JP6645998B2 - 対処指示装置、対処指示方法、対処指示プログラム - Google Patents

対処指示装置、対処指示方法、対処指示プログラム Download PDF

Info

Publication number
JP6645998B2
JP6645998B2 JP2017051832A JP2017051832A JP6645998B2 JP 6645998 B2 JP6645998 B2 JP 6645998B2 JP 2017051832 A JP2017051832 A JP 2017051832A JP 2017051832 A JP2017051832 A JP 2017051832A JP 6645998 B2 JP6645998 B2 JP 6645998B2
Authority
JP
Japan
Prior art keywords
mobile device
information
unit
handling
response
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017051832A
Other languages
English (en)
Other versions
JP2018157344A (ja
Inventor
原田 貴史
貴史 原田
宏樹 伊藤
宏樹 伊藤
丈浩 川田
丈浩 川田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2017051832A priority Critical patent/JP6645998B2/ja
Publication of JP2018157344A publication Critical patent/JP2018157344A/ja
Application granted granted Critical
Publication of JP6645998B2 publication Critical patent/JP6645998B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Description

本発明は、ネットワーク内での脅威の広がりを防止するための対処指示装置、対処指示方法、対処指示プログラムに関する。
従来技術として、特許文献1に示された技術が知られている。特許文献1の技術は、ネットワークを接続するルータ装置等に備えたフィルタ部にて攻撃IPパケットを拒否する場合に、ルータ等内部の帯域資源、及びアクセス網の帯域資源の消費を防ぐことが可能なDDoS防御方法及びルータ装置を提供することを目的にしている。そして、検出手段が攻撃IPパケットを検出し、フィルタ情報生成手段がフィルタ情報を生成し、分配手段または折り返し分配手段がフィルタ情報を全フィルタに対して通知し、全てのフィルタ部が攻撃IPパケットを一時的に遮断するようにしている。
特開2005−39721号公報
しかしながら、従来技術は、攻撃を検知した際に、検知したトラヒックを順番に攻撃IPパケットの遮断に必要な手順を実施(以下、「対処」という)する方式である。この場合、攻撃の状態によっては、対処が攻撃の増加に追いつかなくなることがあるという課題がある。また、ネットワークの接続構成が動的に変化することを前提としていない。したがって、V2V(Vehicle-to-Vehicle:車車間通信)のような装置が移動する場合には適切に対応できない。
そこで、本発明は、ネットワークの接続構成が動的に変化する場合にも攻撃に対して先回りした対処を可能にすることを目的とする。
本発明では、パケットの送信元と送信先が移動可能な移動装置である。また、本発明の対処指示装置は、ネットワークのパケットを監視し、送信元と送信先を特定してセキュリティに対する脅威の程度を示す脅威レベルを出力する分析部を1つ以上備えたセキュリティエンジンと、ネットワークの制御を行うネットワーク制御装置と、移動装置の位置情報を提供する移動装置位置情報提供装置と接続される。本発明の対処指示装置は、脅威情報記録部、対処情報記録部、移動装置探索部、感染判断部、対処判断部、近接クラスタ化部、移動装置推定部、拡大近接クラスタ化部、対処送信部を備える。脅威情報記録部は、分析部からの出力にしたがって、脅威レベル、送信元、送信先、時刻を特定する情報である脅威情報を記録する。対処情報記録部は、対処方法を特定する情報である対処情報を複数記録する。移動装置探索部は、移動装置位置情報提供装置から提供される移動装置の位置情報を用いて、脅威情報の時刻から脅威情報で特定される送信元の移動装置をネットワークから切り離す対処情報を送信するまでの間に、脅威情報で特定される送信元の移動装置に所定範囲以内に近づいた移動装置を特定する。感染判断部は、移動装置探索部が特定した移動装置ごとに、感染した可能性を判定する。対処判断部は、感染判断部の判定に基づいて、対処情報を選択する。近接クラスタ化部は、対処判断部が選択した対処情報が特定する対処方法に必要な場合に、脅威情報で特定される送信元の移動装置と移動装置探索部が特定した移動装置を近接グループとする。移動装置推定部は、対処判断部が選択した対処情報が特定する対処方法に必要な場合に、移動装置位置情報提供装置から提供される移動装置の位置情報を用いて、近接グループに属する移動装置のいずれかに、所定時間以内に前記所定範囲以内に近づくと予測される移動装置を特定する。拡大近接クラスタ化部は、移動装置推定部が特定した移動装置と近接グループに属する移動装置とを拡大近接グループとする。対処送信部は、対処判断部が選択した対処情報をネットワーク制御装置に送信する。なお、対処判断部は、感染した可能性がある移動装置が多いほど、近接グループを対象とした対処情報または拡大近接グループを対象とした対処情報を選択する。
本発明の対処指示装置によれば、移動装置単体への対処では対処が攻撃の増加に追いつかなくなる場合でも、過去に接近した移動装置のグループである近接グループと、これから接近する移動装置も含めたグループである拡大近接グループを作り、対処を実行する。したがって、ネットワークの接続構成が動的に変化する場合でも、攻撃に対して先回りした対処ができる。
ネットワークの構成例を示す図。 本発明の対処指示装置を含む構成例を示す図。 本発明の処理フローの例を示す図。 移動装置が車両に搭載されている場合の車両の動きのイメージを示す図。
以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。
以下の説明では、KとMは2以上の整数、kとk1とk2は1以上K以下の整数、mとm1とm2は1以上M以下の整数、Nは1以上の整数、nは1以上N以下の整数とする。図1にネットワークの構成例を示す。ネットワーク装置930−1,…,Kはネットワーク950を介して接続されている。ネットワーク装置930−kとしては、例えば、基地局、無線ルータ、ゲートウェイなどがあるが、ネットワークの状態を監視し、制御できる装置であれば、これらに限定する必要はない。移動装置920−1,…,Mは、位置に応じて、いずれかのネットワーク装置930−kに接続される。移動装置920−mとしては、通信機能を備えた車両、携帯端末などである。図1の例では、ある時点において、移動装置920−1はネットワーク装置930−2に接続され、移動装置920−2,920−3はネットワーク装置930−k1に接続され、移動装置920−Mはネットワーク装置930−k2に接続された状態であることを示している。
移動装置920−2がウィルスに感染し、他の装置に対して攻撃を始めた場合、従来技術では、ネットワーク装置930−k1の内部に設置されたセキュリティエンジンまたはネットワーク装置930−k1に接続されたセキュリティエンジンで脅威を検出し、移動装置920−2をネットワーク950から切り離す(通信できない状態にする)などの対処を行う。しかし、脅威の広がりが非常に速い場合には、脅威を検出した後に切り離すだけでは脅威の広がり(感染の広がり)を止めることができない。
本発明では、まだ脅威の対象となっていない移動装置に対してもネットワーク950から切り離すなどの対処を行う。そのときに、移動装置920−1,…,M同士の近接性(過去または将来に所定範囲以内に近づくか)を考慮したクラスタ化(グループの作成)を行い、脅威に対する対処を行う対象を特定する。
図2に本発明の対処指示装置を含む構成例を、図3に処理フローの例を、図4に移動装置が車両に搭載されている場合の車両の動きのイメージを示す。ネットワーク装置930−k内にはスイッチ931が備えられ、ミラーリングパケットがセキュリティエンジン200に入力される。セキュリティエンジン200は、すべてのネットワーク装置930−1,…,Mに対して1つ存在してもよいし、ネットワーク装置930−kごとに存在してもよいし、何個かのネットワーク装置930−m1,…,m2ごとに存在してもよい。セキュリティエンジン200には、分析部210−1,…,Nが備えられている。分析部210−nは、ネットワーク950のパケットを監視し、脅威を分析するための分析アルゴリズムにしたがって機能し、送信元と送信先を特定してセキュリティに対する脅威の程度を示す脅威レベルを出力し(S210)、脅威レベル、送信元、送信先、時刻を特定する情報である脅威情報を対処指示装置100に送信する(S220)。分析アルゴリズムには、いくつかの種類があり、攻撃の種類によって適した分析アルゴリズムが存在するので、N個の分析部210−1,…,Nを備えればよい。
本発明では、上述のとおり、パケットの送信元と送信先が移動可能な移動装置920−1,…,Mである。対処指示装置100は、セキュリティエンジン200と、ネットワーク950の制御を行うネットワーク制御装置300と、移動装置920−1,…,Mの位置情報を提供する移動装置位置情報提供装置400と接続される。ネットワーク制御装置300は、ネットワーク装置930−1,…,Kなどに接続され、脅威に対する対処として、移動装置920−mをネットワーク950から切り離したり、IPアドレスを変更したりする。
対処指示装置100は、脅威情報記録部191、対処情報記録部193、移動装置探索部130、感染判断部150、対処判断部110、近接クラスタ化部160、移動装置推定部140、拡大近接クラスタ化部170、対処送信部120を備える。脅威情報記録部191は、分析部210−1,…,Nからの出力にしたがって、脅威レベル、送信元、送信先、時刻を特定する情報である脅威情報を記録する。また、脅威がなくなった場合には脅威情報を削除するなどの脅威情報の更新を行う(S191)。
対処情報記録部193は、対処方法を特定する情報である対処情報を複数記録する。対処方法としては、例えば、対象となる移動装置の範囲を定めて、移動装置920−mをネットワーク950から切り離す方法、IPアドレスを変更する方法などがある。ただし、これらに限定する必要はない。
移動装置探索部130は、脅威情報記録部191に脅威情報が存在する場合、移動装置位置情報提供装置400から提供される移動装置920−1,…,Mの位置情報を用いて、脅威情報ごとに、その脅威情報に示されている時刻からその脅威情報で特定される送信元の移動装置920−m1をネットワークから切り離す対処情報を送信するまでの間に、脅威情報で特定される送信元の移動装置920−m1に所定範囲以内に近づいた移動装置920−m2を特定する(S130,S410)。「所定範囲」とは攻撃を受けやすいほど近い範囲を意味しており、例えば、同じネットワーク装置930−kに接続される範囲を所定範囲としてもよいし、直線距離で何m以内を所定範囲としてもよい。所定範囲の定め方によって、移動装置位置情報提供装置400が提供する位置情報も異なる。例えば、同じ基地局に接続されたことを所定範囲とする場合には、位置情報として、いつどの基地局と接続されていたかが位置情報である。また、直線距離で所定範囲を定めるのであれば、緯度、経度などを位置情報にすればよい。
感染判断部150は、移動装置探索部130が特定した移動装置920−m2ごとに、感染した可能性を判定する(S150)。つまり、脅威情報で特定される送信元の移動装置920−m1の所定範囲以内に近づいた移動装置920−m2ごとに、感染した可能性を判定する。例えば、移動装置920−m1を送信元とする脅威情報の脅威レベルと、その脅威情報で特定される送信先から、移動装置920−m2が感染した可能性を判定すればよい。また、移動装置920−m1を送信元とする脅威情報よりも遅い時刻の、移動装置920−m2を送信元とする脅威情報が見つかった場合には、感染した可能性があると判断してもよい。
対処判断部110は、感染判断部の判定に基づいて、対処情報を選択する(S110)。選択する対処情報は1つ以上でもよい。なお、対処判断部110は、感染した可能性がある移動装置が多いほど、後述する近接グループを対象とした対処情報または拡大近接グループを対象とした対処情報を選択する。脅威情報の脅威レベルが低い場合など、感染する可能性が低いときには、対処判断部110は、脅威情報で特定される送信元の移動装置920−m1に対してだけネットワークから切り離すなどの対処を行えばよい。一方、感染した可能性がある移動装置が多い場合は、先回りした対処が必要になる。後述する「近接グループ」は脅威の送信元である移動装置920−m1と、移動装置920−m1に過去から現在までに所定範囲以内に接近した移動装置920−m2のグループである。「拡大近接グループ」は近接グループに、将来、近接グループの移動装置920−m1,m2に接近すると予測される移動装置920−mも加えたグループである。例えば、現在から移動装置をネットワークから切り離す対処情報をネットワーク装置930−1,…,Kに送信するまでの間に近接グループの移動装置920−m1,m2に接近すると予測される移動装置920−mも含めた拡大近接グループを作成し、その拡大近接グループの移動装置をネットワークから切り離す対処情報を送信すればよい。このように対処することで、ネットワークの接続構成が動的に変化する場合にも攻撃に対して先回りした対処が可能となる。ここまでの先回りが必要ない場合には、近接グループの移動装置920−m1,m2をネットワークから切り離す対処情報を送り、拡大近接グループの他の移動装置920−mには、近接グループに属する移動装置920−m1,m2を特定する情報をブラックリストとして送信してもよい。
