JP6932375B2 - Communication device - Google Patents
Communication device Download PDFInfo
- Publication number
- JP6932375B2 JP6932375B2 JP2017196360A JP2017196360A JP6932375B2 JP 6932375 B2 JP6932375 B2 JP 6932375B2 JP 2017196360 A JP2017196360 A JP 2017196360A JP 2017196360 A JP2017196360 A JP 2017196360A JP 6932375 B2 JP6932375 B2 JP 6932375B2
- Authority
- JP
- Japan
- Prior art keywords
- network
- packet
- host
- unit
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、通信装置に関するものである。 The present invention relates to a communication device.
ICS(産業系制御システム)等のためのネットワークにおけるサイバーセキュリティの必要性が増している。従来は、このようなセキュリティを確保する技術として、ネットワークにハニーポットを接続させる技術が、特許文献1に記載されている。ハニーポットは、攻撃者の侵入を敢えて受け、その攻撃の内容を自機に記録する装置である。
The need for cyber security in networks for ICS (industrial control systems) and the like is increasing. Conventionally, as a technique for ensuring such security, a technique for connecting a honeypot to a network is described in
しかし、上記のようなハニーポットは、攻撃を待って、攻撃があったら自機に記録するだけの受動的な装置に過ぎない。したがって、従来のハニーポットは、攻撃者をコントロールすることはできない。 However, a honeypot like the one above is just a passive device that waits for an attack and records the attack on its own. Therefore, traditional honeypots have no control over the attacker.
本発明は上記点に鑑み、ネットワークへの攻撃者に対して能動的に対応して攻撃者をコントロールすることを第1の目的とする。また、攻撃に対する更なる対策を迅速に講じることができるようにすることを第2の目的とする。 In view of the above points, the first object of the present invention is to actively respond to an attacker on a network and control the attacker. The second purpose is to enable swift action against attacks.
上記第1の目的を達成するため、通信端末は、第1のネットワーク(4)に1個以上の基本仮想ホスト(A、B、C、D、P、Q、R、S、T)を生成するホストエミュレーション部(11)と、前記1個以上の基本仮想ホストのうち第1基本仮想ホスト宛に前記第1のネットワークから通信があったことに基づいて、前記第1基本仮想ホストを前記第1のネットワークから消滅させるよう、前記ホストエミュレーション部を制御するホスト制御部(12、13)と、を備える。 In order to achieve the first object, the communication terminal generates one or more basic virtual hosts (A, B, C, D, P, Q, R, S, T) in the first network (4). Based on the fact that the host emulation unit (11) and the first basic virtual host among the one or more basic virtual hosts are communicated from the first network, the first basic virtual host is referred to as the first. A host control unit (12, 13) that controls the host emulation unit so as to disappear from the network of 1 is provided.
このように、攻撃者には在ると認識されている第1基本仮想ホストを第1のネットワークから消滅させることで、攻撃者を能動的に欺瞞することができる。この欺瞞により、攻撃者をコントロールし、攻撃者に対して有利な立場で対応をすることが可能になる。 In this way, the attacker can be actively deceived by extinguishing the first basic virtual host, which is recognized by the attacker, from the first network. This deception allows you to control the attacker and respond in an advantageous position to the attacker.
上記第2の目的を達成するため、通信端末は、第1のネットワーク(4)に仮想ホスト(A、B、C、D、P、Q、R、S、T)を生成するホストエミュレーション部(11)と、前記仮想ホスト宛の通信が前記第1のネットワークからあったことに基づいて、前記仮想ホスト宛の通信のログを前記第1のネットワークの外部にある遠隔通信システム(6)に送信し始める外部通信部(14)と、を備える。 In order to achieve the second object, the communication terminal is a host emulation unit (A, B, C, D, P, Q, R, S, T) that generates virtual hosts (A, B, C, D, P, Q, R, S, T) in the first network (4). 11) and, based on the fact that the communication addressed to the virtual host was from the first network, the log of the communication addressed to the virtual host is transmitted to the remote communication system (6) outside the first network. It is provided with an external communication unit (14) that starts to operate.
このようにすることで、当該通信端末内にログを保存する場合に比べ、第1のネットワークに関わる者だけでなく、外部の者も、第1のネットワークへの攻撃を監視することができる。したがって、攻撃に対する更なる対策を迅速に講じることができる。 By doing so, as compared with the case where the log is stored in the communication terminal, not only the person involved in the first network but also an outside person can monitor the attack on the first network. Therefore, further countermeasures against attacks can be taken promptly.
なお、上記および特許請求の範囲における括弧内の符号は、特許請求の範囲に記載された用語と後述の実施形態に記載されて当該用語の例となる具体物等との対応関係を示すものである。 The reference numerals in parentheses in the above and claims indicate the correspondence between the terms described in the claims and the concrete objects described in the embodiments described later and which are examples of the terms. be.
(第1実施形態)
以下、第1実施形態について説明する。本実施形態に係る通信システムは、第1端末1、第2端末2、通信モジュール3、ICSネットワーク4、プライベートネットワーク5、クラウド6等を有する早期警戒システムである。
(First Embodiment)
Hereinafter, the first embodiment will be described. The communication system according to the present embodiment is an early warning system having a
ICSネットワーク4は、産業系制御システムに属する複数の制御機器および複数の制御対象機器等が通信のために接続するTCP/IPネットワークであり、例えば、工場に設置される。ICSネットワーク4は、単一のローカルエリアネットワークであってもよいし、複数のローカーエリアネットワークの集合体であってもよい。ICSネットワーク4は、第1のネットワークに対応する。
The
プライベートネットワーク5は、第1端末1と第2端末2を繋ぐローカルエリアネットワークである。プライベートネットワーク5はICSネットワーク4とは異なるネットワークであり、ICSネットワーク4とは独立に設けられている。プライベートネットワーク5は、第2のネットワークに対応する。
The
第1端末1は、ICSネットワーク4に接続されてICSネットワーク4を介した通信が可能となっている。第1端末1は、いずれも不図示のCPU、RAM、ROM、フラッシュメモリ、通信インターフェース等を備えたコンピュータである。フラッシュメモリの一部は、ICSネットワーク4に対する攻撃者の攻撃記録を保存するためのログメモリ10である。
The
第1端末1のCPUは、ROM、フラッシュメモリ等に記録された種々のプログラムを実行し、その実行の際にRAMを作業領域として用いる。具体的には、第1端末1のCPUが所定のプログラムを実行することで、第1端末1がホストエミュレーション部11、ホスト切替部12、ホスト再構成部13、および外部通信部14として機能する。以下、ホストエミュレーション部11をHE部11という。ホスト切替部12、ホスト再構成部13は、それぞれが、ホスト制御部に対応する。
The CPU of the
HE部11は、偽の複数個の仮想ホストを生成し、生成した複数個の仮想ホストの各々において、既知のサービスの一部機能をエミュレートする。既知のサービスとしては、Telnetサービス、FTPサービス、HTTPサービス、SSHサービス、SMBサービス等がある。
The
仮想ホストは、特定のオペレーティングシステムやサービスを実現する通信装置を仮想的に、すなわちソフトウェア的に、エミュレートする。エミュレートの範囲は、本物の現実の通信装置のオペレーティングシステムおよびサービスの機能の一部である。例えば、仮想ホストは、固有のIPアドレス、当該アドレスにおける複数のポートをエミュレートする。そして仮想ホストは、これら複数のポートに割り当てられたサービスの一部をエミュレートする。サービスのうちエミュレート対象となる部分は、例えば、通信開始時点およびその後の所定回数(例えば5回)のパケットのやりとりのみに限定される。つまり、仮想ホストは、サービスのうち、攻撃者がポートスキャン等の調査を行ったときに実際に通信装置が存在すると勘違いする程度の機能を、エミュレートする。 A virtual host emulates a communication device that realizes a specific operating system or service virtually, that is, in software. The range of emulation is part of the capabilities of the operating system and services of real-life telecommunications equipment. For example, a virtual host emulates a unique IP address, multiple ports at that address. The virtual host then emulates some of the services assigned to these multiple ports. The part of the service to be emulated is limited to, for example, the exchange of packets at the start of communication and a predetermined number of times (for example, 5 times) thereafter. That is, the virtual host emulates a function of the service that the attacker mistakenly thinks that a communication device actually exists when conducting an investigation such as port scanning.
HE部11は、あらかじめフラッシュメモリ等に記録されたコンフィグレーションに規定された内容で、上記複数個の仮想ホストを生成する。コンフィグレーションには、仮想ホスト毎に、当該仮想ホストに割り当てるIPアドレス、当該仮想ホストが偽装するオペレーティングシステムの種類、当該仮想ホストが偽装するオペレーティングシステムのバージョン、当該仮想ホストのポート番号リストが含まれている。
The
各仮想ホストのポート番号リストは、当該仮想ホスト中の複数のポートのそれぞれについて、オープンの状態にあるかクローズの状態にあるかの情報を含む。この情報は、ポート構成の情報である。 The port number list of each virtual host contains information on whether each of the plurality of ports in the virtual host is open or closed. This information is port configuration information.
オープンの状態とは、リクエストに対して確認応答する状態をいう。クローズの状態とは、リクエストに対して拒否する状態をいう。また、各仮想ホストのポート番号リストは、当該仮想ホスト中の複数のポートのそれぞれについて、部分的にエミュレートするサービスの挙動の情報を含む。 The open state is a state in which an acknowledgment is made in response to a request. The closed state is a state in which a request is rejected. In addition, the port number list of each virtual host includes information on the behavior of a service that partially emulates each of the plurality of ports in the virtual host.
