JP6286324B2 - Communication device and communication server - Google Patents
Communication device and communication server Download PDFInfo
- Publication number
- JP6286324B2 JP6286324B2 JP2014174748A JP2014174748A JP6286324B2 JP 6286324 B2 JP6286324 B2 JP 6286324B2 JP 2014174748 A JP2014174748 A JP 2014174748A JP 2014174748 A JP2014174748 A JP 2014174748A JP 6286324 B2 JP6286324 B2 JP 6286324B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- hops
- communication device
- fraud
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、通信機器への不正があったときに通信を制限する通信機器及び通信サーバに関する。 The present invention relates to a communication device and a communication server that restrict communication when there is a fraud to a communication device.
従来、インターネット等の通信網で使用される通信機器においてウィルス感染等の不正が検出された場合、被害の拡大を防ぐためにネットワークから通信機器を遮断したり、通信機器の機能を無効にしたりする対応が行われている。具体的には、ウィルス感染が認められた通信機器(PC等)は即時に物理的にネットワーク接続の線を抜く等の通信不能にする措置が講じられる例がある。 Conventionally, when a fraud such as a virus infection is detected in a communication device used in a communication network such as the Internet, the communication device is blocked from the network or the function of the communication device is disabled in order to prevent further damage. Has been done. Specifically, there is an example in which a communication device (such as a PC) in which virus infection is recognized is taken to make communication impossible, such as by physically disconnecting a network connection line.
複数台のコンピュータが接続された通信システムにおいて、ワームが検出されたコンピュータが備える警報モジュールは警報を作成し、その警報を1つ又は複数のコンピューティングシステムに送信して、検出されたワームに関する情報を共有する技術が開示されている。この技術では、同じ警報メッセージを果てしなく送信し続ける事態を抑制するために、警報メッセージに転送される回数を制限する転送回数のカウンタを含めることが記載されている(特許文献1)。 In a communication system in which a plurality of computers are connected, an alarm module included in a computer in which a worm is detected creates an alarm, and transmits the alarm to one or more computing systems, and information on the detected worm. A technique for sharing is disclosed. In this technique, in order to suppress a situation in which the same alarm message is continuously transmitted, it is described that a transfer number counter that limits the number of times the alarm message is transferred is included (Patent Document 1).
ところで、通信機器を管理するためのインターフェースがネットワークのみであったり、別の通信機器(管理装置やサーバ等)からネットワークを介して通信機器を管理したりするというシステムが拡がりつつある。このようなシステムにおいて、不正な通信の標的となった通信機器をネットワークから遮断し、通信機器を無効にする方法では、被害の拡大は防げるが、遠隔から復旧させることも、通信機器の管理も一切できなくなる。また、管理機能の他に異常時であっても停止したくない機能があったとしてもその機能を継続することができなくなる。 By the way, a system in which an interface for managing a communication device is only a network or a communication device is managed from another communication device (such as a management device or a server) via the network is expanding. In such a system, the method of blocking the communication device that was the target of unauthorized communication from the network and disabling the communication device can prevent the damage from spreading, but it is possible to restore it remotely and manage the communication device. It becomes impossible at all. In addition to the management function, even if there is a function that is not desired to be stopped even in the event of an abnormality, the function cannot be continued.
このような場合、通信の不正が検出された時でも通信が必要なIPアドレスを予め決めておき、不正検出時には通信機能を無効にせず、その特定のIPアドレスにのみ通信を許可する等の方法があるが、予めアドレスを決めておく必要がある。また、システムを長期間に亘って運用する場合、システム内のアドレス体系が変更されることも多く、適切なIPアドレスを特定アドレスとして継続して用いることが難しいことがある。また、多くの通信機器を管理する場合にはアドレスの設定処理自体が煩雑になるという問題もある。 In such a case, a method of predetermining an IP address that needs to be communicated even when communication fraud is detected, and permitting communication only to the specific IP address without invalidating the communication function when fraud is detected. There is a need to determine the address in advance. In addition, when the system is operated for a long period of time, the address system in the system is often changed, and it may be difficult to continuously use an appropriate IP address as a specific address. In addition, when managing many communication devices, there is a problem that the address setting process itself becomes complicated.
本発明の1つの態様は、通信機器への不正を検出する不正検出手段と、通常の通信時のホップ数である通常ホップ数より小さい値のホップ数を変更ホップ数として記憶する記憶手段と、前記不正検出手段によって不正が検出された後に送信される通信パケットのホップ数を前記通常ホップ数から前記変更ホップ数に変更する変更手段と、を備えることを特徴とする通信機器である。これにより、通信機器への不正を検出した際に、不正検出前は許可されていたネットワーク的に遠いところへの通信接続を制限し、不正行為によりネットワーク的に遠くて不適切な可能性があるところにパケットを送信してしまうことを防止することができる。 One aspect of the present invention includes fraud detection means for detecting fraud to a communication device, storage means for storing a hop number having a value smaller than a normal hop number, which is a hop number during normal communication, as a changed hop number, A communication device comprising: changing means for changing the number of hops of a communication packet transmitted after the fraud is detected by the fraud detection means from the normal hop number to the changed hop number. As a result, when a fraud to a communication device is detected, the communication connection to a distant place in the network that was permitted before the fraud detection is restricted, and there is a possibility that the fraudulent act is inappropriate and far from the network. However, it is possible to prevent the packet from being transmitted.
