Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6286324B2 - Communication device and communication server - Google Patents
[go: Go Back, main page]

JP6286324B2 - Communication device and communication server - Google Patents

Communication device and communication server Download PDF

Info

Publication number
JP6286324B2
JP6286324B2 JP2014174748A JP2014174748A JP6286324B2 JP 6286324 B2 JP6286324 B2 JP 6286324B2 JP 2014174748 A JP2014174748 A JP 2014174748A JP 2014174748 A JP2014174748 A JP 2014174748A JP 6286324 B2 JP6286324 B2 JP 6286324B2
Authority
JP
Japan
Prior art keywords
communication
hops
communication device
fraud
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014174748A
Other languages
Japanese (ja)
Other versions
JP2016051935A (en
Inventor
将 細田
将 細田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Secom Co Ltd
Original Assignee
Secom Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Secom Co Ltd filed Critical Secom Co Ltd
Priority to JP2014174748A priority Critical patent/JP6286324B2/en
Publication of JP2016051935A publication Critical patent/JP2016051935A/en
Application granted granted Critical
Publication of JP6286324B2 publication Critical patent/JP6286324B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、通信機器への不正があったときに通信を制限する通信機器及び通信サーバに関する。   The present invention relates to a communication device and a communication server that restrict communication when there is a fraud to a communication device.

従来、インターネット等の通信網で使用される通信機器においてウィルス感染等の不正が検出された場合、被害の拡大を防ぐためにネットワークから通信機器を遮断したり、通信機器の機能を無効にしたりする対応が行われている。具体的には、ウィルス感染が認められた通信機器(PC等)は即時に物理的にネットワーク接続の線を抜く等の通信不能にする措置が講じられる例がある。   Conventionally, when a fraud such as a virus infection is detected in a communication device used in a communication network such as the Internet, the communication device is blocked from the network or the function of the communication device is disabled in order to prevent further damage. Has been done. Specifically, there is an example in which a communication device (such as a PC) in which virus infection is recognized is taken to make communication impossible, such as by physically disconnecting a network connection line.

複数台のコンピュータが接続された通信システムにおいて、ワームが検出されたコンピュータが備える警報モジュールは警報を作成し、その警報を1つ又は複数のコンピューティングシステムに送信して、検出されたワームに関する情報を共有する技術が開示されている。この技術では、同じ警報メッセージを果てしなく送信し続ける事態を抑制するために、警報メッセージに転送される回数を制限する転送回数のカウンタを含めることが記載されている(特許文献1)。   In a communication system in which a plurality of computers are connected, an alarm module included in a computer in which a worm is detected creates an alarm, and transmits the alarm to one or more computing systems, and information on the detected worm. A technique for sharing is disclosed. In this technique, in order to suppress a situation in which the same alarm message is continuously transmitted, it is described that a transfer number counter that limits the number of times the alarm message is transferred is included (Patent Document 1).

特開2006−031718号公報JP 2006-031718 A

ところで、通信機器を管理するためのインターフェースがネットワークのみであったり、別の通信機器(管理装置やサーバ等)からネットワークを介して通信機器を管理したりするというシステムが拡がりつつある。このようなシステムにおいて、不正な通信の標的となった通信機器をネットワークから遮断し、通信機器を無効にする方法では、被害の拡大は防げるが、遠隔から復旧させることも、通信機器の管理も一切できなくなる。また、管理機能の他に異常時であっても停止したくない機能があったとしてもその機能を継続することができなくなる。   By the way, a system in which an interface for managing a communication device is only a network or a communication device is managed from another communication device (such as a management device or a server) via the network is expanding. In such a system, the method of blocking the communication device that was the target of unauthorized communication from the network and disabling the communication device can prevent the damage from spreading, but it is possible to restore it remotely and manage the communication device. It becomes impossible at all. In addition to the management function, even if there is a function that is not desired to be stopped even in the event of an abnormality, the function cannot be continued.

このような場合、通信の不正が検出された時でも通信が必要なIPアドレスを予め決めておき、不正検出時には通信機能を無効にせず、その特定のIPアドレスにのみ通信を許可する等の方法があるが、予めアドレスを決めておく必要がある。また、システムを長期間に亘って運用する場合、システム内のアドレス体系が変更されることも多く、適切なIPアドレスを特定アドレスとして継続して用いることが難しいことがある。また、多くの通信機器を管理する場合にはアドレスの設定処理自体が煩雑になるという問題もある。   In such a case, a method of predetermining an IP address that needs to be communicated even when communication fraud is detected, and permitting communication only to the specific IP address without invalidating the communication function when fraud is detected. There is a need to determine the address in advance. In addition, when the system is operated for a long period of time, the address system in the system is often changed, and it may be difficult to continuously use an appropriate IP address as a specific address. In addition, when managing many communication devices, there is a problem that the address setting process itself becomes complicated.

本発明の1つの態様は、通信機器への不正を検出する不正検出手段と、通常の通信時のホップ数である通常ホップ数より小さい値のホップ数を変更ホップ数として記憶する記憶手段と、前記不正検出手段によって不正が検出された後に送信される通信パケットのホップ数を前記通常ホップ数から前記変更ホップ数に変更する変更手段と、を備えることを特徴とする通信機器である。これにより、通信機器への不正を検出した際に、不正検出前は許可されていたネットワーク的に遠いところへの通信接続を制限し、不正行為によりネットワーク的に遠くて不適切な可能性があるところにパケットを送信してしまうことを防止することができる。   One aspect of the present invention includes fraud detection means for detecting fraud to a communication device, storage means for storing a hop number having a value smaller than a normal hop number, which is a hop number during normal communication, as a changed hop number, A communication device comprising: changing means for changing the number of hops of a communication packet transmitted after the fraud is detected by the fraud detection means from the normal hop number to the changed hop number. As a result, when a fraud to a communication device is detected, the communication connection to a distant place in the network that was permitted before the fraud detection is restricted, and there is a possibility that the fraudulent act is inappropriate and far from the network. However, it is possible to prevent the packet from being transmitted.

ここで、前記不正検出手段によって不正が検出された後に通信を継続する通信先までのホップ数を計測して、当該通信先までのホップ数に応じて前記変更ホップ数を設定することが好適である。これにより、最低限、ネットワーク的に近いところからの機器管理や不正からの復旧操作に必要な通信を確保することができる。   Here, it is preferable to measure the number of hops to a communication destination that continues communication after fraud is detected by the fraud detection means, and set the number of changed hops according to the number of hops to the communication destination. is there. As a result, it is possible to ensure communication necessary for device management and recovery operation from fraud at a minimum from the network side.

また、通信機器への不正がない状態においてサービスを提供する通信先までのホップ数を計測して、当該通信先までのホップ数に所定の迂回許容ホップ数を加えた値を前記通常ホップ数として設定することが好適である。これにより、通常時も、通信可能な範囲を必要な範囲に限定しておくことができる。   In addition, the number of hops to a communication destination that provides a service in a state where there is no fraud to the communication device is measured, and a value obtained by adding a predetermined number of permitted bypasses to the number of hops to the communication destination is the normal hop number. It is preferable to set. Thereby, it is possible to limit the communicable range to a necessary range even during normal times.

また、本発明の別の態様は、上記通信機器と通信する通信サーバであって、受信した通信パケットのホップ数の現在値と初期値との差を求め、当該差が迂回許容ホップ数以下であれば正規の通信パケットとして判定し、当該差が前記迂回許容ホップ数より大きければ不正な通信パケットとして判定する判定手段を備えることを特徴する通信サーバである。これにより、正規にサーバと通信する通信機器なら当然知りうる迂回許容ホップ数を知らない通信機器から送信される通信パケットのホップ数の現在値が大きいままとなり、サーバに届いたパケットの中から不正と思われるパケットを区別し、不正パケットを破棄したり、管理者へ警告を出力したりすることが可能になる。   Another aspect of the present invention is a communication server that communicates with the communication device, and obtains a difference between the current value and the initial value of the hop number of the received communication packet, and the difference is less than or equal to the number of permitted bypass hops. If there is, it is determined as a regular communication packet, and if the difference is larger than the number of permitted bypass hops, it is a communication server comprising determination means for determining as an invalid communication packet. As a result, the current value of the number of hops of communication packets transmitted from a communication device that does not know the number of permitted bypass hops that can be known naturally by a communication device that communicates with the server remains large. Can be distinguished from each other, and illegal packets can be discarded or warnings can be output to the administrator.

ここで、前記判定手段は、前記通信機器から前記正規の通信パケットを所定時間受信していないときに前記通信機器へ不正の通信があったと判定することが好適である。これにより、サーバは通信機器から本来あるべき通信パケットが届かないことを持って通信機器への不正を検出し、サーバ側の管理者などへ警告出力することが可能になる。   Here, it is preferable that the determination unit determines that there is an unauthorized communication to the communication device when the regular communication packet is not received from the communication device for a predetermined time. As a result, the server can detect that the communication device does not receive a communication packet that should be originally received from the communication device, and can output a warning to an administrator on the server side.

本発明によれば、通信に不正が検出された場合であっても最低限必要な通信を維持しつつ、広範囲な被害の拡大を抑制することができる。   ADVANTAGE OF THE INVENTION According to this invention, even if it is a case where fraud is detected in communication, the expansion of a wide range damage can be suppressed, maintaining the minimum required communication.

本発明の実施の形態における通信システムの構成を示す構成概念図である。1 is a conceptual diagram showing a configuration of a communication system in an embodiment of the present invention. 本発明の実施の形態における通信機器の構成を示す図である。It is a figure which shows the structure of the communication apparatus in embodiment of this invention. 本発明の実施の形態におけるサーバの構成を示す図である。It is a figure which shows the structure of the server in embodiment of this invention. 本発明の実施の形態における通信機器での処理のフローチャートである。It is a flowchart of the process in the communication apparatus in embodiment of this invention. 本発明の実施の形態におけるサーバでの処理のフローチャートである。It is a flowchart of the process in the server in embodiment of this invention.

<システム構成>
本発明の実施の形態における通信システム100は、図1に示すように、通信機器102、管理端末104及びサーバ106を含んで構成される。通信機器102は、LAN等の情報通信網108を介して管理端末104に情報伝達可能に接続される。また、通信機器102は、WAN等の情報通信網110を介してサーバ106に情報伝達可能に接続される。
<System configuration>
A communication system 100 according to the embodiment of the present invention includes a communication device 102, a management terminal 104, and a server 106, as shown in FIG. The communication device 102 is connected to the management terminal 104 through an information communication network 108 such as a LAN so that information can be transmitted. The communication device 102 is connected to the server 106 via an information communication network 110 such as a WAN so that information can be transmitted.

通信機器102は、情報通信網108,110を介して、サーバ106から所定のサービス等を受ける等して機器本体の設定が実現される。また、通信機器102は、情報通信網108を介して、管理端末104から初期設定などの管理を受ける。   The communication device 102 is configured to set the device body by receiving a predetermined service from the server 106 via the information communication networks 108 and 110. The communication device 102 receives management such as initial setting from the management terminal 104 via the information communication network 108.

通信機器102は、図2に示すように、処理部10、通信部12、記憶部14、タイマー16を含んで構成される。   As shown in FIG. 2, the communication device 102 includes a processing unit 10, a communication unit 12, a storage unit 14, and a timer 16.

処理部10は、通信機器102を統合的に制御する手段を含む。処理部10は、TTL計測手段10a、TTL設定手段10b、TTL変更手段10c、不正検出手段10d及びアプリケーション手段10eとして機能する。   The processing unit 10 includes means for controlling the communication device 102 in an integrated manner. The processing unit 10 functions as a TTL measuring unit 10a, a TTL setting unit 10b, a TTL changing unit 10c, a fraud detecting unit 10d, and an application unit 10e.

通信部12は、情報通信網108を介して、他の通信機器と通信を行うためのインターフェースである。本実施の形態では、TCP/IPに則って通信を行うためのインターフェースとすることが好適である。例えば、通信部12は、イーサネット(登録商標)等とすることができる。   The communication unit 12 is an interface for communicating with other communication devices via the information communication network 108. In this embodiment, it is preferable to use an interface for performing communication according to TCP / IP. For example, the communication unit 12 can be Ethernet (registered trademark) or the like.

記憶部14は、ROM(Read Only Memory)、RAM(Random Access Memory)等の半導体メモリ等のメモリ装置を含んで構成される。記憶部14は、少なくとも通常ホップ数14a、変更ホップ数14bを記憶する。通常ホップ数14aは、不正な通信が生じていない通常の状態において使用される通信パケットの生存時間(TTL:Time to Live)の値である。本実施の形態では、通常ホップ数14aは、オペレーションシステム(OS)設定のデフォルト値とする。変更ホップ数14bは、通信機器102において不正の通信が検出されたときに使用されるTTLの値である。変更ホップ数14bは、通常ホップ数14aよりも小さい値に設定される。   The storage unit 14 includes a memory device such as a semiconductor memory such as a ROM (Read Only Memory) and a RAM (Random Access Memory). The storage unit 14 stores at least the normal hop count 14a and the changed hop count 14b. The normal hop count 14a is a value of a lifetime (TTL: Time to Live) of a communication packet used in a normal state where no illegal communication occurs. In the present embodiment, the normal hop count 14a is set as a default value of the operation system (OS) setting. The changed hop count 14 b is a TTL value used when unauthorized communication is detected in the communication device 102. The changed hop count 14b is set to a value smaller than the normal hop count 14a.

ここで、本発明の実施の形態におけるホップ数とは、IP通信網において、ある機器から他の機器にパケットが転送される際に経由するルータの数に1を加えた数を示す。IPパケットは、パケット生成時にこのホップ数を制限するための値をヘッダに含めることになっている。この値をIPv4ではTTLと呼び、IPv6ではホップリミットと呼ぶ。以後この値のことをTTLと表現する。TTLは、8ビットで表現される。TTLは、IPパケットがルータを通過する毎にその値が1ずつ減らされる。そして、TTLが0となった場合、そのIPパケットはそれより先には中継されないように制御され、送信元の通信機器にはエラーパケットが送信される。   Here, the number of hops in the embodiment of the present invention indicates a number obtained by adding 1 to the number of routers through which a packet is transferred from one device to another device in the IP communication network. The IP packet is supposed to include a value for limiting the number of hops in the header when the packet is generated. This value is called TTL in IPv4 and called hop limit in IPv6. Hereinafter, this value is expressed as TTL. The TTL is expressed by 8 bits. The value of TTL is decremented by 1 every time an IP packet passes through the router. When the TTL becomes 0, the IP packet is controlled not to be relayed earlier, and an error packet is transmitted to the transmission source communication device.