また、各仮想ホストのポート番号リストは、当該仮想ホスト中の複数のポートのそれぞれについて、当該ポートにリクエスト等の通信があったときに実行すべきスクリプトが指定可能となっている。第1端末1のCPUがスクリプトを実行することで、例えば、ホスト切替部12およびホスト再構成部13が起動する。
Further, in the port number list of each virtual host, a script to be executed can be specified for each of a plurality of ports in the virtual host when a communication such as a request is made to the port. When the CPU of the
また、HE部11は、上述の複数個の仮想ホストに対してICSネットワーク4から通信があった場合に、その通信の内容のログをログメモリ10に記録する。
Further, when the
ホスト切替部12は、上述のHE部11用のスクリプトを書き換えてHE部11を再起動させると共に、プライベートネットワーク5を介して、後述する攻撃情報を第2端末2に通知することで、第2端末2を制御する。
The
ホスト再構成部13は、上述のHE部11用のスクリプトを書き換えてHE部11を再起動させる。
The
外部通信部14は、ログメモリ10に記録された上述のログを読み出し、読み出したログを通信モジュール3を介してクラウド6に送信する。
The
第2端末2は、通信線を介してICSネットワーク4と電気的に繋がっているが、ICSネットワーク4を介した通信の可能、不可能が変化するようになっている。第2端末2は、いずれも不図示のCPU、RAM、ROM、フラッシュメモリ、通信インターフェース等を備えたコンピュータである。
The
第2端末2のCPUは、ROM、フラッシュメモリ等に記録された種々のプログラムを実行し、その実行の際にRAMを作業領域として用いる。具体的には、第2端末2のCPUが所定のプログラムを実行することで、第2端末2が接続制御部21、捕獲部22として機能する。第2端末2は、捕獲用通信部に対応する。
The CPU of the
接続制御部21は、第2端末2によるICSネットワーク4を介した通信の可能、不可能を切り替える。また、接続制御部21は、プライベートネットワーク5を介して第1端末1と通信する。また、接続制御部21は、捕獲部22を起動する。捕獲部22は、ICSネットワーク4を介して送られたマルウェアを捕獲して第2端末2のフラッシュメモリに記録する。
The
通信モジュール3は、無線通信を行うためのモジュールである。通信モジュール3は、従来のEthernetなどの有線規格を用いるのではなく、モバイル通信回線を用いたPPP(Point to Point Protocol)通信を実現する。このモバイル通信回線は、ICSネットワーク4とは異なってICSネットワーク4とは独立した通信回線である。上述の通り、外部通信部14は、ICSネットワーク4を介さずに、通信モジュール3を介して、クラウド6にログを送信する。
The
クラウド6は、1台のコンピュータまたは相互に接続された複数のコンピュータから構成される。クラウド6は、遠隔通信システムである。
The
第1端末1および図1に記載されていない他のネットワーク上の装置から、攻撃者の攻撃内容のログを受信し、保存する。これにより、複数のネットワークへの攻撃のログをクラウド6に集約することができる。また、クラウド6は、これら保存したログを可視化する。そして、可視化した情報をWebサービス等によって外部の装置に提供する。
The attack content log of the attacker is received and saved from the
以下、このような構成の早期警戒システムの作動について説明する。図2、図3は、本実施形態における早期警戒システムの作動を示すシーケンス図である。まず、この早期警戒システムにおいて、第1端末1および第2端末2が起動される。すると、第1端末1においては、HE部11およびホスト再構成部13が起動する。ホスト再構成部13は、起動後、ステップ410で、ログメモリ10にデータが書き込まれるのを待ち受ける。
Hereinafter, the operation of the early warning system having such a configuration will be described. 2 and 3 are sequence diagrams showing the operation of the early warning system according to the present embodiment. First, in this early warning system, the
HE部11は、起動後、まずステップ105で、上述のコンフィグレーションに従って、図4に示すように、複数の仮想ホストA、B、C、Dを生成する。図4では仮想ホストの数は4つであるが、生成する仮想ホストの数は2個でも、3個でも、5個以上でもよい。これら複数の仮想ホストA、B、C、Dの各々が、基本仮想ホストに対応する。
After startup, the
仮想ホストA、B、C、Dは、ソフトウェア的に実現する擬似的な端末である。これら仮想ホストA、B、C、Dには、ICSネットワーク4上で使用されていないIPアドレスが1つずつ付与される。仮想ホストA、B、C、DのIPアドレスはそれぞれ異なる。なお、仮想ホストAのIPアドレスはAAである。これらのような仮想ホストA、B、C、Dは、HE部11の一部として機能する。
The virtual hosts A, B, C, and D are pseudo terminals realized by software. IP addresses that are not used on the
各仮想ホストは、ICSネットワーク4から自ホストのIPアドレスのオープン状態のポートにリクエスト(例えば、SYNパケット)等の通信があると、送信元に応答(例えば、SYN+ACKパケット)を送信する。各仮想ホストは、ICSネットワーク4から自ホストのIPアドレスのクローズ状態のポートにリクエスト(例えば、SYNパケット)等の通信があると、送信元に応答(例えば、RST+ACKパケット)を送信する。
When there is a communication such as a request (for example, SYN packet) from the
その他、各仮想ホストは、ICSネットワーク4から自ホストのIPアドレスのポートに周知のポートスキャン等の調査のためのパケットが送信されると、当該パケットに対する所定のプロトコルに従った応答を、送信元に送信する。
In addition, when a packet for investigation such as a well-known port scan is transmitted from the
このようになっていることで、攻撃者がポートスキャン等の調査を行うと、これら仮想ホストの存在およびポート構成の情報が、ICSネットワーク4上の他の端末についての同様の情報と共に、攻撃者に伝わる。HE部11は、ステップ105で複数の仮想ホストを生成した後、ステップ110で、これら仮想ホスト宛の通信を待ち受ける。
As a result, when an attacker investigates a port scan or the like, the information on the existence and port configuration of these virtual hosts, together with similar information on other terminals on the
なお、仮想ホストA、B、C、Dのそれぞれが有する複数のポートは、図4に示すように、第1種のポートP1と第2種のポートP2に分かれる。どのポートを第1種のポートP1としどのポートを第2種のポートP2とするかは、あらかじめ第1端末1において定められている。例えば、捕獲部22が捕獲可能なマルウェアが送り込まれる可能性が高いポートを第2種のポートとし、それ以外のポートを第1種のポートとすることができる。
As shown in FIG. 4, the plurality of ports possessed by each of the virtual hosts A, B, C, and D are divided into a
ここで、図5に示すように、攻撃者が、ICSネットワーク4に侵入して、ポートスキャンのため、仮想ホストAの特定の第1種のポートP1または第2種のポートP2にリクエストPS(例えばSYNパケット)等の通信を送信したとする。この場合、仮想ホストAが第1基本仮想ホストに対応する。
Here, as shown in FIG. 5, an attacker breaks into the
このとき、HE部11は、ステップ110からステップ115に進み、上述の通り、当該通信に対する応答(例えば、SYN+ACKパケット)を送信元に送信する。
At this time, the
続いてHE部11は、ステップ120で、図5に示すように、仮想ホストAが受けた通信のログをログメモリ10に記録する。通信のログとしては、例えば、受信したパケットそのものおよび受信時刻を記録してもよいし、受信したパケットの特徴を記録しても良い。受信したパケットの特徴としては、送信元IPアドレス、宛先IPアドレス、パケットの種別、受信時刻等がある。
Subsequently, in
ログがログメモリ10に記録されると、外部通信部14が、ログメモリ10へのログの書き込みを検知して、ステップ410から420に進む。そして外部通信部14は、ステップ420で、図6に示すように、ログメモリ10に記録されたログを読み込み、クラウド6への送信用として適切なフォーマットにログを整形し、整形された後のログをクラウド6に送信する。この後、外部通信部14は、ログメモリ10に新たに記録された攻撃者の通信のログを、通信モジュール3を用いて、繰り返し定期的に(例えば5秒間隔、1分間隔で)クラウド6に送信する。
When the log is recorded in the
外部通信部14が攻撃者の通信のログをクラウド6に繰り返し送信し始めるタイミングは、仮想ホストのいずれか宛にICSネットワーク4を介した通信があったタイミングである。外部通信部14による当該ログのクラウド6への繰り返し送信が終了するタイミングは、どの仮想ホスト宛にも第2端末2宛にもICSネットワーク4を介した通信が所定期間(例えば、30分)連続して来なかったタイミングである。
The timing at which the
このように、攻撃者の通信ログが、ICSネットワーク4を介さずにモバイル通信回線を介してクラウド6にリアルタイムで送信される。したがって、第1端末1からクラウド6への通信経路が携帯会社保有の基地局を介した通信経路となるので、攻撃者等がログメモリ10にアクセスするリスクを低減する事が可能である。したがって、攻撃者の通信ログの送信をセキュアに行うことができる。
In this way, the attacker's communication log is transmitted to the
クラウド6は、ステップ610で、上記のように外部通信部14から送信されたログを受信して、自システムの記憶媒体に記録する。続いてクラウド6は、ステップ620で、直前に受信したログと、それよりも前に第2端末2または他の装置から受信しているログに基づいて、攻撃者に関する特徴を容易に視認可能な形式の攻撃データ(例えば、グラフを含むhtmlデータ)を作成する。これにより、作成された攻撃データは、クラウド6によって実行されているWebサービス等の情報提供サービスを介して、外部から閲覧可能となる。そしてクラウド6は、外部の通信装置から攻撃データを閲覧する要求を受信すると、ステップ630で、上記のように作成した攻撃データを、当該閲覧要求元の通信装置に、Webサービスを利用して送信する。あるいは、クラウド6は、ログを可視化したタイミングで、メール、アラート等を利用してリアルタイムで外部の装置に提供してもよい。
In
このようにすることで、第1端末1内にログを保存する場合に比べ、ICSネットワーク4への攻撃の情報を、ICSネットワーク4に関わる人のみ監視できるだけでなく、他のプラントや工場に関わる人も監視が可能となる。したがって、攻撃に対する更なる対策を迅速に広範囲に講じることができる。
By doing so, compared to the case where the log is saved in the
一方、HE部11は、ステップ120でログを記録した後、ステップ125に進む。そしてHE部11は、ステップ125で、直前に受けた仮想ホストAへの通信は、第1種のポートP1への通信だったか否かを判定する。そしてHE部11は、第1種のポートP1への通信だった場合は、ステップ130に進み、第1種ポートでなく第2種のポートP2への通信だった場合は、ステップ140に進む。
On the other hand, the
ステップ130では、ホスト再構成部13を起動する。これにより、ホスト再構成部13が起動し、まずステップ310で、仮想ホストのコンフィグレーションを変更する。この変更は、あらかじめ定められた規則で行ってもよいし、ランダムに行ってもよい。
In
例えば、現在の複数の仮想ホストがすべて消去され、現在の複数の仮想ホストのIPアドレス群とは異なるIPアドレス群が付与された新たな複数の仮想ホストが含まれるように、コンフィギュレーションを変更してもよい。新たな複数の仮想ホストの数は、現在の複数の仮想ホストの数と同じであってもよいし異なっていてもよい。新たな複数の仮想ホストのオペレーティングシステムの構成およびポート構成は、現在の複数の仮想ホストと全く異なっていてもよいし、部分的に一致していてもよい。変更後のコンフィグレーションには、現在の複数の仮想ホストの一部が残っていてもよい。 For example, change the configuration so that all current virtual hosts are erased and new virtual hosts with IP addresses different from the current IP addresses of the virtual hosts are included. You may. The number of new virtual hosts may be the same as or different from the current number of virtual hosts. The operating system configuration and port configuration of the new plurality of virtual hosts may be completely different from the current plurality of virtual hosts, or may be partially matched. Some of the current virtual hosts may remain in the modified configuration.