ここで、前記不正検出手段によって不正が検出された後に通信を継続する通信先までのホップ数を計測して、当該通信先までのホップ数に応じて前記変更ホップ数を設定することが好適である。これにより、最低限、ネットワーク的に近いところからの機器管理や不正からの復旧操作に必要な通信を確保することができる。 Here, it is preferable to measure the number of hops to a communication destination that continues communication after fraud is detected by the fraud detection means, and set the number of changed hops according to the number of hops to the communication destination. is there. As a result, it is possible to ensure communication necessary for device management and recovery operation from fraud at a minimum from the network side.
また、通信機器への不正がない状態においてサービスを提供する通信先までのホップ数を計測して、当該通信先までのホップ数に所定の迂回許容ホップ数を加えた値を前記通常ホップ数として設定することが好適である。これにより、通常時も、通信可能な範囲を必要な範囲に限定しておくことができる。 In addition, the number of hops to a communication destination that provides a service in a state where there is no fraud to the communication device is measured, and a value obtained by adding a predetermined number of permitted bypasses to the number of hops to the communication destination is the normal hop number. It is preferable to set. Thereby, it is possible to limit the communicable range to a necessary range even during normal times.
また、本発明の別の態様は、上記通信機器と通信する通信サーバであって、受信した通信パケットのホップ数の現在値と初期値との差を求め、当該差が迂回許容ホップ数以下であれば正規の通信パケットとして判定し、当該差が前記迂回許容ホップ数より大きければ不正な通信パケットとして判定する判定手段を備えることを特徴する通信サーバである。これにより、正規にサーバと通信する通信機器なら当然知りうる迂回許容ホップ数を知らない通信機器から送信される通信パケットのホップ数の現在値が大きいままとなり、サーバに届いたパケットの中から不正と思われるパケットを区別し、不正パケットを破棄したり、管理者へ警告を出力したりすることが可能になる。 Another aspect of the present invention is a communication server that communicates with the communication device, and obtains a difference between the current value and the initial value of the hop number of the received communication packet, and the difference is less than or equal to the number of permitted bypass hops. If there is, it is determined as a regular communication packet, and if the difference is larger than the number of permitted bypass hops, it is a communication server comprising determination means for determining as an invalid communication packet. As a result, the current value of the number of hops of communication packets transmitted from a communication device that does not know the number of permitted bypass hops that can be known naturally by a communication device that communicates with the server remains large. Can be distinguished from each other, and illegal packets can be discarded or warnings can be output to the administrator.
ここで、前記判定手段は、前記通信機器から前記正規の通信パケットを所定時間受信していないときに前記通信機器へ不正の通信があったと判定することが好適である。これにより、サーバは通信機器から本来あるべき通信パケットが届かないことを持って通信機器への不正を検出し、サーバ側の管理者などへ警告出力することが可能になる。 Here, it is preferable that the determination unit determines that there is an unauthorized communication to the communication device when the regular communication packet is not received from the communication device for a predetermined time. As a result, the server can detect that the communication device does not receive a communication packet that should be originally received from the communication device, and can output a warning to an administrator on the server side.
本発明によれば、通信に不正が検出された場合であっても最低限必要な通信を維持しつつ、広範囲な被害の拡大を抑制することができる。 ADVANTAGE OF THE INVENTION According to this invention, even if it is a case where fraud is detected in communication, the expansion of a wide range damage can be suppressed, maintaining the minimum required communication.
<システム構成>
本発明の実施の形態における通信システム100は、図1に示すように、通信機器102、管理端末104及びサーバ106を含んで構成される。通信機器102は、LAN等の情報通信網108を介して管理端末104に情報伝達可能に接続される。また、通信機器102は、WAN等の情報通信網110を介してサーバ106に情報伝達可能に接続される。
<System configuration>
A
通信機器102は、情報通信網108,110を介して、サーバ106から所定のサービス等を受ける等して機器本体の設定が実現される。また、通信機器102は、情報通信網108を介して、管理端末104から初期設定などの管理を受ける。
The
通信機器102は、図2に示すように、処理部10、通信部12、記憶部14、タイマー16を含んで構成される。
As shown in FIG. 2, the
処理部10は、通信機器102を統合的に制御する手段を含む。処理部10は、TTL計測手段10a、TTL設定手段10b、TTL変更手段10c、不正検出手段10d及びアプリケーション手段10eとして機能する。
The
通信部12は、情報通信網108を介して、他の通信機器と通信を行うためのインターフェースである。本実施の形態では、TCP/IPに則って通信を行うためのインターフェースとすることが好適である。例えば、通信部12は、イーサネット(登録商標)等とすることができる。
The
記憶部14は、ROM(Read Only Memory)、RAM(Random Access Memory)等の半導体メモリ等のメモリ装置を含んで構成される。記憶部14は、少なくとも通常ホップ数14a、変更ホップ数14bを記憶する。通常ホップ数14aは、不正な通信が生じていない通常の状態において使用される通信パケットの生存時間(TTL:Time to Live)の値である。本実施の形態では、通常ホップ数14aは、オペレーションシステム(OS)設定のデフォルト値とする。変更ホップ数14bは、通信機器102において不正の通信が検出されたときに使用されるTTLの値である。変更ホップ数14bは、通常ホップ数14aよりも小さい値に設定される。
The
ここで、本発明の実施の形態におけるホップ数とは、IP通信網において、ある機器から他の機器にパケットが転送される際に経由するルータの数に1を加えた数を示す。IPパケットは、パケット生成時にこのホップ数を制限するための値をヘッダに含めることになっている。この値をIPv4ではTTLと呼び、IPv6ではホップリミットと呼ぶ。以後この値のことをTTLと表現する。TTLは、8ビットで表現される。TTLは、IPパケットがルータを通過する毎にその値が1ずつ減らされる。そして、TTLが0となった場合、そのIPパケットはそれより先には中継されないように制御され、送信元の通信機器にはエラーパケットが送信される。 Here, the number of hops in the embodiment of the present invention indicates a number obtained by adding 1 to the number of routers through which a packet is transferred from one device to another device in the IP communication network. The IP packet is supposed to include a value for limiting the number of hops in the header when the packet is generated. This value is called TTL in IPv4 and called hop limit in IPv6. Hereinafter, this value is expressed as TTL. The TTL is expressed by 8 bits. The value of TTL is decremented by 1 every time an IP packet passes through the router. When the TTL becomes 0, the IP packet is controlled not to be relayed earlier, and an error packet is transmitted to the transmission source communication device.
TTLの設定値を変更することによって、パケットが送信され得る範囲を制限することができる。例えば、送信元の通信機器が設置された建物内、同一のプロバイダ内、国内等といった大まかな範囲でパケットの送信範囲を制御できる。なお、TTLを0に設定すると、通信機器102内での通信となり、他の通信機器と通信ができない状態となる。
By changing the setting value of TTL, the range in which a packet can be transmitted can be limited. For example, it is possible to control the packet transmission range within a rough range such as in a building where a transmission source communication device is installed, in the same provider, or in Japan. When TTL is set to 0, communication is performed within the
TTL計測手段10aは、通信先となる機器までに必要なホップ数の値を計測する手段である。TTL設定手段10bは、TTL計測手段10aによって計測されたホップ数に基づいて定められた通常ホップ数14a及び変更ホップ数14bを記憶部14に記憶させる手段である。TTL変更手段10cは、通信において不正が生じた場合にパケットのTTLを通常ホップ数14aから変更ホップ数14bに変更する手段である。不正検出手段10dは、通信機器102に対して行われる通信機器への不正を検出する手段である。
The
アプリケーション手段10eは、情報通信網108,110を介して、他の通信機器と通信することにより通信機器102の本来の機能を実現する。なお、通信機器102は、アプリケーション手段10eの性質から通信に不正が生じた場合であっても管理端末104等と通信を継続して行う必要があるものとする。
The
タイマー16は、アプリケーション手段10eが機能しない状態の継続時間を計測するために用いられる。タイマー16による計時時間が所定の時間(アプリケーション不動作判定時間)以上となった場合、アプリケーション手段10eによるサービスが提供されていない状態であると判定し、不正検出手段10dを機能させる。
The
管理端末104は、通信機器102に対する初期設定、メンテナンス等の機器の管理を行う。また、管理端末104は、通信機器102に対する通信に不正が生じた際に通信機器102をリセットしたり、通信機器102から情報を取得して管理者に提示したりするような通信不正時における管理も担う。管理端末104は、例えば、タブレットやスマートフォンのような携帯できる端末とすることができる。通信システム100の全体構成を決定する際、管理端末104は、通信機器102と通信する他の通信機器(サーバ106等)よりホップ数が少ない情報通信網108上に配置することが好適である。図1の例では、管理端末104は、通信機器102と同一のLAN等の情報通信網108上に配置されている。管理端末104は、画面表示やユーザ操作を行うユーザインターフェース手段(図示しない)からの指示を受けて、通信機器102と通信を行い、通信機器102に対する管理を行う。
The
サーバ106は、図3に示すように、処理部20、通信部22、記憶部24及び計時部26を含んで構成される。
As illustrated in FIG. 3, the
処理部20は、サーバ106を統合的に制御する手段を含む。処理部20は、パケット判定手段20a、機器異常検出手段20b、警告出力手段20c及びサービス提供手段20dとして機能する。通信部22は、情報通信網110を介して、他の通信機器と通信を行うためのインターフェースである。本実施の形態では、通信部12と同様に、TCP/IPに則って通信を行うためのインターフェースとすることが好適である。記憶部24は、ROM(Read Only Memory)、RAM(Random Access Memory)等の半導体メモリ等のメモリ装置を含んで構成される。記憶部24は、少なくとも迂回許容ホップ数24a、待機時間24bを記憶する。迂回許容ホップ数24aは、パケットを転送させる際に迂回路として遠回りしてもよいホップ数の余裕を示す値である。待機時間24bは、通信機器102からパケットが届かなくなったときに、その期間が待機時間24b以上となったときに通信が異常であることを判定するための設定値である。計時部26は、パケットの受信間隔を測定するタイマーである。計時部26は、サーバ106において新たなパケットを受信したタイミングでリセットされ、次のパケットを受信するまでの時間の計測を開始する。
The
パケット判定手段20aは、サーバ106がパケットを受信したときに正規のパケットであるか不正なパケットであるかを判定する手段である。機器異常検出手段20bは、通信機器102からの通信が一定時間以上なかった場合に通信の障害と判定する手段である。警告出力手段20cは、不正な通信や機器の異常を検知した場合にユーザに警告を通知する手段である。サービス提供手段20dは、通信を介して通信機器102に対して行われるサービスを提供する手段である。例えば、記憶部24に予め記憶されているアプリケーションプログラムを実行して、通信機器102との通信を介して、ユーザに対してサービスを提供する。ユーザに提供されるサービスの内容は特に限定されない。
The
<通信処理>
図4に示すフローチャートに沿って、通信システム100における処理を以下に説明する。
<Communication processing>
The processing in the
ステップS10では、ホップ数の計測が行われる。通信機器102の処理部10は、TTL計測手段10aとして機能し、通信に不正があり異常が生じた状態においても通信を継続することが必要な通信先へのホップ数を調査する。このような通信先としては、通信機器102を管理する管理端末104がある。図1では、通信機器102から管理端末104へのホップ数を調査してえられた結果の一例として、「ホップ数 5」を示している。
In step S10, the number of hops is measured. The
TTL計測手段10aが行うホップ数の調査の方法として以下の例が考えられる。(1)LAN環境やWAN環境においてネットワークの構成が把握できる場合、その構成に基づいて通信機器102から管理端末104までのホップ数を求めることができる。(2)初期設定時に通信機器102から管理端末104までに必要なホップ数を測定する。測定の方法としては、通信機器102から管理端末104へと送信するパケットのTTLを1より増やしていき、管理端末104から受信したことを示す返答があった最小の値をホップ数とする。これは、UNIX(登録商標)におけるtracerouteコマンドに相当する処理である。また、管理端末104からのパケット送信時のTTLがわかっている場合、管理端末104からのパケットを通信機器102において受信したときにTTLを調査し、送信時のTTLから受信時のTTLを減じることでホップ数を求めることができる。
The following example can be considered as a method of investigating the number of hops performed by the TTL measuring unit 10a. (1) When the network configuration can be grasped in a LAN environment or a WAN environment, the number of hops from the
ステップS12では、TTL設定手段10bは、得られたホップ数を記憶部14に変更ホップ数14bとして記憶させる。なお、通信機器102から送出されるパケットのTTLの初期値は、アプリケーションからOSを介して設定され、通信が正常である場合には記憶部14に記憶されている通常ホップ数14aとされ、通信に異常がある場合には変更ホップ数14b又はそれに迂回許容ホップ数24aを加えた値とされる。
In step S12, the
ステップS14では、タイマー16による時間の計測が開始される。ステップS16では、アプリケーション手段10eにより通信機器102の本来の機能を発揮させる処理が行われているか判定される。アプリケーション手段10eでの処理が行われていればステップS20に処理を移行させ、そうでなければステップS18に処理を移行させる。ステップS18では、タイマー16による計測がタイムアップしたか否かが判定される。ステップS14において計測を開始したタイマー16が所定の時間以上となった場合にはステップS20に処理を移行させ、そうでない場合にはステップS16に処理を戻す。
In step S14, time measurement by the
ステップS20では、不正検出処理が行われる。通信機器102の処理部10は、不正検出手段10dとして機能し、通信における不正の検出処理が行われる。不正検出手段10dにおいて不正と判定される場合は以下の例が考えられる。
(不正1)通信機器102においてウィルスが検出された場合。このとき、通信機器102にはウィルス検知ソフトを起動しておけばよい。
(不正2)通信機器102において必要な機能の実現のためのプログラム以外のプログラムが起動された場合。このとき、通信機器102には、機能の実現のために必要なプログラムのリストを予め記憶させておき、リストに登録されているプログラム以外のプログラムが起動されたか否かを判断すればよい。
(不正3)通信機器102から通信が必要となる機器以外へ通信が行われた場合。このとき、通信機器102には、通信が必要な機器のアドレスのリストを予め記憶させておき、リストに登録されているアドレス以外へ通信が行われたか否かを判断すればよい。
(不正4)危険と判定された機器へ通信が行われた場合。このとき、通信機器102には、予め危険と判定された機器のアドレスのリストを記憶させておき、リストに登録されているアドレスへ通信が行われたか否かを判断すればよい。
(不正5)通常の通信先となる機器への通信が中止された場合。このとき、異常時に必要な通信先までのホップ数を求めるのと同じ方法を適用して、通常時に通信を行う機器までのホップ数を測定し、その測定値又は測定値に余裕値を加えた値を通常時のTTLとし、このTTLをパケットに設定して通信を行ったときに途中のルータから転送中止の通知を受信したか否かを判断すればよい。転送中止の通知を受信した場合、通常において通信先となる機器以外の通信先へ通信を試みたことを意味し、何らかの想定外のことが通信機器102で起こっていることを示唆する。さらに、余裕値は変動させてもよい。その理由は、ルータによっては転送中止の通知を送信しない設定になっている場合があるが、余裕値を変動させることにより転送中止の通知を行うルータを変化させることができるので、いずれかのルータが通知を行う設定となっていれば転送中止の通知を通信機器102で受信することができるからである。
(不正6)通信機器102においてOSへの強制アクセス制御に対するポリシー違反があった場合。強制アクセス制御とは、プログラムに対して例えばネットワーク通信を使用してよいであるとか、特定のファイルにアクセスしてよい等のポリシーを設定しておき、そのプログラムが稼働中にそのポリシー内で許可された振る舞いのみを許可するというものである。
(不正7)ソフトウェアまたは物理的なスイッチなどで設定モードに移行するようにしておき、モード移行なしで設定の変更がされた場合、または変更の試行が検知された場合。
(不正8)蓋のこじ開けなど通信機器102に対する物理的な攻撃が検知された場合。
In step S20, fraud detection processing is performed. The
(Unauthorized 1) When a virus is detected in the
(Unauthorized 2) A program other than a program for realizing a necessary function in the
(Unauthorized 3) When communication is performed from the
(Unauthorized 4) When communication is performed with a device that is determined to be dangerous. At this time, the
(Unauthorized 5) When communication with a device that is a normal communication destination is stopped. At this time, applying the same method as obtaining the number of hops to the communication destination required in the event of an abnormality, measuring the number of hops to the device that communicates during normal times, and adding a margin value to the measured value or measured value The value may be a normal TTL, and it may be determined whether or not a transfer cancellation notification is received from a router in the middle when communication is performed with this TTL set in a packet. When a transfer cancellation notification is received, it means that communication has been attempted to a communication destination other than the device that is normally the communication destination, suggesting that something unexpected has occurred in the
(Unauthorized 6) When there is a policy violation with respect to the forced access control to the OS in the
(Unauthorized 7) When the setting mode is changed by software or a physical switch, and the setting is changed without changing the mode, or when an attempt to change is detected.
(Unauthorized 8) When a physical attack against the
ステップS22では、不正検出手段10dにおいて不正が検出された場合にはステップS24に処理を移行させ、不正が検出されなかった場合にはステップS14に処理を戻す。
In step S22, if fraud is detected by the
ステップS24では、通信で不正が検出されたときのTTLに変更する処理が行われる。通信機器102の処理部10は、TTL変更手段10cとして機能し、これ以降に送出されるパケットのTTLの初期値として変更ホップ数14bを設定する。例えば、図1において、通信機器102から管理端末104までのホップ数に1を加えた値である変更ホップ数14bがTTLの初期値とされる。これによって、通信機器102からは管理端末104のみにパケットが届くような状態となる。
In step S24, processing for changing to TTL when fraud is detected in communication is performed. The
具体的には、OSにおけるパケットに対するTTLの初期値の設定値を書き替える権限が与えられたアプリケーションからTTLの初期値の設定値を通常ホップ数14aから変更ホップ数14bに書き替えるようにすればよい。
Specifically, if the application that is authorized to rewrite the TTL initial value setting value for the packet in the OS is rewritten from the
このステップでの処理以降、通信機器102は必要最小限の管理端末104のみに届くホップ数のパケットのみを送信する状態となり、通信機器102はサーバ106と通信できなくなるので、通信機器102を不正にコントロールしてサーバ106が攻撃されるリスクを低減することができる。例えば、通信機器102がマルウェア等により乗っ取られ、不適切な通信先にパケットが不正に送信されることを防止することができる。
After the processing in this step, the
同時に、通信機器102と管理端末104との間の通信は維持され、管理端末104による通信機器102の管理は阻害されないので通信不正に対する迅速な対応が可能となる。また、管理機能のほかに不正があったとしても継続したい機能がある場合、その機能を継続して利用することが可能である。
At the same time, communication between the
ステップS26では、復旧命令を受信したか否かが判定される。通信機器102は、管理端末104から復旧命令を受信した場合にはステップS28に処理を移行させ、そうでない場合にはステップS26を繰り返す。これにより、通信の不正に伴ってTTLを変更ホップ数14bに変更した状態は、通信の不正が除かれて通信機器102が管理端末104から復旧命令を受信するまで継続される。
In step S26, it is determined whether a recovery command has been received. If the
ステップS28では、通信が正常に復旧したときのTTLに変更する処理が行われる。通信機器102の処理部10は、TTL変更手段10cとして機能し、これ以降に送出されるパケットのTTLの初期値を通常ホップ数14aに戻す。これにより、管理端末104のみならず、通常の通信において送信先となるサーバ106等の通信機器に対してパケットを送信することが可能な状態となる。
In step S28, processing for changing to TTL when communication is normally restored is performed. The
ステップS30では、通信処理を終了するか否かが判定される。通信機器102の処理部10は、通信処理を終了させない場合にはステップS14に処理を戻し、そうでない場合には処理を終了する。
In step S30, it is determined whether or not to end the communication process. The
一方、サーバ106では、通信に異常や通信機器102への不正が発生していることを検出し、ユーザに警告を通知することができる。以下、図5に示すフローチャートに沿って、サーバ106において通信の異常及び不正を検出する方法について説明する。なお、サーバ106での通信機器102への不正検出に際し、通信機器102から新たにパケットを受信したタイミングで計時部26をリセットし、時間の計測を繰り返すものとする。
On the other hand, the
ステップS40では、タイムアップ前にパケットが受信されたか否かが判定される。サーバ106の処理部20は、機器異常検出手段20bとして機能し、計時部26による計時時間が待機時間24bを超えたか否かを判定する。待機時間24bは、通信機器102からサーバ106へパケットが定期的に送信される周期以上の値に設定されており、計時部26の計時時間が待機時間24bを超えていれば通信機器102とサーバ106との間の通信に異常が発生したものと考えることができる。そこで、計時部26による計時時間が待機時間24bを超えた場合にはステップS48に処理を移行させ、そうでなければステップS42に処理を移行させる。
In step S40, it is determined whether a packet has been received before the time is up. The
ステップS42では、受信されたパケットが不正であるか否かが判定される。サーバ106の処理部20は、パケット判定手段20aとして機能し、受信されたパケットのTTLの現在値とTTLの初期値との差を求め、当該差に基づいて正規のパケットか不正なパケットかを判定する。
In step S42, it is determined whether or not the received packet is illegal. The
通信機器102からサーバ106の通信に不正がなければ、通信機器102からサーバ106に到達するまでのパケットのホップ数は、可能性のある迂回経路を考慮したとしても、ある程度の範囲に収まる。したがって、サーバ106において受信された通信機器102からのパケットのTTLの現在値とTTLの初期値との差が正常の範囲を超えて大きくなっている場合には通信に不正があると判断することができる。
If communication from the
そこで、パケット判定手段20aは、受信されたパケットのTTLの現在値とTTLの初期値との差が迂回許容ホップ数24a以下であれば正規の通信パケットとして判定し、当該差が迂回許容ホップ数24aより大きければ不正な通信パケットとして判定する。
Therefore, if the difference between the current TTL value of the received packet and the initial value of the TTL is less than or equal to the allowable
ステップS44では、不正なパケットと判断された場合にはステップS46に処理を移行させ、正常なパケットと判断された場合にはステップS40に処理を戻して、次のパケットに対して処理を繰り返す。 In step S44, if it is determined that the packet is invalid, the process proceeds to step S46. If it is determined that the packet is normal, the process returns to step S40, and the process is repeated for the next packet.
ステップS46では、通信に不正があったことを示す警告をユーザに通知する。サーバ106の処理部20は、警告出力手段20cとして機能し、不正なパケットが通信されたことをユーザに示す警告を出力する。例えば、ディスプレイに「不正なパケットを受信しました。」等の警告文を表示させる。また、不正と判断されたパケットは破棄してもよい。
In step S46, the user is notified of a warning indicating that the communication is illegal. The
ステップS48では、通信に異常があったことを示す警告をユーザに通知する。サーバ106の処理部20は、警告出力手段20cとして機能し、通信が異常な状態であることをユーザに示す警告を出力する。例えば、ディスプレイに「通信状態が異常です。」等の警告文を表示させる。
In step S48, the user is notified of a warning indicating that there was an abnormality in communication. The
以上のように、通信システム100によれば、通信機器102に対する通信において不正が検出された場合、通信機器102から送信されるパケットのTTLを通常値よりも小さい値に設定する。これにより、通信機器102から離れたサーバ106への通信を制限して被害の拡大を防ぐと共に、通信機器102の近くの管理端末104への通信は継続することができる。そして、LAN等の通信機器102から近い情報通信網108を介して管理端末104から通信機器102の復旧作業等を行うことを可能とする。また、通信機器102が不正に乗っ取られたとしても、通信機器102を踏み台にして通信機器102から遠い情報通信網110に接続されたサーバ106等へのDoS攻撃や悪意をもって通信機器102内の情報をサーバ106等へ送信したりすることを防止することができる。
As described above, according to the
<変形例1>
上記実施の形態では、通常ホップ数14aはオペレーションシステム(OS)設定のデフォルト値としたが、TTL計測手段10aによって通信システム100に対して適切なTTL値を求めるものとしてもよい。
<Modification 1>
In the above embodiment, the
例えば、通信システム100においてサービスを提供するにおいて通信機器102からのホップ数が最も大きいサーバ106までの通信が確立されていればよいのであれば、通常ホップ数14aをOSが指定する値ではなく、サーバ106にパケットがぎりぎり届く程度のホップ数にする。具体的には、TTL計測手段10aによって通信機器102からサーバ106までのホップ数を計測し、通常ホップ数14aを当該ホップ数又は当該ホップ数に迂回路として許される程度の余裕値(例えば、迂回許容ホップ数24a)を加えた値に設定する。なお、図1では、通信機器102からサーバ106へのホップ数を計測してえられた結果の一例として、「ホップ数 10」を示している。
For example, if communication to the
通常の通信において通信機器102から送出されるパケットのTTLの初期値を通常ホップ数14aに設定することによって、通信機器102からアクセスできる範囲をサーバ106にぎりぎり届く範囲に設定することができる。
By setting the initial value of the TTL of a packet sent from the
<変形例2>
上記実施の形態では、通信に対して不正が発生した場合に同一の変更ホップ数14bを適用するものとしたが、不正の種類や程度に応じた複数の変更ホップ数14bの値を記憶させておき、発生した不正の種類や程度に応じてTTLの設定値を変更するようにしてもよい。
<Modification 2>
In the above embodiment, the same
例えば、ウィルス感染等の被害が広範囲に亘る可能性がある不正が行われた場合、通信機器102から最低限の通信が必要な管理端末104までのアクセスがぎりぎり可能なホップ数をTTLの初期値に設定する。一方、通信機器102において必要な機能の実現のためのプログラム以外のプログラムが起動された場合のように被害が広範囲に亘る可能性が低いと考えられる場合、管理端末104以外の通信機器までのアクセスが可能であるが、通常時よりも少ないホップ数をTTLの初期値に設定するようにしてもよい。
For example, in the case of fraud in which there is a possibility that damage such as virus infection may be wide-ranging, the initial value of TTL is the number of hops that can be accessed from the
また、不正が発生した時点からの経過時間に応じてTTLの初期値を変更するようにしてもよい。例えば、不正が発生した時点ではTTLの初期値を通常ホップ数14aよりは小さいがある程度の広いアクセス範囲が維持されるような値に設定し、不正が発生した時点からの経過時間が大きくなるほどアクセス範囲が狭くなるようにTTLの初期値を小さくするようにしてもよい。
Further, the initial value of the TTL may be changed according to the elapsed time from the time when the fraud occurs. For example, when a fraud occurs, the initial value of the TTL is set to a value that is smaller than the
10 処理部、10a TTL計測手段、10b TTL設定手段、10c TTL変更手段、10d 不正検出手段、10e アプリケーション手段、12 通信部、14 記憶部、14a 通常ホップ数、14b 変更ホップ数、16 タイマー、20 処理部、20a パケット判定手段、20b 機器異常検出手段、20c 警告出力手段、20d サービス提供手段、22 通信部、24 記憶部、24a 迂回許容ホップ数、24b 待機時間、26 計時部、100 通信システム、102 通信機器、104 管理端末、106 サーバ、108,110 情報通信網。 10 processing unit, 10a TTL measurement unit, 10b TTL setting unit, 10c TTL changing unit, 10d fraud detection unit, 10e application unit, 12 communication unit, 14 storage unit, 14a normal hop count, 14b changed hop count, 16 timer, 20 Processing unit, 20a packet determination unit, 20b device abnormality detection unit, 20c warning output unit, 20d service providing unit, 22 communication unit, 24 storage unit, 24a bypass allowable hop count, 24b waiting time, 26 timing unit, 100 communication system, 102 Communication equipment, 104 Management terminal, 106 Server, 108, 110 Information communication network.
Claims (5)
通常の通信時のホップ数である通常ホップ数より小さい値のホップ数を変更ホップ数として記憶する記憶手段と、
前記不正検出手段によって不正が検出された後に送信される通信パケットのホップ数を前記通常ホップ数から前記変更ホップ数に変更する変更手段と、
を備え、
前記不正検出手段によって不正が検出された後に通信を継続する通信先までのホップ数を計測して、当該通信先までのホップ数に応じて前記変更ホップ数を設定することを特徴とする通信機器。 Fraud detection means for detecting fraud to communication devices;
Storage means for storing the number of hops smaller than the number of normal hops, which is the number of hops during normal communication, as the changed hop number;
Changing means for changing the number of hops of a communication packet transmitted after fraud is detected by the fraud detection means from the normal hop number to the changed hop number;
Equipped with a,
A communication device that measures the number of hops to a communication destination that continues communication after fraud is detected by the fraud detection means, and sets the changed hop number according to the number of hops to the communication destination .
通常の通信時のホップ数である通常ホップ数より小さい値のホップ数を変更ホップ数として記憶する記憶手段と、
前記不正検出手段によって不正が検出された後に送信される通信パケットのホップ数を前記通常ホップ数から前記変更ホップ数に変更する変更手段と、
を備え、
通信機器への不正がない状態においてサービスを提供する通信先までのホップ数を計測して、当該通信先までのホップ数に所定の迂回許容ホップ数を加えた値を前記通常ホップ数として設定することを特徴とする通信機器。 Fraud detection means for detecting fraud to communication devices;
Storage means for storing the number of hops smaller than the number of normal hops, which is the number of hops during normal communication, as the changed hop number;
Changing means for changing the number of hops of a communication packet transmitted after fraud is detected by the fraud detection means from the normal hop number to the changed hop number;
With
Measures the number of hops to a communication destination that provides a service in a state where there is no fraud to the communication device, and sets a value obtained by adding a predetermined number of permitted bypasses to the number of hops to the communication destination as the normal hop number Communication equipment characterized by this.
通信機器への不正がない状態においてサービスを提供する通信先までのホップ数を計測して、当該通信先までのホップ数に所定の迂回許容ホップ数を加えた値を前記通常ホップ数として設定することを特徴とする通信機器。 The communication device according to claim 1 ,
Measures the number of hops to a communication destination that provides a service in a state where there is no fraud to the communication device, and sets a value obtained by adding a predetermined number of permitted bypasses to the number of hops to the communication destination as the normal hop number Communication equipment characterized by this.
通常の通信時のホップ数である通常ホップ数より小さい値のホップ数を変更ホップ数として記憶する記憶手段と、
前記不正検出手段によって不正が検出された後に送信される通信パケットのホップ数を前記通常ホップ数から前記変更ホップ数に変更する変更手段と、を備える通信機器と通信する通信サーバであって、
受信した通信パケットのホップ数の現在値と初期値との差を求め、当該差が迂回許容ホップ数以下であれば正規の通信パケットとして判定し、当該差が前記迂回許容ホップ数より大きければ不正な通信パケットとして判定する判定手段を備えることを特徴とする通信サーバ。 Fraud detection means for detecting fraud to communication devices;
Storage means for storing the number of hops smaller than the number of normal hops, which is the number of hops during normal communication, as the changed hop number;
A communication server that communicates with a communication device comprising: a changing unit that changes the number of hops of a communication packet that is transmitted after fraud is detected by the fraud detection unit from the normal hop number to the changed hop number;
The difference between the current value and the initial value of the hop count of the received communication packet is obtained, and if the difference is less than or equal to the allowable bypass hop count, it is determined as a regular communication packet. A communication server comprising determination means for determining as a valid communication packet.
受信した通信パケットのホップ数の現在値と初期値との差を求め、当該差が迂回許容ホップ数以下であれば正規の通信パケットとして判定し、当該差が前記迂回許容ホップ数より大きければ不正な通信パケットとして判定する判定手段を備えることを特徴する通信サーバ。 The difference between the current value and the initial value of the hop count of the received communication packet is obtained, and if the difference is less than or equal to the allowable bypass hop count, it is determined as a regular communication packet. A communication server comprising determination means for determining as a valid communication packet.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014174748A JP6286324B2 (en) | 2014-08-29 | 2014-08-29 | Communication device and communication server |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014174748A JP6286324B2 (en) | 2014-08-29 | 2014-08-29 | Communication device and communication server |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016051935A JP2016051935A (en) | 2016-04-11 |
| JP6286324B2 true JP6286324B2 (en) | 2018-02-28 |
Family
ID=55659169
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014174748A Active JP6286324B2 (en) | 2014-08-29 | 2014-08-29 | Communication device and communication server |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6286324B2 (en) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102423509B1 (en) * | 2020-10-26 | 2022-07-22 | 숭실대학교 산학협력단 | Method for determining ttl of messages in information-centric networking based on delay tolerant networking, recording medium and device for performing the method |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH05336114A (en) * | 1992-06-03 | 1993-12-17 | Fujitsu Ltd | Network monitoring method |
| AU2002349678A1 (en) * | 2002-12-02 | 2004-06-23 | Fujitsu Limited | Source address spoofing packet detecting apparatus, source address spoofing packet detecting method, and source address spoofing packet detecting program |
| JP4854192B2 (en) * | 2004-10-25 | 2012-01-18 | シャープ株式会社 | Transmission device, communication system, and computer program |
-
2014
- 2014-08-29 JP JP2014174748A patent/JP6286324B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2016051935A (en) | 2016-04-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4820437B2 (en) | Information processing device | |
| US8881259B2 (en) | Network security system with customizable rule-based analytics engine for identifying application layer violations | |
| KR101455167B1 (en) | Network switch based on whitelist | |
| KR20120060655A (en) | Routing Method And Apparatus For Detecting Server Attacking And Network Using Method Thereof | |
| CN112351012A (en) | Network security protection method, device and system | |
| JP2013191199A (en) | Methods and systems for protecting network-connected device from intrusion | |
| US10205738B2 (en) | Advanced persistent threat mitigation | |
| JP6977507B2 (en) | Controls and control systems | |
| WO2016139910A1 (en) | Communication system, communication method, and non-transitory computer readable medium storing program | |
| CN106921649B (en) | Network security exposure evaluation and response system and method in embedded control device | |
| JP6286324B2 (en) | Communication device and communication server | |
| JP4694578B2 (en) | Method and system for protecting a computer network from packet flood | |
| JP2006243878A (en) | Unauthorized access detection system | |
| KR101343693B1 (en) | Network security system and method for process thereof | |
| KR102578800B1 (en) | System for controlling network access and method of the same | |
| JP4437107B2 (en) | Computer system | |
| TWI773874B (en) | Address resolution request control | |
| JP6476530B2 (en) | Information processing apparatus, method, and program | |
| JP3828523B2 (en) | Unauthorized access protection device and program | |
| JP6851211B2 (en) | Network monitoring system | |
| JP2008011008A (en) | Unauthorized access prevention system | |
| EP4214944B1 (en) | Roaming dns firewall | |
| CN120915599B (en) | A method, system, device, and program product for enhancing network device security services. | |
| JP2004248198A (en) | DoS attack defense method and device | |
| KR20120025153A (en) | Apparatus and method for blocking attack of mac flooding in network switch |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20161220 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20171106 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171121 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180118 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180130 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180205 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6286324 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |