JP6836460B2 - ネットワークシステム、ネットワーク管理サーバ、ネットワーク制御方法およびプログラム - Google Patents

ネットワークシステム、ネットワーク管理サーバ、ネットワーク制御方法およびプログラム Download PDF

Info

Publication number
JP6836460B2
JP6836460B2 JP2017103184A JP2017103184A JP6836460B2 JP 6836460 B2 JP6836460 B2 JP 6836460B2 JP 2017103184 A JP2017103184 A JP 2017103184A JP 2017103184 A JP2017103184 A JP 2017103184A JP 6836460 B2 JP6836460 B2 JP 6836460B2
Authority
JP
Japan
Prior art keywords
switch
layer
information
mac address
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017103184A
Other languages
English (en)
Other versions
JP2018121320A (ja
Inventor
宏征 吉野
宏征 吉野
雅也 新井
雅也 新井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alaxala Networks Corp
Original Assignee
Alaxala Networks Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alaxala Networks Corp filed Critical Alaxala Networks Corp
Priority to US15/865,344 priority Critical patent/US20180212982A1/en
Publication of JP2018121320A publication Critical patent/JP2018121320A/ja
Application granted granted Critical
Publication of JP6836460B2 publication Critical patent/JP6836460B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、ネットワーク装置への情報の設定に関し、特に、ネットワーク内で検知した攻撃を遮断するための情報をネットワーク装置へ設定する技術に関する。
近年、人の心理や情報システムの脆弱性を巧みに突いて、インターネット経由で不正プログラムを企業・組織に侵入させる標的型サイバー攻撃が増加している。標的型サイバー攻撃は、年々高度化、巧妙化、多様化しており、攻撃に対抗するための手段として、ソフトウェアの動作やネットワーク上の通信の振る舞いから攻撃を見つけ出す振る舞い検知装置が実用化されている。このうち、ネットワーク上の通信の振る舞いから攻撃を見つけ出す振る舞い検知装置は、ネットワーク装置からミラーリングされたトラフィックを監視し、外部ネットワークからの不審データの侵入、内部ネットワークから外部ネットワークの不正なウェブサイトへの接続、不審な通信やファイルの検知、統計分析等による異常検知を行うことにより、ウィルス定義書のパターンファイルとのマッチングだけでは検出できない攻撃を検知する。
また、標的型サイバー攻撃により万が一企業・組織内に不正プログラムが侵入した場合に、迅速な初動対応を行って被害範囲を最小化することを目的とし、振る舞い検知装置とSDN(Software Defined Networking)技術を連携させ、振る舞い検知装置が検知したイベントをトリガとし、SDN連携アダプタによりネットワークの遮断/隔離を自動化するソリューションも提案されている。
特開平10−56451
http://jpn.nec.com/sdn/pdf/NEC_SDN_cyber_trendmicro.pdf
前述の振る舞い検知装置は、不審な通信を検知し、宛先IP(Internet Protocol)アドレスや送信元IPアドレス、プロトコルタイプ等の通信の内容を出力する。振る舞い検知装置と連携して通信の遮断/隔離を行う場合には、IPアドレスを指定してネットワーク側に通信の遮断指示を出すことになる。指定されたIPアドレスから端末を特定する方法として、特許文献1に記載の技術がある。特許文献1のARP(Address Resolution Protocol)テーブルに基づく端末の特定では、ネットワークにレイヤ3スイッチが含まれる場合、レイヤ3スイッチまでしか特定できない。ネットワークがさらにレイヤ2スイッチを含む階層構造のネットワークであった場合には、レイヤ3スイッチを特定し、レイヤ3スイッチに通信を遮断するためのフィルタを設定しても、レイヤ2スイッチ間のレイヤ2中継で不正プログラムが別の端末に感染し、被害が拡大することを防ぐことができない。
振る舞い検知装置から通知された遮断対象のIPアドレスが不正プログラムに対して指示を出すC&C(Command and Control)サーバの場合は、C&Cサーバとの接点、つまりインターネットと直接接続しているネットワーク機器の該当ポートに対して通信を遮断するフィルタを設定すればよい。この設定によって、攻撃を受けて不正プログラムが潜伏しているが、振る舞い検知装置で検知できていない端末が他にあったとしても、その端末からC&Cサーバとの通信も遮断することができ、フィルタの適用数も最も少なく、効率のよい最適な通信遮断位置となる。インターネットと直接接続しているポートは、ネットワーク構成から自明であり、C&C(Command and Control)サーバに対する最適な通信遮断位置は、あらかじめ管理者が決めておくことが可能である。
一方、振る舞い検知装置から通知された遮断対象のIPアドレスが不正プログラムに感染した端末のIPアドレスの場合、最適な通信遮断位置を特定することは容易ではない。この場合、端末が直接LAN(Local Area Network)ケーブルで接続しているレイヤ2スイッチのポートにフィルタを設定することが、別サブネットへの通信も、同一ネットワーク装置でレイヤ2中継される通信も遮断することができるとともに、フィルタの適用数も最も少なく、効率のよい最適な通信遮断位置となる。しかし、振る舞い検知装置からはIPアドレスしか通知されないため、従来の端末特定技術では、レイヤ3スイッチが学習しているARP(Address Resolve Protocol)情報から端末のMAC(Media Access Control)アドレスを求め、FDB(Filtering DataBase)情報から該当MACアドレスを学習したポートをフィルタの適用対象の候補とする。しかし、レイヤ2スイッチが複数階層化されたネットワーク構成では、FDB情報だけでは、どのレイヤ2スイッチが端末と直接接続ないし、最もホップ数の少ないネットワーク装置なのか特定できないという課題がある。
さらに、通信を遮断された端末の利用者は、機器の故障によりネットワークに到達できないのか、不正プログラムに感染したため通信が遮断されたのか区別することができなかった。
さらに、不正プログラムに感染した端末が持ち運ばれるなどして別のレイヤ2スイッチのポートに接続されたり、端末のIPアドレスが変更されたりした場合には、ポートの移動やIPアドレスの変更を検出し、最適な通信遮断位置を特定し直す必要がある。
本発明は、上記課題を解決するためになされたもので、不正プログラムに感染した端末の通信を遮断するためのフィルタを、ネットワーク内の最適な位置に設定し、通信の遮断を最少のフィルタ数で実現する技術を提供することを目的とする。
また、本発明は、通信を遮断された端末の利用者が、機器の故障によりネットワークに到達できないのか、不正プログラムに感染したため通信が遮断されたのか区別できるようにすることを目的とする。
また、不正プログラムに感染した端末が別のポートに接続されたり、端末のIPアドレスが変更されたりした場合にも、通信遮断位置を特定し直して通信の遮断を行うことを目的とする。
前記課題を解決するために、本発明においては、一例として、
少なくともひとつのレイヤ3スイッチと、複数のレイヤ2スイッチを有するネットワークシステムであって、
前記ネットワークシステムは、さらに、前記ネットワークシステムの通信の振る舞いを監視して攻撃を検知する振る舞い検知部と、