しかし、変更後のコンフィグレーションからは、直前のステップ110で通信を受信した仮想ホストAは必ず除外する。ただし、変更後のコンフィグレーションには、直前のステップ110で通信を受信した仮想ホストAと同じIPアドレスでオペレーティングシステムの構成が異なっている新たな仮想ホストが含められていてもよい。また、変更後のコンフィグレーションには、直前のステップ110で通信を受信した仮想ホストAと同じIPアドレスでポート構成が異なっている新たな仮想ホストが含められていてもよい。 However, the virtual host A that received the communication in the immediately preceding step 110 is always excluded from the changed configuration. However, the changed configuration may include a new virtual host having the same IP address as the virtual host A that received the communication in the immediately preceding step 110 but having a different operating system configuration. Further, the modified configuration may include a new virtual host having the same IP address as the virtual host A that received the communication in the immediately preceding step 110 but having a different port configuration.
続いてホスト再構成部13は、ステップ320で、HE部11を再起動させる。するとHE部11は、ステップ135で再起動する。これにより、図7に示すように、現在の複数の仮想ホストがICSネットワーク4から一旦消滅する。
Subsequently, the
そしてその後、HE部11が再起動することにより、図8に示すように、変更後のコンフィグレーションに含まれる新たな仮想ホストP、Q、R、S、TがICSネットワーク4上に生成される。すなわち、仮想ホストが更新される。これら複数の仮想ホストP、Q、R、S、Tの各々が、追加仮想ホストに対応する。
After that, when the
図8の例では、再起動後も、再起動の直前まで存在していた仮想ホストA、B、C、DがICSネットワーク4から消滅している。そして、仮想ホストAと同じIPアドレスを有する新たな別の仮想ホストは生成されていない。したがって、仮想ホストP、Q、R、S、TのIPアドレスは、仮想ホストAのIPアドレスとは異なる。
In the example of FIG. 8, even after the restart, the virtual hosts A, B, C, and D that existed until just before the restart disappear from the
このようになっていることで、攻撃者側が調査のための通信を仮想ホストAに行った場合、応答を受けることで、仮想ホストAの存在を確認し、応答の内容によっては脆弱性の可能性も確認する。そのような状況で当該仮想ホストAをICSネットワーク4から消滅させることで、攻撃者を能動的に欺瞞することができる。この欺瞞により、攻撃者をコントロールし、攻撃者に対して有利な立場で対応をすることが可能になる。
By doing this, when the attacker communicates with virtual host A for investigation, it confirms the existence of virtual host A by receiving a response, and depending on the content of the response, it may be vulnerable. Also check the sex. By extinguishing the virtual host A from the
具体的には、ポートスキャン等の調査で存在が確認された仮想ホストAが応答しなくなり、しかも、仮想ホストAのIPアドレスとは別のIPアドレスに別の仮想ホストP、Q、R、Sが現れる。したがって、攻撃者が混乱する。例えば、攻撃者が再度ポートスキャン等の調査をしなければいけなくなる。その結果、攻撃者の攻撃が遅延する。この遅延により、攻撃者に先んじて攻撃に対する対策を実施することが可能になる。 Specifically, the virtual host A whose existence has been confirmed by a port scan or other investigation stops responding, and the virtual hosts P, Q, R, and S are assigned to an IP address different from the IP address of the virtual host A. Appears. Therefore, the attacker is confused. For example, an attacker will have to investigate port scans again. As a result, the attacker's attack is delayed. This delay makes it possible to take countermeasures against the attack ahead of the attacker.
再起動して新たな仮想ホストを生成したHE部11は、ステップ110に戻り、新たな仮想ホスト宛のリクエスト等の通信を待ち受ける。攻撃者が再度ポートスキャン等の調査を行う場合は、HE部11は、ステップ110、115、120、125、130、135を実行することで、再度仮想ホストを更新する。このようにすれば、攻撃者から見れば、ポートスキャン等の調査をする度にICSネットワーク4のネットワーク構成が異なるように見えるので、攻撃者が混乱し、攻撃が遅延する。
The
ここで、HE部11がステップ110で待ち受けをしているときに、何らかの方法で攻撃者がマルウェアを送り込む先の攻撃対象の仮想ホストおよびポートを定めたとする。そして攻撃者が、図9に示すように、当該ポートを標的としてマルウェアMWを送り込むための通信を行ったとする。そして、このポートが所定の第2種のポートP2であったとする。
Here, it is assumed that while the
このとき生成されている仮想ホストは、ホストA、B、C、Dでもよいし、図9のようにホストP、Q、R、S、Tでもよいし、他の仮想ホストでもよい。このとき生成されている複数の仮想ホストが、複数の基本仮想ホストである。図9の例では、攻撃対象が仮想ホストRとなっている。この場合は、仮想ホストRが第1基本仮想ホストである。 The virtual host generated at this time may be hosts A, B, C, D, hosts P, Q, R, S, T as shown in FIG. 9, or other virtual hosts. The plurality of virtual hosts generated at this time are a plurality of basic virtual hosts. In the example of FIG. 9, the attack target is the virtual host R. In this case, the virtual host R is the first basic virtual host.
この場合、HE部11は、ステップ115、120を上述の様に行った後、ステップ125で直前に受けた仮想ホストAへの通信は、第1種のポートP1への通信でなかったと判定し、ステップ140に進む。HE部11は、ステップ140で、当該第2種のポートP2への通信に、マルウェア送信の兆候があるか否かを判定する。
In this case, after performing
マルウェアを送り込むために攻撃者が採用する通信の方法としては、既知の方法が種々ある。例えば、SMBサービスのポートに対して所定の攻撃パケットを送信した後にマルウェアを送信することで、当該ポートを有するコンピュータにマルウェアを保存させるという手法がある。この場合は、当該所定の攻撃パケットが送信されたことが、マルウェア送信の兆候である。また例えば、複数回(例えば5回)連続して同じ第2種のポートP2にパケットが送信されたことを、マルウェア送信の兆候であるとしてもよい。
There are various known methods of communication adopted by attackers to send malware. For example, there is a method in which malware is stored in a computer having the port by transmitting malware after transmitting a predetermined attack packet to the port of the SMB service. In this case, the transmission of the predetermined attack packet is a sign of malware transmission. Further, for example, the fact that a packet is transmitted to the
マルウェア送信の兆候がない場合、HE部11はステップ110に戻る。マルウェア送信の兆候がある場合、HE部11はステップ145に進み、ホスト切替部12を起動する。なお、マルウェア送信の兆候がある場合、HE部11は、送信元に応答を返す場合も返さない場合もある。
If there is no sign of malware transmission,
起動したホスト切替部12は、ステップ210で、プライベートネットワーク5を介して、攻撃情報を第2端末2の接続制御部21に送信する。攻撃情報は、当該マルウェア送信の兆候に関する情報である。攻撃情報は、攻撃対象の仮想ホスト(図9の例では仮想ホストR)のIPアドレスAR、攻撃対象のポート番号、攻撃時に攻撃対象が受けたパケットの種類、当該パケットの内容、攻撃対象の仮想ホストのポート構成、攻撃対象の仮想ホストのオペレーティングシステム等を含む。
In
このように、既に攻撃者が侵入しているICSネットワーク4とは異なるプライベートネットワーク5を介して第1基本仮想ホストのアドレスが送信される。したがって、マルウェア捕獲のための手順を攻撃者に知られる可能性を低くすることができる。つまり、マルウェア捕獲をセキュアに行うことができる。
In this way, the address of the first basic virtual host is transmitted via the
続いてホスト切替部12は、ステップ220で、現在の仮想ホストのコンフィグレーションから、攻撃対象の仮想ホスト(図9では仮想ホストR)の情報を削除する。続いてホスト切替部12は、ステップ230で、HE部11を再起動する。するとHE部11は、ステップ150で再起動する。これにより、現在の複数の仮想ホストがICSネットワーク4から一旦消滅した後、図10に示すように、攻撃対象の仮想ホストのみがICSネットワーク4から消去された状態のまま、それまでの複数の仮想ホストP、Q、S、Tが再度生成される。
Subsequently, in
このように、攻撃者にはあると認識されている攻撃対象の仮想ホストをICSネットワーク4から消滅させることで、攻撃者を能動的に欺瞞することができる。この欺瞞により、攻撃者をコントロールし、攻撃者に対して有利な立場で対応をすることが可能になる。
In this way, the attacker can be actively deceived by extinguishing the virtual host of the attack target, which is recognized by the attacker, from the
一方、第2端末2の接続制御部21は、第1端末1のホスト切替部12から攻撃情報を受信したことに基づいて、ステップ510に進む。ステップ510では、受信した攻撃情報に基づいて、第2端末2をICSネットワーク4を介して通信可能な状態にする。
On the other hand, the
このとき、接続制御部21は、第2端末2のIPアドレスとして、当該攻撃情報に含まれる攻撃対象のIPアドレスAR(図10の例では仮想ホストRのIPアドレス)を採用する。これにより、ICSネットワーク4から消滅した仮想ホストRと同じIPアドレスで、第2端末2がICSネットワーク4に接続される。
At this time, the
続いて接続制御部21は、ステップ520で、当該攻撃情報に応じて、捕獲部22のコンフィグレーションを作成する。具体的には、捕獲部22が攻撃対象の仮想ホストと同じポート構成およびオペレーティングシステムをエミュレートするように、捕獲部22のコンフィグレーションを作成する。また、捕獲部22が攻撃パケットを攻撃対象のポート番号にて受けたと仮定した状態、すなわち、マルウェアの侵入を受け入れ可能な状態をエミュレートするように、捕獲部22のコンフィグレーションを作成する。
Subsequently, in
続いて接続制御部21は、ステップ530で、捕獲部22を起動する。これにより、捕獲部22は、作成されたコンフィグレーションに従った構成で起動する。この状態で起動した捕獲部22は、上述の通り、攻撃対象のポートでマルウェアを受け入れ可能な状態にある。しかも、攻撃者は、攻撃対象の仮想ホストが第2端末2に置き換わったことに気付かないまま、捕獲部22にマルウェアを送信する。
Subsequently, the
したがって、図11に示すように、捕獲部22は、ステップ710で、マルウェアを受信して第2端末2のフラッシュメモリに記録する。これにより、捕獲部22内にマルウェアが捕獲される。
Therefore, as shown in FIG. 11, the
このように、複数の仮想ホストのいずれかにマルウェア送信の兆候となる通信があった場合に、その通信のあった仮想ホストがICSネットワーク4から消滅する。そして、同じアドレスで第2端末2が第1のネットワークに接続される。
In this way, when any of the plurality of virtual hosts has a communication that is a sign of malware transmission, the virtual host with the communication disappears from the
これにより、複数の仮想ホストでマルウェアをおびきよせて、おびきよせた仮想ホストを第2端末2に置き換えることで、より高い確率でマルウェアを捕獲できる。また、攻撃者には、マルウェアを送り込むのに成功したと誤解させることができる。
As a result, the malware can be attracted by a plurality of virtual hosts, and the malware can be captured with a higher probability by replacing the attracted virtual host with the
また、捕獲部22は、マルウェアを捕獲すると、続いてステップ720で、捕獲したことを接続制御部21に通知する。接続制御部21は、この通知を受けると、ステップ540で、第2端末2をICSネットワーク4を介して通信不可能な状態にする。接続制御部21は続いてステップ550で、第2端末2がマルウェアを捕獲した旨を、プライベートネットワーク5を介して、第1端末1のホスト切替部12に通知する。
Further, when the
この通知を受信したホスト切替部12は、ステップ240で、現在の仮想ホストのコンフィグレーションに対し、ステップ220で削除した攻撃対象の仮想ホストの情報を追加する。続いてホスト切替部12は、ステップ250で、HE部11を再起動する。するとHE部11は、ステップ160で再起動する。
Upon receiving this notification, the
これにより、現在の複数の仮想ホストがICSネットワーク4から一旦消滅した後、攻撃対象の仮想ホストRがICSネットワーク4上に復活した状態で、それまでの複数の仮想ホストP、Q、S、Tが再度生成される。その結果、仮想ホストの構成が、図9の状態に戻る。
As a result, after the current plurality of virtual hosts have once disappeared from the
このように、第2端末2についてはマルウェアを捕獲したタイミングでICSネットワーク4から消去し、攻撃対象の仮想ホストを復活させることで、捕獲部22の存在を攻撃者に知られる可能性を低減することができる。したがって、より確実に攻撃者を欺瞞した状態で攻撃者をコントロールすることができる。
In this way, the
(第2実施形態)
次に、第2実施形態について説明する。本実施形態に係る通信システムは、図12に示すように、ルータ7、フロントエンドネットワーク4A、攻撃対応装置8、ICSネットワーク4、通信モジュール3、クラウド6を有する早期警戒システムである。攻撃対応装置8は、通信端末に対応する。通信モジュール3、クラウド6は、第1実施形態と同等の機能を有する。
(Second Embodiment)
Next, the second embodiment will be described. As shown in FIG. 12, the communication system according to the present embodiment is an early warning system having a
ルータ7は、外部のネットワーク4Xとフロントエンドネットワーク4Aとの間でデータを中継するゲートウェイとして機能する。外部のネットワーク4Xは、例えば、社内LANであってもよいし、インターネット等の広域ネットワークであってもよい。
The
フロントエンドネットワーク4Aは、ルータ7と攻撃対応装置8が属するTCP/IPネットワークである。
The front-
攻撃対応装置8は、第1実施形態における第1端末1、第2端末2の機能等を実現することで、ICSネットワーク4への攻撃に対応するための装置であり、フロントエンドネットワーク4AおよびICSネットワーク4に属している。
The
ICSネットワーク4は、第1実施形態と同様、産業系制御システムに属する複数の保護対象の機器41〜44が通信のために接続するTCP/IPネットワークであり、例えば、工場に設置される。
Similar to the first embodiment, the
保護対象の複数の機器としては、制御機器、監視装置等がある。制御機器は、工場内の産業ロボット等を制御する装置である。監視装置は、工場内の産業ロボット等の状態を取得して外部ネットワーク4Xに送信する装置である。例えば、制御機器としては、PLC(Programmable Logic Controller)、DCS(Distributed Control System)が用いられてもよい。監視装置としては、RTU(Remote Terminal Unit)が用いられてもよい。以下では、これらの機器41〜44を保護対象機器という。
The plurality of devices to be protected include control devices, monitoring devices, and the like. The control device is a device that controls an industrial robot or the like in a factory. The monitoring device is a device that acquires the state of an industrial robot or the like in the factory and transmits it to the
本実施形態では、ICSネットワーク4は、第1のネットワークに該当せず、保護ネットワークに該当する。また、本実施形態では、第1端末1、第2端末2は、単体のハードウェアとして存在せず、ICSネットワーク4に属さない。
In the present embodiment, the
ここで、攻撃対応装置8の構成について説明する。図12に示すように、攻撃対応装置8は、ネットワークインターフェース81、メモリ82、CPU83を備えている。ネットワークインターフェース81、メモリ82、CPU83は、いずれも実体のあるハードウェアである。
Here, the configuration of the
ネットワークインターフェース81は、フロントエンドネットワーク4AおよびICSネットワーク4に直接接続する。ネットワークインターフェース81は、フロントエンドネットワーク4AおよびICSネットワーク4を介してデータの送信および受信を行う。メモリ82は、RAM、ROM、フラッシュメモリ等の記憶媒体である。CPU83は、メモリ82に記録されたプログラムを実行することで、種々の機能を実行する。
The
図13に、攻撃対応装置8の機能構成を示す。CPU83は、図13に示すように、第1端末1、第2端末2、判断部9、シャドウネットワーク4Bの機能をソフトウェアで仮想的に実現する。ハードウェアをソフトウェアで仮想的に実現する技術は周知であるので、ここでは説明を省略する。以下では、第1端末1、第2端末2、判断部9、シャドウネットワーク4Bを、それぞれ単体のハードウェアとして説明する。しかし、既に説明したとおり、これらは、CPU83によってソフトウェアで仮想的にそれらハードウェアが実現される。
FIG. 13 shows the functional configuration of the
シャドウネットワーク4Bは、TCP/IPネットワークである。ICSネットワーク4は、フロントエンドネットワーク4AともICSネットワーク4とも別に設けられている。
The shadow network 4B is a TCP / IP network. The
第1端末1および第2端末2は、シャドウネットワーク4Bに属するがフロントエンドネットワーク4A、ICSネットワーク4には属さない。判断部9は、フロントエンドネットワーク4Aとシャドウネットワーク4BとICSネットワーク4に属する。シャドウネットワーク4Bは、第1のネットワークに該当する。
The
ローカルエリアネットワークとしてのシャドウネットワーク4Bのネットワークアドレスは、ICSネットワーク4のネットワークアドレスと同じである。すなわち、シャドウネットワーク4Bに属する第1端末1、第2端末2のIPアドレスのネットワーク部の値と、ICSネットワーク4に属する保護対象機器41〜44のIPアドレスのネットワーク部の値は、同じである。
The network address of the shadow network 4B as the local area network is the same as the network address of the
また、判断部9のシャドウネットワーク4B側のIPアドレスのネットワーク部の値も、第1端末1、第2端末2のIPアドレスのネットワーク部の値と同じである。また、判断部9のICSネットワーク4側のIPアドレスのネットワーク部の値も、第1端末1、第2端末2のIPアドレスのネットワーク部の値と同じである。
Further, the value of the network portion of the IP address on the shadow network 4B side of the
また、第1端末1のIPアドレス、第2端末2のIPアドレス、判断部9のシャドウネットワーク4B側のIPアドレス、判断部9のICSネットワーク4側のIPアドレス、ICSネットワーク4に属する判断部9以外のすべての装置のIPアドレスは、すべて互いに異なる。いうまでもないが、図13に表れるすべての通信装置のMACアドレスは、互いに異なる。
Further, the IP address of the
第1端末1は、第1実施形態と同様、ログメモリ10、HE部11、ホスト再構成部13、外部通信部14を有するが、ホスト切替部12を有さない。ログメモリ10、HE部11、ホスト再構成部13、外部通信部14の機能は、第1実施形態と同じである。
Similar to the first embodiment, the
第2端末2は、第1実施形態と同じ機能の捕獲部22を有するが、接続制御部21を有さない。第2端末2が所定のホストに該当する。第1実施形態において第1端末1と第2端末2とを繋いでいたプライベートネットワーク5は、本実施形態では廃されている。また、第2端末2のIPアドレスは固定である。
The
判断部9は、ネットワークインターフェース、マイコン等のハードウェアを有する。ルータ7から送られたパケットをシャドウネットワーク4BおよびICSネットワーク4のうちどちらかへ転送する。また、判断部9は、シャドウネットワーク4BおよびICSネットワーク4から送られたパケットをフロントエンドネットワーク4Aに転送する。これら転送の際、判断部9は、必要に応じて、パケットの内容を書き換える。なお、本実施形態では、パケットはイーサネットフレームである。
The
通常、どのパケットにも、宛先MACアドレス、送信元MACアドレス、宛先IPアドレス、送信元IPアドレス、プロトコル、送信元ポート番号、および宛先ポート番号が含まれている。宛先MACアドレスおよび送信元MACアドレスは、イーサネットフレームのヘッダ部に含まれる。宛先IPアドレス、送信元IPアドレス、プロトコルは、IPデータグラムのヘッダ部に含まれる。送信元ポート番号および宛先ポート番号は、UDPユーザデータグラムのヘッダ部またはTCPセグメントのヘッダ部に含まれる。 Typically, every packet contains a destination MAC address, a source MAC address, a destination IP address, a source IP address, a protocol, a source port number, and a destination port number. The destination MAC address and the source MAC address are included in the header part of the Ethernet frame. The destination IP address, source IP address, and protocol are included in the header part of the IP datagram. The source port number and the destination port number are included in the header part of the UDP user datagram or the header part of the TCP segment.
判断部9は、このような転送を実現するために、ホワイトリスト91をメモリに記憶している。このホワイトリスト91は、ICSネットワーク4状の保護対象機器41〜44との通信を許可する条件(以下、通信許可条件という)が記述されたデータである。
The
より具体的には、ホワイトリスト91は、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコルのうち1つまたは複数のパラメータから成るレコードが、複数個記録されている。
More specifically, in the
複数のレコードのうちいずれか1つのレコードに含まれる全パラメータの値と、あるパケット中の当該パラメータの値とが、一致する場合、当該パケットは、通信許可条件を満たすパケットである。すべてのレコードの各々について、当該レコードに含まれる全パラメータの値と、あるパケット中の当該パラメータの値とが、完全には一致しない場合、当該パケットは、通信許可条件を満たさないパケットである。 When the values of all the parameters included in any one of the plurality of records and the values of the parameters in a certain packet match, the packet is a packet satisfying the communication permission condition. For each of all the records, if the values of all the parameters contained in the record and the values of the parameters in a packet do not completely match, the packet is a packet that does not satisfy the communication permission condition.
例えば、あるレコードには、送信元IPアドレスとして特定のOPCサーバまたは特定のSCADA(Supervisory Control And Data Acquisition)のIPアドレスのみが含まれている場合がある。そのような場合、当該OPCサーバまたはSCADAから送信されたパケットは、すべて通信許可条件を満たす。ここで、当該SCADAおよび当該OPCサーバは、本実施形態に係る通信システムと同じ会社によって所有される装置であってもよいし、そうでなくてもよい。 For example, a record may contain only the IP address of a specific OPC server or a specific SCADA (Supervision Control And Data Acquisition) as a source IP address. In such a case, all packets transmitted from the OPC server or SCADA satisfy the communication permission condition. Here, the SCADA and the OPC server may or may not be devices owned by the same company as the communication system according to the present embodiment.
当該SCADAおよび当該OPCサーバは、いずれも、保護対象機器41〜44と通信することで、保護対象機器41〜44の作動状態の情報の取得および表示、保護対象機器41〜44の制御等を行う装置である。
Both the SCADA and the OPC server communicate with the protected
また例えば、あるレコードには、送信元IPアドレスとして特定のOPCサーバのIPアドレスと、宛先IPアドレスとして保護対象機器41〜44のうち特定の1つの保護対象機器のIPアドレスのみが含まれている場合がある。そのような場合、当該OPCサーバから送信された当該1つの保護対象機器宛のパケットは、すべて通信許可条件を満たす。
Further, for example, a certain record includes only the IP address of a specific OPC server as the source IP address and the IP address of one specific protected device among the protected
また例えば、あるレコードには、送信元IPアドレスとして特定のOPCサーバのIPアドレスと、宛先IPアドレスとして当該1つの保護対象機器のIPアドレスと、プロトコルとしてTCPのみが含まれている場合がある。そのような場合、当該OPCサーバから送信された当該1つの保護対象機器宛のパケットのうち、TCPのプロトコルに従うパケットは、すべて通信許可条件を満たす。 Further, for example, a certain record may include only the IP address of a specific OPC server as the source IP address, the IP address of the one protected device as the destination IP address, and TCP as the protocol. In such a case, among the packets sent from the OPC server to the one protected device, all the packets according to the TCP protocol satisfy the communication permission condition.
以下、このような構成の通信システムの作動について説明する。まず、判断部9によるパケットの配送の作動について説明する。判断部9は、ホワイトリスト91に基づいてパケットの配送を行う。
Hereinafter, the operation of the communication system having such a configuration will be described. First, the operation of packet delivery by the
図14に、判断部9が実行する下り転送処理のフローチャートを示す。判断部9は、この下り転送処理を常に実行している。そして、判断部9は、まずステップ805で、ルータ7からフロントエンドネットワーク4Aに送信されたパケットを受信するまで待機する。
FIG. 14 shows a flowchart of the downlink transfer process executed by the
なお、判断部9は、ステップ805では、ルータ7からフロントエンドネットワーク4Aに送信されたすべてのパケットを受信する。したがって、判断部9は、ルータ7からフロントエンドネットワーク4Aに送信されたパケットの宛先MACアドレスが、どのような値であっても、当該パケットを受信する。
In
フロントエンドネットワーク4Aに送信された1つのパケットを受信すると、判断部9は、ステップ805でそのパケットを受信した後、ステップ810に進み、受信したパケットの内容とホワイトリスト91とを比較する。続いて判断部9は、ステップ815で、ステップ810の比較結果に基づいて、当該パケットが異常なパケットであるか否か判定する。
Upon receiving one packet transmitted to the front-
ホワイトリスト91に記述された通信許可条件を当該パケットが満たす場合、判断部9は当該パケットが異常なパケットでないと判定する。また、ホワイトリスト91に記述された通信許可条件を当該パケットが満たさない場合、判断部9は当該パケットが異常なパケットであると判定する。
When the packet satisfies the communication permission condition described in the
通信許可条件を満たすパケットは、ICSネットワーク4に属する保護対象機器41〜44を宛先とするパケットである。通信許可条件を満たす正規なパケットは、保護対象機器41〜44を制御したり、保護対象機器41〜44から情報を取得したりする目的で生成されるからである。
The packet satisfying the communication permission condition is a packet destined for the protected
したがって、判断部9は、受信したパケットが異常なパケットでないとステップ815で判定した場合は、ステップ820に進み、当該パケットの内容を変えずそのままICSネットワーク4に転送すると共に、当該パケットをシャドウネットワーク4Bに転送しない。ステップ820の後、判断部9はステップ805に戻る。
Therefore, if the
このようにしてICSネットワーク4に転送されたパケットは、当該パケット中の宛先MACアドレスと同じMACアドレスを有する保護対象機器で受信される。このようにして受信されたパケットを以下では受信パケットという。
The packet transferred to the
当該保護対象機器は、受信パケットを受信したことに基づいて、返送用パケットを作成する。この返送用パケットには、宛先IPアドレスとして、当該受信パケットの送信元IPアドレス(例えば、OPCサーバのIPアドレス)が含まれる。またこの返送用パケットには、送信元IPアドレスとして、当該保護対象機器のIPアドレスが含まれる。またこの返送用パケットには、宛先MACアドレスとして、ルータ7のMACアドレスが含まれる。またこの返送用パケットには、送信元MACアドレスとして、当該保護対象機器のMACアドレスが含まれる。また当該保護対象機器は、上述のように作成した返送用パケットを、ICSネットワーク4に送信する。
The protected device creates a return packet based on the received packet. The return packet includes the source IP address of the received packet (for example, the IP address of the OPC server) as the destination IP address. Further, the return packet includes the IP address of the protected device as the source IP address. Further, the return packet includes the MAC address of the
判断部9は、下り転送処理と同時並行で、図15に示す上り転送処理を常時実行している。判断部9は、上り転送処理において、まずステップ910で、ICSネットワーク4からパケットを受信したか否かを判定する。
The
判断部9は、ICSネットワーク4に送信されたパケットのうち、宛先MACアドレスがルータ7のMACアドレスを対象としているすべてのパケットを、受信し、それ以外は受信しない。
The
なお、宛先MACアドレスがルータ7のMACアドレスと同じパケットは、宛先MACアドレスがルータ7のMACアドレスを対象としているパケットである。宛先MACアドレスがルータ7のMACアドレスを含むマルチキャストアドレスであるパケットも、宛先MACアドレスがルータ7のMACアドレスを対象としているパケットである。宛先MACアドレスがブロードキャストアドレスであるパケットも、宛先MACアドレスがルータ7のMACアドレスを対象としているパケットである。
A packet having the same destination MAC address as the MAC address of the
判断部9は、ステップ910でICSネットワーク4からパケットを受信していないと判定した場合、ステップ920に進み、シャドウネットワーク4Bからパケットを受信したか否かを判定する。
If the
判断部9は、シャドウネットワーク4Bに送信されたパケットのうち、宛先MACアドレスがルータ7のMACアドレスを対象としているすべてのパケットを、受信し、それ以外は受信しない。
The
判断部9は、ステップ920でシャドウネットワーク4Bからパケットを受信していないと判定した場合、ステップ910に戻る。このように、判断部9は、ICSネットワーク4からパケットを受信するか、シャドウネットワーク4Bからパケットを受信するまで、ステップ910、920の判定を繰り返す。
If the
そして判断部9は、ステップ910、920の繰り返しの間に、上述のように、ICSネットワーク4の保護対象機器からルータ7宛に送信された返送用パケットを受信したとする。すると判断部9は、ステップ910で、ICSネットワーク4から返送用パケットを受信したと判定し、ステップ930に進む。
Then, it is assumed that the
判断部9は、ステップ930では、受信した上記返送用パケットの内容を変えずそのままフロントエンドネットワーク4Aを介してルータ7に転送する。これにより、当該パケットは、ルータ7から上記受信パケットの送信元(例えばOPCサーバ)に送信される。判断部9は、ステップ930の後、ステップ910に戻る。
In
また、図14の下り転送処理のステップ815において、判断部9は、当該パケットが異常なパケットであると判定すると、ステップ825に進む。このようにステップ325に進む場合は、ホワイトリスト91に記述された通信許可条件を当該パケットが満たさない場合である。
Further, in
通信許可条件を満たさないパケットは、ポートスキャン、マルウェア送信等のための、すなわち、ICSネットワーク4内の保護対象機器41〜44を攻撃するための、パケットである可能性が高い。
Packets that do not satisfy the communication permission conditions are likely to be packets for port scanning, malware transmission, etc., that is, for attacking protected
このようなパケットについては、ICSネットワーク4に転送することは危険である。したがって、第1端末1のHE部11が攻撃者を欺瞞するために複数の仮想ホストを生成しているシャドウネットワーク4Bに、当該パケットを転送することが好ましい。
It is dangerous to forward such packets to the
ステップ825では、当該パケットの宛先がICSネットワーク4内であるか否かを判定する。ICSネットワーク4に属する保護対象機器41〜44のうちどれか1つのIPアドレスに、当該パケットに含まれる宛先IPアドレスが一致していれば、当該パケットの宛先はICSネットワーク4内である。当該パケットに含まれる宛先IPアドレスが、ICSネットワーク4に属する保護対象機器41〜44のうちどの保護対象機器のIPアドレスにも、一致していなければ、当該パケットの宛先はICSネットワーク4内でない。
In
なお、ICSネットワーク4に属する保護対象機器41〜44が自機のIPアドレスとして使用するIPアドレス範囲と、シャドウネットワーク4Bに属するホスト(すなわち、第1端末1、第2端末2、仮想ホスト)が自機のIPアドレスとして使用するIPアドレス範囲とは、重なっていない。つまりICSネットワーク4中のどの保護対象機器41〜44のIPアドレスも、シャドウネットワーク4B中のすべてのホストのIPアドレスと異なる。また、判断部9は、ICSネットワーク4に属するすべての保護対象機器41〜44のIPアドレスの情報をあらかじめ記憶している。
The IP address range used by the protected
当該パケットの宛先がICSネットワーク4内でない場合、当該パケットを送信した攻撃者側の通信装置は、攻撃対象を選定している段階か、あるいは攻撃対象を誤っている。前者なら、当該パケットはポートスキャンのためのパケットである可能性が高い。後者なら、当該パケットはマルウェアを送るためのパケットである可能性が高い。
If the destination of the packet is not within the
このような場合は、判断部9は、ステップ830に進み、当該パケットの内容を変えずそのままシャドウネットワーク4Bに転送する。これにより、当該パケット中の宛先IPアドレスを有する仮想ホストがシャドウネットワーク4B中にあれば、当該パケットを当該仮想ホストが受信する。また、当該パケット中の宛先IPアドレスを有するホストがシャドウネットワーク4B中になければ、当該パケットはどのホストにも受信されない。
In such a case, the
当該パケットを仮想ホストが受信すると、第1端末1は、第1実施形態の図2のステップ105、110、115、120、125、130、135、140、310、320、410、420に示した作動を行う。この際、第1端末1のHE部11は、図2のステップ115にて、当該パケット(以下、受信パケットという)に対する応答(例えば、SYN+ACKパケット)のためのパケット(以下、応答パケットという)をシャドウネットワーク4Bに送信する。
When the virtual host receives the packet, the
この応答パケットには、宛先IPアドレスとして、受信パケット中の送信元IPアドレスが含まれる。また、この応答パケットには、送信元IPアドレスとして、当該仮想ホストのIPアドレスが含まれる。また、この応答パケットには、宛先MACアドレスとして、ルータ7のMACアドレスが含まれる。また、この応答パケットには、送信元MACアドレスとして、当該仮想ホストのMACアドレスが含まれる。
The response packet includes the source IP address in the received packet as the destination IP address. Further, the response packet includes the IP address of the virtual host as the source IP address. Further, this response packet includes the MAC address of the
判断部9は、上り転送処理のステップ910、920の繰り返し中に、この応答パケットがシャドウネットワーク4Bに送信されると、当該応答パケットを受信し、ステップ920で、シャドウネットワーク4Bからパケットを受信したと判定し、ステップ940に進む。
When the response packet is transmitted to the shadow network 4B during the repetition of
判断部9は、ステップ940で、受信した応答パケットの送信元が第2端末2であるか否かを判定する。具体的には、受信した応答パケットの送信元IPアドレスが第2端末2のIPアドレスであるか否かを判定する。あるいは、受信した応答パケットの送信元MACアドレスが第2端末2のMACアドレスであるか否かを判定してもよい。判断部9は、第2端末2のIPアドレスの情報および第2端末2のMACアドレスの情報をあらかじめ記憶している。
In
この応答パケットの送信元は、上述の通り仮想ホストであるので、第2端末2でない。したがって、判断部9は、受信した応答パケットの送信元が第2端末2でないと判定してステップ950に進む。
Since the source of this response packet is the virtual host as described above, it is not the
ステップ950では、判断部9は、受信した上記応答パケットの内容を変えずそのままフロントエンドネットワーク4Aを介してルータ7に転送する。これにより、当該パケットは、ルータ7から上記受信パケットの送信元に、すなわち、攻撃者側の通信装置に、送信される。判断部9は、ステップ950の後、ステップ910に戻る。
In
このように、攻撃対象を選定している段階にあるか、あるいは攻撃対象を誤っている攻撃者の通信装置から、ICSネットワーク4内でない宛先のパケットを受信した場合に、判断部9は、当該パケットをシャドウネットワーク4Bに送信する。これにより、第1実施形態と同様に、仮想ホストの再構成により、攻撃者を欺瞞できる。
In this way, when a packet of a destination not within the
また、判断部9は、ステップ825で、当該パケットの宛先がICSネットワーク4内であると判定した場合、ステップ835に進む。攻撃者の通信装置からのパケットの宛先がICSネットワーク4内の機器である場合、当該パケットを当該機器に受信させることは危険である。
If the
判断部9は、ステップ835で、当該パケットの宛先IPアドレスの内容を、ICSネットワーク4内の当該機器のIPアドレスから、第2端末2のIPアドレスに、書き換える。
In
続いて判断部9は、ステップ840で、当該パケットの宛先MACアドレスの内容を、ICSネットワーク4内の当該機器のMACアドレスから、第2端末2のMACアドレスに、書き換える。
Subsequently, in
続いてステップ845では、ステップ835、840で書き換えられた当該パケットをシャドウネットワーク4Bに転送する。このようにしてシャドウネットワーク4Bに転送された当該パケットは、第2端末2によって受信される。当該パケットの宛先MACアドレスが第2端末2のMACアドレスだからである。なお、ステップ835で宛先IPアドレスを第2端末2のIPアドレスに変更するのは、第2端末2が実行する処理において、当該パケット中の宛先IPアドレスに基づいて、当該パケットが自機宛か否か判定される場合があるからである。
Subsequently, in
判断部9は、ステップ845に続いて、ステップ850で、書き換えられる前の宛先IPアドレスと書き換えられる前の宛先MACアドレスとの組を、元宛先情報として記憶する。書き換えられる前の宛先IPアドレスは、当該パケットが書き換えられる前における当該パケットの宛先IPアドレス、すなわち、当該パケットを判断部9が受信した時点の当該パケットの宛先IPアドレスである。書き換えられる前の宛先MACアドレスは、当該パケットが書き換えられる前における当該パケットの宛先MACアドレス、すなわち、当該パケットを判断部9が受信した時点の当該パケットの宛先MACアドレスである。したがって、判断部9は、当該パケットが当初宛先となっていたICSネットワーク4内の機器のIPアドレスとMACアドレスの組を、元宛先情報として記憶する。
Following
第2端末2の捕獲部22は、このようにして受信した当該パケットに基づいて、第1実施形態の図3のステップ710、720に示した処理を行うことで、マルウェアの捕獲を試みる。これにより、当該パケットがマルウェアを送信するためのものである場合、第2端末2がマルウェアを捕獲できる。また、第2端末2は、ステップ710において、マルウェア捕獲のために、当該パケット(以下、受信パケットという)に応答するパケット(以下、応答パケットという)をシャドウネットワーク4Bに送信する場合がある。
The
この応答パケットは、宛先IPアドレスとして、受信パケット中の送信元IPアドレスが含まれる。また、この応答パケットには、送信元IPアドレスとして、第2端末2のIPアドレスが含まれる。また、この応答パケットには、宛先MACアドレスとして、ルータ7のMACアドレスが含まれる。また、この応答パケットには、送信元MACアドレスとして、第2端末2のMACアドレスが含まれる。
This response packet includes the source IP address in the received packet as the destination IP address. Further, the response packet includes the IP address of the
判断部9は、上り転送処理のステップ910、920の繰り返し中に、この応答パケットがシャドウネットワーク4Bに送信されると、当該応答パケットを受信し、ステップ920で、シャドウネットワーク4Bからパケットを受信したと判定し、ステップ940に進む。
When the response packet is transmitted to the shadow network 4B during the repetition of
判断部9は、ステップ940で、受信した応答パケットの送信元が第2端末2であるか否かを判定する。この応答パケットの送信元は、上述の通り第2端末2である。したがって、判断部9は、受信した応答パケットの送信元が第2端末2であると判定してステップ960に進む。
In
判断部9は、ステップ960で、当該応答パケットの送信元IPアドレスを書き換える。具体的には、ステップ850で元宛先情報として記録されたIPアドレスを、当該応答パケットの送信元IPアドレスに上書きする。
In
続いて判断部9は、ステップ970で、当該応答パケットの送信元MACアドレスを書き換える。具体的には、ステップ850で元宛先情報として記録されたMACアドレスを、当該応答パケットの送信元MACアドレスに上書きする。
Subsequently, the
これにより、当該応答パケットは、当初の攻撃者の標的となっていたICSネットワーク4中の機器から送信されたものであるように偽装され、かつ、第2端末2から送信されたものであることを示す情報が除去される。
As a result, the response packet is disguised as being transmitted from the device in the
続いて判断部9は、ステップ980で、ステップ960、970にて書き換えられた当該パケットを、ルータ7に転送する。これにより、当該パケットは、ルータ7から上記受信パケットの送信元に、すなわち、攻撃者側の通信装置に、送信される。これにより、攻撃者側の通信装置は、第2端末2にマルウェアを捕獲されているにもかかわらず、ICSネットワーク4内のホストを攻撃していると騙される。判断部9は、ステップ980の後、ステップ910に戻る。
Subsequently, the
以上説明した通り、本実施形態では、1つ以上の仮想ホストが属するシャドウネットワーク4Bとは異なるICSネットワーク4に、保護対象の機器41〜44が属する。そして、判断部9は、パケットの内容に基づいて、パケットの転送先をシャドウネットワーク4BとICSネットワーク4の間で切り替える。したがって、保護すべき機器41〜44が属するICSネットワーク4に攻撃のためのパケットが流れにくくなる。その結果、保護すべき機器41〜44の安全性が向上する。
As described above, in the present embodiment, the
また、判断部9は、パケットが正常であるか否かを判定し、パケットが正常である場合、パケットをICSネットワーク4に転送し、パケットが異常である場合、パケットをシャドウネットワーク4Bに転送する。これにより、ICSネットワーク4内の保護対象の機器41〜44が攻撃される可能性が低下する。
Further, the
また、判断部9は、パケットが異常であり、かつ、パケットの宛先が保護対象の機器41〜44である場合、パケットに含まれるパケットの宛先を、第1のネットワーク上の所定の第2端末2に書き換え、書き換えられたパケットをシャドウネットワーク4Bに転送する。その後判断部9は、第2端末2から応答パケットを受信した場合、応答パケットに含まれるパケットの送信元を、保護対象の機器に書き換え、書き換えられた応答パケットを外部のネットワーク4Xに送信する。これにより、攻撃者側の通信装置は、目的の攻撃先の機器にパケットが届いていないにもかかわらず、当該機器を攻撃していると騙される。
Further, when the packet is abnormal and the destination of the packet is the
また、判断部9は、パケットの宛先が基本仮想ホストである場合、パケットをシャドウネットワーク4Bに転送する。これにより、攻撃相手の欺瞞が第1実施形態と同様に可能になる。
Further, when the destination of the packet is the basic virtual host, the
なお、ルータ7は、ICSネットワーク4内のすべての機器41〜44のIPアドレスおよびMACアドレス、第1端末1のIPアドレスおよびMACアドレス、第2端末2のIPアドレスおよびMACアドレスの情報を、あらかじめ記憶していてもよい。
The
あるいは、ルータ7は、ICSネットワーク4内のすべての機器41〜44のIPアドレスおよびMACアドレスの情報を、それら機器41〜44から送信されるパケット(例えば、ARPリクエスト、ARPリプライ)によって、取得しても良い。
Alternatively, the
また、ルータ7は、第1端末1のHE部11によって生成されるすべての仮想ホストのIPアドレスおよびMACアドレスの情報を、それら仮想ホストから送信されるパケット(例えば、ARPリクエスト、ARPリプライ)によって、取得しても良い。
Further, the
(他の実施形態)
なお、本発明は上記した実施形態に限定されるものではなく、適宜変更が可能である。例えば、以下の変形例のうち明らかに矛盾する組み合わせを除く任意の組み合わせを、上記実施形態に適用することができる。
(Other embodiments)
The present invention is not limited to the above-described embodiment, and can be changed as appropriate. For example, any combination of the following modifications except for clearly contradictory combinations can be applied to the above embodiment.
(変形例1)
上記実施形態において、HE部11は、ステップ105を実行する前に、ICSネットワーク4のポートスキャンを行うことで、ICSネットワーク4上に接続された第1端末1以外のすべての通信端末のポート構成を検出してもよい。ポート構成が検出される通信端末は、例えば、上述の制御機器および制御対象機器である。ポート構成が検出される通信端末は、1つでもよいし、複数でもよい。
(Modification example 1)
In the above embodiment, the
この場合、HE部11は、ステップ105において、ポート構成を検出した通信端末毎に、当該通信端末のポート構成と同じポート構成を有すると共に当該通信端と異なるIPアドレスを有する仮想ホストを生成してもよい。ステップ135でも同様である。
In this case, in step 105, the
このように、既にICSネットワーク4上にある1個以上の通信端末と同じポート構成で1個以上の仮想ホストを生成することで、攻撃者を1個以上の仮想ホストに誘導し易くすることができる。また、このようにすることで、第1のネットワーク上にある端末数が仮想的に約2倍になるので、攻撃者が攻撃対象を絞り難くすることができる。
In this way, by generating one or more virtual hosts with the same port configuration as one or more communication terminals already on the
(変形例2)
上記実施形態においては、HE部11は、第2種のポートP2にリクエストがあった場合にのみ、当該第2種のポートP2への通信がマルウェア送信の兆候であれば、ホスト切替部12を起動している。
(Modification 2)
In the above embodiment, the
しかし、必ずしもこのようになっておらずともよい。例えば、HE部11は、第1種のポートP1にリクエストがあった場合でも、当該第1種のポートP1への通信がマルウェア送信の兆候であれば、ホスト再構成部13を起動することなくホスト切替部12を起動してもよい。
However, this does not necessarily have to be the case. For example, the
(変形例3)
上記実施形態において、クラウド6は、HE部11、ホスト切替部12、ホスト再構成部13、接続制御部21、捕獲部22の作動を制御するようになっていてもよい。
(Modification example 3)
In the above embodiment, the
(変形例4)
上記実施形態においては、HE部11によって生成される仮想ホストの数は複数個である。しかし、HE部11によって生成される仮想ホストが1個だけであってもよい。
(Modification example 4)
In the above embodiment, the number of virtual hosts generated by the
(変形例5)
上記早期警戒システムの適用対象は、ICSネットワーク4に限らず、他のネットワークであってもよい。
(Modification 5)
The application target of the early warning system is not limited to the
(変形例6)
上記第2実施形態において、第1端末1、第2端末2、判断部9、シャドウネットワーク4Bのうち任意の1つまたは任意の複数の組み合わせは、仮想的ではなく実際のハードウェアとして実現されていてもよい。
(Modification 6)
In the second embodiment, any one or any combination of the
例えば、判断部9と第1端末1とが互いに別のハードウェアとして実現され得る。この場合、第1端末1と判断部9が、通信端末を構成する。
For example, the
また、第1端末1、第2端末2、判断部9が互いに別のハードウェアとして実現され得る。この場合、第1端末1および第2端末2は、シャドウネットワーク4BではなくICSネットワーク4に属してもよい。
Further, the
(変形例7)
上記第2実施形態における通信システムに対してルータ7を廃し、判断部9がルータ7の機能を具有していてもよい。この場合、判断部9のルータを実現する部分は、シャドウネットワーク4BにARPリクエストを送信してARPリプライを受信することで、シャドウネットワーク4B内の仮想ホストのMACアドレスの情報を取得することができる。
(Modification 7)
The
A、B、C、D、P、Q、R、S、T 仮想ホスト
4 ICSネットワーク
4B シャドウネットワーク
6 クラウド
11 ホストエミュレーション部
12 ホスト切替部
13 ホスト再構成部
14 外部通信部
22 捕獲部
41〜44 保護対象機器
A, B, C, D, P, Q, R, S, T
Claims (11)
前記1個以上の基本仮想ホストのうち第1基本仮想ホスト宛に前記第1のネットワークから通信があったことに基づいて、前記第1基本仮想ホストを前記第1のネットワークから消滅させるよう、前記ホストエミュレーション部を制御するホスト制御部(12、13)と、を備えた通信端末。 A host emulation unit (11) that generates one or more basic virtual hosts (A, B, C, D, P, Q, R, S, T) in the first network (4, 4B).
The first basic virtual host is extinguished from the first network based on the communication from the first network to the first basic virtual host among the one or more basic virtual hosts. A communication terminal including a host control unit (12, 13) that controls a host emulation unit.
前記ホスト再構成部は、前記第1基本仮想ホストを前記第1のネットワークから消滅させた後、前記第1基本仮想ホストのアドレスとは異なるアドレスが付与された追加仮想ホスト(P、Q、R、S、T)を生成するよう、前記ホストエミュレーション部を制御する請求項1または2に記載の通信端末。 The host control unit includes a host reconstruction unit (13).
The host reconfiguration unit eliminates the first basic virtual host from the first network, and then assigns an address different from the address of the first basic virtual host (P, Q, R). , S, T). The communication terminal according to claim 1 or 2, which controls the host emulation unit so as to generate.
前記第1基本仮想ホストは、前記複数個の基本仮想ホストのうち前記第1のネットワークを介して通信があった基本仮想ホストであり、
前記ホスト制御部は、マルウェアを捕獲する機能を有する捕獲用通信部(2)を制御するホスト切替部(12)を備え、
前記ホスト切替部は、前記第1基本仮想ホストが前記第1のネットワークからの通信に対して応答した後、前記第1基本仮想ホストへの通信に前記マルウェアの送信の兆候がある場合に、前記第1基本仮想ホストを前記第1のネットワークから消滅させるよう、前記ホストエミュレーション部を制御すると共に、前記捕獲用通信部を前記第1基本仮想ホストと同じアドレスで前記第1のネットワークに接続させることを特徴とする請求項1ないし3のいずれか1つに記載の通信端末。 The one or more basic virtual hosts are a plurality of basic virtual hosts.
The first basic virtual host is a basic virtual host that communicates via the first network among the plurality of basic virtual hosts.
The host control unit includes a host switching unit (12) that controls a capture communication unit (2) having a function of capturing malware.
When the first basic virtual host responds to the communication from the first network and then the communication to the first basic virtual host shows signs of transmitting the malware, the host switching unit may perform the above. The host emulation unit is controlled so that the first basic virtual host disappears from the first network, and the capture communication unit is connected to the first network at the same address as the first basic virtual host. The communication terminal according to any one of claims 1 to 3, wherein the communication terminal is characterized by.
前記捕獲用通信部は、前記第2のネットワークを介して前記第1基本仮想ホストのアドレスを受信したことに基づいて、前記第1基本仮想ホストと同じアドレスで前記第1のネットワークに接続して前記マルウェアを捕獲することを特徴とする請求項4に記載の通信端末。 The host switching unit transmits the address of the first basic virtual host to the capture communication unit via a second network (5) different from the first network.
The capture communication unit connects to the first network with the same address as the first basic virtual host based on receiving the address of the first basic virtual host via the second network. The communication terminal according to claim 4, wherein the malware is captured.
前記仮想ホスト宛の通信が前記第1のネットワークからあったことに基づいて、前記仮想ホスト宛の通信のログを前記第1のネットワークの外部にある遠隔通信システム(6)に送信し始める外部通信部(14)と、を備えた通信端末。 A host emulation unit (11) that generates virtual hosts (A, B, C, D, P, Q, R, S, T) in the first network (4, 4B), and
External communication that starts transmitting a log of communication addressed to the virtual host to a remote communication system (6) outside the first network based on the communication addressed to the virtual host from the first network. A communication terminal provided with a unit (14).
前記1個以上の基本仮想ホストが属する前記第1のネットワークとは異なる保護ネットワーク(4)に、保護対象の機器(41〜44)が属し、
前記判断部は、前記パケットの内容に基づいて、前記パケットの転送先を前記第1のネットワークと前記保護ネットワークの間で切り替えることを特徴とする請求項1ないし7のいずれか1つに記載の通信端末。 Equipped with a judgment unit (9) for forwarding packets
The devices (41 to 44) to be protected belong to the protection network (4) different from the first network to which the one or more basic virtual hosts belong.
The determination unit according to any one of claims 1 to 7, wherein the determination unit switches the forwarding destination of the packet between the first network and the protection network based on the content of the packet. Communication terminal.
The communication terminal according to claim 8 to 10, wherein the determination unit transfers the packet to the first network when the destination of the packet is one or more basic virtual hosts.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2017/038915 WO2018079716A1 (en) | 2016-10-27 | 2017-10-27 | Communication device |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016210845 | 2016-10-27 | ||
JP2016210845 | 2016-10-27 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018073397A JP2018073397A (en) | 2018-05-10 |
JP6932375B2 true JP6932375B2 (en) | 2021-09-08 |
Family
ID=62115560
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017196360A Active JP6932375B2 (en) | 2016-10-27 | 2017-10-06 | Communication device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6932375B2 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3852346A4 (en) * | 2018-09-14 | 2022-06-08 | Kabushiki Kaisha Toshiba | Communication control device |
JP7307648B2 (en) * | 2019-09-30 | 2023-07-12 | 株式会社日本総合研究所 | System, decoy PC, control device, method and program for reverse phishing against phishing mail |
WO2023282263A1 (en) * | 2021-07-08 | 2023-01-12 | 国立大学法人名古屋工業大学 | Communication monitoring system in control network |
-
2017
- 2017-10-06 JP JP2017196360A patent/JP6932375B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2018073397A (en) | 2018-05-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Handley et al. | Internet denial-of-service considerations | |
EP3355514B1 (en) | Method and device for transmitting network attack defense policy and method and device for defending against network attack | |
CN105743878B (en) | Dynamic service handling using honeypots | |
US10931711B2 (en) | System of defending against HTTP DDoS attack based on SDN and method thereof | |
EP2991292B1 (en) | Network collaborative defense method, device and system | |
US20120227088A1 (en) | Method for authenticating communication traffic, communication system and protective apparatus | |
US20190058731A1 (en) | User-side detection and containment of arp spoofing attacks | |
CN105227515A (en) | Network intrusions blocking-up method, Apparatus and system | |
JP6932375B2 (en) | Communication device | |
CN104717205A (en) | Industrial control firewall control method based on message reconstitution | |
US7773540B1 (en) | Methods, system and apparatus preventing network and device identification | |
Kavisankar et al. | A mitigation model for TCP SYN flooding with IP spoofing | |
WO2016177131A1 (en) | Method, apparatus, and system for preventing dos attacks | |
CN108667829B (en) | Network attack protection method, device and storage medium | |
WO2019096104A1 (en) | Attack prevention | |
JP2008306610A (en) | Illicit intrusion/illicit software investigation system, and communicating switching device | |
Li et al. | Bijack: Breaking Bitcoin Network with TCP Vulnerabilities | |
Xiaorong et al. | Security analysis for IPv6 neighbor discovery protocol | |
Belenguer et al. | A low-cost embedded IDS to monitor and prevent Man-in-the-Middle attacks on wired LAN environments | |
JP2010193083A (en) | Communication system, and communication method | |
Singh et al. | A detailed survey of ARP poisoning detection and mitigation techniques | |
CN116319028A (en) | Rebound shell attack interception method and device | |
WO2018079716A1 (en) | Communication device | |
Khurana | A security approach to prevent ARP poisoning and defensive tools | |
Nenovski et al. | Real-world ARP attacks and packet sniffing, detection and prevention on windows and android devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200918 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210803 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210811 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6932375 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |