ネットワーク上の端末接続制御方法
【課題】
従来、ネットワーク内に存在する不正パケットやウイルスをいかに検知し、ネットワーク内のセキュリティレベルを保つためにいかに遮断するかということに重点が置かれていた不正パケットやウイルス検知時のセキュリティ対策において、ネットワーク内端末のネットワーク一斉遮断および一斉開放をネットワーク内のセキュリティレベルをもとに効率的に行うことを課題とする。
【解決手段】
端末において不正パケットやウイルスを検知した時、検地しなくなった時にそれぞれ危険通知、安全通知を端末から管理サーバへ上げ、管理サーバ上でそれらの通知情報を管理する。これにより、ネットワーク内のセキュリティレベルを把握することが可能となり、ネットワーク内のセキュリティレベルをもとに管理サーバによるネットワーク内端末のネットワーク一斉遮断および一斉開放を実施する。
従来、ネットワーク内に存在する不正パケットやウイルスをいかに検知し、ネットワーク内のセキュリティレベルを保つためにいかに遮断するかということに重点が置かれていた不正パケットやウイルス検知時のセキュリティ対策において、ネットワーク内端末のネットワーク一斉遮断および一斉開放をネットワーク内のセキュリティレベルをもとに効率的に行うことを課題とする。
【解決手段】
端末において不正パケットやウイルスを検知した時、検地しなくなった時にそれぞれ危険通知、安全通知を端末から管理サーバへ上げ、管理サーバ上でそれらの通知情報を管理する。これにより、ネットワーク内のセキュリティレベルを把握することが可能となり、ネットワーク内のセキュリティレベルをもとに管理サーバによるネットワーク内端末のネットワーク一斉遮断および一斉開放を実施する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、端末におけるネットワークを介した不正アクセスなどによる不正パケットの検知やワームやトロイの木馬などのウイルスの感染検知時における当該端末およびネットワーク内端末のネットワークへの接続を制御するための技術に関する。
【背景技術】
【0002】
近年、個人のセキュリティ意識の高まりにより、情報漏えい事故による企業のブランドイメージの低下や損害賠償額の増加が以前にも増して顕著になり、セキュリティの重要性が一層高まっている。そこでセキュリティ対策として、企業などでは、ファイアウォール(以下、FW)やIDS(Intrusion Detection System)、アンチウイルスソフトなどのセキュリティ製品を導入し、それら製品を連携させることで、セキュリティレベルの維持、向上に努めていることが多い。
【0003】
例えば、特許文献1においては、ゲートウェイなどのネットワークとの接続点で不正パケットを検知した際、管理装置にその情報を上げ、管理装置が収集分析をし、ネットワーク内端末へネットワーク遮断の指示を行っている。
【0004】
また、特許文献2においては、端末でウイルス感染を検知した際、管理装置にその情報を上げ、管理装置が排除装置に指示を行い、排除装置が当該端末に対しネットワーク遮断の指示を行っている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2007−122749号公報
【特許文献2】特開2007−041648号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
上述の従来技術では、ネットワーク内に存在する不正パケットやウイルス感染をいかに検知し、ネットワーク内のセキュリティレベルを保つためにいかに遮断するかということに重点が置かれ、遮断を実施後、いかにネットワークを開放させるかという観点に欠けていた。
【0007】
本発明の目的は、ネットワーク内端末のネットワーク一斉遮断および一斉開放をネットワーク内のセキュリティレベルをもとに効率的に行うことにある。特に、端末を管理する管理サーバによるネットワーク内端末のネットワーク一斉遮断および一斉開放をネットワーク内のセキュリティレベルをもとに効率的に行うものである。
【課題を解決するための手段】
【0008】
上記課題を解決するために、本発明の第一の態様は、ネットワーク内の各端末において不正パケットまたはウイルス感染を検知した際に、当該端末が危険である旨を管理サーバへ通知する。これにより、管理サーバ上で当該危険通知を管理することで、過去に当該不正パケットまたは当該ウイルスの感染を検知した端末の台数を把握することできる。
【0009】
また本発明の第二の態様は、危険を通知した端末は、不正パケット検知の場合、当該不正パケットの監視を実施し、当該不正パケットがある一定時間検知されなくなった際に、当該端末が安全である旨を管理サーバへ通知する。ウイルス検知の場合、当該ウイルスの駆除を実施し、当該ウイルスが駆除された際に、当該端末が安全である旨を管理サーバへ通知する。これにより、管理サーバ上で当該安全通知と危険通知を管理することで、現在当該不正パケットまたは当該ウイルスを検知している端末の台数を把握することできる。
【0010】
すなわち、管理サーバ上での当該安全通知と危険通知の管理により、ネットワーク内のセキュリティレベルを把握することが可能となり、これにより管理サーバによるネットワーク内端末のネットワーク一斉遮断および一斉開放を実施する。
【発明の効果】
【0011】
本発明によれば、ネットワーク内のセキュリティレベルをもとに、効率的に、ネットワーク内端末のネットワーク一斉遮断および一斉開放実施の判断が可能になる。
【図面の簡単な説明】
【0012】
【図1】不正パケット及びウイルス感染検知端末のネットワーク制御システムの実施の形態例に係るネットワーク構成図である。
【図2】実施の形態例に係る端末100内の構成を示した図である。
【図3】実施の形態例に係る管理サーバ200内の構成を示した図である。
【図4】実施の形態例に係るベンダサーバ300内の構成を示した図である。
【図5】実施の形態例に係る不正パケット及びウイルス感染検知端末のネットワーク制御システムによって行われる処理の一例を示した処理概要図である。
【図6】実施の形態例に係る不正パケット及びウイルス感染検知端末のネットワーク制御システムによって行われる処理の一例を示した処理概要図である。
【図7】端末における不正パケット検知に係る不正パケット及びウイルス感染検知端末のネットワーク制御システムにおいて行われる処理の一例を示したフローチャートである。
【図8】不正パケット及びウイルス検知後の端末動作に係る不正パケット及びウイルス感染検知端末のネットワーク制御システムにおいて行われる処理の一例を示したフローチャートである。
【図9】不正パケット検知後の端末動作に係る不正パケット及びウイルス感染検知端末のネットワーク制御システムにおいて行われる処理の一例を示したフローチャートである。
【図10】未通知端末のネットワーク一斉遮断に係る不正パケット及びウイルス感染検知端末のネットワーク制御システムにおいて行われる処理の一例を示したフローチャートである。
【図11】一斉遮断実施端末のネットワーク一斉開放に係る不正パケット及びウイルス感染検知端末のネットワーク制御システムにおいて行われる処理の一例を示したフローチャートである。
【図12】ウイルス対策不明時のウイルス定義ファイル配信に係る不正パケット及びウイルス感染検知端末のネットワーク制御システムにおいて行われる処理の一例を示したフローチャートである。
【図13】端末100が送信する不正パケットに関する情報を例示した図である。
【図14】端末100が送信するウイルスに関する情報を例示した図である。
【図15】FW動作ルール管理手段103に格納されるFW動作ルールに関する情報を例示した図である。
【図16】閾値を算出する際に利用する危険点数表を例示した図である。
【図17】危険点数と閾値とのマッピング表を例示した図である。
【図18】解析用情報管理手段208に格納される不正パケット種別ごとの情報を例示した図である。
【図19】集計情報管理手段207に格納される不正パケット種別ごとの集計結果を例示した図である。
【図20】端末情報管理手段206に格納される端末に関する情報を例示した図である。
【図21】端末情報管理手段206に格納される一斉遮断を実施した端末に関する情報を例示した図である。
【発明を実施するための形態】
【0013】
本発明の実施の形態について、以下図面を用いて説明する。しかしながら、かかる実施の形態例が、本発明の技術的範囲を限定するものではない。
【0014】
-----以下、図5の処理概要の説明-----
図5は、本実施の形態例に係る不正パケット及びウイルス感染検知端末のネットワーク制御システムによって行われる処理の一例を示した処理概要図である。端末100において、ウイルス検知部107によってウイルス感染を検知した場合、まず、管理部111によって当該ウイルスの検知時における動作を確認する。この結果、不正パケットの検知が必要である場合、管理部111は不正パケット検知部104に検知指示を出す。不正パケット検知部104によって不正パケットを検知した際、不正パケットやウイルス情報をもとに管理部111によってFW動作ルールを生成し、ネットワーク遮断部101に遮断指示を出す。
【0015】
ネットワーク遮断部101によるネットワークの遮断後、端末100は通信部115によって管理サーバ200へ不正パケットやウイルス情報を送信し、当該端末が危険である旨を管理サーバへ通知する。管理サーバ200は、通信部212によって当該危険通知を受信した場合、データ解析部201によって端末からの当該危険通知を集計し、解析することでネットワーク内のセキュリティレベルが危険であるかどうかを判断する。当該危険通知を出すネットワーク内端末の割合が予め定めた数値より高く、ネットワーク内のセキュリティレベルが危険であると判断した場合、不正パケットやウイルス情報をもとにルール生成部209によってFW動作ルールを生成し、当該危険通知を出していない端末に対し、通信部101によってFW動作ルールを送信することで、ネットワークの遮断指示を行う。
【0016】
端末100は、管理サーバ200からのFW動作ルールを受信し、管理部111によってネットワーク遮断部101に遮断指示を出す。
【0017】
-----以下、図6の処理概要の説明-----
図6は、本実施の形態例に係る不正パケット及びウイルス感染検知端末のネットワーク制御システムによって行われる処理の一例を示した処理概要図である。端末100において、ウイルス感染の検知後、検知部107によってウイルスを駆除した際、まず、管理部111によって当該ウイルスの駆除時における動作を示す情報を特定し、特定された情報が不正パケットの検知が必要であることを示す場合、管理部111は不正パケット検知部104に検知指示を出す。不正パケット検知部104によって不正パケットを検知しなかった際、不正パケットやウイルス情報をもとに管理部111によってFW動作ルールを生成し、ネットワーク遮断部101に遮断指示を出す。
【0018】
ネットワーク遮断部101によるネットワークの遮断後、端末100は通信部115によって管理サーバ200へ不正パケットやウイルス情報を送信し、当該端末が危険である旨を管理サーバへ通知する。管理サーバ200は、通信部212によって当該危険通知を受信後、データ解析部201によって端末からの当該危険通知を集計し、解析することでネットワーク内のセキュリティレベルが危険であるかどうかを判断する。当該危険通知を出すネットワーク内端末の割合が予め定めた基準値より高く、ネットワーク内のセキュリティレベルが危険であると判断した場合、不正パケットやウイルス情報をもとにルール生成部209によってFW動作ルールを生成し、当該危険通知を出していない端末に対し、通信部101によってFW動作ルールを送信することで、ネットワークの遮断指示を行う。
【0019】
端末100は、管理サーバ200からのFW動作ルールを受信し、当該受信に従って管理部111によってネットワーク遮断部101に遮断指示を出す。
【0020】
-----以下、図10の処理概要の説明-----
図10は、未通知端末のネットワーク一斉遮断に係る不正パケット及びウイルス感染検知端末のネットワーク制御システムにおいて行われる処理の一例を示したフローチャートである。管理サーバ200は、端末100から送信された不正パケット(ウイルス)に関する危険通知を管理サーバ200の端末受信手段214によって受信する(ステップS101)。
【0021】
次に、当該不正パケット(ウイルス)が過去に存在したかどうかを検索する(ステップS102)。具体的には、不正パケット検知の場合は、図13に例示するような不正パケット情報の「検知場所」、「検知方法」、「送信元IP」、「送信元ポート」、「遮断方向」、「遮断ポート」の値をもとに通知情報管理手段205に記憶されている通知情報内の検索を行う。ウイルス検知の場合は、図14に例示するようなウイルス情報の「検知方法」、「ウイルス種別」、「ウイルス名称」、「遮断方向」、「遮断ポート」の値をもとに通知情報管理手段205に記憶されている通知情報内の検索を行う。
【0022】