近接クラスタ化部160は、対処判断部110が選択した対処情報が特定する対処方法に必要な場合に、脅威情報で特定される送信元の移動装置920−m1と移動装置探索部130が特定した移動装置920−m2を近接グループとする(S160)。
移動装置推定部140は、対処判断部110が選択した対処情報が特定する対処方法に必要な場合に、移動装置位置情報提供装置400から提供される移動装置920−1,…,Mの位置情報を用いて、近接グループに属する移動装置920−m1,m2のいずれかに、所定時間以内に所定範囲以内に近づくと予測される移動装置を特定する(S140,S420)。拡大近接クラスタ化部170は、移動装置推定部が特定した移動装置と近接グループに属する移動装置とを拡大近接グループとする(S170)。「所定時間」とは、例えば、現在から移動装置をネットワークから切り離す対処情報をネットワーク装置930−1,…,Kに送信するまでの間の平均値または最大値のように決めればよい。「所定範囲」は、移動装置探索部130の説明と同じである。この予測では、移動装置920−m1,m2の速度を考慮する必要がある。速度は、過去の位置と現在の位置の違いから求めてもよいし、移動装置位置情報提供装置400から速度情報も受け取ってもよい。
図4の移動装置920−1を脅威の送信元とし、移動装置920−2を移動装置920−1に所定範囲以内に近づいた移動装置とする。この場合、移動装置920−1,2が近接グループに属す。移動装置920−1の速度と移動装置920−4の速度から、移動装置920−1をネットワークから切り離す前に移動装置920−4が所定範囲以内に近づくときは、移動装置920−4は拡大近接グループに属すことになる。また、移動装置920−2の速度と移動装置920−5の速度から、移動装置920−2をネットワークから切り離す前に移動装置920−5が所定範囲以内に近づくときは、移動装置920−5も拡大近接グループに属すことになる。なお、図4の点線で示された範囲610,620,630,640は、移動装置が同一の基地局に接続されるときを所定範囲以内とする場合の所定範囲の例を示している。
対処送信部120は、対処判断部110が選択した対処情報をネットワーク制御装置300−1,…,Kに送信する(S120)。ネットワーク制御装置300は、ネットワーク装置930−1,…,Kに接続されている。ネットワーク制御装置300は、1つ以上の対処情報を受け取る。複数の対処情報を受け取ったときは、ネットワーク制御装置300が、ネットワーク装置930−kごとに、いずれかの対処情報を選択し(S310)、選択した対処情報にしたがってネットワークの制御を行う(S320)。配置場所や機能などから、ネットワーク装置930−kごとに実行可能な対処方法が異なると考えられる。そこで、例えば、ネットワーク制御装置300は、複数の対処情報の中から、対処情報を送るネットワーク装置930−kが実行可能な対処情報を選択すればよい。このようにすれば、対処指示装置100は、ネットワーク装置930−kごとの配置場所や機能を考慮することなく、対処情報を選択できる。
対処指示装置100、セキュリティエンジン200、ネットワーク制御装置300、移動装置位置情報提供装置400は、ステップS210〜S320までの処理を繰り返す。
対処指示装置100によれば、移動装置920−m1単体への対処では対処が攻撃の増加に追いつかなる場合でも、過去に接近した移動装置のグループである近接グループと、これから接近する移動装置も含めたグループである拡大近接グループを作り、対処を実行する。したがって、ネットワークの接続構成が動的に変化する場合でも、攻撃に対して先回りした対処ができる。
[プログラム、記録媒体]
上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。
また、上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
100 対処指示装置 110 対処判断部
120 対処送信部 130 移動装置探索部
140 移動装置推定部 150 感染判断部
160 近接クラスタ化部 170 拡大近接クラスタ化部
191 脅威情報記録部 193 対処情報記録部
200 セキュリティエンジン 210 分析部
300 ネットワーク制御装置 400 移動装置位置情報提供装置
920 移動装置 930 ネットワーク装置
931 スイッチ 950 ネットワーク

Claims (7)

  1. ネットワークのパケットを監視し、送信元と送信先を特定してセキュリティに対する脅威の程度を示す脅威レベルを出力する分析部を1つ以上備えたセキュリティエンジンと、前記ネットワークの制御を行うネットワーク制御装置と、移動装置の位置情報を提供する移動装置位置情報提供装置と接続される対処指示装置であって、
    前記パケットの送信元と送信先が移動可能な移動装置であり、
    前記分析部からの出力にしたがって、脅威レベル、送信元、送信先、時刻を特定する情報である脅威情報を記録する脅威情報記録部と、
    対処方法を特定する情報である対処情報を複数記録する対処情報記録部と、
    前記移動装置位置情報提供装置から提供される移動装置の位置情報を用いて、脅威情報の時刻から前記脅威情報で特定される送信元の移動装置を前記ネットワークから切り離す対処情報を送信するまでの間に、前記脅威情報で特定される送信元の移動装置に所定範囲以内に近づいた移動装置を特定する移動装置探索部と、
    前記移動装置探索部が特定した移動装置ごとに、感染した可能性を判定する感染判断部と、
    前記感染判断部の判定に基づいて、対処情報を選択する対処判断部と、
    前記対処判断部が選択した対処情報が特定する対処方法に必要な場合に、前記脅威情報で特定される送信元の移動装置と前記移動装置探索部が特定した移動装置を近接グループとする近接クラスタ化部と、
    前記対処判断部が選択した対処情報が特定する対処方法に必要な場合に、前記移動装置位置情報提供装置から提供される移動装置の位置情報を用いて、前記近接グループに属する移動装置のいずれかに、所定時間以内に前記所定範囲以内に近づくと予測される移動装置を特定する移動装置推定部と、
    前記移動装置推定部が特定した移動装置と前記近接グループに属する移動装置とを拡大近接グループとする拡大近接クラスタ化部と、
    前記対処判断部が選択した前記対処情報を前記ネットワーク制御装置に送信する対処送信部と
    を備え、
    前記対処判断部は、前記感染判断部が判定した感染した可能性がある移動装置が多いほど、前記近接グループを対象とした対処情報または前記拡大近接グループを対象とした対処情報を選択する
    対処指示装置。
  2. 請求項1記載の対処指示装置であって、
    前記対処判断部は、前記対処情報を1つ以上選択し、
    前記対処送信部は、1つ以上の前記対処情報を前記ネットワーク制御装置に送信する
    ことを特徴とする対処指示装置。
  3. 請求項1または2記載の対処指示装置であって、
    前記対処情報記録部が記録する対処情報の中には、前記近接グループに属する移動装置を特定する情報をブラックリストとして、前記移動装置推定部が特定した移動装置に対して送信する対処情報が含まれている
    ことを特徴とする対処指示装置。
  4. ネットワークのパケットを監視し、送信元と送信先を特定してセキュリティに対する脅威の程度を示す脅威レベルを出力する分析部を1つ以上備えたセキュリティエンジンと、前記ネットワークの制御を行うネットワーク制御装置と、移動装置の位置情報を提供する移動装置位置情報提供装置と接続される対処指示装置を用いた対処指示方法であって、
    前記パケットの送信元と送信先が移動可能な移動装置であり、
    対処指示装置は、脅威情報記録部、対処情報記録部、移動装置探索部、感染判断部、対処判断部、近接クラスタ化部、移動装置推定部、拡大近接クラスタ化部、対処送信部を備え、
    前記脅威情報記録部が、前記分析部からの出力にしたがって、脅威レベル、送信元、送信先、時刻を特定する情報である脅威情報を記録し、
    前記対処情報記録部が、対処方法を特定する情報である対処情報を複数記録し、
    前記移動装置探索部が、前記移動装置位置情報提供装置から提供される移動装置の位置情報を用いて、脅威情報の時刻から前記脅威情報で特定される送信元の移動装置を前記ネットワークから切り離す対処情報を送信するまでの間に、前記脅威情報で特定される送信元の移動装置に所定範囲以内に近づいた移動装置を特定する移動装置探索ステップと、
    前記感染判断部が、前記移動装置探索部が特定した移動装置ごとに、感染した可能性を判定する感染判断ステップと、
    前記対処判断部が、前記感染判断ステップの判定に基づいて、対処情報を選択する対処判断ステップと、
    前記近接クラスタ化部が、前記対処判断ステップが選択した対処情報が特定する対処方法に必要な場合に、前記脅威情報で特定される送信元の移動装置と前記移動装置探索ステップが特定した移動装置を近接グループとする近接クラスタ化ステップと、
    前記移動装置推定部が、前記対処判断ステップが選択した対処情報が特定する対処方法に必要な場合に、前記移動装置位置情報提供装置から提供される移動装置の位置情報を用いて、前記近接グループに属する移動装置のいずれかに、所定時間以内に前記所定範囲以内に近づくと予測される移動装置を特定する移動装置推定ステップと、
    前記拡大近接クラスタ化部が、前記移動装置推定ステップが特定した移動装置と前記近接グループに属する移動装置とを拡大近接グループとする拡大近接クラスタ化ステップと、
    前記対処送信部が、前記対処判断ステップが選択した前記対処情報を前記ネットワーク制御装置に送信する対処送信ステップと
    を実行し、
    前記対処判断ステップは、前記感染判断ステップで判定した感染した可能性がある移動装置が多いほど、前記近接グループを対象とした対処情報または前記拡大近接グループを対象とした対処情報を選択する
    対処指示方法。
  5. 請求項4記載の対処指示方法であって、
    前記対処判断ステップは、前記対処情報を1つ以上選択し、
    前記対処送信ステップは、1つ以上の前記対処情報を前記ネットワーク制御装置に送信する
    ことを特徴とする対処指示方法。
  6. 請求項4または5記載の対処指示方法であって、
    前記対処情報記録部が記録する対処情報の中には、前記近接グループに属する移動装置を特定する情報をブラックリストとして、前記移動装置推定ステップが特定した移動装置に対して送信する対処情報が含まれている
    ことを特徴とする対処指示方法。
  7. 請求項1から3のいずれかに記載の対処指示装置として、コンピュータを機能させるための対処指示プログラム。
JP2017051832A 2017-03-16 2017-03-16 対処指示装置、対処指示方法、対処指示プログラム Active JP6645998B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017051832A JP6645998B2 (ja) 2017-03-16 2017-03-16 対処指示装置、対処指示方法、対処指示プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017051832A JP6645998B2 (ja) 2017-03-16 2017-03-16 対処指示装置、対処指示方法、対処指示プログラム