前記振る舞い検知部が出力した検知結果を受け取るとともに、前記レイヤ2スイッチが収容する端末装置に割り当てられたIPアドレスおよびMACアドレスを対応づけるためのARP情報と、前記レイヤ3スイッチおよび前記レイヤ2スイッチのポートのMACアドレス学習情報と、前記レイヤ3スイッチおよび前記レイヤ2スイッチの隣接情報と、をそれぞれ前記レイヤ3スイッチおよび前記レイヤ2スイッチから収集して組み合わせたフィルタ設定対象装置特定情報テーブルを作成し、前記検知結果のIPアドレスに対応するMACアドレスを学習したポートの隣接情報が前記レイヤ3スイッチおよび前記レイヤ2スイッチのいずれでもないエントリを前記フィルタ設定対象装置特定情報テーブルから検索し、前記検索されたエントリに示されるレイヤ2スイッチを前記振る舞い検知部が検知した攻撃を遮断するための設定を行う対象のスイッチとして特定し、前記特定したスイッチに攻撃を遮断するための設定を行うネットワーク管理部を有し、
さらに、前記ネットワーク管理部は、前記検索されたエントリに含まれるMACアドレス学習情報を記憶し、予め決められたタイミングまたは前記ネットワーク管理部の管理者の指示により、前記収集したMACアドレス情報に前記記憶したMACアドレス学習情報が含まれるかどうかを確認し、含まれていなかった場合に、前記振る舞い検知部が検知した攻撃を遮断するための設定を行う対象のスイッチを特定する処理を再実行し、前記再実行により特定したスイッチに攻撃を遮断するための設定を行うようにしたものである。
あるいは、別の例として、
少なくともひとつのレイヤ3スイッチと、複数のレイヤ2スイッチを有するネットワークシステムであって、
前記ネットワークシステムは、さらに、前記ネットワークシステムの通信の振る舞いを監視して攻撃を検知する振る舞い検知部と、
前記振る舞い検知部が出力した検知結果を受け取るとともに、前記レイヤ2スイッチが収容する端末装置に割り当てられたIPアドレスおよびMACアドレスを対応づけるためのARP情報と、前記レイヤ3スイッチおよび前記レイヤ2スイッチのポートのMACアドレス学習情報と、前記レイヤ3スイッチおよび前記レイヤ2スイッチの隣接情報と、をそれぞれ前記レイヤ3スイッチおよび前記レイヤ2スイッチから収集して組み合わせたフィルタ設定対象装置特定情報テーブルを作成し、前記検知結果のIPアドレスに対応するMACアドレスを学習したポートの隣接情報が前記レイヤ3スイッチおよび前記レイヤ2スイッチのいずれでもないエントリを前記フィルタ設定対象装置特定情報テーブルから検索し、前記検索されたエントリに示されるレイヤ2スイッチを前記振る舞い検知部が検知した攻撃を遮断するための設定を行う対象のスイッチとして特定し、前記特定したスイッチに攻撃を遮断するための設定を行うネットワーク管理部を有し、
さらに、前記ネットワーク管理部は、前記検索されたエントリに含まれるARP情報を記憶し、予め決められたタイミングまたは前記ネットワーク管理部の管理者の指示により、前記収集したARP情報に前記記憶したARP情報が含まれるかどうかを確認し、含まれていなかった場合に、前記振る舞い検知部が検知した攻撃を遮断するための設定を行う対象のスイッチを特定する処理を再実行し、前記再実行により特定したスイッチに攻撃を遮断するための設定を行うようにしたものである。
また、前記ネットワーク管理部は、前記特定したレイヤ2スイッチに対し、前記攻撃を受けた端末装置の通信を遮断するフィルタを設定し、
前記レイヤ2スイッチは、さらに、前記通信を遮断した端末装置に対し、攻撃を検知したために通信を遮断したことを通知する遮断メッセージ通知部を有してもよい。
本発明によれば、不正プログラムに感染した端末の通信を遮断するためのフィルタを、ネットワーク内の最適な位置に設定し、通信の遮断を最少のフィルタ数で実現することができる。
また、本発明は、通信を遮断された端末の利用者は、機器の故障によりネットワークに到達できないのか、不正プログラムに感染したため通信が遮断されたのか区別することができる。
また、不正プログラムに感染した端末が別の装置のポートに接続された場合や、不正プログラムに感染した端末のIPアドレスが変更された場合にも、ネットワーク内の最適な位置での通信の遮断を継続できる。
本発明の一実施例におけるネットワークシステム構成を説明する図である。 本発明の一実施例におけるネットワーク管理サーバの構成を説明する図である。 本発明の一実施例におけるネットワーク装置の構成を説明する図である。 コントローラが収集したARP情報を示す図である。 コントローラが収集したFDB情報を示す図である。 コントローラが収集したLLDP情報を示す図である。 本発明の一実施例におけるネットワーク管理サーバの通信遮断動作を示すシーケンス図である。 本発明の一実施例におけるネットワーク管理サーバの設定動作を示すフローチャートである。 コントローラがARP情報とFDB情報を組み合わせて作ったフィルタ設定対象装置絞り込み情報を示す図である。 コントローラがARP情報とFDB情報とLLDP情報を組み合わせて作ったフィルタ設定対象装置特定情報を示す図である。 本発明の一実施例におけるネットワーク管理サーバの構成を説明する図である。 本発明の一実施例におけるポート移動監視情報を説明する図である。 本発明の一実施例におけるFDB情報を示す図である。 本発明の一実施例におけるポート移動監視情報の設定処理を説明するフローチャートである。 本発明の一実施例におけるポート移動監視部の処理を説明するフローチャートである。 本発明の一実施例におけるネットワーク管理サーバの構成を説明する図である。 本発明の一実施例におけるIP変更監視情報を説明する図である。 本発明の一実施例におけるARP情報を示す図である。 本発明の一実施例におけるIP変更監視情報の設定処理を説明するフローチャートである。 本発明の一実施例におけるIP変更検出処理を説明するフローチャートである。
以下、本発明を実施するための形態を、複数の実施例を示して説明する。
まず、第1の実施例を以下の順序で説明する。
1.1 システム構成
1.2 ネットワーク管理サーバの構成
1.3 ネットワーク装置の構成
1.4 テーブルの内容
1.5 攻撃を検知した場合の通信遮断動作
1.6 実施例効果
[1.1 システム構成]
図1は、本発明の一実施例におけるネットワークシステムの構成を示す説明図である。
図1のネットワークシステムは、ネットワークを構成するネットワーク装置であるレイヤ3スイッチS10、レイヤ2スイッチS20、レイヤ2スイッチS30、レイヤ2スイッチS40と、これらのネットワーク装置を管理するネットワーク管理サーバS50と、ネットワークを監視する振る舞い検知装置S60で構成される。ネットワーク管理サーバは、ネットワーク管理サーバ上で動作するプログラムであるコントローラC10を備える。
レイヤ3スイッチS10は、ポートP11を介してインターネットと、ポートP12を介して振る舞い検知装置S60と、ポートP13を介してネットワーク管理サーバS50と、ポートP14を介してレイヤ2スイッチS20と、ポートP15を介してレイヤ2スイッチS40と接続している。
レイヤ2スイッチS20は、ポートP21を介してレイヤ3スイッチS10と、ポートP22を介してレイヤ2スイッチS30と、ポートP23を介してユーザ端末U30と接続している。
レイヤ2スイッチS30は、ポートP31を介してレイヤ2スイッチS20と、ポートP32を介してユーザ端末U10と、ポートP33を介してユーザ端末U20と接続している。
レイヤ2スイッチS40は、ポートP41を介してレイヤ3スイッチS10と、ポートP42を介してユーザ端末U40と接続している。
[1.2 ネットワーク管理サーバの構成]
図2は、本発明の一実施例におけるネットワーク管理サーバの構成を示す説明図である。
ネットワーク管理サーバS50は、演算をするためのCPU(Central Processing Unit)と、プログラムを格納するためのメモリと、他のネットワーク装置に回線を介して接続するためのネットワークIF(InterFace)を備え、それぞれがバスで接続されている。メモリには、プログラムであるコントローラC10が格納され、メモリに格納されたプログラムをCPUが実行することでコントローラC10の各機能を実現する。
コントローラC10は、ネットワーク装置の情報を収集するモジュールである装置情報収集部M51と、振る舞い検知装置からの指示を受信するモジュールである設定指示受信部M52と、前記指示に従いフィルタ等を設定する対象のネットワーク装置を特定するトポロジ計算部M53と、ネットワーク装置に設定を実施する装置設定制御部M54と、前述の装置情報収集部M51で収集したネットワーク装置の情報を格納するテーブルであるARP情報T10、FDB情報T20、LLDP(Link Layer Discovery Protocol)情報T30で構成される。各テーブルの内容は図4〜6で後述する。
[1.3 ネットワーク装置の内容]
図3は、本発明の一実施例におけるネットワーク装置の構成を示す説明図である。
本実施例においてレイヤ2スイッチS20、S40も同様の構成を備えるが、ここではレイヤ2スイッチS30を例として説明する。なお、レイヤ3スイッチS10はレイヤ2スイッチの構成に加えて、レイヤ3中継するためのパケット中継部を備える点が異なる。
レイヤ2スイッチS30は、他のネットワーク装置等と通信するための複数のポート(図3のP31、P32、P33…)を備える。レイヤ2スイッチS30は、ポートで受信したレイヤ2フレームをVLAN(Virtual LAN)、FDB、およびフィルタ機能に従い、レイヤ2中継するためのフレーム転送部を備える。また、本実施例のレイヤ2スイッチS30は、さらに、フィルタでフレームを廃棄したことをユーザに通知するために遮断メッセージを応答する遮断メッセージ応答部Q10を備えることを特徴とする。本実施例ではメッセージ応答部Q10は、レイヤ2中継するHTTP(HyperText Transfer Procotol)のGETリクエストをスヌーピングし、応答として通信が遮断されていることを伝えるためのHTML(HyperText Markup Language)コンテンツをユーザに送信するが、ユーザへ通信が遮断されていることの通知はどのような手段を用いてもよい。
[1.4 テーブルの内容]
各テーブルの内容について、次に説明する。
図4を用いてARP情報を説明する。ARP情報T10は、コントローラC10が管理対象のネットワーク装置(すなわちレイヤ3スイッチS10、レイヤ2スイッチS20、レイヤ2スイッチS30、レイヤ2スイッチS40)から収集したARP情報を元に生成され、収集元の装置を識別するID(IDentifier)である装置L11、IPアドレスL12、MACアドレスL13、出力先インタフェースL14で構成される。本実施例では、レイヤ3スイッチS10でのみARP学習をするため、装置L11はS10が格納される。ユーザA端末U10はIPアドレス IP−AとMACアドレス MAC−Aを備え、VLAN10に所属しているため、装置L11がS10、IPアドレスL12がIP−A、MACアドレスL13がMAC−A、出力先インタフェースがVLAN10のエントリとして格納する。ユーザB端末U20は、装置L11がS10、IPアドレスL12がIP−B、MACアドレスL13がMAC−B、出力先インタフェースがVLAN20のエントリとして格納する。ユーザC端末U30は、装置L11がS10、IPアドレスL12がIP−C、MACアドレスL13がMAC−C、出力先インタフェースがVLAN10のエントリとして格納する。ユーザD端末U40は、装置L11がS10、IPアドレスL12がIP−D、MACアドレスL13がMAC−D、出力先インタフェースがVLAN10のエントリとして格納している。
図5を用いてFDB情報を説明する。
FDB情報T20は、コントローラC10が管理対象のネットワーク装置から収集したFDB情報を元に生成され、装置L21、MACアドレスL22、学習インタフェースL23、学習ポートL24で構成される。本実施例では、VLAN10がレイヤ3スイッチのポートP14、P15、レイヤ2スイッチS20のポートP21、P22、P23、レイヤ2スイッチS30のポートP31、P32、レイヤ2スイッチS40のポートP41、P42、P43で構成されているとして説明する。ユーザA端末U10のMAC−Aはレイヤ3スイッチS10のポートP14、レイヤ2スイッチS20のポートP22、レイヤ2スイッチS30のポートP32で学習する。その結果、装置L21がS10、MACアドレスL22がMAC−A、学習インタフェースL23がVLAN10、学習ポートL24がP14のエントリと、装置L21がS20、MACアドレスL22がMAC−A、学習インタフェースL23がVLAN10、学習ポートL24がP22のエントリと、装置L21がS30、MACアドレスL22がMAC−A、学習インタフェースL23がVLAN10、学習ポートL24がP32のエントリを格納する。
同様にユーザC端末U30のMAC−Cについては、装置L21がS10、MACアドレスL22がMAC−C、学習インタフェースL23がVLAN10、学習ポートL24がP14のエントリと、装置L21がS20、MACアドレスL22がMAC−C、学習インタフェースL23がVLAN10、学習ポートL24がP23のエントリを格納する。
ユーザD端末U40のMAC−Dについては、装置L21がS10、MACアドレスL22がMAC−D、学習インタフェースL23がVLAN10、学習ポートL24がP15のエントリと、装置L21がS40、MACアドレスL22がMAC−D、学習インタフェースL23がVLAN10、学習ポートL24がP42のエントリを格納している。
また、VLAN20がレイヤ3スイッチのポートP14、レイヤ2スイッチS20のポートP21、P22、レイヤ2スイッチS30のポートP33で構成されているとすると、ユーザB端末U20のMAC−Bはレイヤ3スイッチS10のポートP14、レイヤ2スイッチS20のポートP22、レイヤ2スイッチS30のポートP33で学習する。その結果、装置L21がS10、MACアドレスL22がMAC−B、学習インタフェースL23がVLAN20、学習ポートL24がP14のエントリと、装置L21がS20、MACアドレスL22がMAC−B、学習インタフェースL23がVLAN20、学習ポートL24がP22のエントリと、装置L21がS30、MACアドレスL22がMAC−B、学習インタフェースL23がVLAN20、学習ポートL24がP33のエントリを格納している。
次に、図6を用いてLLDP情報を説明する。
LLDP情報T30は、コントローラC10が管理対象のネットワーク装置から収集したLLDP情報を元に生成され、装置L31、受信ポートL32、対向装置L33、接続先ポートL34で構成される。本実施例では、すべてのネットワーク装置がLLDP機能を有効にしており、隣接ネットワーク装置にLLDPの制御フレームを送信しているとして説明する。レイヤ3スイッチS10はレイヤ2スイッチS20とレイヤ2スイッチS40から、レイヤ2スイッチS20はレイヤ3スイッチS10とレイヤ2スイッチS30から、レイヤ2スイッチS30はレイヤ2スイッチS20から、レイヤ2スイッチS40はレイヤ3スイッチS10からLLDPの制御フレームを受信する。
コントローラC10が管理対象のネットワーク装置から収集したLLDP情報を元にLLDP情報T30を生成した結果が図6であり、装置L31がS10、受信ポートL32がP14、対向装置L33がS20、接続先ポートL34がP21のエントリと、装置L31がS10、受信ポートL32がP15、対向装置L33がS40、接続先ポートL34がP41のエントリと、装置L31がS20、受信ポートL32がP21、対向装置L33がS10、接続先ポートL34がP14のエントリと、装置L31がS20、受信ポートL32がP22、対向装置L33がS30、接続先ポートL34がP31のエントリと、装置L31がS30、受信ポートL32がP31、対向装置L33がS20、接続先ポートL34がP22のエントリと、装置L31がS40、受信ポートL32がP41、対向装置L33がS10、接続先ポートL34がP15のエントリを格納している。
図4、図5、図6で説明した各情報テーブルは、コントローラC10の装置情報収集部M51が定期的に管理対象のネットワーク装置(つまりレイヤ3スイッチS10、レイヤ2スイッチS20、レイヤ2スイッチS30、レイヤ2スイッチS40)からSNMP(Simple Network Management Protocol)などの手段を用いて情報収集、および更新を実施する。
[1.5 攻撃を検知した場合の通信遮断動作]
図7は、本発明の一実施例におけるネットワーク管理サーバの通信遮断動作を示すシーケンス図である。
図7は、ユーザA端末U10が標的型サイバー攻撃を受け、感染したユーザA端末U10が不正プログラムによる通信を開始し、この不審な通信を振る舞い検知装置S60で攻撃として検知し、通信の遮断をコントローラC10に指示するまでの処理の流れを示している。
ユーザA端末U10に感染した不正プログラムは、攻撃のためにインターネット上にあるC&CサーバS70と通信を行う(M10)。通信の中継地点であるレイヤ2スイッチS30は、通信を振る舞い検知装置S60にミラーリングする(M20)。本実施例では振る舞い検知装置S60はネットワーク装置に接続された外部装置として配置しているため通信をミラーリングしているが、ネットワーク装置自体が振る舞い検知機能を備えていてもよく、機能の実装位置は限定しない。ミラーリングされた通信を解析し、ユーザA端末U10が不正プログラムに感染していることを検出した振る舞い検知装置S60は、ユーザA端末U10のIPアドレスであるIP−Aの通信を遮断するよう、コントローラC10に指示を出す(M30)。振る舞い検知装置S60からの通信遮断指示M30を受信したコントローラC10は、ネットワーク装置から収集した情報に基づいて、通信遮断設定を設定する対象のネットワーク装置を特定する(F10)。
図8はネットワーク装置を特定する処理(F10)の詳細を示すフローチャート図である。
振る舞い検知装置S60から、ユーザA端末U10のIPアドレスであるIP−Aの通信遮断指示M30を設定指示受信部M52で受信(F11)したコントローラC10は、トポロジ計算部M53でARP情報テーブルT10、FDB情報テーブルT20を組み合わせて通信遮断のためのフィルタ設定を行うネットワーク装置を絞り込むための情報テーブルを作成する。ARP情報T10のMACアドレスL13とFDB情報テーブルT20のMACアドレスL22の値が同じ、かつARP情報T10の出力先インタフェースL14とFDB情報T20の学習インタフェースL23の値が同じものを組み合わせることで図9のフィルタ設定対象装置絞り込み情報テーブルT40を作成する。
図9のフィルタ設定対象装置絞り込み情報テーブルT40は、装置L41、IPアドレスL42、MACアドレスL43、学習インタフェースL44、学習ポートL45を備える。ここで、IPアドレスL42の値がIP−Aであるものを絞り込むと、フィルタ適用先候補であるエントリK10、エントリK20、エントリK30を抽出することができる。しかし、エントリK30の示すレイヤ2スイッチS40にフィルタを設定すると、エントリK10、エントリK20の示すネットワーク装置に設定したフィルタは使用されない無駄なフィルタとなる。また、レイヤ3スイッチS10、レイヤ2スイッチS20にフィルタを設定しても、レイヤ2スイッチS30のポート間の通信が可能なため、不正プログラムがユーザB端末U20に感染することが可能となる。
この問題を解決するためにARP情報T10、FDB情報T20だけではなく、さらにLLDP情報T30も組み合わせて情報テーブルを作成する。ARP情報T10のMACアドレスL13とFDB情報テーブルT20のMACアドレスL22の値が同じ、かつARP情報T10の出力先インタフェースL14とFDB情報T20の学習インタフェースL23の値が同じ、かつFDB情報T20の学習ポートL24とLLDP情報T30の受信ポートL32が同じものを組み合わせることで図10のフィルタ設定対象装置特定情報テーブルT50を作成する(F12)。
なお、本実施例では情報テーブルT50は振る舞い検知装置S60からの通信遮断指示を受信した契機で作成しているが、各情報テーブルT10、T20、T30を更新する契機で作成してもよい。
図10のフィルタ設定対象装置特定情報テーブルT50は、装置L51、IPアドレスL52、MACアドレスL53、学習インタフェースL54、学習ポートL55、対向装置L56を備える。ここで、IPアドレスL52の値がIP−Aであり、かつ対向装置がネットワーク装置ではないエントリを絞り込むと、エントリK40を抽出することができる(F13)。フィルタ設定対象装置特定情報テーブルT50からエントリが抽出できなかった場合、各情報テーブルの更新を待って再度トポロジ計算部でフィルタ設定対象装置特定情報テーブルT50からエントリが抽出できるまで繰り返す(F14)。コントローラC10の装置設定制御部M54はこのエントリK40の示すレイヤ2スイッチS30にフィルタを設定する(F15)。なお、本実施例ではLLDPを用いて隣接装置がネットワーク装置か否かの判定を行っているが手段は限定しない。
図7に戻り、設定先装置を特定したコントローラC10は、さらに、レイヤ2スイッチS30にフィルタ設定により通信を遮断したことをユーザに通知するための設定を実施する(M40)。通信が遮断されたことによって外部と通信することができなくなったユーザA端末U10の利用者はインターネットないしネットワークとの接続確認のためにWebブラウザからWebアクセスを試みる(M50)。Webアクセスを受けたレイヤ2スイッチはフィルタでユーザA端末U10からの通信を廃棄するとともに、遮断メッセージ応答部Q10から通信が遮断されていることをユーザA端末U10の利用者に教えるための遮断メッセージをWebアクセスの応答として送信する(M60)。遮断メッセージがWebブラウザに表示されたユーザは、利用しているユーザ端末が不正プログラムに感染していることに利用者自身もいち早く気づき、情報システム管理者と連携して被害範囲の最小化が可能となる。なお、本実施例ではレイヤ2スイッチが遮断メッセージ応答部Q10を備えているが、サーバ上で動作するプログラムとして実装してもよく、実装位置は限定しない。
[1.6 実施例効果]
以上、説明した第一の実施例のネットワークシステムでは、不正プログラムに感染したユーザ端末の通信遮断を最少のフィルタ数で実現することができる。また、ユーザのWebブラウザに遮断メッセージを表示することで不正プログラムへの感染を早期に気付かせることが可能となる。
次に、第二の実施例について説明する。
図1に示したネットワーク構成において、さらに、レイヤ2スイッチとユーザ端末間にハブを設け、ハブに複数のユーザ端末を収容し、ハブがレイヤ2スイッチのポートに接続されるネットワーク構成を例として考える。このようなネットワーク構成においては、不正プログラムに感染した端末の通信を遮断し感染した端末以外の通信を継続するために、レイヤ2スイッチのフィルタに通信を遮断する端末のIPアドレスまたはMACアドレスを設定することが考えられる。通信を遮断する端末のIPアドレスまたはMACアドレスがフィルタに設定された場合、不正プログラムに感染した端末の利用者がその端末を別のレイヤ2スイッチのポートに接続すると、通信を継続することが可能となってしまう。
第二の実施例は、不正プログラムに感染した端末が、持ち運ばれるなどして別のレイヤ2スイッチのポートに接続された場合にも、移動を検知し、通信遮断を実現する実施例である。
本実施例では、通信を遮断した対象の端末が別のレイヤ2スイッチのポートに接続されたことをネットワーク管理サーバのコントローラが検知し、移動先のポートに通信を遮断するフィルタを設定する技術について、以下の順序で説明する。
2.1 ネットワーク管理サーバの構成
2.2 テーブルの内容
2.3 ポート移動監視情報の格納
2.4 ポート移動を検知した場合の通信遮断動作
2.5 実施例効果
[2.1 ネットワーク管理サーバの構成]
図11は本発明の第二の実施例におけるネットワーク管理サーバの構成を説明する図である。
図11のネットワーク管理サーバS51は、第一の実施例で説明したネットワーク管理サーバS50の構成に加えて、ポート移動検出部M100と、ポート移動監視情報T100を備える。ポート移動検出部M100は、通信遮断対象のポート移動を検出するモジュールである。ポート移動監視情報T100は、ポート移動を監視するための情報を格納するテーブルである。ポート移動監視情報T100のテーブルの内容は図12で後述する。
[2.2 テーブルの内容]
図12は、ポート移動監視情報を説明する図である。
ポート移動監視情報T100は、通信を遮断した端末のポート移動を監視するための情報であり、装置L101、MACアドレスL102、学習インタフェースL103、学習ポートL104を格納する。
図12には、第一の実施例に従い、IP−Aの通信を遮断している場合を例にとって、格納する情報を示す。図12の例では、ポート移動監視情報T100は、装置L101が装置S30、MACアドレスL102がMAC−A、学習インタフェースL103がVLAN10、学習ポートL104がポートP32のエントリを格納している。
図13に、第2の実施例におけるFDB情報テーブルを示す。
コントローラC11の装置情報収集部M51は、定期的に管理対象のネットワーク装置から情報収集し各テーブルを更新する。装置情報収集部M51は、レイヤ2スイッチS30のポートP32のリンクダウンを検出すると、装置L21がS30、MACアドレスL22がMAC−A、学習インタフェースL23がVLAN10、学習ポートL24がP32のエントリK50を破棄する。また、レイヤ2スイッチS40にユーザA端末U10が接続されてポートP43がリンクアップしたことを検出し、装置L21がS40、MACアドレスL22がMAC−A、学習インタフェースL23がVLAN10、学習ポートL24がP43のエントリK60を学習し格納する。
[2.3 ポート移動監視情報の格納]
図14は、本発明の第二の実施例におけるネットワーク装置の特定および監視対象の情報を監視情報T100に格納する処理(F140)を示すフローチャートである。