検索に該当する不正パケット(ウイルス)が存在する場合、該当した不正パケット(ウイルス)の「不正パケットID」(「ウイルスID」)を通知情報に付加し、通知情報管理手段205にその通知情報を格納する(ステップS107)。
【0023】
検索に該当する不正パケット(ウイルス)が存在しない場合、まず当該不正パケット(ウイルス)を識別する「不正パケットID」(「ウイルスID」)を採番する(ステップS103)。
【0024】
次に、当該不正パケット(当該ウイルス)に対する危険点数を算出し、危険点数から危険度および閾値を算出する(ステップS104)。具体的に、不正パケット検知の場合は、管理サーバ200は当該不正パケット情報の「検知場所」、「検知方法」、「サービス名」から、図16のような表を用いて、「危険点数」を求め、それらを合計する。次に、求めた危険点数の合計から、図17のような表を用いて、「危険度」とその危険度に応じた「危険閾値」、「安全閾値」、「NW安全閾値」を求める。なおここで、図16、図17のような表は、予め値を用意しておき、解析用情報管理手段208に格納しておくものとする。ウイルス検知の場合も、不正パケットのときと同様に、管理サーバ200は、当該ウイルス情報の「検知方法」、「ウイルス種別」から危険点数を求め、それらを合計する。次に、求めた危険点数の合計から、「危険度」とその危険度に応じた「危険閾値」、「安全閾値」、「NW安全閾値」を求める。
【0025】
求めた「危険閾値」、「安全閾値」、「NW安全閾値」を不正パケット情報(ウイルス情報)である「不正パケットID」、「検知場所」、「検知方法」、「送信元IP」、「送信元ポート」、「遮断方向」、「遮断ポート」(「ウイルスID」、「検知方法」、「ウイルス種別」、「ウイルス名称」、「遮断方向」、「遮断ポート」)と一緒に図18のように解析用情報管理手段208に格納する(ステップS105)。
【0026】
FW動作ルール生成手段210によって、図13(図14)に例示するような不正パケット情報(ウイルス情報)の「遮断方向」、「遮断ポート」、「送信元IPアドレス」、「送信先IPアドレス」(「遮断方向」、「遮断ポート」)に示された値から、図15で例示するような不正パケット種別(ウイルス種別)に対するFW動作ルールを生成し、一意な「ファイアウォールID」を採番し、FW動作ルール管理手段211に格納する(ステップS106)。また、解析用情報管理手段208によって、図18に例示するような当該不正パケットの「ファイアウォールID」欄にファイアウォールIDを格納する。
【0027】
管理サーバ200は、通知情報管理手段205から、当該不正パケット情報(当該ウイルス情報)と同じ不正パケットID(ウイルスID)を持つ通知情報を取り出し、集計を行う(ステップS108)。集計は具体的に、不正パケット検知の場合、通知情報集計手段202によって、図13に例示するような不正パケット情報の「通知種別」ごとに通知情報の数を加算する。ウイルス検知の場合、通知情報集計手段202によって、図14に例示するようなウイルス情報の「通知種別」ごとに通知情報の数を加算する。これにより、不正パケット種別ごと、ウイルス種別ごとの安全および危険通知台数が集計される。集計結果の集計情報管理手段207への格納は次のように行う。まず、図19に例示するような集計情報から、当該不正パケット(ウイルス)と同じ不正パケットID(ウイルスID)を持つ最新の通知情報を検索する。検索した最新の通知情報の日時と当該不正パケット(当該ウイルス)の日時を比較し、予め設定しておいた集計結果の格納間隔よりも大きい場合、集計結果(安全通知台数、危険通知台数、危険端末割合)を日時と共に集計情報管理手段207に格納する。ここで、集計結果の格納間隔は解析用情報管理手段209に格納されているものとする。
【0028】
管理サーバ200は、端末情報管理手段206から端末台数を求め、通知情報解析手段203によって、不正パケット種別(ウイルス種別)ごとに「危険端末割合=(累積の危険通知端末台数−累積の安全通知端末台数)/端末台数」を算出する(ステップS109)。
【0029】
解析用情報管理手段208から、図18に例示するような当該不正パケット種別(ウイルス種別)の危険閾値を抽出し、算出値と大小比較を行う(ステップS110)。大小比較の結果、算出値が危険閾値よりも小さい場合は、ネットワーク内のセキュリティレベルは保たれていると判断し、指示は行わず、処理を終了する。算出値が危険閾値よりも大きい場合は、ネットワーク内のセキュリティレベルが危険であると判断し、ネットワーク内の未通知端末へ一斉遮断の指示を行う。
【0030】
ステップS108において、図13や図14に例示するような「セグメント」ごとにさらに詳細に集計すれば、セグメントごとの危険端末割合を算出することが可能となる。これにより、セグメントごとの危険端末割合と危険閾値とを各々比較し、セグメント単位で未通知端末を一斉遮断することも可能である。また、例えばセグメントごとの危険端末割合中で最も大きい値をネットワーク全体の危険端末割合と定義し、そのネットワーク全体の危険端末割合と危険閾値とを比較するとした場合、他セグメントで危険端末割合が低くても(例えば予め定めた基準値より)、あるセグメントで危険端末割合が高ければ(例えば予め定めた基準値より)、ネットワーク内の未通知端末を遮断することとなるため、ネットワーク内のセキュリティレベルをよりセキュアに保つことが可能となる。なお、危険端末割合の高さは、予め定めた基準値以外にも、各セグメント毎の相対比較結果としてもよい。
【0031】
また、集計結果の格納間隔が短ければ、詳細な時系列のデータを得ることが可能となる。これによりステップS109において、指数平滑法やその拡張であるホルト・ウィンタースアルゴリズムなどの一般的な時系列解析の手法を用いることで、予め定められたある時間後に危険閾値を上回ることを予測し一斉遮断の指示を前倒しすることも可能である。ここで、時系列解析に用いるパラメータは解析用情報管理手段208に用意しておくことが可能である。
【0032】
図18に例示するような不正パケット情報(ウイルス情報)の「ファイアウォールID」の値から、図15で例示するような不正パケット(ウイルス)に対するFW動作ルールを抽出し、「動作内容」欄の値を“遮断”に更新し、送信用のFW動作ルールとする(ステップS111)。
【0033】