TTLの設定値を変更することによって、パケットが送信され得る範囲を制限することができる。例えば、送信元の通信機器が設置された建物内、同一のプロバイダ内、国内等といった大まかな範囲でパケットの送信範囲を制御できる。なお、TTLを0に設定すると、通信機器102内での通信となり、他の通信機器と通信ができない状態となる。   By changing the setting value of TTL, the range in which a packet can be transmitted can be limited. For example, it is possible to control the packet transmission range within a rough range such as in a building where a transmission source communication device is installed, in the same provider, or in Japan. When TTL is set to 0, communication is performed within the communication device 102, and communication with other communication devices cannot be performed.

TTL計測手段10aは、通信先となる機器までに必要なホップ数の値を計測する手段である。TTL設定手段10bは、TTL計測手段10aによって計測されたホップ数に基づいて定められた通常ホップ数14a及び変更ホップ数14bを記憶部14に記憶させる手段である。TTL変更手段10cは、通信において不正が生じた場合にパケットのTTLを通常ホップ数14aから変更ホップ数14bに変更する手段である。不正検出手段10dは、通信機器102に対して行われる通信機器への不正を検出する手段である。   The TTL measuring unit 10a is a unit that measures the value of the number of hops necessary for the device to be a communication destination. The TTL setting unit 10b is a unit that causes the storage unit 14 to store the normal hop number 14a and the changed hop number 14b determined based on the hop number measured by the TTL measurement unit 10a. The TTL changing unit 10c is a unit that changes the TTL of a packet from the normal hop number 14a to the changed hop number 14b when an unauthorized operation occurs. The fraud detection unit 10d is a unit that detects fraud to the communication device performed on the communication device 102.

アプリケーション手段10eは、情報通信網108,110を介して、他の通信機器と通信することにより通信機器102の本来の機能を実現する。なお、通信機器102は、アプリケーション手段10eの性質から通信に不正が生じた場合であっても管理端末104等と通信を継続して行う必要があるものとする。   The application unit 10e realizes the original function of the communication device 102 by communicating with other communication devices via the information communication networks 108 and 110. Note that the communication device 102 needs to continue to communicate with the management terminal 104 or the like even if communication is fraudulent due to the nature of the application means 10e.

タイマー16は、アプリケーション手段10eが機能しない状態の継続時間を計測するために用いられる。タイマー16による計時時間が所定の時間(アプリケーション不動作判定時間)以上となった場合、アプリケーション手段10eによるサービスが提供されていない状態であると判定し、不正検出手段10dを機能させる。   The timer 16 is used for measuring the duration of the state where the application means 10e does not function. When the time measured by the timer 16 exceeds a predetermined time (application non-operation determination time), it is determined that the service by the application unit 10e is not provided, and the fraud detection unit 10d is caused to function.

管理端末104は、通信機器102に対する初期設定、メンテナンス等の機器の管理を行う。また、管理端末104は、通信機器102に対する通信に不正が生じた際に通信機器102をリセットしたり、通信機器102から情報を取得して管理者に提示したりするような通信不正時における管理も担う。管理端末104は、例えば、タブレットやスマートフォンのような携帯できる端末とすることができる。通信システム100の全体構成を決定する際、管理端末104は、通信機器102と通信する他の通信機器(サーバ106等)よりホップ数が少ない情報通信網108上に配置することが好適である。図1の例では、管理端末104は、通信機器102と同一のLAN等の情報通信網108上に配置されている。管理端末104は、画面表示やユーザ操作を行うユーザインターフェース手段(図示しない)からの指示を受けて、通信機器102と通信を行い、通信機器102に対する管理を行う。   The management terminal 104 manages devices such as initial settings and maintenance for the communication device 102. In addition, the management terminal 104 performs management at the time of communication fraud such that the communication device 102 is reset when communication with the communication device 102 is fraudulent or information is acquired from the communication device 102 and presented to the administrator. Also bears. The management terminal 104 can be a portable terminal such as a tablet or a smartphone. When determining the overall configuration of the communication system 100, the management terminal 104 is preferably arranged on the information communication network 108 having a smaller number of hops than other communication devices (such as the server 106) communicating with the communication device 102. In the example of FIG. 1, the management terminal 104 is disposed on the same information communication network 108 such as a LAN as the communication device 102. The management terminal 104 communicates with the communication device 102 and manages the communication device 102 in response to an instruction from a user interface unit (not shown) that performs screen display and user operation.

サーバ106は、図3に示すように、処理部20、通信部22、記憶部24及び計時部26を含んで構成される。   As illustrated in FIG. 3, the server 106 includes a processing unit 20, a communication unit 22, a storage unit 24, and a time measuring unit 26.

処理部20は、サーバ106を統合的に制御する手段を含む。処理部20は、パケット判定手段20a、機器異常検出手段20b、警告出力手段20c及びサービス提供手段20dとして機能する。通信部22は、情報通信網110を介して、他の通信機器と通信を行うためのインターフェースである。本実施の形態では、通信部12と同様に、TCP/IPに則って通信を行うためのインターフェースとすることが好適である。記憶部24は、ROM(Read Only Memory)、RAM(Random Access Memory)等の半導体メモリ等のメモリ装置を含んで構成される。記憶部24は、少なくとも迂回許容ホップ数24a、待機時間24bを記憶する。迂回許容ホップ数24aは、パケットを転送させる際に迂回路として遠回りしてもよいホップ数の余裕を示す値である。待機時間24bは、通信機器102からパケットが届かなくなったときに、その期間が待機時間24b以上となったときに通信が異常であることを判定するための設定値である。計時部26は、パケットの受信間隔を測定するタイマーである。計時部26は、サーバ106において新たなパケットを受信したタイミングでリセットされ、次のパケットを受信するまでの時間の計測を開始する。   The processing unit 20 includes means for controlling the server 106 in an integrated manner. The processing unit 20 functions as a packet determination unit 20a, a device abnormality detection unit 20b, a warning output unit 20c, and a service providing unit 20d. The communication unit 22 is an interface for communicating with other communication devices via the information communication network 110. In the present embodiment, like the communication unit 12, it is preferable to use an interface for performing communication in accordance with TCP / IP. The storage unit 24 includes a memory device such as a semiconductor memory such as a ROM (Read Only Memory) and a RAM (Random Access Memory). The storage unit 24 stores at least the bypass allowable hop count 24a and the standby time 24b. The detour permitted hop count 24a is a value indicating a margin of the number of hops that may be detoured as a detour when transferring a packet. The standby time 24b is a setting value for determining that the communication is abnormal when the packet is not received from the communication device 102 and the period becomes equal to or longer than the standby time 24b. The timer unit 26 is a timer for measuring the packet reception interval. The timer 26 is reset at the timing when a new packet is received by the server 106, and starts measuring the time until the next packet is received.

パケット判定手段20aは、サーバ106がパケットを受信したときに正規のパケットであるか不正なパケットであるかを判定する手段である。機器異常検出手段20bは、通信機器102からの通信が一定時間以上なかった場合に通信の障害と判定する手段である。警告出力手段20cは、不正な通信や機器の異常を検知した場合にユーザに警告を通知する手段である。サービス提供手段20dは、通信を介して通信機器102に対して行われるサービスを提供する手段である。例えば、記憶部24に予め記憶されているアプリケーションプログラムを実行して、通信機器102との通信を介して、ユーザに対してサービスを提供する。ユーザに提供されるサービスの内容は特に限定されない。   The packet determination unit 20a is a unit that determines whether the packet is a legitimate packet or an illegal packet when the server 106 receives the packet. The device abnormality detection unit 20b is a unit that determines a communication failure when communication from the communication device 102 has not been performed for a certain period of time. The warning output means 20c is a means for notifying the user of a warning when an unauthorized communication or device abnormality is detected. The service providing unit 20d is a unit that provides a service provided to the communication device 102 via communication. For example, an application program stored in advance in the storage unit 24 is executed, and a service is provided to the user through communication with the communication device 102. The content of the service provided to the user is not particularly limited.

<通信処理>
図4に示すフローチャートに沿って、通信システム100における処理を以下に説明する。
<Communication processing>
The processing in the communication system 100 will be described below along the flowchart shown in FIG.

ステップS10では、ホップ数の計測が行われる。通信機器102の処理部10は、TTL計測手段10aとして機能し、通信に不正があり異常が生じた状態においても通信を継続することが必要な通信先へのホップ数を調査する。このような通信先としては、通信機器102を管理する管理端末104がある。図1では、通信機器102から管理端末104へのホップ数を調査してえられた結果の一例として、「ホップ数 5」を示している。   In step S10, the number of hops is measured. The processing unit 10 of the communication device 102 functions as the TTL measuring unit 10a, and investigates the number of hops to a communication destination that needs to continue communication even in a state where communication is illegal and abnormality occurs. As such a communication destination, there is a management terminal 104 that manages the communication device 102. In FIG. 1, “hop number 5” is shown as an example of a result obtained by examining the number of hops from the communication device 102 to the management terminal 104.

TTL計測手段10aが行うホップ数の調査の方法として以下の例が考えられる。(1)LAN環境やWAN環境においてネットワークの構成が把握できる場合、その構成に基づいて通信機器102から管理端末104までのホップ数を求めることができる。(2)初期設定時に通信機器102から管理端末104までに必要なホップ数を測定する。測定の方法としては、通信機器102から管理端末104へと送信するパケットのTTLを1より増やしていき、管理端末104から受信したことを示す返答があった最小の値をホップ数とする。これは、UNIX(登録商標)におけるtracerouteコマンドに相当する処理である。また、管理端末104からのパケット送信時のTTLがわかっている場合、管理端末104からのパケットを通信機器102において受信したときにTTLを調査し、送信時のTTLから受信時のTTLを減じることでホップ数を求めることができる。   The following example can be considered as a method of investigating the number of hops performed by the TTL measuring unit 10a. (1) When the network configuration can be grasped in a LAN environment or a WAN environment, the number of hops from the communication device 102 to the management terminal 104 can be obtained based on the configuration. (2) The number of hops required from the communication device 102 to the management terminal 104 is measured at the initial setting. As a measurement method, the TTL of the packet transmitted from the communication device 102 to the management terminal 104 is increased from 1, and the minimum value in which a response indicating that the packet is received from the management terminal 104 is the hop count. This is a process corresponding to a traceroute command in UNIX (registered trademark). Further, when the TTL at the time of packet transmission from the management terminal 104 is known, the TTL is investigated when the packet from the management terminal 104 is received by the communication device 102, and the TTL at the time of reception is subtracted from the TTL at the time of transmission. You can find the number of hops.

ステップS12では、TTL設定手段10bは、得られたホップ数を記憶部14に変更ホップ数14bとして記憶させる。なお、通信機器102から送出されるパケットのTTLの初期値は、アプリケーションからOSを介して設定され、通信が正常である場合には記憶部14に記憶されている通常ホップ数14aとされ、通信に異常がある場合には変更ホップ数14b又はそれに迂回許容ホップ数24aを加えた値とされる。   In step S12, the TTL setting unit 10b causes the storage unit 14 to store the obtained hop count as the changed hop count 14b. Note that the initial value of the TTL of the packet transmitted from the communication device 102 is set from the application via the OS, and when the communication is normal, the normal hop number 14a stored in the storage unit 14 is set. When there is an abnormality, the value is the value obtained by adding the number of changed hops 14b or the number of bypassable hops 24a.

ステップS14では、タイマー16による時間の計測が開始される。ステップS16では、アプリケーション手段10eにより通信機器102の本来の機能を発揮させる処理が行われているか判定される。アプリケーション手段10eでの処理が行われていればステップS20に処理を移行させ、そうでなければステップS18に処理を移行させる。ステップS18では、タイマー16による計測がタイムアップしたか否かが判定される。ステップS14において計測を開始したタイマー16が所定の時間以上となった場合にはステップS20に処理を移行させ、そうでない場合にはステップS16に処理を戻す。   In step S14, time measurement by the timer 16 is started. In step S <b> 16, it is determined whether the application unit 10 e is performing a process that demonstrates the original function of the communication device 102. If the application means 10e has been processed, the process proceeds to step S20, and if not, the process proceeds to step S18. In step S18, it is determined whether or not the measurement by the timer 16 is up. If the timer 16 that has started measurement in step S14 reaches a predetermined time or more, the process proceeds to step S20, and if not, the process returns to step S16.

ステップS20では、不正検出処理が行われる。通信機器102の処理部10は、不正検出手段10dとして機能し、通信における不正の検出処理が行われる。不正検出手段10dにおいて不正と判定される場合は以下の例が考えられる。
(不正1)通信機器102においてウィルスが検出された場合。このとき、通信機器102にはウィルス検知ソフトを起動しておけばよい。
(不正2)通信機器102において必要な機能の実現のためのプログラム以外のプログラムが起動された場合。このとき、通信機器102には、機能の実現のために必要なプログラムのリストを予め記憶させておき、リストに登録されているプログラム以外のプログラムが起動されたか否かを判断すればよい。
(不正3)通信機器102から通信が必要となる機器以外へ通信が行われた場合。このとき、通信機器102には、通信が必要な機器のアドレスのリストを予め記憶させておき、リストに登録されているアドレス以外へ通信が行われたか否かを判断すればよい。
(不正4)危険と判定された機器へ通信が行われた場合。このとき、通信機器102には、予め危険と判定された機器のアドレスのリストを記憶させておき、リストに登録されているアドレスへ通信が行われたか否かを判断すればよい。
(不正5)通常の通信先となる機器への通信が中止された場合。このとき、異常時に必要な通信先までのホップ数を求めるのと同じ方法を適用して、通常時に通信を行う機器までのホップ数を測定し、その測定値又は測定値に余裕値を加えた値を通常時のTTLとし、このTTLをパケットに設定して通信を行ったときに途中のルータから転送中止の通知を受信したか否かを判断すればよい。転送中止の通知を受信した場合、通常において通信先となる機器以外の通信先へ通信を試みたことを意味し、何らかの想定外のことが通信機器102で起こっていることを示唆する。さらに、余裕値は変動させてもよい。その理由は、ルータによっては転送中止の通知を送信しない設定になっている場合があるが、余裕値を変動させることにより転送中止の通知を行うルータを変化させることができるので、いずれかのルータが通知を行う設定となっていれば転送中止の通知を通信機器102で受信することができるからである。
(不正6)通信機器102においてOSへの強制アクセス制御に対するポリシー違反があった場合。強制アクセス制御とは、プログラムに対して例えばネットワーク通信を使用してよいであるとか、特定のファイルにアクセスしてよい等のポリシーを設定しておき、そのプログラムが稼働中にそのポリシー内で許可された振る舞いのみを許可するというものである。
(不正7)ソフトウェアまたは物理的なスイッチなどで設定モードに移行するようにしておき、モード移行なしで設定の変更がされた場合、または変更の試行が検知された場合。
(不正8)蓋のこじ開けなど通信機器102に対する物理的な攻撃が検知された場合。
In step S20, fraud detection processing is performed. The processing unit 10 of the communication device 102 functions as the fraud detection unit 10d and performs fraud detection processing in communication. The following example can be considered when the fraud detection unit 10d determines that the fraud is illegal.
(Unauthorized 1) When a virus is detected in the communication device 102. At this time, virus detection software may be activated in the communication device 102.
(Unauthorized 2) A program other than a program for realizing a necessary function in the communication device 102 is activated. At this time, the communication device 102 may store a list of programs necessary for realizing the function in advance, and determine whether a program other than the programs registered in the list has been activated.
(Unauthorized 3) When communication is performed from the communication device 102 to a device other than the device that requires communication. At this time, the communication device 102 may store a list of addresses of devices that need communication in advance, and determine whether or not communication has been performed to an address other than those registered in the list.
(Unauthorized 4) When communication is performed with a device that is determined to be dangerous. At this time, the communication device 102 may store a list of addresses of devices determined to be dangerous in advance, and determine whether communication has been performed to the addresses registered in the list.
(Unauthorized 5) When communication with a device that is a normal communication destination is stopped. At this time, applying the same method as obtaining the number of hops to the communication destination required in the event of an abnormality, measuring the number of hops to the device that communicates during normal times, and adding a margin value to the measured value or measured value The value may be a normal TTL, and it may be determined whether or not a transfer cancellation notification is received from a router in the middle when communication is performed with this TTL set in a packet. When a transfer cancellation notification is received, it means that communication has been attempted to a communication destination other than the device that is normally the communication destination, suggesting that something unexpected has occurred in the communication device 102. Furthermore, the margin value may be varied. The reason for this is that some routers may be configured not to send a transfer stop notification, but the router that notifies the transfer stop can be changed by changing the margin value. This is because the communication device 102 can receive a transfer cancellation notification if the notification is set to be notified.
(Unauthorized 6) When there is a policy violation with respect to the forced access control to the OS in the communication device 102. Forcible access control is to set a policy such as whether to use network communication for a program or to access a specific file, and allow it within that policy while the program is running. Only allowed behaviors are allowed.
(Unauthorized 7) When the setting mode is changed by software or a physical switch, and the setting is changed without changing the mode, or when an attempt to change is detected.
(Unauthorized 8) When a physical attack against the communication device 102 such as opening the lid is detected.

ステップS22では、不正検出手段10dにおいて不正が検出された場合にはステップS24に処理を移行させ、不正が検出されなかった場合にはステップS14に処理を戻す。   In step S22, if fraud is detected by the fraud detector 10d, the process proceeds to step S24. If no fraud is detected, the process returns to step S14.

ステップS24では、通信で不正が検出されたときのTTLに変更する処理が行われる。通信機器102の処理部10は、TTL変更手段10cとして機能し、これ以降に送出されるパケットのTTLの初期値として変更ホップ数14bを設定する。例えば、図1において、通信機器102から管理端末104までのホップ数に1を加えた値である変更ホップ数14bがTTLの初期値とされる。これによって、通信機器102からは管理端末104のみにパケットが届くような状態となる。   In step S24, processing for changing to TTL when fraud is detected in communication is performed. The processing unit 10 of the communication device 102 functions as the TTL changing unit 10c, and sets the changed hop count 14b as an initial value of the TTL of a packet transmitted thereafter. For example, in FIG. 1, the changed hop count 14b, which is a value obtained by adding 1 to the hop count from the communication device 102 to the management terminal 104, is the initial value of the TTL. As a result, the communication device 102 enters a state where the packet reaches only the management terminal 104.

具体的には、OSにおけるパケットに対するTTLの初期値の設定値を書き替える権限が与えられたアプリケーションからTTLの初期値の設定値を通常ホップ数14aから変更ホップ数14bに書き替えるようにすればよい。   Specifically, if the application that is authorized to rewrite the TTL initial value setting value for the packet in the OS is rewritten from the normal hop number 14a to the changed hop number 14b, the TTL initial value setting value is rewritten. Good.

このステップでの処理以降、通信機器102は必要最小限の管理端末104のみに届くホップ数のパケットのみを送信する状態となり、通信機器102はサーバ106と通信できなくなるので、通信機器102を不正にコントロールしてサーバ106が攻撃されるリスクを低減することができる。例えば、通信機器102がマルウェア等により乗っ取られ、不適切な通信先にパケットが不正に送信されることを防止することができる。   After the processing in this step, the communication device 102 is in a state of transmitting only a packet with the number of hops that reaches only the minimum necessary management terminal 104, and the communication device 102 cannot communicate with the server 106. The risk that the server 106 is attacked by control can be reduced. For example, it is possible to prevent the communication device 102 from being hijacked by malware or the like and illegally transmitting a packet to an inappropriate communication destination.

同時に、通信機器102と管理端末104との間の通信は維持され、管理端末104による通信機器102の管理は阻害されないので通信不正に対する迅速な対応が可能となる。また、管理機能のほかに不正があったとしても継続したい機能がある場合、その機能を継続して利用することが可能である。   At the same time, communication between the communication device 102 and the management terminal 104 is maintained, and management of the communication device 102 by the management terminal 104 is not hindered, so that it is possible to quickly cope with communication fraud. In addition to the management function, if there is a function that is desired to continue even if there is a fraud, the function can be used continuously.

ステップS26では、復旧命令を受信したか否かが判定される。通信機器102は、管理端末104から復旧命令を受信した場合にはステップS28に処理を移行させ、そうでない場合にはステップS26を繰り返す。これにより、通信の不正に伴ってTTLを変更ホップ数14bに変更した状態は、通信の不正が除かれて通信機器102が管理端末104から復旧命令を受信するまで継続される。   In step S26, it is determined whether a recovery command has been received. If the communication device 102 receives a recovery command from the management terminal 104, the communication device 102 proceeds to step S28, and if not, repeats step S26. As a result, the state in which the TTL is changed to the changed hop count 14b due to communication fraud continues until the communication device 102 receives a recovery command from the management terminal 104 after the communication fraud is removed.

ステップS28では、通信が正常に復旧したときのTTLに変更する処理が行われる。通信機器102の処理部10は、TTL変更手段10cとして機能し、これ以降に送出されるパケットのTTLの初期値を通常ホップ数14aに戻す。これにより、管理端末104のみならず、通常の通信において送信先となるサーバ106等の通信機器に対してパケットを送信することが可能な状態となる。   In step S28, processing for changing to TTL when communication is normally restored is performed. The processing unit 10 of the communication device 102 functions as the TTL changing unit 10c, and returns the initial value of the TTL of the packet transmitted thereafter to the normal hop count 14a. As a result, the packet can be transmitted not only to the management terminal 104 but also to a communication device such as the server 106 as a transmission destination in normal communication.

ステップS30では、通信処理を終了するか否かが判定される。通信機器102の処理部10は、通信処理を終了させない場合にはステップS14に処理を戻し、そうでない場合には処理を終了する。   In step S30, it is determined whether or not to end the communication process. The processing unit 10 of the communication device 102 returns the process to step S14 if the communication process is not ended, and ends the process otherwise.

一方、サーバ106では、通信に異常や通信機器102への不正が発生していることを検出し、ユーザに警告を通知することができる。以下、図5に示すフローチャートに沿って、サーバ106において通信の異常及び不正を検出する方法について説明する。なお、サーバ106での通信機器102への不正検出に際し、通信機器102から新たにパケットを受信したタイミングで計時部26をリセットし、時間の計測を繰り返すものとする。   On the other hand, the server 106 can detect that an abnormality in communication or fraud to the communication device 102 has occurred, and notify the user of a warning. Hereinafter, a method for detecting communication abnormality and fraud in the server 106 will be described with reference to the flowchart shown in FIG. Note that when the server 106 detects fraud to the communication device 102, the timer 26 is reset at the timing when a new packet is received from the communication device 102, and the time measurement is repeated.

ステップS40では、タイムアップ前にパケットが受信されたか否かが判定される。サーバ106の処理部20は、機器異常検出手段20bとして機能し、計時部26による計時時間が待機時間24bを超えたか否かを判定する。待機時間24bは、通信機器102からサーバ106へパケットが定期的に送信される周期以上の値に設定されており、計時部26の計時時間が待機時間24bを超えていれば通信機器102とサーバ106との間の通信に異常が発生したものと考えることができる。そこで、計時部26による計時時間が待機時間24bを超えた場合にはステップS48に処理を移行させ、そうでなければステップS42に処理を移行させる。   In step S40, it is determined whether a packet has been received before the time is up. The processing unit 20 of the server 106 functions as the device abnormality detection unit 20b and determines whether or not the time measured by the time measuring unit 26 has exceeded the standby time 24b. The standby time 24b is set to a value equal to or greater than the period at which packets are periodically transmitted from the communication device 102 to the server 106. If the time measured by the time measuring unit 26 exceeds the standby time 24b, the communication device 102 and the server It can be considered that an abnormality has occurred in communication with the network 106. Therefore, if the time measured by the time measuring unit 26 exceeds the standby time 24b, the process proceeds to step S48, and if not, the process proceeds to step S42.

ステップS42では、受信されたパケットが不正であるか否かが判定される。サーバ106の処理部20は、パケット判定手段20aとして機能し、受信されたパケットのTTLの現在値とTTLの初期値との差を求め、当該差に基づいて正規のパケットか不正なパケットかを判定する。   In step S42, it is determined whether or not the received packet is illegal. The processing unit 20 of the server 106 functions as the packet determination unit 20a, obtains a difference between the current TTL value of the received packet and the initial value of the TTL, and determines whether the packet is a regular packet or an illegal packet based on the difference. judge.

通信機器102からサーバ106の通信に不正がなければ、通信機器102からサーバ106に到達するまでのパケットのホップ数は、可能性のある迂回経路を考慮したとしても、ある程度の範囲に収まる。したがって、サーバ106において受信された通信機器102からのパケットのTTLの現在値とTTLの初期値との差が正常の範囲を超えて大きくなっている場合には通信に不正があると判断することができる。   If communication from the communication device 102 to the server 106 is not illegal, the number of hops of a packet from the communication device 102 to the server 106 is within a certain range even if a possible detour route is considered. Therefore, when the difference between the current TTL value of the packet received from the communication device 102 received by the server 106 and the initial value of the TTL is larger than the normal range, it is determined that the communication is invalid. Can do.

そこで、パケット判定手段20aは、受信されたパケットのTTLの現在値とTTLの初期値との差が迂回許容ホップ数24a以下であれば正規の通信パケットとして判定し、当該差が迂回許容ホップ数24aより大きければ不正な通信パケットとして判定する。   Therefore, if the difference between the current TTL value of the received packet and the initial value of the TTL is less than or equal to the allowable bypass hop count 24a, the packet determining unit 20a determines that the packet is a normal communication packet, and the difference is the allowable bypass hop count. If it is larger than 24a, it is determined as an illegal communication packet.

ステップS44では、不正なパケットと判断された場合にはステップS46に処理を移行させ、正常なパケットと判断された場合にはステップS40に処理を戻して、次のパケットに対して処理を繰り返す。   In step S44, if it is determined that the packet is invalid, the process proceeds to step S46. If it is determined that the packet is normal, the process returns to step S40, and the process is repeated for the next packet.

ステップS46では、通信に不正があったことを示す警告をユーザに通知する。サーバ106の処理部20は、警告出力手段20cとして機能し、不正なパケットが通信されたことをユーザに示す警告を出力する。例えば、ディスプレイに「不正なパケットを受信しました。」等の警告文を表示させる。また、不正と判断されたパケットは破棄してもよい。   In step S46, the user is notified of a warning indicating that the communication is illegal. The processing unit 20 of the server 106 functions as a warning output unit 20c and outputs a warning indicating to the user that an illegal packet has been communicated. For example, a warning message such as “Illegal packet received” is displayed on the display. Further, a packet determined to be illegal may be discarded.

ステップS48では、通信に異常があったことを示す警告をユーザに通知する。サーバ106の処理部20は、警告出力手段20cとして機能し、通信が異常な状態であることをユーザに示す警告を出力する。例えば、ディスプレイに「通信状態が異常です。」等の警告文を表示させる。   In step S48, the user is notified of a warning indicating that there was an abnormality in communication. The processing unit 20 of the server 106 functions as a warning output unit 20c and outputs a warning indicating to the user that the communication is abnormal. For example, a warning message such as “Communication status is abnormal” is displayed on the display.

以上のように、通信システム100によれば、通信機器102に対する通信において不正が検出された場合、通信機器102から送信されるパケットのTTLを通常値よりも小さい値に設定する。これにより、通信機器102から離れたサーバ106への通信を制限して被害の拡大を防ぐと共に、通信機器102の近くの管理端末104への通信は継続することができる。そして、LAN等の通信機器102から近い情報通信網108を介して管理端末104から通信機器102の復旧作業等を行うことを可能とする。また、通信機器102が不正に乗っ取られたとしても、通信機器102を踏み台にして通信機器102から遠い情報通信網110に接続されたサーバ106等へのDoS攻撃や悪意をもって通信機器102内の情報をサーバ106等へ送信したりすることを防止することができる。   As described above, according to the communication system 100, when fraud is detected in communication with the communication device 102, the TTL of the packet transmitted from the communication device 102 is set to a value smaller than the normal value. Thus, communication to the server 106 that is remote from the communication device 102 is restricted to prevent the damage from spreading, and communication to the management terminal 104 near the communication device 102 can be continued. Then, the recovery operation of the communication device 102 can be performed from the management terminal 104 via the information communication network 108 close to the communication device 102 such as a LAN. Even if the communication device 102 is illegally hijacked, information in the communication device 102 is maliciously attacked by a DoS attack on the server 106 or the like connected to the information communication network 110 far from the communication device 102 using the communication device 102 as a stepping stone. Can be prevented from being transmitted to the server 106 or the like.

<変形例1>
上記実施の形態では、通常ホップ数14aはオペレーションシステム(OS)設定のデフォルト値としたが、TTL計測手段10aによって通信システム100に対して適切なTTL値を求めるものとしてもよい。
<Modification 1>
In the above embodiment, the normal hop count 14a is set as a default value of the operation system (OS) setting, but an appropriate TTL value may be obtained for the communication system 100 by the TTL measuring unit 10a.

例えば、通信システム100においてサービスを提供するにおいて通信機器102からのホップ数が最も大きいサーバ106までの通信が確立されていればよいのであれば、通常ホップ数14aをOSが指定する値ではなく、サーバ106にパケットがぎりぎり届く程度のホップ数にする。具体的には、TTL計測手段10aによって通信機器102からサーバ106までのホップ数を計測し、通常ホップ数14aを当該ホップ数又は当該ホップ数に迂回路として許される程度の余裕値(例えば、迂回許容ホップ数24a)を加えた値に設定する。なお、図1では、通信機器102からサーバ106へのホップ数を計測してえられた結果の一例として、「ホップ数 10」を示している。   For example, if communication to the server 106 having the largest number of hops from the communication device 102 in providing a service in the communication system 100 is established, the normal hop number 14a is not a value specified by the OS, The number of hops is such that the packet can reach the server 106. Specifically, the number of hops from the communication device 102 to the server 106 is measured by the TTL measuring unit 10a, and the normal hop number 14a is a margin value that is allowed as a detour for the hop number or the hop number (for example, detouring) The value is set by adding the allowable hop count 24a). In FIG. 1, “hop count 10” is shown as an example of a result obtained by measuring the hop count from the communication device 102 to the server 106.

通常の通信において通信機器102から送出されるパケットのTTLの初期値を通常ホップ数14aに設定することによって、通信機器102からアクセスできる範囲をサーバ106にぎりぎり届く範囲に設定することができる。   By setting the initial value of the TTL of a packet sent from the communication device 102 in normal communication to the normal hop count 14a, the range accessible from the communication device 102 can be set to a range that can reach the server 106.

<変形例2>
上記実施の形態では、通信に対して不正が発生した場合に同一の変更ホップ数14bを適用するものとしたが、不正の種類や程度に応じた複数の変更ホップ数14bの値を記憶させておき、発生した不正の種類や程度に応じてTTLの設定値を変更するようにしてもよい。
<Modification 2>
In the above embodiment, the same changed hop count 14b is applied when fraud occurs in communication. However, the values of a plurality of changed hop counts 14b corresponding to the type and degree of fraud are stored. Alternatively, the TTL setting value may be changed according to the type and degree of fraud that has occurred.

例えば、ウィルス感染等の被害が広範囲に亘る可能性がある不正が行われた場合、通信機器102から最低限の通信が必要な管理端末104までのアクセスがぎりぎり可能なホップ数をTTLの初期値に設定する。一方、通信機器102において必要な機能の実現のためのプログラム以外のプログラムが起動された場合のように被害が広範囲に亘る可能性が低いと考えられる場合、管理端末104以外の通信機器までのアクセスが可能であるが、通常時よりも少ないホップ数をTTLの初期値に設定するようにしてもよい。   For example, in the case of fraud in which there is a possibility that damage such as virus infection may be wide-ranging, the initial value of TTL is the number of hops that can be accessed from the communication device 102 to the management terminal 104 that requires minimum communication. Set to. On the other hand, when it is considered unlikely that the damage is widespread, such as when a program other than the program for realizing the necessary function is started in the communication device 102, access to the communication device other than the management terminal 104 is performed. However, the number of hops smaller than normal may be set as the initial value of TTL.

また、不正が発生した時点からの経過時間に応じてTTLの初期値を変更するようにしてもよい。例えば、不正が発生した時点ではTTLの初期値を通常ホップ数14aよりは小さいがある程度の広いアクセス範囲が維持されるような値に設定し、不正が発生した時点からの経過時間が大きくなるほどアクセス範囲が狭くなるようにTTLの初期値を小さくするようにしてもよい。   Further, the initial value of the TTL may be changed according to the elapsed time from the time when the fraud occurs. For example, when a fraud occurs, the initial value of the TTL is set to a value that is smaller than the normal hop count 14a but maintains a certain wide access range. You may make it make the initial value of TTL small so that a range may become narrow.

10 処理部、10a TTL計測手段、10b TTL設定手段、10c TTL変更手段、10d 不正検出手段、10e アプリケーション手段、12 通信部、14 記憶部、14a 通常ホップ数、14b 変更ホップ数、16 タイマー、20 処理部、20a パケット判定手段、20b 機器異常検出手段、20c 警告出力手段、20d サービス提供手段、22 通信部、24 記憶部、24a 迂回許容ホップ数、24b 待機時間、26 計時部、100 通信システム、102 通信機器、104 管理端末、106 サーバ、108,110 情報通信網。   10 processing unit, 10a TTL measurement unit, 10b TTL setting unit, 10c TTL changing unit, 10d fraud detection unit, 10e application unit, 12 communication unit, 14 storage unit, 14a normal hop count, 14b changed hop count, 16 timer, 20 Processing unit, 20a packet determination unit, 20b device abnormality detection unit, 20c warning output unit, 20d service providing unit, 22 communication unit, 24 storage unit, 24a bypass allowable hop count, 24b waiting time, 26 timing unit, 100 communication system, 102 Communication equipment, 104 Management terminal, 106 Server, 108, 110 Information communication network.

Claims (5)

通信機器への不正を検出する不正検出手段と、
通常の通信時のホップ数である通常ホップ数より小さい値のホップ数を変更ホップ数として記憶する記憶手段と、
前記不正検出手段によって不正が検出された後に送信される通信パケットのホップ数を前記通常ホップ数から前記変更ホップ数に変更する変更手段と、
を備え
前記不正検出手段によって不正が検出された後に通信を継続する通信先までのホップ数を計測して、当該通信先までのホップ数に応じて前記変更ホップ数を設定することを特徴とする通信機器。
Fraud detection means for detecting fraud to communication devices;
Storage means for storing the number of hops smaller than the number of normal hops, which is the number of hops during normal communication, as the changed hop number;
Changing means for changing the number of hops of a communication packet transmitted after fraud is detected by the fraud detection means from the normal hop number to the changed hop number;
Equipped with a,
A communication device that measures the number of hops to a communication destination that continues communication after fraud is detected by the fraud detection means, and sets the changed hop number according to the number of hops to the communication destination .
通信機器への不正を検出する不正検出手段と、
通常の通信時のホップ数である通常ホップ数より小さい値のホップ数を変更ホップ数として記憶する記憶手段と、
前記不正検出手段によって不正が検出された後に送信される通信パケットのホップ数を前記通常ホップ数から前記変更ホップ数に変更する変更手段と、
を備え、
通信機器への不正がない状態においてサービスを提供する通信先までのホップ数を計測して、当該通信先までのホップ数に所定の迂回許容ホップ数を加えた値を前記通常ホップ数として設定することを特徴とする通信機器。
Fraud detection means for detecting fraud to communication devices;
Storage means for storing the number of hops smaller than the number of normal hops, which is the number of hops during normal communication, as the changed hop number;
Changing means for changing the number of hops of a communication packet transmitted after fraud is detected by the fraud detection means from the normal hop number to the changed hop number;
With
Measures the number of hops to a communication destination that provides a service in a state where there is no fraud to the communication device, and sets a value obtained by adding a predetermined number of permitted bypasses to the number of hops to the communication destination as the normal hop number Communication equipment characterized by this.
請求項1に記載の通信機器であって、
通信機器への不正がない状態においてサービスを提供する通信先までのホップ数を計測して、当該通信先までのホップ数に所定の迂回許容ホップ数を加えた値を前記通常ホップ数として設定することを特徴とする通信機器。
The communication device according to claim 1 ,
Measures the number of hops to a communication destination that provides a service in a state where there is no fraud to the communication device, and sets a value obtained by adding a predetermined number of permitted bypasses to the number of hops to the communication destination as the normal hop number Communication equipment characterized by this.
通信機器への不正を検出する不正検出手段と、
通常の通信時のホップ数である通常ホップ数より小さい値のホップ数を変更ホップ数として記憶する記憶手段と、
前記不正検出手段によって不正が検出された後に送信される通信パケットのホップ数を前記通常ホップ数から前記変更ホップ数に変更する変更手段と、を備える通信機器と通信する通信サーバであって、
受信した通信パケットのホップ数の現在値と初期値との差を求め、当該差が迂回許容ホップ数以下であれば正規の通信パケットとして判定し、当該差が前記迂回許容ホップ数より大きければ不正な通信パケットとして判定する判定手段を備えることを特徴とする通信サーバ。
Fraud detection means for detecting fraud to communication devices;
Storage means for storing the number of hops smaller than the number of normal hops, which is the number of hops during normal communication, as the changed hop number;
A communication server that communicates with a communication device comprising: a changing unit that changes the number of hops of a communication packet that is transmitted after fraud is detected by the fraud detection unit from the normal hop number to the changed hop number;
The difference between the current value and the initial value of the hop count of the received communication packet is obtained, and if the difference is less than or equal to the allowable bypass hop count, it is determined as a regular communication packet. A communication server comprising determination means for determining as a valid communication packet.
請求項1,2及び3のいずれか1項に記載の通信機器と通信する通信サーバであって、A communication server that communicates with the communication device according to any one of claims 1, 2, and 3,
受信した通信パケットのホップ数の現在値と初期値との差を求め、当該差が迂回許容ホップ数以下であれば正規の通信パケットとして判定し、当該差が前記迂回許容ホップ数より大きければ不正な通信パケットとして判定する判定手段を備えることを特徴する通信サーバ。  The difference between the current value and the initial value of the hop count of the received communication packet is obtained, and if the difference is less than or equal to the allowable bypass hop count, it is determined as a regular communication packet. A communication server comprising determination means for determining as a valid communication packet.
JP2014174748A 2014-08-29 2014-08-29 Communication device and communication server Active JP6286324B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014174748A JP6286324B2 (en) 2014-08-29 2014-08-29 Communication device and communication server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014174748A JP6286324B2 (en) 2014-08-29 2014-08-29 Communication device and communication server

Publications (2)

Publication Number Publication Date
JP2016051935A JP2016051935A (en) 2016-04-11
JP6286324B2 true JP6286324B2 (en) 2018-02-28

Family

ID=55659169

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014174748A Active JP6286324B2 (en) 2014-08-29 2014-08-29 Communication device and communication server

Country Status (1)

Country Link
JP (1) JP6286324B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102423509B1 (en) * 2020-10-26 2022-07-22 숭실대학교 산학협력단 Method for determining ttl of messages in information-centric networking based on delay tolerant networking, recording medium and device for performing the method

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05336114A (en) * 1992-06-03 1993-12-17 Fujitsu Ltd Network monitoring method
AU2002349678A1 (en) * 2002-12-02 2004-06-23 Fujitsu Limited Source address spoofing packet detecting apparatus, source address spoofing packet detecting method, and source address spoofing packet detecting program
JP4854192B2 (en) * 2004-10-25 2012-01-18 シャープ株式会社 Transmission device, communication system, and computer program

Also Published As

Publication number Publication date
JP2016051935A (en) 2016-04-11

Similar Documents

Publication Publication Date Title
JP4820437B2 (en) Information processing device
US8881259B2 (en) Network security system with customizable rule-based analytics engine for identifying application layer violations
KR101455167B1 (en) Network switch based on whitelist
KR20120060655A (en) Routing Method And Apparatus For Detecting Server Attacking And Network Using Method Thereof
CN112351012A (en) Network security protection method, device and system
JP2013191199A (en) Methods and systems for protecting network-connected device from intrusion
US10205738B2 (en) Advanced persistent threat mitigation
JP6977507B2 (en) Controls and control systems
WO2016139910A1 (en) Communication system, communication method, and non-transitory computer readable medium storing program
CN106921649B (en) Network security exposure evaluation and response system and method in embedded control device
JP6286324B2 (en) Communication device and communication server
JP4694578B2 (en) Method and system for protecting a computer network from packet flood
JP2006243878A (en) Unauthorized access detection system
KR101343693B1 (en) Network security system and method for process thereof
KR102578800B1 (en) System for controlling network access and method of the same
JP4437107B2 (en) Computer system
TWI773874B (en) Address resolution request control
JP6476530B2 (en) Information processing apparatus, method, and program
JP3828523B2 (en) Unauthorized access protection device and program
JP6851211B2 (en) Network monitoring system
JP2008011008A (en) Unauthorized access prevention system
EP4214944B1 (en) Roaming dns firewall
CN120915599B (en) A method, system, device, and program product for enhancing network device security services.
JP2004248198A (en) DoS attack defense method and device
KR20120025153A (en) Apparatus and method for blocking attack of mac flooding in network switch

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20161220

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20171106

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20171121

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180118

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180130

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180205

R150 Certificate of patent or registration of utility model

Ref document number: 6286324

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250