第一の実施例において攻撃を検知し通信遮断動作を行う処理に加えて、さらに、通信遮断対象のFDB情報(FDBエントリ)を監視情報T100に格納する(F21)処理を有する点が第一の実施例のフローチャート(図8)との差である。
[2.4 ポート移動を検知した場合の通信遮断動作]
図15は、本発明の第二の実施例において、ポート移動を検知し移動後のポートに通信の遮断設定をする処理(150)を示すフローチャートである。
コントローラC11のポート移動検出部M100は、定期的(F101)にポート移動監視情報T100に登録されたFDBエントリに該当するエントリがFDB情報テーブルT20に存在するかを確認する(F102)。該当するFDBエントリがFDB情報テーブルT20に存在する場合、処理を終了する。該当するFDBエントリがFDB情報テーブルT20に存在しない場合、図8におけるF12〜F15を実施し、移動後のポートに通信の遮断設定を実施する(F103)。本実施例では、ポート移動監視情報T100として、図12に示すように装置L101がS30、MACアドレスL102がMAC−A、学習インタフェースL103がVLAN10、学習ポートL104がP32のエントリが登録されている。ポート移動検出部M100は、この監視対象のエントリに該当するFDB情報テーブルT20のエントリK50がFDB情報テーブルに存在するかどうかを確認する処理(F102)により、監視対象の端末の移動を監視する。ポート移動検出部M100は、監視対象のエントリに該当するFDB情報が、FDB情報テーブルに存在しなくなったことでポートの移動を検出している。また、ポートの移動を検出後に再度通信の遮断設定を実施することにより通信の遮断が可能となる。
なお、レイヤ3スイッチの代わりにルータで構成されるネットワークのように、FDB情報を学習できないネットワーク装置に直接ユーザ端末がつながっている場合は、ポートのダウンをポートの移動検出に用いてもよい。また、ポートの移動検出処理は、定期的に行う他、予め決めたタイミングや、サーバの管理者の指示により行ってもよい。
[2.5 実施例効果]
以上、説明した第二の実施例では、不正プログラムに感染したユーザ端末が通信を遮断されたのちに移動し、別のレイヤ2スイッチの別のポートに接続して通信を再開させようとしても、ポート移動を検知して再度通信の遮断設定を実施することが可能となる。
次に、第三の実施例について説明する。
第三の実施例は、不正プログラムに感染した端末のIPアドレスが変更された場合にも、通信遮断を実現する実施例である。
第二の実施例で例として挙げたように、レイヤ2スイッチのフィルタに通信を遮断する端末のIPアドレスが設定された場合、不正プログラムに感染した端末のIPアドレスが変更されると、通信を継続することが可能となってしまう。
そこで、本実施例では、通信を遮断した対象の端末のIPアドレスが変更されたことをネットワーク管理サーバのコントローラが検知し、変更後のIPアドレスに対して通信を遮断する設定を実施する構成について、以下の順序で説明する。
3.1 ネットワーク管理サーバの構成
3.2 テーブルの内容
3.3 IPアドレス変更監視情報の格納
3.4 IPアドレスの変更を検知した場合の通信遮断動作
3.5 実施例効果
[3.1 ネットワーク管理サーバの構成]
図16は本発明の第三実施例としてのネットワーク管理サーバS52の構成を説明する図である。ネットワーク管理サーバS52は、図2に示した第一の実施例のネットワーク管理サーバS50の構成に加えて、IP変更検出部M200と、IP変更監視情報T200を備える。IP変更検出部M200は、通信遮断対象の端末のIPアドレス変更を検出するモジュールである。IP変更監視情報T200は、IPアドレスの変更を監視するための情報を格納するテーブルである。IP変更監視情報T200のテーブルの内容は図17で後述する。
[3.2 テーブルの内容]
図17のIP変更監視情報T200は、通信を遮断した端末のIPアドレスの変更を監視するための情報を格納するテーブルであり、IPアドレスL201、MACアドレスL202を格納する。図17には、第一の実施例において通信を遮断したIP−Aに対応する情報を格納する例を示しており、IPアドレスL201がIP−A、MACアドレスL202がMAC−Aのエントリを格納している。
図18は第三の実施例におけるARP情報テーブルを示す図である。
IP変更監視対象のIPアドレスIP−Aを有するユーザA端末U10のIPアドレスが、IP−AからIP−A‘に変更され、ユーザA端末U10がIP−A’で通信を開始する。IP変更検出部M200は、装置L11がS10、IPアドレスL12がIP−A‘、MACアドレスL13がMAC−A、出力先インタフェースL14がVLAN10のエントリK70を学習しARP情報テーブルに格納する。
[3.3 IPアドレス変更監視情報の格納]
図19は、本発明の第三の実施例におけるネットワーク装置の特定および監視対象の情報をIP変更監視情報T200に格納する処理(F190)を示すフローチャートである。
第一の実施例における通信遮断動作に加えて、さらに通信遮断対象の情報であるMACアドレスとIPアドレスの組をIP変更監視情報T200に格納する処理(F22)を有する点が第一の実施例のフローチャート(図8)との差である。
本実施例では、IP変更監視情報T200としてIPアドレスL201がIP−A、MACアドレスL202がMAC−Aのエントリが登録されている。
[3.4 IPアドレスの変更を検知した場合の通信遮断動作]
図20は第三の実施例におけるIPアドレスの変更を検出する処理および変更後のIPアドレスに対し通信の遮断設定をする処理(F200)を示すフローチャートである。コントローラC12のIPアドレス変更検出部M200は、定期的(F201)に、IP変更監視情報T200に登録されたMACアドレスとIPアドレスの組に該当するARPエントリがARP情報テーブルT10に存在するかを確認する(F202)。ARP情報テーブルT10に、監視対象のMACアドレスとIP変更監視情報T200に登録されているIPアドレスを組み合わせたARPエントリ以外ARP情報テーブルT10に存在しない場合、処理を終了する。ARP情報テーブルT10に、監視対象のMACアドレスとIP変更情報T200に登録されているIPアドレスの組み合わせの他、監視対象のMACアドレスとIP変更情報T200に登録されていない新しいIPアドレスを組み合わせたARPエントリがARP情報テーブルT10に存在する場合、その新しいIPアドレスに対して、図8における処理F12〜F15を実施し、新しい(変更後の)IPアドレスに対し通信の遮断設定を実施する(F203)。
本実施例では、IP変更監視情報T200に、IPアドレスL201がIP−A、監視対象の装置のMACアドレスL202がMAC−Aと、IPアドレスL201がIP−Aのエントリが監視情報として登録されている。監視対象のMACアドレスの端末がIPアドレスを変更して通信を継続すると、ARP情報テーブルT20のエントリK80が生成される。IP変更検出部M200は、エントリK80生成によってIPアドレスの変更を検出する。また、IP変更検出部M200は、IPアドレスの変更を検出後に変更後のIPアドレスに対して再度通信の遮断設定を実施することにより通信の遮断が可能となる。なお、IPアドレスの変更検出処理は、定期的に行う他、予め決めたタイミングや、サーバの管理者の指示により行ってもよい。
[3.5 実施例効果]
以上、説明した第三の実施例のコントローラでは、不正プログラムに感染したユーザ端末が通信を遮断されたのちに別のIPアドレスを別のIPアドレスに変更して通信を再開させようとしても、IPアドレスの変更を検知して再度通信の遮断設定を実施することが可能となる。
S10 レイヤ3スイッチ
S20、S30 S40 レイヤ2スイッチ
S50、S51,S52 ネットワーク管理サーバ
S60 振る舞い検知装置
S70 C&Cサーバ
P11、P12、P13、P14、P15、P21、P22、P23、P31、P32、P33、P41、P42、P43 ポート
U10 ユーザA端末
U20 ユーザB端末
U30 ユーザC端末
U40 ユーザD端末
C10、C11、C12 コントローラ
M51 装置情報収集部
M52 設定指示受信部
M53 トポロジ計算部
M54 装置設定制御部
M100 ポート移動検出部
M200 IP変更検出部
T10 ARP情報
T20 FDB情報
T30 LLDP情報
T40 フィルタ設定対象装置絞り込み情報テーブル
T50 フィルタ設定対象装置特定情報テーブル
T100 ポート移動監視情報
T200 IP変更監視情報
Q10 遮断メッセージ応答部

Claims (12)

  1. 少なくともひとつのレイヤ3スイッチと、複数のレイヤ2スイッチを有するネットワークシステムであって、
    前記ネットワークシステムは、さらに、前記ネットワークシステムの通信の振る舞いを監視して攻撃を検知する振る舞い検知部と、
    前記振る舞い検知部が出力した検知結果を受け取るとともに、前記レイヤ2スイッチが収容する端末装置に割り当てられたIPアドレスおよびMACアドレスを対応づけるためのARP情報と、前記レイヤ3スイッチおよび前記レイヤ2スイッチのポートのMACアドレス学習情報と、前記レイヤ3スイッチおよび前記レイヤ2スイッチの隣接情報と、をそれぞれ前記レイヤ3スイッチおよび前記レイヤ2スイッチから収集して組み合わせたフィルタ設定対象装置特定情報テーブルを作成し、前記検知結果のIPアドレスに対応するMACアドレスを学習したポートの隣接情報が前記レイヤ3スイッチおよび前記レイヤ2スイッチのいずれでもないエントリを前記フィルタ設定対象装置特定情報テーブルから検索し、前記検索されたエントリに示されるレイヤ2スイッチを前記振る舞い検知部が検知した攻撃を遮断するための設定を行う対象のスイッチとして特定し、前記特定したスイッチに攻撃を遮断するための設定を行うネットワーク管理部を有し、
    さらに、前記ネットワーク管理部は、前記検索されたエントリに含まれるMACアドレス学習情報を記憶し、予め決められたタイミングまたは前記ネットワーク管理部の管理者の指示により、前記収集したMACアドレス情報に前記記憶したMACアドレス学習情報が含まれるかどうかを確認し、含まれていなかった場合に、前記振る舞い検知部が検知した攻撃を遮断するための設定を行う対象のスイッチを特定する処理を再実行し、前記再実行により特定したスイッチに攻撃を遮断するための設定を行うことを特徴とするネットワークシステム。
  2. 少なくともひとつのレイヤ3スイッチと、複数のレイヤ2スイッチを有するネットワークシステムであって、
    前記ネットワークシステムは、さらに、前記ネットワークシステムの通信の振る舞いを監視して攻撃を検知する振る舞い検知部と、
    前記振る舞い検知部が出力した検知結果を受け取るとともに、前記レイヤ2スイッチが収容する端末装置に割り当てられたIPアドレスおよびMACアドレスを対応づけるためのARP情報と、前記レイヤ3スイッチおよび前記レイヤ2スイッチのポートのMACアドレス学習情報と、前記レイヤ3スイッチおよび前記レイヤ2スイッチの隣接情報と、をそれぞれ前記レイヤ3スイッチおよび前記レイヤ2スイッチから収集して組み合わせたフィルタ設定対象装置特定情報テーブルを作成し、前記検知結果のIPアドレスに対応するMACアドレスを学習したポートの隣接情報が前記レイヤ3スイッチおよび前記レイヤ2スイッチのいずれでもないエントリを前記フィルタ設定対象装置特定情報テーブルから検索し、前記検索されたエントリに示されるレイヤ2スイッチを前記振る舞い検知部が検知した攻撃を遮断するための設定を行う対象のスイッチとして特定し、前記特定したスイッチに攻撃を遮断するための設定を行うネットワーク管理部を有し、
    さらに、前記ネットワーク管理部は、前記検索されたエントリに含まれるARP情報を記憶し、予め決められたタイミングまたは前記ネットワーク管理部の管理者の指示により、前記収集したARP情報に前記記憶したARP情報が含まれるかどうかを確認し、含まれていなかった場合に、前記振る舞い検知部が検知した攻撃を遮断するための設定を行う対象のスイッチを特定する処理を再実行し、前記再実行により特定したスイッチに攻撃を遮断するための設定を行うことを特徴とするネットワークシステム。
  3. 請求項1または2に記載のネットワークシステムであって、
    前記ネットワーク管理部は、前記特定したレイヤ2スイッチに対し、前記攻撃を受けた端末装置の通信を遮断するフィルタを設定し、
    前記レイヤ2スイッチは、さらに、前記通信を遮断した端末装置に対し、攻撃を検知したために通信を遮断したことを通知する遮断メッセージ通知部を有することを特徴とするネットワークシステム。
  4. 少なくともひとつのレイヤ3スイッチと、複数のレイヤ2スイッチを有するネットワークに接続されるネットワーク管理サーバであって
    前記ネットワークの通信の振る舞いを監視して攻撃を検知する振る舞い検知部が出力した検知結果を受け取るとともに、前記レイヤ2スイッチが収容する端末装置に割り当てられたIPアドレスおよびMACアドレスを対応づけるためのARP情報と、前記レイヤ3スイッチおよび前記レイヤ2スイッチのポートのMACアドレス学習情報と、前記レイヤ3スイッチおよび前記レイヤ2スイッチの隣接情報と、をそれぞれ前記レイヤ3スイッチおよび前記レイヤ2スイッチから収集して組み合わせたフィルタ設定対象装置特定情報テーブルを作成し、前記検知結果のIPアドレスに対応するMACアドレスを学習したポートの隣接情報が前記レイヤ3スイッチおよび前記レイヤ2スイッチのいずれでもないエントリを前記フィルタ設定対象装置特定情報テーブルから検索し、前記検索されたエントリに示されるレイヤ2スイッチを前記振る舞い検知部が検知した攻撃を遮断するための設定を行う対象のスイッチとして特定し、前記特定したスイッチに攻撃を遮断するための設定を行い、
    さらに、前記検索されたエントリに含まれるMACアドレス学習情報を記憶し、予め決められたタイミングまたは前記ネットワーク管理サーバの管理者の指示により、前記収集したMACアドレス情報に前記記憶したMACアドレス学習情報が含まれるかどうかを確認し、含まれていなかった場合に、前記振る舞い検知部が検知した攻撃を遮断するための設定を行う対象のスイッチを特定する処理を再実行し、前記再実行により特定したスイッチに攻撃を遮断するための設定を行うことを特徴とするネットワーク管理サーバ
  5. 少なくともひとつのレイヤ3スイッチと、複数のレイヤ2スイッチを有するネットワークに接続されるネットワーク管理サーバであって、
    前記ネットワークの通信の振る舞いを監視して攻撃を検知する振る舞い検知部が出力した検知結果を受け取るとともに、前記レイヤ2スイッチが収容する端末装置に割り当てられたIPアドレスおよびMACアドレスを対応づけるためのARP情報と、前記レイヤ3スイッチおよび前記レイヤ2スイッチのポートのMACアドレス学習情報と、前記レイヤ3スイッチおよび前記レイヤ2スイッチの隣接情報と、をそれぞれ前記レイヤ3スイッチおよび前記レイヤ2スイッチから収集して組み合わせたフィルタ設定対象装置特定情報テーブルを作成し、前記検知結果のIPアドレスに対応するMACアドレスを学習したポートの隣接情報が前記レイヤ3スイッチおよび前記レイヤ2スイッチのいずれでもないエントリを前記フィルタ設定対象装置特定情報テーブルから検索し、前記検索されたエントリに示されるレイヤ2スイッチを前記振る舞い検知部が検知した攻撃を遮断するための設定を行う対象のスイッチとして特定し、前記特定したスイッチに攻撃を遮断するための設定を行い、
    さらに、前記検索されたエントリに含まれるARP情報を記憶し、予め決められたタイミングまたは前記ネットワーク管理サーバの管理者の指示により、前記収集したARP情報に前記記憶したARP情報が含まれるかどうかを確認し、含まれていなかった場合に、前記振る舞い検知部が検知した攻撃を遮断するための設定を行う対象のスイッチを特定する処理を再実行し、前記再実行により特定したスイッチに攻撃を遮断するための設定を行うことを特徴とするネットワーク管理サーバ。
  6. 請求項4または5に記載のネットワーク管理サーバであって、
    前記特定したレイヤ2スイッチに対し、前記攻撃を受けた端末装置の通信を遮断するフィルタを設定し、
    さらに、前記特定したレイヤ2スイッチに対し、前記通信を遮断した端末装置に対して攻撃を検知したために通信を遮断したことを通知するための設定を行うことを特徴とするネットワーク管理サーバ
  7. 複数のスイッチと、前記複数のスイッチを管理するネットワーク管理サーバを有するネットワークシステムにおいて、前記ネットワーク管理サーバが、前記ネットワークシステムに対する攻撃を検出して、前記ネットワークシステムの防御のために攻撃に関する通信を遮断するネットワーク制御方法であって、
    前記複数のスイッチは、少なくともひとつのレイヤ3スイッチと、複数のレイヤ2スイッチを有し、
    前記ネットワーク制御方法は、
    前記ネットワークシステムの通信の振る舞いを監視して攻撃を検知する振る舞い検知部が出力した検知結果を受け取り、