管理サーバ200は、図13に例示するような通知情報管理手段205に格納されている通知情報と図20に例示するような端末情報管理手段206に格納されている端末情報の「セグメント」、「端末IP」を突き合わせる(比較する)ことによって、当該不正パケット(ウイルス)に関する危険通知を送信していない端末を抽出する。管理サーバ200は、端末送信手段213によって、抽出された端末群へFW動作ルールを一斉送信する(ステップS112)。また、一斉遮断を行った事実を格納するために、解析用情報管理手段208によって、図18に例示するような不正パケットの「一斉遮断実施」欄に“YES”を格納する。さらに、一斉遮断を行った端末を把握できるように、端末情報管理手段206によって、図21に例示するような不正パケットの「不正パケットID」、「セグメント」、「端末IP」欄に各値を格納する。
【0034】
危険通知を行っていないと判断された端末120は、管理サーバ受信手段117によって、管理サーバ200から送信されたFW動作ルールを受信し、FW動作ルール管理手段103によって、自端末のFW動作ルールを更新する(ステップS113)。
【0035】
端末120は、FW動作ルール実施手段102によって、更新したFW動作ルールを自端末に適用し、ネットワークの遮断を実施する(ステップS114)。
【0036】
-----以下、図11の処理概要の説明-----
図11は、一斉遮断実施端末のネットワーク一斉開放に係る不正パケット及びウイルス感染検知端末のネットワーク制御システムにおいて行われる処理の一例を示したフローチャートである。管理サーバ200は、端末100から送信された不正パケット(ウイルス)に関する安全通知を管理サーバ200の端末受信手段214によって受信する(ステップS121)。
【0037】
また、当該不正パケット(ウイルス)の通知情報を、通知情報管理手段205に格納する(ステップS122)
情報を集計するステップS123は、未通知端末のネットワーク一斉遮断の場合と同様の処理を実行する。また、情報を解析するステップS124も、未通知端末のネットワーク一斉遮断の場合と同様の処理を実行する。
【0038】
解析用情報管理手段208から、図18に例示するような当該不正パケット種別(ウイルス種別)の安全閾値を抽出し、算出値と大小比較を行う(ステップS125)大小比較の結果、算出値が安全閾値よりも大きい場合は、ネットワーク内のセキュリティレベルは依然として危険であると判断し、開放指示は行わず、ステップS121に戻る。算出値が安全閾値よりも小さい場合は、ネットワーク内のセキュリティレベルは安全になったと判断し、当該通知端末へ開放の指示を行う。集計結果の集計情報管理手段207への格納は、未通知端末のネットワーク一斉遮断の場合と同様の処理を実行する。
【0039】
図18に例示するような不正パケット情報(ウイルス情報)の「ファイアウォールID」の値から、図15で例示するような不正パケット(ウイルス)に対するFW動作ルールを抽出し、「動作内容」欄の値を“開放”に更新し、送信用のFW動作ルールとする(ステップS126)。
【0040】
管理サーバ200は、端末送信手段213によって、当該不正パケット(ウイルス)に関する安全通知を送信した端末へFW動作ルールを送信する(ステップS127)。
【0041】
当該不正パケット(ウイルス)に関して一斉遮断を実施したかどうかを調べる(ステップS128)。具体的には、解析用情報管理手段208から、図18に例示するような当該不正パケット(ウイルス)の「一斉遮断実施」欄の値を抽出し、値が“NO”であれば、処理を終了する。
【0042】
値が“YES”であれば、解析用情報管理手段208から当該不正パケット種別(ウイルス種別)の「NW安全閾値」を抽出し、算出値と大小比較を行う(ステップS129)。大小比較の結果、算出値がNW安全閾値よりも大きい場合は、ネットワーク内のセキュリティレベルは依然として危険であると判断し、一斉開放指示は行わず、処理を終了する。算出値がNW安全閾値よりも小さい場合は、ネットワーク内のセキュリティレベルは安全になったと判断し、当該不正パケット(ウイルス)に対し一斉遮断を実施した端末群へ一斉開放指示を行う。
【0043】
管理サーバ200は、当該不正パケット(ウイルス)の「不正パケットID」(「ウイルスID」)をもとに、図21に例示するような端末情報管理手段206に格納されている一斉遮断を実施した端末の「セグメント」、「端末IP」を抽出する。管理サーバ200は、端末送信手段213によって、抽出された端末群へFW動作ルールを一斉送信する(ステップS130)。
また、一斉開放を行った事実を格納するために、解析用情報管理手段208によって、図18に例示するような不正パケット(ウイルス)の「一斉遮断実施」欄に“NO”を格納する。さらに、端末情報管理手段206によって、一斉開放を行った端末の「不正パケットID」(「ウイルスID」)、「セグメント」、「端末IP」を図21に例示するような一斉遮断を実施した端末の一覧から削除する。
【0044】
一斉遮断を実施した端末120は、管理サーバ受信手段117によって、管理サーバ200から送信されたFW動作ルールを受信し、FW動作ルール管理手段103によって、自端末のFW動作ルールを受信した動作ルールに更新する(ステップS131)。
【0045】
端末120は、FW動作ルール実施手段101によって、更新したFW動作ルールを自端末に適用し、ネットワークの開放を実施する(ステップS132)。
以上で、本発明の一実施形態の説明を終了する。
【符号の説明】
【0046】
100、120…端末、200…管理サーバ、300…ベンダサーバ
【技術分野】
【0001】
本発明は、端末におけるネットワークを介した不正アクセスなどによる不正パケットの検知やワームやトロイの木馬などのウイルスの感染検知時における当該端末およびネットワーク内端末のネットワークへの接続を制御するための技術に関する。
【背景技術】
【0002】
近年、個人のセキュリティ意識の高まりにより、情報漏えい事故による企業のブランドイメージの低下や損害賠償額の増加が以前にも増して顕著になり、セキュリティの重要性が一層高まっている。そこでセキュリティ対策として、企業などでは、ファイアウォール(以下、FW)やIDS(Intrusion Detection System)、アンチウイルスソフトなどのセキュリティ製品を導入し、それら製品を連携させることで、セキュリティレベルの維持、向上に努めていることが多い。
【0003】
例えば、特許文献1においては、ゲートウェイなどのネットワークとの接続点で不正パケットを検知した際、管理装置にその情報を上げ、管理装置が収集分析をし、ネットワーク内端末へネットワーク遮断の指示を行っている。
【0004】
また、特許文献2においては、端末でウイルス感染を検知した際、管理装置にその情報を上げ、管理装置が排除装置に指示を行い、排除装置が当該端末に対しネットワーク遮断の指示を行っている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2007−122749号公報
【特許文献2】特開2007−041648号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
上述の従来技術では、ネットワーク内に存在する不正パケットやウイルス感染をいかに検知し、ネットワーク内のセキュリティレベルを保つためにいかに遮断するかということに重点が置かれ、遮断を実施後、いかにネットワークを開放させるかという観点に欠けていた。
【0007】
本発明の目的は、ネットワーク内端末のネットワーク一斉遮断および一斉開放をネットワーク内のセキュリティレベルをもとに効率的に行うことにある。特に、端末を管理する管理サーバによるネットワーク内端末のネットワーク一斉遮断および一斉開放をネットワーク内のセキュリティレベルをもとに効率的に行うものである。
【課題を解決するための手段】
【0008】
上記課題を解決するために、本発明の第一の態様は、ネットワーク内の各端末において不正パケットまたはウイルス感染を検知した際に、当該端末が危険である旨を管理サーバへ通知する。これにより、管理サーバ上で当該危険通知を管理することで、過去に当該不正パケットまたは当該ウイルスの感染を検知した端末の台数を把握することできる。
【0009】
また本発明の第二の態様は、危険を通知した端末は、不正パケット検知の場合、当該不正パケットの監視を実施し、当該不正パケットがある一定時間検知されなくなった際に、当該端末が安全である旨を管理サーバへ通知する。ウイルス検知の場合、当該ウイルスの駆除を実施し、当該ウイルスが駆除された際に、当該端末が安全である旨を管理サーバへ通知する。これにより、管理サーバ上で当該安全通知と危険通知を管理することで、現在当該不正パケットまたは当該ウイルスを検知している端末の台数を把握することできる。
【0010】
すなわち、管理サーバ上での当該安全通知と危険通知の管理により、ネットワーク内のセキュリティレベルを把握することが可能となり、これにより管理サーバによるネットワーク内端末のネットワーク一斉遮断および一斉開放を実施する。
【発明の効果】
【0011】
本発明によれば、ネットワーク内のセキュリティレベルをもとに、効率的に、ネットワーク内端末のネットワーク一斉遮断および一斉開放実施の判断が可能になる。
【図面の簡単な説明】
【0012】
【図1】不正パケット及びウイルス感染検知端末のネットワーク制御システムの実施の形態例に係るネットワーク構成図である。
【図2】実施の形態例に係る端末100内の構成を示した図である。
【図3】実施の形態例に係る管理サーバ200内の構成を示した図である。
【図4】実施の形態例に係るベンダサーバ300内の構成を示した図である。
【図5】実施の形態例に係る不正パケット及びウイルス感染検知端末のネットワーク制御システムによって行われる処理の一例を示した処理概要図である。
【図6】実施の形態例に係る不正パケット及びウイルス感染検知端末のネットワーク制御システムによって行われる処理の一例を示した処理概要図である。
【図7】端末における不正パケット検知に係る不正パケット及びウイルス感染検知端末のネットワーク制御システムにおいて行われる処理の一例を示したフローチャートである。
【図8】不正パケット及びウイルス検知後の端末動作に係る不正パケット及びウイルス感染検知端末のネットワーク制御システムにおいて行われる処理の一例を示したフローチャートである。
【図9】不正パケット検知後の端末動作に係る不正パケット及びウイルス感染検知端末のネットワーク制御システムにおいて行われる処理の一例を示したフローチャートである。
【図10】未通知端末のネットワーク一斉遮断に係る不正パケット及びウイルス感染検知端末のネットワーク制御システムにおいて行われる処理の一例を示したフローチャートである。
【図11】一斉遮断実施端末のネットワーク一斉開放に係る不正パケット及びウイルス感染検知端末のネットワーク制御システムにおいて行われる処理の一例を示したフローチャートである。
【図12】ウイルス対策不明時のウイルス定義ファイル配信に係る不正パケット及びウイルス感染検知端末のネットワーク制御システムにおいて行われる処理の一例を示したフローチャートである。
【図13】端末100が送信する不正パケットに関する情報を例示した図である。
【図14】端末100が送信するウイルスに関する情報を例示した図である。
【図15】FW動作ルール管理手段103に格納されるFW動作ルールに関する情報を例示した図である。
【図16】閾値を算出する際に利用する危険点数表を例示した図である。
【図17】危険点数と閾値とのマッピング表を例示した図である。
【図18】解析用情報管理手段208に格納される不正パケット種別ごとの情報を例示した図である。
【図19】集計情報管理手段207に格納される不正パケット種別ごとの集計結果を例示した図である。
【図20】端末情報管理手段206に格納される端末に関する情報を例示した図である。
【図21】端末情報管理手段206に格納される一斉遮断を実施した端末に関する情報を例示した図である。
【発明を実施するための形態】
【0013】
本発明の実施の形態について、以下図面を用いて説明する。しかしながら、かかる実施の形態例が、本発明の技術的範囲を限定するものではない。
【0014】
-----以下、図5の処理概要の説明-----
図5は、本実施の形態例に係る不正パケット及びウイルス感染検知端末のネットワーク制御システムによって行われる処理の一例を示した処理概要図である。端末100において、ウイルス検知部107によってウイルス感染を検知した場合、まず、管理部111によって当該ウイルスの検知時における動作を確認する。この結果、不正パケットの検知が必要である場合、管理部111は不正パケット検知部104に検知指示を出す。不正パケット検知部104によって不正パケットを検知した際、不正パケットやウイルス情報をもとに管理部111によってFW動作ルールを生成し、ネットワーク遮断部101に遮断指示を出す。
【0015】
ネットワーク遮断部101によるネットワークの遮断後、端末100は通信部115によって管理サーバ200へ不正パケットやウイルス情報を送信し、当該端末が危険である旨を管理サーバへ通知する。管理サーバ200は、通信部212によって当該危険通知を受信した場合、データ解析部201によって端末からの当該危険通知を集計し、解析することでネットワーク内のセキュリティレベルが危険であるかどうかを判断する。当該危険通知を出すネットワーク内端末の割合が予め定めた数値より高く、ネットワーク内のセキュリティレベルが危険であると判断した場合、不正パケットやウイルス情報をもとにルール生成部209によってFW動作ルールを生成し、当該危険通知を出していない端末に対し、通信部101によってFW動作ルールを送信することで、ネットワークの遮断指示を行う。
【0016】
端末100は、管理サーバ200からのFW動作ルールを受信し、管理部111によってネットワーク遮断部101に遮断指示を出す。
【0017】
-----以下、図6の処理概要の説明-----
図6は、本実施の形態例に係る不正パケット及びウイルス感染検知端末のネットワーク制御システムによって行われる処理の一例を示した処理概要図である。端末100において、ウイルス感染の検知後、検知部107によってウイルスを駆除した際、まず、管理部111によって当該ウイルスの駆除時における動作を示す情報を特定し、特定された情報が不正パケットの検知が必要であることを示す場合、管理部111は不正パケット検知部104に検知指示を出す。不正パケット検知部104によって不正パケットを検知しなかった際、不正パケットやウイルス情報をもとに管理部111によってFW動作ルールを生成し、ネットワーク遮断部101に遮断指示を出す。
【0018】
ネットワーク遮断部101によるネットワークの遮断後、端末100は通信部115によって管理サーバ200へ不正パケットやウイルス情報を送信し、当該端末が危険である旨を管理サーバへ通知する。管理サーバ200は、通信部212によって当該危険通知を受信後、データ解析部201によって端末からの当該危険通知を集計し、解析することでネットワーク内のセキュリティレベルが危険であるかどうかを判断する。当該危険通知を出すネットワーク内端末の割合が予め定めた基準値より高く、ネットワーク内のセキュリティレベルが危険であると判断した場合、不正パケットやウイルス情報をもとにルール生成部209によってFW動作ルールを生成し、当該危険通知を出していない端末に対し、通信部101によってFW動作ルールを送信することで、ネットワークの遮断指示を行う。
【0019】
端末100は、管理サーバ200からのFW動作ルールを受信し、当該受信に従って管理部111によってネットワーク遮断部101に遮断指示を出す。
【0020】
-----以下、図10の処理概要の説明-----
図10は、未通知端末のネットワーク一斉遮断に係る不正パケット及びウイルス感染検知端末のネットワーク制御システムにおいて行われる処理の一例を示したフローチャートである。管理サーバ200は、端末100から送信された不正パケット(ウイルス)に関する危険通知を管理サーバ200の端末受信手段214によって受信する(ステップS101)。
【0021】
次に、当該不正パケット(ウイルス)が過去に存在したかどうかを検索する(ステップS102)。具体的には、不正パケット検知の場合は、図13に例示するような不正パケット情報の「検知場所」、「検知方法」、「送信元IP」、「送信元ポート」、「遮断方向」、「遮断ポート」の値をもとに通知情報管理手段205に記憶されている通知情報内の検索を行う。ウイルス検知の場合は、図14に例示するようなウイルス情報の「検知方法」、「ウイルス種別」、「ウイルス名称」、「遮断方向」、「遮断ポート」の値をもとに通知情報管理手段205に記憶されている通知情報内の検索を行う。
【0022】
検索に該当する不正パケット(ウイルス)が存在する場合、該当した不正パケット(ウイルス)の「不正パケットID」(「ウイルスID」)を通知情報に付加し、通知情報管理手段205にその通知情報を格納する(ステップS107)。
【0023】
検索に該当する不正パケット(ウイルス)が存在しない場合、まず当該不正パケット(ウイルス)を識別する「不正パケットID」(「ウイルスID」)を採番する(ステップS103)。
【0024】
次に、当該不正パケット(当該ウイルス)に対する危険点数を算出し、危険点数から危険度および閾値を算出する(ステップS104)。具体的に、不正パケット検知の場合は、管理サーバ200は当該不正パケット情報の「検知場所」、「検知方法」、「サービス名」から、図16のような表を用いて、「危険点数」を求め、それらを合計する。次に、求めた危険点数の合計から、図17のような表を用いて、「危険度」とその危険度に応じた「危険閾値」、「安全閾値」、「NW安全閾値」を求める。なおここで、図16、図17のような表は、予め値を用意しておき、解析用情報管理手段208に格納しておくものとする。ウイルス検知の場合も、不正パケットのときと同様に、管理サーバ200は、当該ウイルス情報の「検知方法」、「ウイルス種別」から危険点数を求め、それらを合計する。次に、求めた危険点数の合計から、「危険度」とその危険度に応じた「危険閾値」、「安全閾値」、「NW安全閾値」を求める。
【0025】
求めた「危険閾値」、「安全閾値」、「NW安全閾値」を不正パケット情報(ウイルス情報)である「不正パケットID」、「検知場所」、「検知方法」、「送信元IP」、「送信元ポート」、「遮断方向」、「遮断ポート」(「ウイルスID」、「検知方法」、「ウイルス種別」、「ウイルス名称」、「遮断方向」、「遮断ポート」)と一緒に図18のように解析用情報管理手段208に格納する(ステップS105)。
【0026】
FW動作ルール生成手段210によって、図13(図14)に例示するような不正パケット情報(ウイルス情報)の「遮断方向」、「遮断ポート」、「送信元IPアドレス」、「送信先IPアドレス」(「遮断方向」、「遮断ポート」)に示された値から、図15で例示するような不正パケット種別(ウイルス種別)に対するFW動作ルールを生成し、一意な「ファイアウォールID」を採番し、FW動作ルール管理手段211に格納する(ステップS106)。また、解析用情報管理手段208によって、図18に例示するような当該不正パケットの「ファイアウォールID」欄にファイアウォールIDを格納する。
【0027】
管理サーバ200は、通知情報管理手段205から、当該不正パケット情報(当該ウイルス情報)と同じ不正パケットID(ウイルスID)を持つ通知情報を取り出し、集計を行う(ステップS108)。集計は具体的に、不正パケット検知の場合、通知情報集計手段202によって、図13に例示するような不正パケット情報の「通知種別」ごとに通知情報の数を加算する。ウイルス検知の場合、通知情報集計手段202によって、図14に例示するようなウイルス情報の「通知種別」ごとに通知情報の数を加算する。これにより、不正パケット種別ごと、ウイルス種別ごとの安全および危険通知台数が集計される。集計結果の集計情報管理手段207への格納は次のように行う。まず、図19に例示するような集計情報から、当該不正パケット(ウイルス)と同じ不正パケットID(ウイルスID)を持つ最新の通知情報を検索する。検索した最新の通知情報の日時と当該不正パケット(当該ウイルス)の日時を比較し、予め設定しておいた集計結果の格納間隔よりも大きい場合、集計結果(安全通知台数、危険通知台数、危険端末割合)を日時と共に集計情報管理手段207に格納する。ここで、集計結果の格納間隔は解析用情報管理手段209に格納されているものとする。
【0028】
管理サーバ200は、端末情報管理手段206から端末台数を求め、通知情報解析手段203によって、不正パケット種別(ウイルス種別)ごとに「危険端末割合=(累積の危険通知端末台数−累積の安全通知端末台数)/端末台数」を算出する(ステップS109)。
【0029】
解析用情報管理手段208から、図18に例示するような当該不正パケット種別(ウイルス種別)の危険閾値を抽出し、算出値と大小比較を行う(ステップS110)。大小比較の結果、算出値が危険閾値よりも小さい場合は、ネットワーク内のセキュリティレベルは保たれていると判断し、指示は行わず、処理を終了する。算出値が危険閾値よりも大きい場合は、ネットワーク内のセキュリティレベルが危険であると判断し、ネットワーク内の未通知端末へ一斉遮断の指示を行う。
【0030】
ステップS108において、図13や図14に例示するような「セグメント」ごとにさらに詳細に集計すれば、セグメントごとの危険端末割合を算出することが可能となる。これにより、セグメントごとの危険端末割合と危険閾値とを各々比較し、セグメント単位で未通知端末を一斉遮断することも可能である。また、例えばセグメントごとの危険端末割合中で最も大きい値をネットワーク全体の危険端末割合と定義し、そのネットワーク全体の危険端末割合と危険閾値とを比較するとした場合、他セグメントで危険端末割合が低くても(例えば予め定めた基準値より)、あるセグメントで危険端末割合が高ければ(例えば予め定めた基準値より)、ネットワーク内の未通知端末を遮断することとなるため、ネットワーク内のセキュリティレベルをよりセキュアに保つことが可能となる。なお、危険端末割合の高さは、予め定めた基準値以外にも、各セグメント毎の相対比較結果としてもよい。
【0031】
また、集計結果の格納間隔が短ければ、詳細な時系列のデータを得ることが可能となる。これによりステップS109において、指数平滑法やその拡張であるホルト・ウィンタースアルゴリズムなどの一般的な時系列解析の手法を用いることで、予め定められたある時間後に危険閾値を上回ることを予測し一斉遮断の指示を前倒しすることも可能である。ここで、時系列解析に用いるパラメータは解析用情報管理手段208に用意しておくことが可能である。
【0032】
図18に例示するような不正パケット情報(ウイルス情報)の「ファイアウォールID」の値から、図15で例示するような不正パケット(ウイルス)に対するFW動作ルールを抽出し、「動作内容」欄の値を“遮断”に更新し、送信用のFW動作ルールとする(ステップS111)。
【0033】
管理サーバ200は、図13に例示するような通知情報管理手段205に格納されている通知情報と図20に例示するような端末情報管理手段206に格納されている端末情報の「セグメント」、「端末IP」を突き合わせる(比較する)ことによって、当該不正パケット(ウイルス)に関する危険通知を送信していない端末を抽出する。管理サーバ200は、端末送信手段213によって、抽出された端末群へFW動作ルールを一斉送信する(ステップS112)。また、一斉遮断を行った事実を格納するために、解析用情報管理手段208によって、図18に例示するような不正パケットの「一斉遮断実施」欄に“YES”を格納する。さらに、一斉遮断を行った端末を把握できるように、端末情報管理手段206によって、図21に例示するような不正パケットの「不正パケットID」、「セグメント」、「端末IP」欄に各値を格納する。
【0034】
危険通知を行っていないと判断された端末120は、管理サーバ受信手段117によって、管理サーバ200から送信されたFW動作ルールを受信し、FW動作ルール管理手段103によって、自端末のFW動作ルールを更新する(ステップS113)。
【0035】
端末120は、FW動作ルール実施手段102によって、更新したFW動作ルールを自端末に適用し、ネットワークの遮断を実施する(ステップS114)。
【0036】
-----以下、図11の処理概要の説明-----
図11は、一斉遮断実施端末のネットワーク一斉開放に係る不正パケット及びウイルス感染検知端末のネットワーク制御システムにおいて行われる処理の一例を示したフローチャートである。管理サーバ200は、端末100から送信された不正パケット(ウイルス)に関する安全通知を管理サーバ200の端末受信手段214によって受信する(ステップS121)。
【0037】
また、当該不正パケット(ウイルス)の通知情報を、通知情報管理手段205に格納する(ステップS122)
情報を集計するステップS123は、未通知端末のネットワーク一斉遮断の場合と同様の処理を実行する。また、情報を解析するステップS124も、未通知端末のネットワーク一斉遮断の場合と同様の処理を実行する。
【0038】
解析用情報管理手段208から、図18に例示するような当該不正パケット種別(ウイルス種別)の安全閾値を抽出し、算出値と大小比較を行う(ステップS125)大小比較の結果、算出値が安全閾値よりも大きい場合は、ネットワーク内のセキュリティレベルは依然として危険であると判断し、開放指示は行わず、ステップS121に戻る。算出値が安全閾値よりも小さい場合は、ネットワーク内のセキュリティレベルは安全になったと判断し、当該通知端末へ開放の指示を行う。集計結果の集計情報管理手段207への格納は、未通知端末のネットワーク一斉遮断の場合と同様の処理を実行する。
【0039】
図18に例示するような不正パケット情報(ウイルス情報)の「ファイアウォールID」の値から、図15で例示するような不正パケット(ウイルス)に対するFW動作ルールを抽出し、「動作内容」欄の値を“開放”に更新し、送信用のFW動作ルールとする(ステップS126)。
【0040】
管理サーバ200は、端末送信手段213によって、当該不正パケット(ウイルス)に関する安全通知を送信した端末へFW動作ルールを送信する(ステップS127)。
【0041】
当該不正パケット(ウイルス)に関して一斉遮断を実施したかどうかを調べる(ステップS128)。具体的には、解析用情報管理手段208から、図18に例示するような当該不正パケット(ウイルス)の「一斉遮断実施」欄の値を抽出し、値が“NO”であれば、処理を終了する。
【0042】
値が“YES”であれば、解析用情報管理手段208から当該不正パケット種別(ウイルス種別)の「NW安全閾値」を抽出し、算出値と大小比較を行う(ステップS129)。大小比較の結果、算出値がNW安全閾値よりも大きい場合は、ネットワーク内のセキュリティレベルは依然として危険であると判断し、一斉開放指示は行わず、処理を終了する。算出値がNW安全閾値よりも小さい場合は、ネットワーク内のセキュリティレベルは安全になったと判断し、当該不正パケット(ウイルス)に対し一斉遮断を実施した端末群へ一斉開放指示を行う。
【0043】
管理サーバ200は、当該不正パケット(ウイルス)の「不正パケットID」(「ウイルスID」)をもとに、図21に例示するような端末情報管理手段206に格納されている一斉遮断を実施した端末の「セグメント」、「端末IP」を抽出する。管理サーバ200は、端末送信手段213によって、抽出された端末群へFW動作ルールを一斉送信する(ステップS130)。
また、一斉開放を行った事実を格納するために、解析用情報管理手段208によって、図18に例示するような不正パケット(ウイルス)の「一斉遮断実施」欄に“NO”を格納する。さらに、端末情報管理手段206によって、一斉開放を行った端末の「不正パケットID」(「ウイルスID」)、「セグメント」、「端末IP」を図21に例示するような一斉遮断を実施した端末の一覧から削除する。
【0044】
一斉遮断を実施した端末120は、管理サーバ受信手段117によって、管理サーバ200から送信されたFW動作ルールを受信し、FW動作ルール管理手段103によって、自端末のFW動作ルールを受信した動作ルールに更新する(ステップS131)。
【0045】
端末120は、FW動作ルール実施手段101によって、更新したFW動作ルールを自端末に適用し、ネットワークの開放を実施する(ステップS132)。
以上で、本発明の一実施形態の説明を終了する。
【符号の説明】
【0046】
100、120…端末、200…管理サーバ、300…ベンダサーバ
【特許請求の範囲】
【請求項1】
複数のセグメントそれぞれが複数の端末から構成され、前記複数のセグメントがネットワークを介して接続された管理サーバを用いたネットワーク上の端末接続制御方法において、
前記管理サーバが前記端末のいずれかから当該端末に対する危険を検知したことを示す通知情報を受信し、
受信した前記通知情報と同様の危険を示す通知情報が格納されているかを検索し、
検索されなかった場合には、当該通知情報の示す危険を識別する危険IDを付与し、
検索された場合には、検索された通知情報の危険の危険IDを付与し、
前記付与された各危険IDの数を計測し、
計測された危険IDが予め定めた危険閾値と比較の結果、前記危険閾値を越えた場合、前記各セグメントの端末のうち所定の端末に対して、危険閾値を越えた危険への対処情報を送信することを特徴とするネットワーク上の端末接続制御方法。
【請求項2】
請求項1に記載のネットワーク上の端末接続制御方法において、
前記通知情報を送信した端末が、当該危険に対する処理についての情報を前記管理サーバから受信し、当該危険に対する処理を実施したのち、当該端末が安全になったことを示す通知情報を送信し、
前記管理サーバが当該情報を送信した端末について、安全状態になった端末として記録し、
前記安全状態になった端末の数と前記危険の状態の端末の数をそれぞれ計測することを特徴とするネットワーク上の端末接続制御方法。
【請求項3】
請求項2に記載のネットワーク上の端末接続制御方法において、
前記計測された安全状態の端末の数と前記危険状態の端末の数に応じて、セキュリティレベルを特定し、
特定されたセキュリティレベルに応じて、前記セグメントのそれぞれに対してネットワークの一斉遮断もしくは一斉開放を実行することを特徴とするネットワーク上の端末接続制御方法。
【請求項1】
複数のセグメントそれぞれが複数の端末から構成され、前記複数のセグメントがネットワークを介して接続された管理サーバを用いたネットワーク上の端末接続制御方法において、
前記管理サーバが前記端末のいずれかから当該端末に対する危険を検知したことを示す通知情報を受信し、
受信した前記通知情報と同様の危険を示す通知情報が格納されているかを検索し、
検索されなかった場合には、当該通知情報の示す危険を識別する危険IDを付与し、
検索された場合には、検索された通知情報の危険の危険IDを付与し、
前記付与された各危険IDの数を計測し、
計測された危険IDが予め定めた危険閾値と比較の結果、前記危険閾値を越えた場合、前記各セグメントの端末のうち所定の端末に対して、危険閾値を越えた危険への対処情報を送信することを特徴とするネットワーク上の端末接続制御方法。
【請求項2】
請求項1に記載のネットワーク上の端末接続制御方法において、
前記通知情報を送信した端末が、当該危険に対する処理についての情報を前記管理サーバから受信し、当該危険に対する処理を実施したのち、当該端末が安全になったことを示す通知情報を送信し、
前記管理サーバが当該情報を送信した端末について、安全状態になった端末として記録し、
前記安全状態になった端末の数と前記危険の状態の端末の数をそれぞれ計測することを特徴とするネットワーク上の端末接続制御方法。
【請求項3】
請求項2に記載のネットワーク上の端末接続制御方法において、
前記計測された安全状態の端末の数と前記危険状態の端末の数に応じて、セキュリティレベルを特定し、
特定されたセキュリティレベルに応じて、前記セグメントのそれぞれに対してネットワークの一斉遮断もしくは一斉開放を実行することを特徴とするネットワーク上の端末接続制御方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【公開番号】特開2011−145843(P2011−145843A)
【公開日】平成23年7月28日(2011.7.28)
【国際特許分類】
【出願番号】特願2010−5430(P2010−5430)
【出願日】平成22年1月14日(2010.1.14)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成23年7月28日(2011.7.28)
【国際特許分類】
【出願日】平成22年1月14日(2010.1.14)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]