Publications (2)

Publication Number Publication Date
JP2018157344A JP2018157344A (ja) 2018-10-04
JP6645998B2 true JP6645998B2 (ja) 2020-02-14

Family

ID=63716796

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017051832A Active JP6645998B2 (ja) 2017-03-16 2017-03-16 対処指示装置、対処指示方法、対処指示プログラム

Country Status (1)

Country Link
JP (1) JP6645998B2 (ja)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4668596B2 (ja) * 2004-12-02 2011-04-13 株式会社エヌ・ティ・ティ・ドコモ 通信端末、サーバ装置及び監視システム
CA2706721C (en) * 2006-11-27 2016-05-31 Smobile Systems, Inc. Wireless intrusion prevention system and method
JP5011234B2 (ja) * 2008-08-25 2012-08-29 株式会社日立情報システムズ 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム
JP2016122273A (ja) * 2014-12-24 2016-07-07 富士通株式会社 アラート発信方法、プログラム、及び装置

Also Published As

Publication number Publication date
JP2018157344A (ja) 2018-10-04

Similar Documents

Publication Publication Date Title
US11509534B2 (en) Collection of error packet information for network policy enforcement
US10135633B2 (en) Network security analysis for smart appliances
US9503463B2 (en) Detection of threats to networks, based on geographic location
EP2533492B1 (en) A node device and method to prevent overflow of pending interest table in name based network system
CN114145004B (zh) 用于使用dns消息以选择性地收集计算机取证数据的***及方法
JP5050781B2 (ja) マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法
WO2018132178A1 (en) Context-based detection of anomalous behavior in network traffic patterns
US10135785B2 (en) Network security system to intercept inline domain name system requests
US11711395B2 (en) User-determined network traffic filtering
KR101980901B1 (ko) SVM-SOM 결합 기반 DDoS 탐지 시스템 및 방법
CN110365674B (zh) 一种预测网络攻击面的方法、服务器和***
US11870792B2 (en) Abnormal traffic analysis apparatus, abnormal traffic analysis method, and abnormal traffic analysis program
CN114465823A (zh) 工业互联网终端加密流量数据安全检测方法、装置及设备
Ubale et al. Taxonomy of DDoS attacks in software-defined networking environment
Joëlle et al. Strategies for detecting and mitigating DDoS attacks in SDN: A survey
CN115834091A (zh) 网络流量控制方法以及相关***
US10686838B2 (en) IPS switch system and processing method
Rai et al. A survey on detection and mitigation of interest flooding attack in named data networking
JP6645998B2 (ja) 対処指示装置、対処指示方法、対処指示プログラム
CN109691158A (zh) 移动流量重定向***
Shah et al. Survey of techniques used for tolerance of flooding attacks in DTN
JP6636474B2 (ja) 対処指示装置、対処指示方法、対処指示プログラム
Remya Krishnan et al. A Dynamic Threshold-Based Technique for Cooperative Blackhole Attack Detection in VANET
EP3484122A1 (en) Malicious relay and jump-system detection using behavioral indicators of actors
Koh et al. Localizing wireless jamming attacks with minimal network resources

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190219

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20191225

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200107

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200109

R150 Certificate of patent or registration of utility model

Ref document number: 6645998

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150