    前記レイヤ2スイッチが収容する端末装置に割り当てられたIPアドレス及びMACアドレスを対応づけるためのARP情報と、前記レイヤ3スイッチおよび前記レイヤ2スイッチのポートのMACアドレス学習情報と、前記レイヤ3スイッチおよび前記レイヤ2スイッチの隣接情報と、をそれぞれ前記レイヤ3スイッチおよび前記レイヤ2スイッチから収集して組み合わせたフィルタ設定対象装置特定情報テーブルを作成し、前記検知結果のIPアドレスに対応するMACアドレスを学習したポートの隣接情報が前記レイヤ3スイッチおよび前記レイヤ2スイッチのいずれでもないエントリを前記フィルタ設定対象装置特定情報テーブルから検索し、前記検索されたエントリに示されるレイヤ2スイッチを前記振る舞い検知部が検知した攻撃を遮断するための設定を行う対象のスイッチとして特定し、
    前記特定したスイッチに攻撃を遮断するための設定を行い、
    さらに、前記検索されたエントリに含まれるMACアドレス学習情報を記憶し、予め決められたタイミングまたは前記ネットワーク管理サーバの管理者の指示により、前記収集したMACアドレス情報に前記記憶したMACアドレス学習情報が含まれるかどうかを確認し、含まれていなかった場合に、前記振る舞い検知部が検知した攻撃を遮断するための設定を行う対象のスイッチを特定する処理を再実行し、前記再実行により特定したスイッチに攻撃を遮断するための設定を行うことを特徴とするネットワーク制御方法。
  8. 複数のスイッチと、前記複数のスイッチを管理するネットワーク管理サーバを有するネットワークシステムにおいて、前記ネットワーク管理サーバが、前記ネットワークシステムに対する攻撃を検出して、前記ネットワークシステムの防御のために攻撃に関する通信を遮断するネットワーク制御方法であって、
    前記複数のスイッチは、少なくともひとつのレイヤ3スイッチと、複数のレイヤ2スイッチを有し、
    前記ネットワーク制御方法は、
    前記ネットワークシステムの通信の振る舞いを監視して攻撃を検知する振る舞い検知部が出力した検知結果を受け取り、
    前記レイヤ2スイッチが収容する端末装置に割り当てられたIPアドレス及びMACアドレスを対応づけるためのARP情報と、前記レイヤ3スイッチおよび前記レイヤ2スイッチのポートのMACアドレス学習情報と、前記レイヤ3スイッチおよび前記レイヤ2スイッチの隣接情報と、をそれぞれ前記レイヤ3スイッチおよび前記レイヤ2スイッチから収集して組み合わせたフィルタ設定対象装置特定情報テーブルを作成し、前記検知結果のIPアドレスに対応するMACアドレスを学習したポートの隣接情報が前記レイヤ3スイッチおよび前記レイヤ2スイッチのいずれでもないエントリを前記フィルタ設定対象装置特定情報テーブルから検索し、前記検索されたエントリに示されるレイヤ2スイッチを前記振る舞い検知部が検知した攻撃を遮断するための設定を行う対象のスイッチとして特定し、
    前記特定したスイッチに攻撃を遮断するための設定を行い、
    さらに、前記検索されたエントリに含まれるARP情報を記憶し、予め決められたタイミングまたは前記ネットワーク管理サーバの管理者の指示により、前記収集したARP情報に前記記憶したARP情報が含まれるかどうかを確認し、含まれていなかった場合に、前記振る舞い検知部が検知した攻撃を遮断するための設定を行う対象のスイッチを特定する処理を再実行し、前記再実行により特定したスイッチに攻撃を遮断するための設定を行うことを特徴とするネットワーク制御方法。
  9. 請求項7または8に記載のネットワーク制御方法であって、
    前記特定したレイヤ2スイッチに対し、前記攻撃を受けた端末装置の通信を遮断するフィルタを設定し、
    前記特定したレイヤ2スイッチが、前記通信を遮断した端末装置に対し、攻撃を検知したために通信を遮断したことを通知することを特徴とするネットワーク制御方法。
  10. 少なくともひとつのレイヤ3スイッチと、複数のレイヤ2スイッチを有するネットワークに接続されるネットワーク管理サーバに以下の手順を実行させるためのプログラムであって、
    前記ネットワーク管理サーバは、CPUと、メモリと、を有し、
    前記プログラムは、
    前記ネットワークの通信の振る舞いを監視して攻撃を検知する振る舞い検知部が出力した検知結果を受け取るとともに、前記レイヤ2スイッチが収容する端末装置に割り当てられたIPアドレスおよびMACアドレスを対応づけるためのARP情報と、前記レイヤ3スイッチおよび前記レイヤ2スイッチのポートのMACアドレス学習情報と、前記レイヤ3スイッチおよび前記レイヤ2スイッチの隣接情報と、をそれぞれ前記レイヤ3スイッチおよび前記レイヤ2スイッチから収集して組み合わせたフィルタ設定対象装置特定情報テーブルを作成する手順と、
    前記検知結果のIPアドレスに対応するMACアドレスを学習したポートの隣接情報が前記レイヤ3スイッチおよび前記レイヤ2スイッチのいずれでもないエントリを前記フィルタ設定対象装置特定情報テーブルから検索する手順と、
    前記検索されたエントリに示されるレイヤ2スイッチを前記振る舞い検知部が検知した攻撃を遮断するための設定を行う対象のスイッチとして特定する手順と、
    前記特定したスイッチに攻撃を遮断するための設定を行う手順と、
    前記検索されたエントリに含まれるMACアドレス学習情報を記憶する手順と、
    予め決められたタイミングまたは前記ネットワーク管理サーバの管理者の指示により、前記収集したMACアドレス情報に前記記憶したMACアドレス学習情報が含まれるかどうかを確認し、含まれていなかった場合に、前記振る舞い検知部が検知した攻撃を遮断するための設定を行う対象のスイッチを特定する処理を再実行する手順と、
    前記再実行により特定したスイッチに攻撃を遮断するための設定を行う手順と、を前記CPUに実行させることを特徴とするプログラム。
  11. 少なくともひとつのレイヤ3スイッチと、複数のレイヤ2スイッチを有するネットワークに接続されるネットワーク管理サーバに以下の手順を実行させるためのプログラムであって、
    前記ネットワーク管理サーバは、CPUと、メモリと、を有し、
    前記プログラムは、
    前記ネットワークの通信の振る舞いを監視して攻撃を検知する振る舞い検知部が出力した検知結果を受け取るとともに、前記レイヤ2スイッチが収容する端末装置に割り当てられたIPアドレスおよびMACアドレスを対応づけるためのARP情報と、前記レイヤ3スイッチおよび前記レイヤ2スイッチのポートのMACアドレス学習情報と、前記レイヤ3スイッチおよび前記レイヤ2スイッチの隣接情報と、をそれぞれ前記レイヤ3スイッチおよび前記レイヤ2スイッチから収集して組み合わせたフィルタ設定対象装置特定情報テーブルを作成する手順と、
    前記検知結果のIPアドレスに対応するMACアドレスを学習したポートの隣接情報が前記レイヤ3スイッチおよび前記レイヤ2スイッチのいずれでもないエントリを前記フィルタ設定対象装置特定情報テーブルから検索する手順と、
    前記検索されたエントリに示されるレイヤ2スイッチを前記振る舞い検知部が検知した攻撃を遮断するための設定を行う対象のスイッチとして特定する手順と、
    前記特定したスイッチに攻撃を遮断するための設定を行う手順と、
    前記検索されたエントリに含まれるARP情報を記憶する手順と、
    予め決められたタイミングまたは前記ネットワーク管理サーバの管理者の指示により、前記収集したARP情報に前記記憶したARP情報が含まれるかどうかを確認し、含まれていなかった場合に、前記振る舞い検知部が検知した攻撃を遮断するための設定を行う対象のスイッチを特定する処理を再実行する手順と、
    前記再実行により特定したスイッチに攻撃を遮断するための設定を行う手順と、を前記CPUに実行させることを特徴とするプログラム。
  12. 請求項10または11に記載のプログラムであって、
    前記特定したレイヤ2スイッチに対し、前記攻撃を受けた端末装置の通信を遮断するフィルタを設定する手順と、
    前記特定したレイヤ2スイッチに対し、前記通信を遮断した端末装置に対して攻撃を検知したために通信を遮断したことを通知するための設定を行う手順と、を前記CPUに実行させることを特徴とするプログラム。
JP2017103184A 2017-01-23 2017-05-25 ネットワークシステム、ネットワーク管理サーバ、ネットワーク制御方法およびプログラム Active JP6836460B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US15/865,344 US20180212982A1 (en) 2017-01-23 2018-01-09 Network system, network controller, and network control method

