネットワークの管理技術に関する。
近年のウィルスの感染活動は複雑化し、感染が広がる速度が早く、かつ広範囲に渡るようになってきた。現在のコンピュータウィルス(ワームも含む)は、自己繁殖の手段として、ネットワークを使用することが多い。ネットワークに接続される端末やサーバは、自身が受信するメール等の情報を媒介するコンピュータウィルスの感染を防止するため、ウィルスのチェックソフトを有している。
しかし、ウィルスのチェックソフトを使用しても、新たに発見されたセキュリティホールを悪用したウィルスを防御することはできない。したがって、ウィルスチェックを使用する端末またはサーバであっても、ネットワークに接続しているだけで新規のウィルスに感染してしまうこともある。
ウィルスのような悪意あるアクセスを防止するため、ファイアーウォールやウィルスウォール等の製品は、外部ネットワークと内部ネットワークとの間に位置し、外部ネットワークと内部ネットワークとの間で送受信される情報を監視する。ファイアーウォールやウィルスウォール等を有するネットワーク管理装置は、外部ネットワークから内部ネットワーク、および、内部ネットワークから外部ネットワークへの不正なアクセス、または、ウィルス等を効果的に遮断する。しかし、この技術は、ファイアーウォール内の内側、すなわち内部ネットワークでの感染の広がりを抑える効果は持たない。
現状の技術では、ネットワーク管理装置は、不正なアクセスやウィルスを発見したときに管理者に通知する。そして、管理者の判断でネットワーク内の通信を制限し、または、ユーザに通知して対策を呼びかけることで内部での感染を防止しようとしている。
特開2003−348113号公報
本発明の目的は、ファイアーウォールやウィルスウォール等の不正アクセス検知手段を有し不正なアクセスから保護されているネットワークにおいて不正なアクセスを発生させる発生源が検知された場合に、ネットワークを管理するネットワーク管理装置が、そのような発生源の拡散を迅速に抑制する技術を提供することである。
本発明は前記課題を解決するために、以下の手段を採用した。すなわち、本発明は、複数のセグメントが並列または直列に接続され1以上の階層を構成する内部ネットワークを前記内部ネットワーク外の外部ネットワークに接続する第1接続装置、または前記内部ネットワークで前記複数のセグメントのいずれかを前記第1接続装置または当該セグメントの上位階層のセグメントに接続する第2接続装置が、所定の条件に該当しない不正パケットを発信する不正パケット発信端末を検出したときに、前記第1接続装置または第2接続装置のうち前記不正パケット発信端末を検出した接続装置からその不正パケット発信端末を特定するアドレスの通知を受信する手段と、前記アドレスの通知を受信したときに、そのアドレスを元に該当する不正パケット発信端末が属するセグメントを判定する手段と、前記セグメントごとに不正パケット発信端末の数を計数するとともに、その不正パケット発信端末の数を前記セグメントに対応付けて記憶する手段と、前記内部ネットワーク上に
おいて前記不正パケット発信端末が属するセグメントを外部ネットワークに接続する前記第1接続装置のインターフェース、または前記不正パケット発信端末が属するセグメントを前記第1接続装置または当該セグメントの上位階層のセグメントに接続する第2接続装置のインターフェースを探索する探索手段と、不正パケット発信端末が属するセグメント内で、前記不正パケット発信端末の数が予め設定した所定数の範囲にない場合に、前記不正パケット発信端末の属するセグメントが接続される第1接続装置または第2接続装置のインターフェースを遮断する制御手段と、を備えるネットワーク管理装置である。
おいて前記不正パケット発信端末が属するセグメントを外部ネットワークに接続する前記第1接続装置のインターフェース、または前記不正パケット発信端末が属するセグメントを前記第1接続装置または当該セグメントの上位階層のセグメントに接続する第2接続装置のインターフェースを探索する探索手段と、不正パケット発信端末が属するセグメント内で、前記不正パケット発信端末の数が予め設定した所定数の範囲にない場合に、前記不正パケット発信端末の属するセグメントが接続される第1接続装置または第2接続装置のインターフェースを遮断する制御手段と、を備えるネットワーク管理装置である。
本発明では、所定の条件に該当しない不正パケットを発信する不正パケット発信端末を検出したときに、セグメントごとに不正パケット発信端末の数を計数し、不正パケット発信端末が属するセグメント内で、前記不正パケット発信端末の数が予め設定した所定数の範囲にない場合に、前記不正パケット発信端末の属するセグメントが接続される第1接続装置または第2接続装置のインターフェースを遮断する。したがって、不正パケット発信端末の数が所定の範囲にないような、多数の端末が不正パケットを発信するセグメントを直ちに遮断し、不正パケット発信源の伝搬を有効に防止する。
前記探索手段は、前記セグメントを接続する前記第1接続装置または第2接続装置のインターフェースを記憶した登録テーブル記憶手段を有するようにしてもよい。本発明では、セグメントと、そのセグメントを接続する装置のインターフェースとの関係を登録テーブルに記録するので、セグメントに対するインターフェースを迅速に求めることができる。
前記探索手段は、前記セグメントを接続する前記第1接続装置または第2接続装置のインターフェースを探索するコマンド発行手段を有するようにしてもよい。本発明では、セグメントを接続する装置のインターフェースをコマンドの発行により求めるので、上記登録テーブルがない場合でもインターフェースを求めることができる。
前記不正パケット発信端末が属していると判定されたセグメントごとに不正パケットに対応する動作を決定する動作記憶手段をさらに備えるようにしてもよい。本発明によれば、セグメントごとに柔軟に不正パケットに対応する動作を決定できる。
前記制御手段は、不正パケット発信端末が属するセグメント内で、前記不正パケット発信端末の数が所定数の範囲にある場合に、前記第1接続装置または第2接続装置に接続されるセグメントを1以上の階層を構成する複数の部分セグメントに分離して前記複数の部分セグメントを前記第1接続装置、第2接続装置または当該部分セグメントの上位階層の部分セグメントに接続する1以上の第3接続装置を探索する手段と、前記第1接続装置、第2接続装置、または第3接続装置に含まれるインターフェースのうち前記不正パケット発信端末に直近のインターフェースを遮断する手段とを有するようにしてもよい。
本発明によれば、セグメント内で、前記不正パケット発信端末の数が所定数の範囲にある場合には、セグメントを1以上の階層を構成する複数の部分セグメントに分離し、その部分セグメントを第1接続装置、第2接続装置または当該部分セグメントの上位階層の部分セグメントに接続する第3接続装置を求める。そして、前記第1接続装置、第2接続装置、または第3接続装置に含まれるインターフェースのうち前記不正パケット発信端末に直近のインターフェースを遮断するので、そのような遮断される部分セグメント以外のセグメントにおいては、通信を継続できる。
前記第1接続装置および第2接続装置は、前記外部ネットワークまたは内部ネットワークにおいて識別可能なアドレスにより前記セグメントを接続し、前記第3接続装置は、前記第1接続装置または第2接続装置に接続されるセグメントの範囲で利用可能な通信手順
により前記部分セグメントを接続するようにしてもよい。ネットワーク管理装置は、例えば、前記外部ネットワークまたは内部ネットワークにおいて識別可能なアドレスにより第3接続装置にアクセスし、第3接続装置内において、セグメントの範囲で利用可能な通信手順により、前記不正パケット発信端末に直近の部分セグメントを接続する第3接続装置のインターフェースを探索して遮断すればよい。
により前記部分セグメントを接続するようにしてもよい。ネットワーク管理装置は、例えば、前記外部ネットワークまたは内部ネットワークにおいて識別可能なアドレスにより第3接続装置にアクセスし、第3接続装置内において、セグメントの範囲で利用可能な通信手順により、前記不正パケット発信端末に直近の部分セグメントを接続する第3接続装置のインターフェースを探索して遮断すればよい。
前記制御手段が前記第1接続装置または第2接続装置のインターフェースを遮断したときに、遮断したインターフェースを記録する記録手段と、所定の起動指示を検出したときに前記記録手段の記録に基づいて遮断したインターフェースに遮断解除を指令する手段と、をさらに備えるようにしてもよい。
前記制御手段が前記第1接続装置、第2接続装置または第3接続装置のインターフェースを遮断したときに、遮断したインターフェースを記録する記録手段と、所定の起動指示を検出したときに前記記録手段の記録に基づいて遮断したインターフェースに遮断解除を指令する手段と、をさらに備えるようにしてもよい。このように遮断したインターフェースを記録することにより、所定の起動指示を検出したときに簡易に遮断解除を実行できる。
前記制御手段は、前記内部ネットワーク上の特定の処理装置に送信されるパケットの通過を許容し、その特定の処理装置以外に送信されるパケットの通過を遮断する、そのようなパケットの通過を制限するアクセスリストを前記第1接続装置または第2接続装置に送信するアクセスリスト送信手段をさらに有するようにしてもよい。本発明によれば、アクセスリストを送信することにより、接続装置に対して遮断する通信と、通過させる通信とを柔軟に制御できる。
前記制御手段が前記第1接続装置または第2接続装置のインターフェースを遮断したとき、または、前記アクセスリスト送信手段が前記アクセスリストを送信することにより前記第1接続装置または第2接続装置を通過するパケットの通過を制限したときに、遮断したインターフェースまたはパケットの通過を制限したインターフェースを記録する記録手段と、所定の起動指示を検出したときに前記記録手段の記録に基づいて遮断したインターフェースまたはパケットの通過を制限したインターフェースに遮断解除またはパケットの通過制限解除を指令する手段と、をさらに備えるようにしてもよい。
また、本発明は、通信機能を有するコンピュータその他の装置、機械等が上記いずれかの処理を実行する方法であってもよい。また、本発明は、通信機能を有するコンピュータその他の装置、機械等に、上記いずれかの処理を実行させるプログラムであってもよい。また、本発明は、そのようなプログラムを上記コンピュータその他の装置、機械等が読み取り可能な記録媒体に記録したものでもよい。
本発明によれば、ファイアーウォールやウィルスウォール等の不正アクセス検知手段を有し不正なアクセスから保護されているネットワークにおいて不正なアクセスを発生させる発生源が検知された場合に、ネットワークを管理するネットワーク管理装置が、そのような発生源の拡散を迅速に抑制することができる。
以下、図面を参照して本発明を実施するための最良の形態(以下、実施形態という)に係る情報システムについて説明する。以下の実施形態の構成は例示であり、本発明は実施形態の構成に限定されない。
<発明の概要>
本実施形態では、複数の機器(ルータ、スイッチングハブ、レイヤ2スイッチ、端末、サーバその他のコンピュータ等)からなるネットワークを例に説明する。本実施形態では、そのようなネットワークにおいて、ウィルスのような不正パケットの発生源が検出されたときに、その発生源の拡散を早期に抑制する情報システムを説明する。なお、この情報システムが実行する処理を不正パケット拡散防止処理という。
本実施形態では、複数の機器(ルータ、スイッチングハブ、レイヤ2スイッチ、端末、サーバその他のコンピュータ等)からなるネットワークを例に説明する。本実施形態では、そのようなネットワークにおいて、ウィルスのような不正パケットの発生源が検出されたときに、その発生源の拡散を早期に抑制する情報システムを説明する。なお、この情報システムが実行する処理を不正パケット拡散防止処理という。
図1は、本発明の実施形態に係る情報システムのネットワーク構成を示す図である。図1のように、この情報システムは、インターネット10に接続されるアクセスルータ9と、アクセスルータ9と授受するパケットを監視するファイアーウォール7と、ファイアーウォール7(第1接続装置に相当)を通じてインターネット10のような外部ネットワークに公開される公開サーバ群8と、ファイアーウォール7とプライベートな内部ネットワークとを接続するルータ2−1(第2接続装置に相当)と、ルータ2−1によって内部ネットワークが分割されて構成される2つのセグメント20およびセグメント30と、セグメント20をさらに下位のセグメント21、セグメント22に分割するルータ2−2(第2接続装置に相当)と、下位のセグメント21をさらに下位の部分セグメント21に分割するスイッチングハブ3−1(第3接続装置に相当)と、スイッチングハブ3−1のインターフェースに接続され、最下層の部分セグメント21を構成する端末5−1、5−2と、ルータ2−1に接続され内部ネットワークを管理するネットワーク管理装置1とを有している。なお、スイッチングハブ3−2以下の構成は、スイッチングハブ3−1以下と同様である。また、セグメント30の構成は、セグメント20と同様である。
本実施形態では、図1において、ファイアーウォール7の右側、すなわち、インターネット10等の外部ネットワークからファイアーウォール7により分離されるルータ2−1以下に接続されるネットワークを内部ネットワークと呼ぶ。内部ネットワークは、例えば、企業、官庁、学校、または、家庭のような組織のユーザによって使用され、インターネット10、事業者の提供する専用ネットワーク、またはVPN(Virtual Private Network)のような外部ネットワークと区分されて存在するネットワークをいう。典型的な内部
ネットワークは、LAN(Local Area Network)である。また、図1では、典型的な外部ネットワークとしてインターネット10が示されている。
ネットワークは、LAN(Local Area Network)である。また、図1では、典型的な外部ネットワークとしてインターネット10が示されている。
アクセスルータ9は、ファイアーウォール7を通じて内部ネットワーク上の構成要素(端末5−1等)をインターネット10に接続する。
ファイアーウォール7は、内部ネットワークへの不正侵入、ウィルスのような破壊行為を実行するプログラムの検知等のためのコンピュータプログラムやハードウェアをいう。ファイアーウォール7は、内部ネットワークとアクセスルータ9との間に設置され、通過するネットワークトラフィックを監視する。そして、ファイアーウォール7は、所定のルールに適合する正当な通信のみを行なえるようにする一方、不正な動きを検知する。
ファイアーウォール7は、内部ネットワークへの不正侵入、ウィルスのような破壊行為を実行するプログラムの検知等のためのコンピュータプログラムやハードウェアをいう。ファイアーウォール7は、内部ネットワークとアクセスルータ9との間に設置され、通過するネットワークトラフィックを監視する。そして、ファイアーウォール7は、所定のルールに適合する正当な通信のみを行なえるようにする一方、不正な動きを検知する。
公開サーバ群8は、アクセスルータ9およびファイアーウォール7を通してインターネット10等の外部ネットワークに情報またはサービスを提供する。このような公開サーバ群8の存在するネットワークのセグメントをDMZ(DeMilitarized Zone)と呼ぶ。
ルータ2−1は、公開サーバ群6および内部ネットワークをファイアーウォール7に接続する。また、ルータ2−1は、内部ネットワークをセグメント20、30等に分離する。図1では、内部ネットワークとしてセグメント20と30とが例示されているが、内部ネットワークを構成するセグメントの数は2個に限定されるものではない。
なお、上記で説明したファイアーウォール7とルータ2−1とが一体として1つの通信装置上に構成されてもよい。その場合には、本発明の第1接続装置と第2接続装置とは機
能を1つの通信装置上に有することになる。
能を1つの通信装置上に有することになる。
ルータ2−2およびルータ2−3は、各々セグメント20および30をルータ2−1に接続する。セグメント20およびセグメント30等は、例えば、TCP/IPのサブネットとして構成することができる。すなわち、本実施形態において、セグメント20等は、いわゆるネットワーク階層概念のネットワーク層(例えば、ISO参照モデルの第3層)において識別されるアドレスを使用して通信する通信装置からなる。
ルータ2−2の不図示のインターフェースには、さらにスイッチングハブ3−1、3−2等が接続されている。また、例えば、スイッチングハブ3−1の不図示のインターフェースには、端末5−1、5−2が接続されている。また、スイッチングハブ3−2の不図示のインターフェースには、端末5−3、5−4が接続されている。ただし、端末5−1、5−2等は例示であり、スイッチングハブ3−1、3−2等に接続される端末数は、2に限定されるものではない。
このようにして、スイッチングハブ3−1は、端末5−1、5−1等を含む部分セグメント21を形成し、その部分セグメント21をルータ2−2の1つのインターフェースに接続する。また、スイッチングハブ3−2は、端末5−3、5−4等を含む部分セグメント22を形成し、その部分セグメント22をルータ2−2の1つのインターフェースに接続する。他の部分セグメント31、32とルータ2−3との関係も同様である。ただし、部分セグメント21、22、31,32等は例示であり、ルータ2−1、2−2等に接続される部分セグメント数は、2に限定されるものではない。
本実施形態で部分セグメント21等は、スイッチハブ3−1等により構成されるネットワークの部分的な構成要素である。すなわち、本実施形態において、部分セグメント21等は、いわゆるネットワーク階層概念のデータリンク層(例えば、ISO参照モデルの第2層)において識別されるアドレス(例えば、MACアドレス等、ネットワーク機器を識別する物理的に設定されたアドレス)を使用して通信する通信装置からなる。データリンク層の通信手順が、セグメントの範囲で利用可能な通信手順に相当する。
ネットワーク管理装置1は、ネットワークに接続するためのネットワーク基板を有するコンピュータである。図1では、ネットワーク管理装置1は、ルータ2−1を通して内部ネットワークに接続されているが、本発明の実施はこのような構成に限定されるものではない。例えば、ネットワーク管理装置1をセグメント20に接続するようにしてもよい。
ネットワーク管理装置1は、内部ネットワークを管理する。内部ネットワークを管理するとは、内部ネットワークを構成する装置の状態を検知し、または、装置の所定の状態に制御することをいう。例えば、装置の状態の検知は、一般的にはSNMP(Simple Network Management Protocol)により、実現できる。また、装置の制御は、SNMPのパラメータを相手装置に設定することで実現できる。
さらに、SNMPを用いる以外に、相手装置上で所定のコマンドを遠隔操作で実行することにより、相手装置の状態を検知し、相手装置を所定の状態に制御できる。コマンドを遠隔操作で実行する方法としては、例えば、telnetを実行し、ネットワーク管理装置1を相手装置にtelnetプログラムで接続した上で、telnetで実現される相手装置の仮想端末上にコマンドに対応する文字列を入力し、相手装置上で実行するようにすればよい。
なお、SNMP、telnet等は、TCP/IP上で稼働するアプリケーションであり、TCP/IPの存在を前提としない(第2層までの機能しかない)厳密な意味でのスイッチングハブ3−1等では、稼働しない。しかし、通常のスイッチングハブ3−1等では、ネ
ットワークのセグメントをセグメントを接続するパケット中継機能は、第2層で実現され、その一方で、第3層以上のネットワーク機能も予備的に、例えば、管理目的で搭載されている。本実施形態では、そのような第3層以上のネットワーク階層の機能を有するスイッチングハブ3−1等を利用する。以下、本実施形態では、このようなスイッチングハブ3−1、ルータ2−1等を総称してネットワーク中継装置と呼ぶ。
ットワークのセグメントをセグメントを接続するパケット中継機能は、第2層で実現され、その一方で、第3層以上のネットワーク機能も予備的に、例えば、管理目的で搭載されている。本実施形態では、そのような第3層以上のネットワーク階層の機能を有するスイッチングハブ3−1等を利用する。以下、本実施形態では、このようなスイッチングハブ3−1、ルータ2−1等を総称してネットワーク中継装置と呼ぶ。
また、本実施形態では、SNMP、telnet等で相手装置の状態検知、および相手装置の制御を実施する例を示すが、本発明の実施は、TCP/IP上のSNMP、telnet等に限定されるものではない。
図2は、本発明の実施形態に係る情報システムの基本動作アルゴリズムを示す図である。本実施形態において、情報システムは、以下の基本動作原理にしたがって動作する。
(1)ファイアーウォール7にてウィルス検出
ファイアーウォール7は、ファイアーウォール7を通過するパケットが所定のルール(チェック条件)に合致しているか否かを監視している(S1)。
(1)ファイアーウォール7にてウィルス検出
ファイアーウォール7は、ファイアーウォール7を通過するパケットが所定のルール(チェック条件)に合致しているか否かを監視している(S1)。
ウィルスに感染した端末が、内部ネットワーク上のメールサーバを経由せず直接SMTPでインターネット10に向けて通信する場合のように、不正な手順でパケットを送信した場合、ファイアーウォール7がそのその不正な通信を検出する。このような機能は、ファイアーウォール7の通常の機能として広く知られている。ただし、ファイアーウォール7はウィルスそのものを検出することはできない。
なお、ファイアーウォール7が不正パケットを検出できない場合、すなわち、監視対象のパケットが不正パケットでない場合には、そのパケットは通常の手順でファイアーウォール7を通過する(S2)。
(2)検出の通知
不正な通信を検出したファイアーウォール7は、検出を契機としてネットワーク管理装置1にSNMPトラップを通知する(S3)。ネットワーク管理装置1上では、SNMPマネージャが稼働しており、そのSNMPトラップを受信する。SNMPマネージャは、SNMPトラップの受信を契機として、ネットワーク管理プログラムを起動し、以下の処理を実行する。
不正な通信を検出したファイアーウォール7は、検出を契機としてネットワーク管理装置1にSNMPトラップを通知する(S3)。ネットワーク管理装置1上では、SNMPマネージャが稼働しており、そのSNMPトラップを受信する。SNMPマネージャは、SNMPトラップの受信を契機として、ネットワーク管理プログラムを起動し、以下の処理を実行する。
(3)遮断すべきインターフェースの特定
不正な通信を検出したファイアーウォール7からの通知を受信したネットワーク管理装置1は、不正な通信の送信元アドレスによりウィルスに感染していると考えられる端末(以下、被疑装置という)が属しているネットワークのセグメントを特定する。さらに、ネットワーク管理装置1は、所定の手順にしたがって、そのセグメントを接続するルータ2−1等、あるいは、スイッチングハブ3−1等のネットワーク中継装置のインターフェースを特定する(S4)。
不正な通信を検出したファイアーウォール7からの通知を受信したネットワーク管理装置1は、不正な通信の送信元アドレスによりウィルスに感染していると考えられる端末(以下、被疑装置という)が属しているネットワークのセグメントを特定する。さらに、ネットワーク管理装置1は、所定の手順にしたがって、そのセグメントを接続するルータ2−1等、あるいは、スイッチングハブ3−1等のネットワーク中継装置のインターフェースを特定する(S4)。
インターフェースの特定は、例えば、不正パケットの送信元アドレスから不正な通信を実行する被疑装置を検出したときに、その被疑装置のアドレスと、その被疑装置の所属するセグメントと、そのセグメントを接続するネットワーク中継装置のインターフェースとの関係を登録したテーブルに基づいて判定してもよい。そのような被疑装置と所属するセグメントと、セグメントを接続するネットワーク中継装置との関係は、ネットワーク管理装置1が有するネットワークの装置構成を記録した構成データベースと、各装置の属性を記録した機種ごとのデフォルト値テーブルにしたがって作成できる。
構成データベースは、SNMPを実行することにより収集する情報にしたがって構成さ
れる。構成データベースは、例えば、図1に示した内部ネットワークの構成をツリー構造で定義する。このツリー構造では、例えば、セグメントのネットワークアドレス、サブネットマスク等が記録されている。さらに、このツリー構造では、各セグメントに接続される装置のIPアドレス、ホスト名等が記録される。図1に示す内部ネットワークの構成(ノードとノードとの関係)を記述するようなツリー構造の定義手順は広く知られているのでその説明を省略する。
れる。構成データベースは、例えば、図1に示した内部ネットワークの構成をツリー構造で定義する。このツリー構造では、例えば、セグメントのネットワークアドレス、サブネットマスク等が記録されている。さらに、このツリー構造では、各セグメントに接続される装置のIPアドレス、ホスト名等が記録される。図1に示す内部ネットワークの構成(ノードとノードとの関係)を記述するようなツリー構造の定義手順は広く知られているのでその説明を省略する。
また、セグメントとルータのインターフェースとの関係は、例えば、トレースルートコマンドを実行することで特定できる。すなわち、不正パケットの送信元アドレスが既知の場合に、ネットワーク管理装置1が、その送信元アドレスをパラメータにトレースルートコマンドを実行すると、ネットワーク管理装置1からその送信元アドレスの装置に至る経路上のルータのインターフェースのアドレスをピックアップできる。
この場合、インターフェースとしては、物理インターフェース(ポート)とVLAN(virtual LAN )対応の論理インターフェースを使用する。
(4)被疑セグメントの遮断
ウィルスに感染した被疑装置が接続されているセグメントを接続するネットワーク中継装置のインターフェースを特定したネットワーク管理装置1は、そのネットワーク中継装置に対してSNMPによるパラメータ送信またはtelnetによる仮想端末からのコマンド入力を用いて、被疑インターフェースを遮断(閉塞)するように指示する(S5)。このとき、ネットワーク管理装置1は、遮断したインターフェースの存在するネットワーク中継装置(装置名、アドレス等)と、そのネットワーク中継装置上のインターフェース(そのインターフェースを識別するインターフェース名、アドレス等)を所定の履歴情報テーブルに記録する。
(4)被疑セグメントの遮断
ウィルスに感染した被疑装置が接続されているセグメントを接続するネットワーク中継装置のインターフェースを特定したネットワーク管理装置1は、そのネットワーク中継装置に対してSNMPによるパラメータ送信またはtelnetによる仮想端末からのコマンド入力を用いて、被疑インターフェースを遮断(閉塞)するように指示する(S5)。このとき、ネットワーク管理装置1は、遮断したインターフェースの存在するネットワーク中継装置(装置名、アドレス等)と、そのネットワーク中継装置上のインターフェース(そのインターフェースを識別するインターフェース名、アドレス等)を所定の履歴情報テーブルに記録する。
その指示を受けたネットワーク中継装置は、SNMPまたは入力されたコマンドにしたがい被疑インターフェースを遮断する。その後、ネットワーク管理装置1は、ネットワーク管理者にその旨を電子メールで通知する(S6)。
(5)復旧判断
ネットワーク管理者は、ウィルスが感染した端末の管理者に対しウィルス対策ソフトなどを用いて完全にウィルスを駆除し、不具合状態から完全に復旧したか否かを確認する(S7)。
ネットワーク管理者は、ウィルスが感染した端末の管理者に対しウィルス対策ソフトなどを用いて完全にウィルスを駆除し、不具合状態から完全に復旧したか否かを確認する(S7)。
(6)復旧動作
復旧できた場合(S8でYESの場合)、ネットワーク管理者は、所定の操作部(例えば、ネットワーク管理装置1上の操作端末、指示スイッチ、またはネットワーク管理者の端末等)により復旧動作の開始を指示する(S9)。この判断は、例えば、特定のセグメントごとに実施し、セグメントごとに復旧するようにしてもよい。
復旧できた場合(S8でYESの場合)、ネットワーク管理者は、所定の操作部(例えば、ネットワーク管理装置1上の操作端末、指示スイッチ、またはネットワーク管理者の端末等)により復旧動作の開始を指示する(S9)。この判断は、例えば、特定のセグメントごとに実施し、セグメントごとに復旧するようにしてもよい。
すると、ネットワーク管理装置1は、履歴情報テーブルを参照し、遮断されているインターフェースを復旧する。この処理を実行するネットワーク管理装置が遮断解除を指令する手段に相当する。復旧は、遮断の場合と同様、SNMPによるパラメータ送信またはtelnetによる仮想端末からのコマンド入力を用いて実行する(S10)。その場合、ネットワーク管理者が復旧を認めるセグメントを入力し、そのセグメントが接続されるネットワーク中継装置の接続インターフェースを遮断状態から復旧するようにしてもよい。
<テーブルとファイルのデータ構成>
図3は、ネットワークを構成する構成機器の機種ごとのデフォルト値を定義した機種ごとのデフォルト値テーブルである。この機種ごとのデフォルト値テーブルは、図4の登録
テーブルを生成するときの機種ごとのインターフェースの種類、遮断手順の種別、および遮断方法を定義する。図3に示すように、機種ごとのデフォルト値テーブルは、メーカ、機種、インターフェース、遮断種別、遮断方法の各フィールドを有している。そして、機種ごとのデフォルト値テーブルは、各メーカから提供される機種について、その機種の有するインターフェースの種類、遮断種別および遮断方法を定義する。
図3は、ネットワークを構成する構成機器の機種ごとのデフォルト値を定義した機種ごとのデフォルト値テーブルである。この機種ごとのデフォルト値テーブルは、図4の登録
テーブルを生成するときの機種ごとのインターフェースの種類、遮断手順の種別、および遮断方法を定義する。図3に示すように、機種ごとのデフォルト値テーブルは、メーカ、機種、インターフェース、遮断種別、遮断方法の各フィールドを有している。そして、機種ごとのデフォルト値テーブルは、各メーカから提供される機種について、その機種の有するインターフェースの種類、遮断種別および遮断方法を定義する。
図3の例では、インターフェースとして、PORTまたはVLANが例示されている。また、遮断種別として、Shutdownとあるのは、当該インターフェースをそのまま遮断することを意味する。また、遮断種別として、アクセスリストとあるのは、当該機種の装置にアクセスリストを引き渡し、アクセスリストの指定にしたがって、該当するパケットだけを遮断する処理を実行することを意味する。ここで、アクセスリストは、特定の条件を満たす(または、満たさない)パケットの通過を阻止するように指定した条件のリストをいう。例えば、内部ネットワーク上の特定の処理装置に送信されるパケットの通過を許容し、その特定の処理装置以外に送信されるパケットの通過を遮断する、そのような条件がアクセスリストに設定される。このような設定により、例えば、ウィルス発生により遮断が必要なセグメントであっても、ウィルスチェックプログラムの存在するサーバへのパケットの転送を許容し、問題解決を促進することができる。
また、遮断方法として、SNMPとあるのは、SNMPのパラメータを設定することにより遮断処理を実行することを指定する。また、遮断方法として、コマンドとあるのは、telnetプログラムを通じて当該機種の装置に対してコマンド文字列を入力することにより遮断処理を実行することを指定する。
図4は、ネットワーク管理装置1が不正パケット拡散防止処理を実行するときに参照する登録テーブル(動作記憶手段に相当)の設定例である。この登録テーブルは、ネットワーク管理装置1が、不正パケットを発信する被疑装置が所属するセグメントに対して、そのセグメントの接続されるネットワーク中継装置のインターフェースを特定するときに使用される。図4のように、登録テーブルは、セグメント情報、装置情報、インターフェース、遮断種別、および遮断方法の各フィールドを有している。このうち、セグメント情報は、不正パケット送信元のアドレスから、その送信元の所属するセグメントを特定するための情報である。セグメント情報のフィールドは、セグメント名称、ネットワークアドレス、サブネットマスクの各要素を含む。このうち、セグメント名称は、ネットワーク管理者に問題のセグメントを認識しやすくするための名称であり、コンピュータプログラムの処理では、ネットワーク管理者への通知情報中で使用される。
また、ネットワークアドレスとサブネットマスクにより、セグメントが特定される。すなわち、ネットワークアドレスとして指定されるIPアドレスの全ビット数のうち、上位ビット数がネットマスクで指定され、ネットワークアドレスが特定される。このようなサブネットによりネットワークをセグメントに分割する手順は広く知られている。
また、装置情報は、当該セグメントに属する1つのネットワーク中継装置のインターフェースの情報である。セグメントに複数のネットワーク中継装置が所属する場合には、接続されるインターフェース数だけテーブルの行が定義される。装置情報は、その装置のIPアドレス、種別、およびホスト名称を含む。種別とは、その装置の機種であり、例えば、ルータ(図4ではROUTERと表示)、スイッチングハブ(図4ではHUBと表示)等である
。
。
ホスト名称は、ネットワーク管理者がルータ、スイッチングハブ等のネットワーク中継装置を識別しやすくするための名称である。ホスト名称は、ネットワーク管理装置1からネットワーク管理者への通知情報中で使用される。
登録テーブルのインターフェース、遮断種別、および遮断方法は、図3の機種ごとのデフォルト値テーブルと同様であり、機種ごとのデフォルト値テーブルにしたがって設定される。
図5は、ネットワーク管理装置1が不正パケット拡散防止処理を実行したときに記録する履歴情報格納テーブル(遮断したインターフェースを記録する記録手段に相当)の構成例である。履歴情報格納テーブルは、ネットワーク管理装置1がセグメントに接続されるルータのインターフェースまたは被疑装置に直近のネットワーク中継装置(以下、該当装置といい、例えば、スイッチングハブである)のインターフェースを遮断したときに、そのルータまたは該当装置と、遮断したインターフェースを特定する情報を記録する。
図5のように、履歴情報格納テーブルも、登録テーブルと同様、セグメント情報、装置情報、インターフェース、遮断種別、および遮断方法の各フィールドを有している。これらの情報により、遮断されたインターフェースと、そのインターフェースの所属する装置が特定される。さらに、履歴情報格納テーブルは、「遮断実行」のフィールドを有しており、そのインターフェースが現在遮断されているか、遮断が解除されたかを記録する。
図6は、ネットワーク管理装置1の制御動作を決定する定義ファイルの構成例を示す図である。この定義ファイルは、遮断決定方式を設定する遮断決定テーブルと異常IPアドレス検出閾値の各フィールドを有している。このうち、遮断決定方式のフィールド(これを遮断決定テーブルという)には、登録テーブル方式による遮断決定処理か、コマンド方式(トレースルートの実行)による遮断決定処理かを設定する。ただし、この定義ファイルにおいて、登録テーブルテーブルによって遮断決定処理が指定されていても、登録テーブルが存在しない、または、登録テーブルに情報が設定されていない場合には、コマンド方式により遮断処理を実行すればよい。その場合には、機種ごとのインターフェースの種類、遮断種別、および遮断方法については、図3に示した機種ごとのデフォルト値テーブルを参照して決定すればよい。
また、異常IPアドレス検出閾値(所定数に相当)のフィールドには、異常IPアドレス検出閾値が設定される。不正パケット送信元として被疑装置が検出され、その被疑装置の所属するセグメントが特定されたときに、当該セグメントにおいて検出された被疑装置の検出総数が算出される。そして、その検出総数が異常IPアドレス検出閾値を超えた場合には、当該セグメントに接続されるルータのインターフェースが遮断される。一方、その検出総数が異常IPアドレス検出閾値を超えない場合には、その被疑装置に直近の該当装置が構成データベースから検索され、その該当装置のインターフェースが遮断される。このとき遮断される該当装置のインターフェースに接続するネットワーク部分を部分セグメントと呼ぶ。部分セグメントは、レイヤ2(データリンク層)の通信により区分されるネットワーク部分である。
ただし、異常IPアドレス検出閾値を1に設定した場合には、不正パケットが検出されたセグメントにおいて不正パケットを発信する被疑装置の台数は、常に、異常IPアドレス検出閾値以上となる。したがって、この場合には、直近の該当装置を検索することなく、常に、セグメント単位で内部ネットワークが遮断されることになる。
<処理フロー>
図7は、ネットワーク上の装置とセグメントとの関係を定義する登録テーブルを更新する更新処理を示すフローチャートである。この処理は、ネットワーク管理装置1で実行される通信制御プログラムとして実現できる。登録テーブルは、不正パケットを送信する送信元のアドレスが特定され、その送信元のアドレスからその送信元の被疑装置が所属する
セグメントを接続するルータのインターフェースを特定するときに参照される。以下に示すように、登録テーブルは、ネットワーク管理装置1が維持管理する構成データベースと、各装置の属性を登録した機種ごとのデフォルト値テーブルから作成される。
図7は、ネットワーク上の装置とセグメントとの関係を定義する登録テーブルを更新する更新処理を示すフローチャートである。この処理は、ネットワーク管理装置1で実行される通信制御プログラムとして実現できる。登録テーブルは、不正パケットを送信する送信元のアドレスが特定され、その送信元のアドレスからその送信元の被疑装置が所属する
セグメントを接続するルータのインターフェースを特定するときに参照される。以下に示すように、登録テーブルは、ネットワーク管理装置1が維持管理する構成データベースと、各装置の属性を登録した機種ごとのデフォルト値テーブルから作成される。
ネットワーク管理装置1は、設定に応じて、自動、または手動にて、ネットワークの構成データベースを更新する。この機能により、システム起動時や、ネットワーク機器の追加/設定変更時に、構成データベースが作成あるいは更新される。さらに、構成データベ
ースが更新された後には、ネットワーク上の各装置と各装置の所属するセグメントとの関係を定義する登録データベースを更新する必要がある。そこで、ネットワーク管理装置1は、図7に示す処理を実行し、登録データベースを作成・更新する。
ースが更新された後には、ネットワーク上の各装置と各装置の所属するセグメントとの関係を定義する登録データベースを更新する必要がある。そこで、ネットワーク管理装置1は、図7に示す処理を実行し、登録データベースを作成・更新する。
この処理では、まず、ネットワーク管理装置1は、ネットワークの構成データベースよりひな型テーブルを作成する(S20)。すなわち、ネットワーク管理装置1は、ネットワークの構成データベースを検索し、すべてのセグメントを洗い出す。そして、それぞれのセグメントに関わるルータ、スイッチングハブ等のネットワーク中継装置を求め、図4に示す登録テーブルのセグメント情報、装置情報の欄を作成する。より具体的には、図4に示す登録テーブルの領域をメモリ上に確保し、構成データベースのセグメント情報(セグメント名称、ネットワークアドレス、およびサブネットマスク)および装置情報(IPアドレスとホスト名)を書き込む。ただし、セグメント名称はセグメントn(n = 1,2,3,…)等の仮名称を割り当てるようにすればよい。
次に、ネットワーク管理装置1は、機種依存情報を設定する(S21)。すなわち、S20の処理で作成したテーブル上のホスト名から構成データベースを検索し、そのホスト名を有する装置の機種を検索する。そして、ネットワーク管理装置1は、検索された機種を基に、機種ごとのデフォルト値テーブル(図3参照)を検索し、インターフェースの種別、遮断種別、遮断方法等のデフォルト値を読み出す。そして、ネットワーク管理装置1は、読み出された情報を登録テーブルに設定する。ただし、機種ごとのデフォルト値テーブルに該当する機種の情報が登録されていない場合、デフォルトとして定義された機種(図3で機種がデフォルトに設定されている行)の情報を使用する。
そして、登録テーブルの新規作成の場合には(S22でYESの場合)、ネットワーク管理装置1は、S21の処理で情報を設定したひな型テーブルを有効化する(S22)。有効化とは、例えば、登録テーブルの領域を複数保持しておき、有効なテーブルを示すリンクを書き替えるようにすればよい。また、例えば、ひな型テーブルと実使用のための登録テーブルの2面を保持し、ひな型完成後、ひな型テーブルの内容を実使用のための登録テーブルにコピーするようにしてもよい。
一方、新規作成でない場合、ネットワーク管理装置1は、既存の登録テーブル(以下、有効テーブルともいう)からひな型テーブルにデータの引き継ぎを実施する(S23)。すなわち、S21の処理で情報を設定したひな型テーブルと、既存の登録テーブル(現在の有効テーブル)の情報を比較し、同一セグメント、同一アドレスのインターフェースの場合、現在有効になっているテーブルの情報を優先するため、対応するデータを既存の登録テーブルからひな型テーブルにコピーする。この処理は、例えば、登録テーブルに手動で設定された情報を更新される登録テーブルに引き継ぐための処理である。
次に、ネットワーク管理装置1は、S23の処理で既存の登録テーブルから情報が引き継がれたひな型テーブルを有効にする(S24)。次に、ネットワーク管理装置1は、既存の登録テーブル(更新前の有効テーブル)を削除する(S25)。
なお、以上の説明は、図7のように1つのフローチャートの中に、初期状態から新規に
登録テーブルを作成する処理と、ネットワークの構成変更時の登録テーブル更新処理を実現する例を示した。しかし、これらの処理は、各々異なるプログラムによって異なるフローとして実現してもよい。
登録テーブルを作成する処理と、ネットワークの構成変更時の登録テーブル更新処理を実現する例を示した。しかし、これらの処理は、各々異なるプログラムによって異なるフローとして実現してもよい。
また、すでに既存の登録テーブルが存在する場合に、上記図7の処理のようにひな型テーブルを作成し、既存の登録テーブルからデータを引き継ぐ処理とする代わりに、マニュアル操作で登録テーブルの内容を編集できるようにしてもよい。
図8は、ネットワーク管理装置1が不正パケット検出の通知を受けたときに実行する遮断決定処理の概要を示す図である。この処理は、ネットワーク管理装置1が、ファイアーウォール7から不正パケット検出の通知を受けたときに起動される。
なお、不正パケット、あるいは、不正アクセスの検出手順は、通常のファイアーウォールの処理と同様である。例えば、メールサーバ以外の装置を送信元としてSMTP(Simple Mail Transfer Protocol)によって外部ネットワークにアクセスするパケットは、不
正パケットととして検出される。また、そのような送信元の装置は、被疑装置として検出される。
正パケットととして検出される。また、そのような送信元の装置は、被疑装置として検出される。
また、プロキシサーバ以外の装置を送信元としてHTTP(HyperText Transfer Protocol)によって外部ネットワークにアクセスするパケットは、不正パケットととして検出
される。また、そのような送信元の装置は、被疑装置として検出される。
される。また、そのような送信元の装置は、被疑装置として検出される。
ファイアーウォール7にて不正パケット(あるいか不正アクセス)を検出した場合、ファイアーウォール7は、ネットワーク管理装置1のSNMPマネージャにSNMPトラップを送信する。このSNMPトラップでは、不正パケットから得られたパケット送信元のIPアドレスおよび通信プロトコルの種別が通知される。そのようなSNMPトラップを受信したネットワーク管理装置1のSNMPマネージャは、図8に示す処理を起動する。
この処理では、まず、ネットワーク管理装置1は、遮断決定テーブル(図6参照)より登録テーブルに基づいて遮断決定処理を実行するのか、トレースルート等のコマンドにより遮断決定処理を実行するのか、の設定情報を抽出する(S30)。
次に、ネットワーク管理装置1は、不正パケット送信元のIPアドレスからそのIPアドレスの装置(被疑装置)が所属するセグメントを決定する。そして、ネットワーク管理装置1は、その被疑装置が所属するセグメント内での不正パケットを発信する被疑装置のIPアドレスの検出数を累計し、所定のテーブルに、セグメントごとに異常検出IPアドレスの検出総数として記録する。
さらに、ネットワーク管理装置1は、その検出総数が所定の検出閾値(図6に示した異常IPアドレス検出閾値)を超えたか否かを判断する。そのような被疑装置のIPアドレスの検出数が所定の検出閾値を超えた場合には、ネットワーク管理装置1は、そのセグメントに接続されるルータのインターフェースでの遮断処理を実行することに決定する。一方、そのような被疑装置のIPアドレスの検出数が所定の検出閾値を超えていない場合には、ネットワーク管理装置1は、ルータよりもさらに、その被疑装置に直近の該当装置にてインターフェースを遮断することに決定する(S31)。この処理を実行するネットワーク管理装置1が制御手段に相当する。
そして、S30で抽出された設定情報により、コマンドによる遮断決定処理の場合には(S32でYES)、ネットワーク管理装置1は、トレースルートコマンドを発行する(S33)。この処理を実行するネットワーク管理装置1がコマンド発行手段に相当する。
ネットワーク管理装置1がトレースルートコマンド(traceRoute 被疑装置のホスト名(またはIPアドレス))を実行すると、ネットワーク管理装置1から被疑装置に至る経路上のルータが順次検出される。
ネットワーク管理装置1がトレースルートコマンド(traceRoute 被疑装置のホスト名(またはIPアドレス))を実行すると、ネットワーク管理装置1から被疑装置に至る経路上のルータが順次検出される。
その検出結果から、ネットワーク管理装置1は、被疑装置に最も近いルータのIPアドレスを検出する(S34)。このIPアドレスは、上記トレースルートコマンドにより得られた検出結果の最後に表示されたルータである。このルータは、被疑装置の所属するセグメントを接続するインターフェースを有するルータである。
一方、S30で抽出した設定情報により、登録テーブルによる遮断決定処理の場合には(S32でNO)、ネットワーク管理装置1は、登録テーブルを検索し、被疑装置のIPアドレスからその被疑装置の所属するセグメントを接続するルータを特定する(S35)。
次に、ネットワーク管理装置1は、S31の決定に基づき、遮断装置として当該異常の発生したセグメントに接続されるルータのインターフェースを遮断するのか、当該被疑装置の直近の該当装置のインターフェースを遮断するのかを判定する(S36)。
そして、直近の装置にてインターフェースを遮断する場合、ネットワーク管理装置1は、さらに、構成データベースを参照し、S34またはS35で特定されたルータと被疑装置との間の経路上にさらにスイッチングハブ等のレイヤ2でネットワークを接続するネットワーク中継装置が存在するか否かを判定する。そして、そのようなレイヤ2でネットワークを接続する該当装置が存在する場合、ネットワーク管理装置1は、telnetコマンドで上記該当装置にログインする(S37)。そして、ログイン先の該当装置に対してARPテーブルおよびMACテーブルを表示するコマンドを入力する(S38)。
なお、この処理は、ネットワーク管理装置1のユーザが該当装置にログインしてコマンドを入力するのでははなく、ネットワーク管理装置1で図8の処理を実行するプログラムが、telnetプログラムを通じて該当装置に対してコマンドの文字列を入力し、telnetプログラムを通じてそのコマンドの実行結果(ARPテーブルおよびMACテーブルの表示結果)を受信することで実行される。
ARPテーブルには、IPアドレスとMACアドレスの対が格納されている。また、MACテーブルには、その該当装置とレイヤ2で通信する装置のMACアドレスと、その装置に接続される該当装置のインターフェースの対が記憶されている。したがって、被疑装置のIPアドレスがファイアーウォール7から通知されていた場合には、そのIPアドレスに対するMACアドレスをARPテーブルから求め、さらに、そのMACアドレスに接続されるインターフェースをMACテーブルから求めることで、遮断すべきインターフェースを特定できる。
次に、ネットワーク管理装置1は、以上の処理で特定した情報(S34またはS35で特定したルータのIPアドレス(インターフェース)、または、S38で特定した該当装置のIPアドレス(インターフェース)を履歴情報格納テーブル(図5参照)に格納する(S3A)。
図9は、SNMPにより不正パケットが検出されたセグメントにつながるインターフェースを遮断する処理を示す図である。この処理では、ネットワーク管理装置1は、インターフェースを遮断すべき装置(ルータまたは直近のスイッチングハブ等)に対して、SNMPのパラメータを書き替え指示を送信する。その結果、図8の処理で決定されたルータまたは直近の該当装置のインターフェースが遮断される。なお、インターフェースとして
は、ルータまたは直近の該当装置の物理的なインターフェースでよいし、VLANで定義される論理的なインターフェースでもよい。この遮断履歴は、図5に示した履歴情報格納テーブルに格納される。本実施形態では、図8のS3Aに示したように、遮断履歴の格納は、遮断決定処理の後に実行するが、これに限らず、図9に示し実際の遮断処理を実行した後に、遮断履歴を格納するようにしてもよい。
は、ルータまたは直近の該当装置の物理的なインターフェースでよいし、VLANで定義される論理的なインターフェースでもよい。この遮断履歴は、図5に示した履歴情報格納テーブルに格納される。本実施形態では、図8のS3Aに示したように、遮断履歴の格納は、遮断決定処理の後に実行するが、これに限らず、図9に示し実際の遮断処理を実行した後に、遮断履歴を格納するようにしてもよい。
図10は、コマンドの実行により不正パケットが検出されたセグメントにつながるインターフェースを遮断する処理を示す図である。この処理では、ネットワーク管理装置1は、インターフェースを遮断すべき装置(ルータまたは直近のスイッチングハブ等)に対して、telnetプログラムを通じて、コマンドの文字列を送信し、遮断すべき装置において、物理ポートの遮断、VLANのインターフェースの遮断を実行する。また、コマンドによる遮断の場合、ネットワーク管理装置1は、アクセスリストを遮断すべきルータに送信し、アクセスリストの指定にしたがって、特定の宛先へのパケットの通過を許容し、それ以外のパケットを遮断するようにしてもよい。ルータは、そのセグメントにつながるインターフェースで受信し、セグメント外へ送出されるパケットのうち、アクセスリストで許容されるものだけを通過させればよい。
この遮断履歴は、図5に示した履歴情報格納テーブルに格納される。本実施形態では、図8のS3Aに示したように、遮断履歴の格納は、遮断決定処理の後に実行するが、これに限らず、図10に示し実際の遮断処理を実行した後に、遮断履歴を格納するようにしてもよい。
<実施形態の効果>
以上述べたように、本実施形態の情報システムによれば、ファイアーウォール7にて不正パケットが検出されたときに、ネットワーク管理装置1が不正パケット送信元装置の存在するセグメントに接続されるルータのインターフェースを特定して遮断する。したがって、ネットワークを用いて拡散する不正パケット発生源、例えば、コンピュータウィルスの拡散を有効に防止できる。
以上述べたように、本実施形態の情報システムによれば、ファイアーウォール7にて不正パケットが検出されたときに、ネットワーク管理装置1が不正パケット送信元装置の存在するセグメントに接続されるルータのインターフェースを特定して遮断する。したがって、ネットワークを用いて拡散する不正パケット発生源、例えば、コンピュータウィルスの拡散を有効に防止できる。
また、本情報システムによれば、不正パケット送信元である被疑装置の数がセグメント内で所定の閾値を達するか否かを判定する。そして、セグメント内の被疑装置の数が所定の閾値に達した場合には、そのセグメントに接続されるルータのインターフェースを遮断することで、そのセグメントからセグメント外部への通信を停止させ、不正パケット発生源の拡散を有効に防止する。すなわち、特定のセグメントにおいて、所定数以上の装置がウィルスに感染している可能性がある場合には、そのセグメント全体を遮断すればよい。
一方、セグメント内の被疑装置の数が所定の閾値に達ない場合には、そのセグメント内の下位のレイヤ(データリンク層)のネットワーク中継装置であるスイッチングハブ等のネットワーク中継装置により接続される部分セグメントを探索する。そして、ネットワーク管理装置1は、上記被疑装置に直近のネットワーク中継装置のインターフェースを遮断する。このような手順により、セグメント内に被疑装置の数が少ない場合には、被疑装置に直近の部分セグメントだけに対して、その部分セグメントと外部との通信を遮断する。したがって、被疑装置に直近の部分セグメント以外の通信を継続させることができる。
また、本情報システムによれば、インターフェースを遮断する場合に、そのままインターフェースを完全に遮断する場合と、アクセスリストにより、特定のパケットだけを遮断する場合の2つの遮断種別を選択して実施できる。
また、本情報システムによれば、事前に機種ごとにインターフェース、遮断種別、および遮断方法を指定した機種ごとのデフォルト値テーブルを用意しておき、この機種ごとの
デフォルト値テーブルと、ネットワーク管理装置1が有する構成データベースに基づいて、ネットワークのセグメントとセグメントに所属する被疑装置との組み合わせに対するインターフェース、遮断種別、および遮断方法を指定した登録テーブルを生成する。そして、ネットワーク管理装置1は、この登録テーブルにしたがい、被疑装置のインターフェースを遮断する。この登録テーブルは、上記構成データベースに基づいて生成されるので、ネットワークの構成が変化した場合でも、直ちに、更新することができる。また、登録テーブルを用意することにより、ネットワーク管理装置1は、短時間で遮断種別、遮断方法を特定できる。
デフォルト値テーブルと、ネットワーク管理装置1が有する構成データベースに基づいて、ネットワークのセグメントとセグメントに所属する被疑装置との組み合わせに対するインターフェース、遮断種別、および遮断方法を指定した登録テーブルを生成する。そして、ネットワーク管理装置1は、この登録テーブルにしたがい、被疑装置のインターフェースを遮断する。この登録テーブルは、上記構成データベースに基づいて生成されるので、ネットワークの構成が変化した場合でも、直ちに、更新することができる。また、登録テーブルを用意することにより、ネットワーク管理装置1は、短時間で遮断種別、遮断方法を特定できる。
また、本情報システムによれば、上記登録テーブルが使用できない場合でも、ネットワーク管理用として利用可能なコマンド、例えば、トレースルートコマンドにより、同等の処理を実現できる。
<コンピュータ読み取り可能な記録媒体>
コンピュータその他の機械、装置(以下、コンピュータ等)に上記いずれかの機能を実現させるプログラムをコンピュータ等が読み取り可能な記録媒体に記録することができる。そして、コンピュータ等に、この記録媒体のプログラムを読み込ませて実行させることにより、その機能を提供させることができる。
コンピュータその他の機械、装置(以下、コンピュータ等)に上記いずれかの機能を実現させるプログラムをコンピュータ等が読み取り可能な記録媒体に記録することができる。そして、コンピュータ等に、この記録媒体のプログラムを読み込ませて実行させることにより、その機能を提供させることができる。
ここで、コンピュータ等が読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータ等から読み取ることができる記録媒体をいう。このような記録媒体のうちコンピュータ等から取り外し可能なものとしては、例えばフレキシブルディスク、光磁気ディスク、CD-ROM、CD-R/W、DVD、DAT、8mmテープ、メモリカード等がある。
また、コンピュータ等に固定された記録媒体としてハードディスクやROM(リードオンリーメモリ)等がある。
<その他>
さらに、本実施の形態は以下の発明を開示する。また、以下の各発明(以下付記と呼ぶ)のいずれかに含まれる構成要素を他の付記の構成要素と組み合わせてもよい。
(付記1)
複数のセグメントが並列または直列に接続され1以上の階層を構成する内部ネットワークを前記内部ネットワーク外の外部ネットワークに接続する第1接続装置、または前記内部ネットワークで前記複数のセグメントのいずれかを前記第1接続装置または当該セグメントの上位階層のセグメントに接続する第2接続装置が、所定の条件に該当しない不正パケットを発信する不正パケット発信端末を検出したときに、前記第1接続装置または第2接続装置のうち前記不正パケット発信端末を検出した接続装置からその不正パケット発信端末を特定するアドレスの通知を受信する手段と、
前記アドレスの通知を受信したときに、そのアドレスを元に該当する不正パケット発信端末が属するセグメントを判定する手段と、
前記セグメントごとに不正パケット発信端末の数を計数するとともに、その不正パケット発信端末の数を前記セグメントに対応付けて記憶する手段と、
前記内部ネットワーク上において前記不正パケット発信端末が属するセグメントを外部ネットワークに接続する前記第1接続装置のインターフェース、または前記不正パケット発信端末が属するセグメントを前記第1接続装置または当該セグメントの上位階層のセグメントに接続する第2接続装置のインターフェースを探索する探索手段と、
不正パケット発信端末が属するセグメント内で、前記不正パケット発信端末の数が予め設定した所定数の範囲にない場合に、前記不正パケット発信端末の属するセグメントが接続される第1接続装置または第2接続装置のインターフェースを遮断する制御手段と、を備えるネットワーク管理装置。(1)
(付記2)前記探索手段は、前記セグメントを接続する前記第1接続装置または第2接続装置のインターフェースを記憶した登録テーブル記憶手段を有する付記1に記載のネットワーク管理装置。
(付記3)前記探索手段は、前記セグメントを接続する前記第1接続装置または第2接続装置のインターフェースを探索するコマンド発行手段を有する付記1に記載のネットワーク管理装置。
(付記4)
前記不正パケット発信端末が属していると判定されたセグメントごとに不正パケットに対応する動作を決定する動作記憶手段をさらに備える付記1から3のいずれかに記載のネットワーク管理装置。(2)
(付記5)
前記制御手段は、不正パケット発信端末が属するセグメント内で、前記不正パケット発信端末の数が所定数の範囲にある場合に、前記第1接続装置または第2接続装置に接続されるセグメントを1以上の階層を構成する複数の部分セグメントに分離して前記複数の部分セグメントを前記第1接続装置、第2接続装置または当該部分セグメントの上位階層の部分セグメントに接続する1以上の第3接続装置を探索する手段と、
前記第1接続装置、第2接続装置、または第3接続装置に含まれるインターフェースのうち前記不正パケット発信端末に直近のインターフェースを遮断する手段とを有する、付記1から4のいずれかに記載のネットワーク管理装置。(3)
(付記6)前記第1接続装置および第2接続装置は、前記外部ネットワークまたは内部ネットワークにおいて識別可能なアドレスにより前記セグメントを接続し、前記第3接続装置は、前記第1接続装置または第2接続装置に接続されるセグメントの範囲で利用可能な通信手順により前記部分セグメントを接続する付記5に記載のネットワーク管理装置。
(付記7)
前記制御手段が前記第1接続装置または第2接続装置のインターフェースを遮断したときに、遮断したインターフェースを記録する記録手段と、
所定の起動指示を検出したときに前記記録手段の記録に基づいて遮断したインターフェースに遮断解除を指令する手段と、をさらに備える付記1から4のいずれかに記載のネットワーク管理装置。
(付記8)
前記制御手段が前記第1接続装置、第2接続装置または第3接続装置のインターフェースを遮断したときに、遮断したインターフェースを記録する記録手段と、
所定の起動指示を検出したときに前記記録手段の記録に基づいて遮断したインターフェースに遮断解除を指令する手段と、をさらに備える付記5または6に記載のネットワーク管理装置。
(付記9)
前記制御手段は、前記内部ネットワーク上の特定の処理装置に送信されるパケットの通過を許容し、その特定の処理装置以外に送信されるパケットの通過を遮断する、そのようなパケットの通過を制限するアクセスリストを前記第1接続装置または第2接続装置に送信するアクセスリスト送信手段をさらに有する付記1から4のいずれか、または付記7に記載のネットワーク管理装置。
(付記10)
前記制御手段が前記第1接続装置または第2接続装置のインターフェースを遮断したとき、または、前記アクセスリスト送信手段が前記アクセスリストを送信することにより前記第1接続装置または第2接続装置を通過するパケットの通過を制限したときに、遮断したインターフェースまたはパケットの通過を制限したインターフェースを記録する記録手段と、
所定の起動指示を検出したときに前記記録手段の記録に基づいて遮断したインターフェースまたはパケットの通過を制限したインターフェースに遮断解除またはパケットの通過制限解除を指令する手段と、をさらに備える付記5、付記6、または付記8に記載のネッ
トワーク管理装置。
(付記11)
複数のセグメントが並列または直列に接続され1以上の階層を構成する内部ネットワークを前記内部ネットワーク外の外部ネットワークに接続する第1接続装置、または前記内部ネットワークで前記複数のセグメントのいずれかを前記第1接続装置または当該セグメントの上位階層のセグメントに接続する第2接続装置が、所定の条件に該当しない不正パケットを発信する不正パケット発信端末を検出したときに、前記第1接続装置または第2接続装置のうち前記不正パケット発信端末を検出した接続装置からその不正パケット発信端末を特定するアドレスの通知を受信するステップと、
前記アドレスの通知を受信したときに、そのアドレスを元に該当する不正パケット発信端末が属するセグメントを判定するステップと、
前記セグメントごとに不正パケット発信端末の数を計数するとともに、その不正パケット発信端末の数を前記セグメントに対応付けて記憶するステップと、
前記内部ネットワーク上において前記不正パケット発信端末が属するセグメントを外部ネットワークに接続する前記第1接続装置のインターフェース、または前記不正パケット発信端末が属するセグメントを前記第1接続装置または当該セグメントの上位階層のセグメントに接続する第2接続装置のインターフェースを探索する探索ステップと、
不正パケット発信端末が属するセグメント内で、前記不正パケット発信端末の数が予め設定した所定数の範囲にない場合に、前記不正パケット発信端末の属するセグメントが接続される第1接続装置または第2接続装置のインターフェースを遮断する制御ステップと、を実行するネットワーク管理方法。(4)
(付記12)前記探索ステップは、前記セグメントを接続する前記第1接続装置または第2接続装置のインターフェースを記憶した登録テーブルを参照するステップを有する付記11に記載のネットワーク管理方法。
(付記13)前記探索ステップは、前記セグメントを接続する前記第1接続装置または第2接続装置のインターフェースを探索するコマンド発行ステップを有する付記11に記載のネットワーク管理方法。
(付記14)
前記不正パケット発信端末が属していると判定されたセグメントごとに不正パケットに対応する動作を決定する動作記憶手段を参照するステップをさらに備える付記11から13のいずれかに記載のネットワーク管理方法。
(付記15)
前記制御ステップは、不正パケット発信端末が属するセグメント内で、前記不正パケット発信端末の数が所定数の範囲にある場合に、前記第1接続装置または第2接続装置に接続されるセグメントを1以上の階層を構成する複数の部分セグメントに分離して前記複数の部分セグメントを前記第1接続装置、第2接続装置または当該部分セグメントの上位階層の部分セグメントに接続する1以上の第3接続装置を探索するステップと、
前記第1接続装置、第2接続装置、または第3接続装置に含まれるインターフェースのうち前記不正パケット発信端末に直近のインターフェースを遮断するステップとを有する、付記11から14のいずれかに記載のネットワーク管理方法。
(付記16)前記第1接続装置および第2接続装置は、前記外部ネットワークまたは内部ネットワークにおいて識別可能なアドレスにより前記セグメントを接続し、前記第3接続装置は、前記第1接続装置または第2接続装置に接続されるセグメントの範囲で利用可能な通信手順により前記部分セグメントを接続する付記15に記載のネットワーク管理方法。
(付記17)
前記制御ステップによりが前記第1接続装置または第2接続装置のインターフェースが遮断されたときに、遮断されたインターフェースを記録する記録ステップと、
所定の起動指示を検出したときに前記記録ステップによる記録に基づいて遮断されたインターフェースに遮断解除を指令するステップと、をさらに備える付記11から14のい
ずれかに記載のネットワーク管理方法。
(付記18)
前記制御ステップにより前記第1接続装置、第2接続装置または第3接続装置のインターフェースが遮断されたときに、遮断されたインターフェースを記録する記録ステップと、
所定の起動指示を検出したときに前記記録ステップによる記録に基づいて遮断したインターフェースに遮断解除を指令するステップと、をさらに備える付記15または16に記載のネットワーク管理方法。
(付記19)
前記制御ステップは、前記内部ネットワーク上の特定の処理装置に送信されるパケットの通過を許容し、その特定の処理装置以外に送信されるパケットの通過を遮断する、そのようなパケットの通過を制限するアクセスリストを前記第1接続装置または第2接続装置に送信するアクセスリスト送信ステップをさらに有する付記11から14のいずれか、または付記17に記載のネットワーク管理方法。
(付記20)
前記制御ステップにより前記第1接続装置または第2接続装置のインターフェースが遮断されたとき、または、前記アクセスリストを送信することにより前記第1接続装置または第2接続装置を通過するパケットの通過を制限したときに、遮断したインターフェースまたはパケットの通過を制限したインターフェースを記録する記録ステップと、
所定の起動指示を検出したときに前記記録ステップによる記録に基づいて遮断したインターフェースまたはパケットの通過を制限したインターフェースに遮断解除またはパケットの通過制限解除を指令するステップと、をさらに備える付記15、付記16、または付記18に記載のネットワーク管理方法。
(付記21)
コンピュータに、
複数のセグメントが並列または直列に接続され1以上の階層を構成する内部ネットワークを前記内部ネットワーク外の外部ネットワークに接続する第1接続装置、または前記内部ネットワークで前記複数のセグメントのいずれかを前記第1接続装置または当該セグメントの上位階層のセグメントに接続する第2接続装置が、所定の条件に該当しない不正パケットを発信する不正パケット発信端末を検出したときに、前記第1接続装置または第2接続装置のうち前記不正パケット発信端末を検出した接続装置からその不正パケット発信端末を特定するアドレスの通知を受信するステップと、
前記アドレスの通知を受信したときに、そのアドレスを元に該当する不正パケット発信端末が属するセグメントを判定するステップと、
前記セグメントごとに不正パケット発信端末の数を計数するとともに、その不正パケット発信端末の数を前記セグメントに対応付けて記憶するステップと、
前記内部ネットワーク上において前記不正パケット発信端末が属するセグメントを外部ネットワークに接続する前記第1接続装置のインターフェース、または前記不正パケット発信端末が属するセグメントを前記第1接続装置または当該セグメントの上位階層のセグメントに接続する第2接続装置のインターフェースを探索する探索ステップと、
不正パケット発信端末が属するセグメント内で、前記不正パケット発信端末の数が予め設定した所定数の範囲にない場合に、前記不正パケット発信端末の属するセグメントが接続される第1接続装置または第2接続装置のインターフェースを遮断する制御ステップと、を実行させるネットワーク管理プログラム。(5)
(付記22)前記探索ステップは、前記セグメントを接続する前記第1接続装置または第2接続装置のインターフェースを記憶した登録テーブルを参照するステップを有する付記21に記載のネットワーク管理プログラム。
(付記23)前記探索ステップは、前記セグメントを接続する前記第1接続装置または第2接続装置のインターフェースを探索するコマンド発行ステップを有する付記21に記載のネットワーク管理プログラム。
(付記24)
前記不正パケット発信端末が属していると判定されたセグメントごとに不正パケットに対応する動作を決定する動作記憶手段を参照するステップをさらに備える付記21から23のいずれかに記載のネットワーク管理プログラム。
(付記25)
前記制御ステップは、不正パケット発信端末が属するセグメント内で、前記不正パケット発信端末の数が所定数の範囲にある場合に、前記第1接続装置または第2接続装置に接続されるセグメントを1以上の階層を構成する複数の部分セグメントに分離して前記複数の部分セグメントを前記第1接続装置、第2接続装置または当該部分セグメントの上位階層の部分セグメントに接続する1以上の第3接続装置を探索するステップと、
前記第1接続装置、第2接続装置、または第3接続装置に含まれるインターフェースのうち前記不正パケット発信端末に直近のインターフェースを遮断するステップとを有する、付記21から24のいずれかに記載のネットワーク管理プログラム。
(付記26)前記第1接続装置および第2接続装置は、前記外部ネットワークまたは内部ネットワークにおいて識別可能なアドレスにより前記セグメントを接続し、前記第3接続装置は、前記第1接続装置または第2接続装置に接続されるセグメントの範囲で利用可能な通信手順により前記部分セグメントを接続する付記25に記載のネットワーク管理プログラム。
(付記27)
前記制御ステップにより前記第1接続装置または第2接続装置のインターフェースが遮断されたときに、遮断されたインターフェースを記録する記録ステップと、
所定の起動指示を検出したときに前記記録ステップによる記録に基づいて遮断したインターフェースに遮断解除を指令するステップと、をさらに備える付記21から24のいずれかに記載のネットワーク管理プログラム。
(付記28)
前記制御ステップにより前記第1接続装置、第2接続装置または第3接続装置のインターフェースが遮断されたときに、遮断されたインターフェースを記録する記録ステップと、
所定の起動指示を検出したときに前記記録ステップによる記録に基づいて遮断したインターフェースに遮断解除を指令するステップと、をさらに備える付記25または26に記載のネットワーク管理プログラム。
(付記29)
前記制御ステップは、前記内部ネットワーク上の特定の処理装置に送信されるパケットの通過を許容し、その特定の処理装置以外に送信されるパケットの通過を遮断する、そのようなパケットの通過を制限するアクセスリストを前記第1接続装置または第2接続装置に送信するアクセスリスト送信ステップをさらに有する付記21から24のいずれか、または付記27に記載のネットワーク管理プログラム。
(付記30)
前記制御ステップにより前記第1接続装置または第2接続装置のインターフェースが遮断されたとき、または、前記アクセスリストを送信することにより前記第1接続装置または第2接続装置を通過するパケットの通過を制限したときに、遮断したインターフェースまたはパケットの通過を制限したインターフェースを記録する記録ステップと、
所定の起動指示を検出したときに前記記録ステップによる記録に基づいて遮断したインターフェースまたはパケットの通過を制限したインターフェースに遮断解除またはパケットの通過制限解除を指令するステップと、をさらに備える付記25、付記26、または付記28に記載のネットワーク管理プログラム。
<その他>
さらに、本実施の形態は以下の発明を開示する。また、以下の各発明(以下付記と呼ぶ)のいずれかに含まれる構成要素を他の付記の構成要素と組み合わせてもよい。
(付記1)
複数のセグメントが並列または直列に接続され1以上の階層を構成する内部ネットワークを前記内部ネットワーク外の外部ネットワークに接続する第1接続装置、または前記内部ネットワークで前記複数のセグメントのいずれかを前記第1接続装置または当該セグメントの上位階層のセグメントに接続する第2接続装置が、所定の条件に該当しない不正パケットを発信する不正パケット発信端末を検出したときに、前記第1接続装置または第2接続装置のうち前記不正パケット発信端末を検出した接続装置からその不正パケット発信端末を特定するアドレスの通知を受信する手段と、
前記アドレスの通知を受信したときに、そのアドレスを元に該当する不正パケット発信端末が属するセグメントを判定する手段と、
前記セグメントごとに不正パケット発信端末の数を計数するとともに、その不正パケット発信端末の数を前記セグメントに対応付けて記憶する手段と、
前記内部ネットワーク上において前記不正パケット発信端末が属するセグメントを外部ネットワークに接続する前記第1接続装置のインターフェース、または前記不正パケット発信端末が属するセグメントを前記第1接続装置または当該セグメントの上位階層のセグメントに接続する第2接続装置のインターフェースを探索する探索手段と、
不正パケット発信端末が属するセグメント内で、前記不正パケット発信端末の数が予め設定した所定数の範囲にない場合に、前記不正パケット発信端末の属するセグメントが接続される第1接続装置または第2接続装置のインターフェースを遮断する制御手段と、を備えるネットワーク管理装置。(1)
(付記2)前記探索手段は、前記セグメントを接続する前記第1接続装置または第2接続装置のインターフェースを記憶した登録テーブル記憶手段を有する付記1に記載のネットワーク管理装置。
(付記3)前記探索手段は、前記セグメントを接続する前記第1接続装置または第2接続装置のインターフェースを探索するコマンド発行手段を有する付記1に記載のネットワーク管理装置。
(付記4)
前記不正パケット発信端末が属していると判定されたセグメントごとに不正パケットに対応する動作を決定する動作記憶手段をさらに備える付記1から3のいずれかに記載のネットワーク管理装置。(2)
(付記5)
前記制御手段は、不正パケット発信端末が属するセグメント内で、前記不正パケット発信端末の数が所定数の範囲にある場合に、前記第1接続装置または第2接続装置に接続されるセグメントを1以上の階層を構成する複数の部分セグメントに分離して前記複数の部分セグメントを前記第1接続装置、第2接続装置または当該部分セグメントの上位階層の部分セグメントに接続する1以上の第3接続装置を探索する手段と、
前記第1接続装置、第2接続装置、または第3接続装置に含まれるインターフェースのうち前記不正パケット発信端末に直近のインターフェースを遮断する手段とを有する、付記1から4のいずれかに記載のネットワーク管理装置。(3)
(付記6)前記第1接続装置および第2接続装置は、前記外部ネットワークまたは内部ネットワークにおいて識別可能なアドレスにより前記セグメントを接続し、前記第3接続装置は、前記第1接続装置または第2接続装置に接続されるセグメントの範囲で利用可能な通信手順により前記部分セグメントを接続する付記5に記載のネットワーク管理装置。
(付記7)
前記制御手段が前記第1接続装置または第2接続装置のインターフェースを遮断したときに、遮断したインターフェースを記録する記録手段と、
所定の起動指示を検出したときに前記記録手段の記録に基づいて遮断したインターフェースに遮断解除を指令する手段と、をさらに備える付記1から4のいずれかに記載のネットワーク管理装置。
(付記8)
前記制御手段が前記第1接続装置、第2接続装置または第3接続装置のインターフェースを遮断したときに、遮断したインターフェースを記録する記録手段と、
所定の起動指示を検出したときに前記記録手段の記録に基づいて遮断したインターフェースに遮断解除を指令する手段と、をさらに備える付記5または6に記載のネットワーク管理装置。
(付記9)
前記制御手段は、前記内部ネットワーク上の特定の処理装置に送信されるパケットの通過を許容し、その特定の処理装置以外に送信されるパケットの通過を遮断する、そのようなパケットの通過を制限するアクセスリストを前記第1接続装置または第2接続装置に送信するアクセスリスト送信手段をさらに有する付記1から4のいずれか、または付記7に記載のネットワーク管理装置。
(付記10)
前記制御手段が前記第1接続装置または第2接続装置のインターフェースを遮断したとき、または、前記アクセスリスト送信手段が前記アクセスリストを送信することにより前記第1接続装置または第2接続装置を通過するパケットの通過を制限したときに、遮断したインターフェースまたはパケットの通過を制限したインターフェースを記録する記録手段と、
所定の起動指示を検出したときに前記記録手段の記録に基づいて遮断したインターフェースまたはパケットの通過を制限したインターフェースに遮断解除またはパケットの通過制限解除を指令する手段と、をさらに備える付記5、付記6、または付記8に記載のネッ
トワーク管理装置。
(付記11)
複数のセグメントが並列または直列に接続され1以上の階層を構成する内部ネットワークを前記内部ネットワーク外の外部ネットワークに接続する第1接続装置、または前記内部ネットワークで前記複数のセグメントのいずれかを前記第1接続装置または当該セグメントの上位階層のセグメントに接続する第2接続装置が、所定の条件に該当しない不正パケットを発信する不正パケット発信端末を検出したときに、前記第1接続装置または第2接続装置のうち前記不正パケット発信端末を検出した接続装置からその不正パケット発信端末を特定するアドレスの通知を受信するステップと、
前記アドレスの通知を受信したときに、そのアドレスを元に該当する不正パケット発信端末が属するセグメントを判定するステップと、
前記セグメントごとに不正パケット発信端末の数を計数するとともに、その不正パケット発信端末の数を前記セグメントに対応付けて記憶するステップと、
前記内部ネットワーク上において前記不正パケット発信端末が属するセグメントを外部ネットワークに接続する前記第1接続装置のインターフェース、または前記不正パケット発信端末が属するセグメントを前記第1接続装置または当該セグメントの上位階層のセグメントに接続する第2接続装置のインターフェースを探索する探索ステップと、
不正パケット発信端末が属するセグメント内で、前記不正パケット発信端末の数が予め設定した所定数の範囲にない場合に、前記不正パケット発信端末の属するセグメントが接続される第1接続装置または第2接続装置のインターフェースを遮断する制御ステップと、を実行するネットワーク管理方法。(4)
(付記12)前記探索ステップは、前記セグメントを接続する前記第1接続装置または第2接続装置のインターフェースを記憶した登録テーブルを参照するステップを有する付記11に記載のネットワーク管理方法。
(付記13)前記探索ステップは、前記セグメントを接続する前記第1接続装置または第2接続装置のインターフェースを探索するコマンド発行ステップを有する付記11に記載のネットワーク管理方法。
(付記14)
前記不正パケット発信端末が属していると判定されたセグメントごとに不正パケットに対応する動作を決定する動作記憶手段を参照するステップをさらに備える付記11から13のいずれかに記載のネットワーク管理方法。
(付記15)
前記制御ステップは、不正パケット発信端末が属するセグメント内で、前記不正パケット発信端末の数が所定数の範囲にある場合に、前記第1接続装置または第2接続装置に接続されるセグメントを1以上の階層を構成する複数の部分セグメントに分離して前記複数の部分セグメントを前記第1接続装置、第2接続装置または当該部分セグメントの上位階層の部分セグメントに接続する1以上の第3接続装置を探索するステップと、
前記第1接続装置、第2接続装置、または第3接続装置に含まれるインターフェースのうち前記不正パケット発信端末に直近のインターフェースを遮断するステップとを有する、付記11から14のいずれかに記載のネットワーク管理方法。
(付記16)前記第1接続装置および第2接続装置は、前記外部ネットワークまたは内部ネットワークにおいて識別可能なアドレスにより前記セグメントを接続し、前記第3接続装置は、前記第1接続装置または第2接続装置に接続されるセグメントの範囲で利用可能な通信手順により前記部分セグメントを接続する付記15に記載のネットワーク管理方法。
(付記17)
前記制御ステップによりが前記第1接続装置または第2接続装置のインターフェースが遮断されたときに、遮断されたインターフェースを記録する記録ステップと、
所定の起動指示を検出したときに前記記録ステップによる記録に基づいて遮断されたインターフェースに遮断解除を指令するステップと、をさらに備える付記11から14のい
ずれかに記載のネットワーク管理方法。
(付記18)
前記制御ステップにより前記第1接続装置、第2接続装置または第3接続装置のインターフェースが遮断されたときに、遮断されたインターフェースを記録する記録ステップと、
所定の起動指示を検出したときに前記記録ステップによる記録に基づいて遮断したインターフェースに遮断解除を指令するステップと、をさらに備える付記15または16に記載のネットワーク管理方法。
(付記19)
前記制御ステップは、前記内部ネットワーク上の特定の処理装置に送信されるパケットの通過を許容し、その特定の処理装置以外に送信されるパケットの通過を遮断する、そのようなパケットの通過を制限するアクセスリストを前記第1接続装置または第2接続装置に送信するアクセスリスト送信ステップをさらに有する付記11から14のいずれか、または付記17に記載のネットワーク管理方法。
(付記20)
前記制御ステップにより前記第1接続装置または第2接続装置のインターフェースが遮断されたとき、または、前記アクセスリストを送信することにより前記第1接続装置または第2接続装置を通過するパケットの通過を制限したときに、遮断したインターフェースまたはパケットの通過を制限したインターフェースを記録する記録ステップと、
所定の起動指示を検出したときに前記記録ステップによる記録に基づいて遮断したインターフェースまたはパケットの通過を制限したインターフェースに遮断解除またはパケットの通過制限解除を指令するステップと、をさらに備える付記15、付記16、または付記18に記載のネットワーク管理方法。
(付記21)
コンピュータに、
複数のセグメントが並列または直列に接続され1以上の階層を構成する内部ネットワークを前記内部ネットワーク外の外部ネットワークに接続する第1接続装置、または前記内部ネットワークで前記複数のセグメントのいずれかを前記第1接続装置または当該セグメントの上位階層のセグメントに接続する第2接続装置が、所定の条件に該当しない不正パケットを発信する不正パケット発信端末を検出したときに、前記第1接続装置または第2接続装置のうち前記不正パケット発信端末を検出した接続装置からその不正パケット発信端末を特定するアドレスの通知を受信するステップと、
前記アドレスの通知を受信したときに、そのアドレスを元に該当する不正パケット発信端末が属するセグメントを判定するステップと、
前記セグメントごとに不正パケット発信端末の数を計数するとともに、その不正パケット発信端末の数を前記セグメントに対応付けて記憶するステップと、
前記内部ネットワーク上において前記不正パケット発信端末が属するセグメントを外部ネットワークに接続する前記第1接続装置のインターフェース、または前記不正パケット発信端末が属するセグメントを前記第1接続装置または当該セグメントの上位階層のセグメントに接続する第2接続装置のインターフェースを探索する探索ステップと、
不正パケット発信端末が属するセグメント内で、前記不正パケット発信端末の数が予め設定した所定数の範囲にない場合に、前記不正パケット発信端末の属するセグメントが接続される第1接続装置または第2接続装置のインターフェースを遮断する制御ステップと、を実行させるネットワーク管理プログラム。(5)
(付記22)前記探索ステップは、前記セグメントを接続する前記第1接続装置または第2接続装置のインターフェースを記憶した登録テーブルを参照するステップを有する付記21に記載のネットワーク管理プログラム。
(付記23)前記探索ステップは、前記セグメントを接続する前記第1接続装置または第2接続装置のインターフェースを探索するコマンド発行ステップを有する付記21に記載のネットワーク管理プログラム。
(付記24)
前記不正パケット発信端末が属していると判定されたセグメントごとに不正パケットに対応する動作を決定する動作記憶手段を参照するステップをさらに備える付記21から23のいずれかに記載のネットワーク管理プログラム。
(付記25)
前記制御ステップは、不正パケット発信端末が属するセグメント内で、前記不正パケット発信端末の数が所定数の範囲にある場合に、前記第1接続装置または第2接続装置に接続されるセグメントを1以上の階層を構成する複数の部分セグメントに分離して前記複数の部分セグメントを前記第1接続装置、第2接続装置または当該部分セグメントの上位階層の部分セグメントに接続する1以上の第3接続装置を探索するステップと、
前記第1接続装置、第2接続装置、または第3接続装置に含まれるインターフェースのうち前記不正パケット発信端末に直近のインターフェースを遮断するステップとを有する、付記21から24のいずれかに記載のネットワーク管理プログラム。
(付記26)前記第1接続装置および第2接続装置は、前記外部ネットワークまたは内部ネットワークにおいて識別可能なアドレスにより前記セグメントを接続し、前記第3接続装置は、前記第1接続装置または第2接続装置に接続されるセグメントの範囲で利用可能な通信手順により前記部分セグメントを接続する付記25に記載のネットワーク管理プログラム。
(付記27)
前記制御ステップにより前記第1接続装置または第2接続装置のインターフェースが遮断されたときに、遮断されたインターフェースを記録する記録ステップと、
所定の起動指示を検出したときに前記記録ステップによる記録に基づいて遮断したインターフェースに遮断解除を指令するステップと、をさらに備える付記21から24のいずれかに記載のネットワーク管理プログラム。
(付記28)
前記制御ステップにより前記第1接続装置、第2接続装置または第3接続装置のインターフェースが遮断されたときに、遮断されたインターフェースを記録する記録ステップと、
所定の起動指示を検出したときに前記記録ステップによる記録に基づいて遮断したインターフェースに遮断解除を指令するステップと、をさらに備える付記25または26に記載のネットワーク管理プログラム。
(付記29)
前記制御ステップは、前記内部ネットワーク上の特定の処理装置に送信されるパケットの通過を許容し、その特定の処理装置以外に送信されるパケットの通過を遮断する、そのようなパケットの通過を制限するアクセスリストを前記第1接続装置または第2接続装置に送信するアクセスリスト送信ステップをさらに有する付記21から24のいずれか、または付記27に記載のネットワーク管理プログラム。
(付記30)
前記制御ステップにより前記第1接続装置または第2接続装置のインターフェースが遮断されたとき、または、前記アクセスリストを送信することにより前記第1接続装置または第2接続装置を通過するパケットの通過を制限したときに、遮断したインターフェースまたはパケットの通過を制限したインターフェースを記録する記録ステップと、
所定の起動指示を検出したときに前記記録ステップによる記録に基づいて遮断したインターフェースまたはパケットの通過を制限したインターフェースに遮断解除またはパケットの通過制限解除を指令するステップと、をさらに備える付記25、付記26、または付記28に記載のネットワーク管理プログラム。
1 ネットワーク管理装置
2−1、2−2、2−3 ルータ
3−1、3−2 スイッチングハブ
5−1〜5−8 端末
7 ファイアーウォール
2−1、2−2、2−3 ルータ
3−1、3−2 スイッチングハブ
5−1〜5−8 端末
7 ファイアーウォール
Claims (5)
- 複数のセグメントが並列または直列に接続され1以上の階層を構成する内部ネットワークを前記内部ネットワーク外の外部ネットワークに接続する第1接続装置、または前記内部ネットワークで前記複数のセグメントのいずれかを前記第1接続装置または当該セグメントの上位階層のセグメントに接続する第2接続装置が、所定の条件に該当しない不正パケットを発信する不正パケット発信端末を検出したときに、前記第1接続装置または第2接続装置のうち前記不正パケット発信端末を検出した接続装置からその不正パケット発信端末を特定するアドレスの通知を受信する手段と、
前記アドレスの通知を受信したときに、そのアドレスを元に該当する不正パケット発信端末が属するセグメントを判定する手段と、
前記セグメントごとに不正パケット発信端末の数を計数するとともに、その不正パケット発信端末の数を前記セグメントに対応付けて記憶する手段と、
前記内部ネットワーク上において前記不正パケット発信端末が属するセグメントを外部ネットワークに接続する前記第1接続装置のインターフェース、または前記不正パケット発信端末が属するセグメントを前記第1接続装置または当該セグメントの上位階層のセグメントに接続する第2接続装置のインターフェースを探索する探索手段と、
不正パケット発信端末が属するセグメント内で、前記不正パケット発信端末の数が予め設定した所定数の範囲にない場合に、前記不正パケット発信端末の属するセグメントが接続される第1接続装置または第2接続装置のインターフェースを遮断する制御手段と、を備えるネットワーク管理装置。 - 前記不正パケット発信端末が属していると判定されたセグメントごとに不正パケットに対応する動作を決定する動作記憶手段をさらに備える請求項1に記載のネットワーク管理装置。
- 前記セグメントは、前記セグメント外のネットワークから識別可能なネットワークアドレスによって前記セグメント内の装置を前記第1接続装置または第2接続装置に接続し、前記セグメントはMAC(Media Access Control)アドレスによって装置間を接続する部分セグメントを含み、前記部分セグメントは、第3接続装置によって前記第1接続装置または第2接続装置に接続されており、
前記制御手段は、不正パケット発信端末が属するセグメント内で、前記不正パケット発信端末の数が所定数の範囲にある場合に、前記不正パケット発信端末が属するセグメントに含まれる部分セグメントのうち、前記不正パケット発信端末から前記第1接続装置または前記第2接続装置に至る経路上の部分セグメントを前記第1接続装置、第2接続装置または当該部分セグメントの上位階層の部分セグメントに接続する、1以上の第3接続装置を探索する手段と、
前記第1接続装置、第2接続装置、または第3接続装置に含まれるインターフェースのうち前記不正パケット発信端末に直近のインターフェースを遮断する手段とを有する、請求項1に記載のネットワーク管理装置。 - 複数のセグメントが並列または直列に接続され1以上の階層を構成する内部ネットワークを前記内部ネットワーク外の外部ネットワークに接続する第1接続装置、または前記内部ネットワークで前記複数のセグメントのいずれかを前記第1接続装置または当該セグメントの上位階層のセグメントに接続する第2接続装置が、所定の条件に該当しない不正パケットを発信する不正パケット発信端末を検出したときに、前記第1接続装置または第2接続装置のうち前記不正パケット発信端末を検出した接続装置からその不正パケット発信端末を特定するアドレスの通知を受信するステップと、
前記アドレスの通知を受信したときに、そのアドレスを元に該当する不正パケット発信端末が属するセグメントを判定するステップと、
前記セグメントごとに不正パケット発信端末の数を計数するとともに、その不正パケット発信端末の数を前記セグメントに対応付けて記憶するステップと、
前記内部ネットワーク上において前記不正パケット発信端末が属するセグメントを外部ネットワークに接続する前記第1接続装置のインターフェース、または前記不正パケット発信端末が属するセグメントを前記第1接続装置または当該セグメントの上位階層のセグメントに接続する第2接続装置のインターフェースを探索する探索ステップと、
不正パケット発信端末が属するセグメント内で、前記不正パケット発信端末の数が予め設定した所定数の範囲にない場合に、前記不正パケット発信端末の属するセグメントが接続される第1接続装置または第2接続装置のインターフェースを遮断する制御ステップと、を実行するネットワーク管理方法。 - コンピュータに、
複数のセグメントが並列または直列に接続され1以上の階層を構成する内部ネットワークを前記内部ネットワーク外の外部ネットワークに接続する第1接続装置、または前記内部ネットワークで前記複数のセグメントのいずれかを前記第1接続装置または当該セグメントの上位階層のセグメントに接続する第2接続装置が、所定の条件に該当しない不正パケットを発信する不正パケット発信端末を検出したときに、前記第1接続装置または第2接続装置のうち前記不正パケット発信端末を検出した接続装置からその不正パケット発信端末を特定するアドレスの通知を受信するステップと、
前記アドレスの通知を受信したときに、そのアドレスを元に該当する不正パケット発信端末が属するセグメントを判定するステップと、
前記セグメントごとに不正パケット発信端末の数を計数するとともに、その不正パケット発信端末の数を前記セグメントに対応付けて記憶するステップと、
前記内部ネットワーク上において前記不正パケット発信端末が属するセグメントを外部ネットワークに接続する前記第1接続装置のインターフェース、または前記不正パケット発信端末が属するセグメントを前記第1接続装置または当該セグメントの上位階層のセグメントに接続する第2接続装置のインターフェースを探索する探索ステップと、
不正パケット発信端末が属するセグメント内で、前記不正パケット発信端末の数が予め設定した所定数の範囲にない場合に、前記不正パケット発信端末の属するセグメントが接続される第1接続装置または第2接続装置のインターフェースを遮断する制御ステップと、を実行させるネットワーク管理プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004205742A JP4398316B2 (ja) | 2004-07-13 | 2004-07-13 | ネットワーク管理装置、ネットワーク管理方法、およびプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004205742A JP4398316B2 (ja) | 2004-07-13 | 2004-07-13 | ネットワーク管理装置、ネットワーク管理方法、およびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006033140A JP2006033140A (ja) | 2006-02-02 |
| JP4398316B2 true JP4398316B2 (ja) | 2010-01-13 |
Family
ID=35899002
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004205742A Expired - Fee Related JP4398316B2 (ja) | 2004-07-13 | 2004-07-13 | ネットワーク管理装置、ネットワーク管理方法、およびプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4398316B2 (ja) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010103695A (ja) * | 2008-10-22 | 2010-05-06 | Ntt Data Corp | クラスタシステム、クラスタサーバ及びクラスタ制御方法 |
| JP5739182B2 (ja) | 2011-02-04 | 2015-06-24 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 制御システム、方法およびプログラム |
| JP5731223B2 (ja) | 2011-02-14 | 2015-06-10 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 異常検知装置、監視制御システム、異常検知方法、プログラムおよび記録媒体 |
| JP5689333B2 (ja) | 2011-02-15 | 2015-03-25 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 異常検知システム、異常検知装置、異常検知方法、プログラムおよび記録媒体 |
| JP2012226680A (ja) * | 2011-04-22 | 2012-11-15 | Internatl Business Mach Corp <Ibm> | 産業制御システムを管理する管理システム、管理方法および管理プログラム |
| JP5905512B2 (ja) * | 2014-06-05 | 2016-04-20 | 日本電信電話株式会社 | サイバー攻撃演習システム、演習環境提供方法、および、演習環境提供プログラム |
| JP2017147575A (ja) | 2016-02-16 | 2017-08-24 | 富士通株式会社 | 制御プログラム、制御装置、および、制御方法 |
| JP2018064228A (ja) * | 2016-10-14 | 2018-04-19 | アンリツネットワークス株式会社 | パケット制御装置 |
| JP2019164566A (ja) * | 2018-03-19 | 2019-09-26 | 株式会社リコー | 遠隔管理システム、管理装置、遠隔管理方法、及び遠隔管理プログラム |
| CN110557198A (zh) * | 2018-05-30 | 2019-12-10 | 富士通株式会社 | 光通信控制方法、装置和通信*** |
| JP7147337B2 (ja) * | 2018-07-31 | 2022-10-05 | 株式会社リコー | 通信制御システム、通信制御方法およびプログラム |
| JP7081445B2 (ja) * | 2018-11-05 | 2022-06-07 | 富士通株式会社 | ネットワーク制御装置、及び、ネットワーク制御方法 |
| JP7434672B1 (ja) | 2023-03-03 | 2024-02-20 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 情報処理システム、情報処理方法および情報処理プログラム |
-
2004
- 2004-07-13 JP JP2004205742A patent/JP4398316B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006033140A (ja) | 2006-02-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10326777B2 (en) | Integrated data traffic monitoring system | |
| US9407602B2 (en) | Methods and apparatus for redirecting attacks on a network | |
| US7596807B2 (en) | Method and system for reducing scope of self-propagating attack code in network | |
| JP4373779B2 (ja) | ステイトフル分散型イベント処理及び適応保全 | |
| US6895432B2 (en) | IP network system having unauthorized intrusion safeguard function | |
| KR101150123B1 (ko) | 네트워크의 통신이 보안 위협 때문에 제한됐을 때, 가상네트워크 내의 네트워크 장치들이 통신하게 하기 위한 방법및 시스템 | |
| US20050216956A1 (en) | Method and system for authentication event security policy generation | |
| JP4398316B2 (ja) | ネットワーク管理装置、ネットワーク管理方法、およびプログラム | |
| US7610624B1 (en) | System and method for detecting and preventing attacks to a target computer system | |
| Chang et al. | Deciduous: Decentralized source identification for network-based intrusions | |
| JP2006518963A (ja) | 内部ネットワークデータトラフィックコントロールシステム及び方法 | |
| JP2005517349A (ja) | マルチメッソドゲートウエイに基づいたネットワークセキュリティシステム及び方法 | |
| JP2004302956A (ja) | 不正アクセス対処システム、及び不正アクセス対処処理プログラム | |
| JP4680931B2 (ja) | 不正アクセスプログラム監視処理方法、不正アクセスプログラム監視プログラムおよび不正アクセスプログラム監視装置 | |
| JP2004302538A (ja) | ネットワークセキュリティシステム及びネットワークセキュリティ管理方法 | |
| JP2001057554A (ja) | クラッカー監視システム | |
| JP2017204721A (ja) | セキュリティシステム | |
| JP7150552B2 (ja) | ネットワーク防御装置およびネットワーク防御システム | |
| JP5307238B2 (ja) | 通信ネットワークのための侵入防止方法およびシステム | |
| Rania et al. | SDWAN with IDPS Efficient Network Solution | |
| TWI279106B (en) | Method for analyzing abnormal network behavior and automatically blocking computer virus invasion | |
| JP6851211B2 (ja) | ネットワーク監視システム | |
| JP6441721B2 (ja) | 制御装置、制御方法及びプログラム | |
| Prabhu et al. | Network intrusion detection system | |
| JP4526566B2 (ja) | ネットワーク装置、データ中継方法およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070608 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090703 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090714 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090914 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20091006 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20091022 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121030 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121030 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131030 Year of fee payment: 4 |
|
| LAPS | Cancellation because of no payment of annual fees |