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2017009098 2017-01-23
JP2017009098 2017-01-23

Publications (2)

Publication Number Publication Date
JP2018121320A JP2018121320A (ja) 2018-08-02
JP6836460B2 true JP6836460B2 (ja) 2021-03-03

Family

ID=63045501

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017103184A Active JP6836460B2 (ja) 2017-01-23 2017-05-25 ネットワークシステム、ネットワーク管理サーバ、ネットワーク制御方法およびプログラム

Country Status (1)

Country Link
JP (1) JP6836460B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7279417B2 (ja) * 2019-03-01 2023-05-23 日本電気株式会社 通信遮断方法、通信システム、装置とプログラム
US11088934B2 (en) * 2019-10-10 2021-08-10 Cisco Technology, Inc. Dynamic discovery of service nodes in a network
WO2025041280A1 (ja) * 2023-08-22 2025-02-27 日本電信電話株式会社 通信遮断装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005065004A (ja) * 2003-08-18 2005-03-10 Hitachi Ltd 暗号化通信データ検査方法、暗号化通信データ検査装置及び暗号化通信データ検査プログラム
JP5062967B2 (ja) * 2005-06-01 2012-10-31 アラクサラネットワークス株式会社 ネットワークアクセス制御方法、およびシステム
CA2532699A1 (en) * 2005-12-28 2007-06-28 Ibm Canada Limited - Ibm Canada Limitee Distributed network protection
JP5134141B2 (ja) * 2010-07-30 2013-01-30 株式会社サイバー・ソリューションズ 不正アクセス遮断制御方法

Also Published As

Publication number Publication date
JP2018121320A (ja) 2018-08-02

Similar Documents

Publication Publication Date Title
EP3297248B1 (en) System and method for generating rules for attack detection feedback system
JP5050781B2 (ja) マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法
JP4128974B2 (ja) レイヤ2ループ検知システム
CN108353068B (zh) Sdn控制器辅助的入侵防御系统
US20130219497A1 (en) Network intrusion detection in a network that includes a distributed virtual switch fabric
CN104917653A (zh) 基于云平台的虚拟化流量监控方法及装置
US10911466B2 (en) Network protection device and network protection system
JP2010016775A (ja) フレーム転送装置
CN106817275B (zh) 一种自动化预防和编排处理策略冲突的系统和方法
JP6441725B2 (ja) ネットワーク情報出力システム及びネットワーク情報出力方法
JP2008177714A (ja) ネットワークシステム、サーバ、ddnsサーバおよびパケット中継装置
JP6836460B2 (ja) ネットワークシステム、ネットワーク管理サーバ、ネットワーク制御方法およびプログラム
CN108156079B (zh) 一种基于云服务平台的数据包转发系统及方法
WO2016101870A1 (zh) 网络攻击分析方法和装置
CN1960376A (zh) 自动化的网络阻隔方法和系统
JP2004302538A (ja) ネットワークセキュリティシステム及びネットワークセキュリティ管理方法
Ubaid et al. Mitigating address spoofing attacks in hybrid SDN
JP6489239B2 (ja) 通信装置、システム、方法、及びプログラム
JP2007006054A (ja) パケット中継装置及びパケット中継システム
JP6422677B2 (ja) ネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法
JP7150552B2 (ja) ネットワーク防御装置およびネットワーク防御システム
US20180212982A1 (en) Network system, network controller, and network control method
US20250343817A1 (en) Intelligent manipulation of denial-of-service attack traffic
EP4078913A1 (en) Protection against malicious data traffic
CN109218250A (zh) 基于故障自动迁移系统的ddos防御方法及系统

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170609

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20180223

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20180314

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190902

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200708

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200714

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200907

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210119

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210205

R150 Certificate of patent or registration of utility model

Ref document number: 6836460

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250