特許ウォッチ

公開番号2025014112
公報種別公開特許公報(A)
公開日2025-01-29
出願番号2024109690
出願日2024-07-08
発明の名称ネットワーク保護装置およびその方法
出願人ヴィアスコープインコーポレイテッド
代理人弁護士法人クレオ国際法律特許事務所
主分類H04L 43/028 20220101AFI20250122BHJP(電気通信技術)
要約【課題】ネットワーク保護装置およびその方法を提供する。
【解決手段】
本開示によれば、ネットワーク保護装置は、通信装置、ターゲットネットワークに属する複数の第1端末間の接続権限を定義するホワイトリスト(white list)を保存する保存装置、そして前記複数の第1端末の間で発生した第1通信フローが前記通信装置によって受信されるように、ARP(Address Resolution Protocol)パケットを使用して前記複数の第1端末それぞれのARPテーブルを変調し、前記第1通信フローが受信されると、前記ホワイトリストに基づいて、前記第1通信フローを遮断するか目的地に伝達するように構成された制御装置を含むことができる。
【選択図】図1A
特許請求の範囲【請求項１】
通信装置、
ターゲットネットワークに属する複数の第１端末間の接続権限を定義するホワイトリスト（ｗｈｉｔｅｌｉｓｔ）を保存する保存装置、および
前記複数の第１端末の間で発生した第１通信フローが前記通信装置によって受信されるように、ＡＲＰ（ＡｄｄｒｅｓｓＲｅｓｏｌｕｔｉｏｎＰｒｏｔｏｃｏｌ）パケットを使用して前記複数の第１端末それぞれのＡＲＰテーブルを変調し、前記第１通信フローが受信されると、前記ホワイトリストに基づいて、前記第１通信フローを遮断するか目的地に伝達するように構成された制御装置を含むネットワーク保護装置。
続きを表示（約 2,400 文字）【請求項２】
前記制御装置は、
前記ＡＲＰテーブル内でＭＡＣ（ＭｅｄｉａＡｃｃｅｓｓＣｏｎｔｒｏｌ）アドレスを変調しようとする第１端末のＩＰアドレス、および前記ネットワーク保護装置のＭＡＣアドレスを出発地アドレス情報として含むＡＲＰ応答パケットを生成し、
前記ＡＲＰ応答パケットを前記複数の第１端末それぞれに伝送して前記ＡＲＰテーブルを変調するように構成された、
請求項１に記載のネットワーク保護装置。
【請求項３】
前記制御装置は、ＡＲＰ要請パケットを使用して前記複数の第１端末それぞれのアドレス情報を収集するように構成され、
前記アドレス情報は、ＩＰアドレスおよびＭＡＣアドレスを含む、
請求項２に記載のネットワーク保護装置。
【請求項４】
前記制御装置は、
前記アドレス情報に基づいて、前記複数の第１端末のうち非認可端末を検出し、
ＡＲＰパケットを使用して前記非認可端末のＡＲＰテーブルに含まれるＭＡＣアドレスを通信が不可能なＭＡＣアドレスに変調して前記非認可端末の通信を遮断するように構成された、
請求項３に記載のネットワーク保護装置。
【請求項５】
前記制御装置は、
受信された前記第１通信フローが、前記ホワイトリストによって接続が許可された通信フローであれば、前記第１通信フローの出発地である第１端末でＣＡＰＴＣＨＡ（ＣｏｍｐｌｅｔｅｌｙＡｕｔｏｍａｔｅｄＰｕｂｌｉｃＴｕｒｉｎｇｔｅｓｔｔｏｔｅｌｌＣｏｍｐｕｔｅｒｓａｎｄＨｕｍａｎｓＡｐａｒｔ）プロセスを実行させ、
前記出発地である第１端末でのＣＡＰＴＣＨＡ認証結果に応じて、受信された前記第１通信フローを遮断するか目的地に伝達するように構成された、
請求項１に記載のネットワーク保護装置。
【請求項６】
前記保存装置は、前記複数の第１端末と前記ターゲットネットワークの外部ネットワークとの間の接続権限を定義するブラックリスト（ｂｌａｃｋｌｉｓｔ）を追加的に保存し、
前記制御装置は、
前記複数の第１端末のいずれかから前記外部ネットワークに向かうように伝送された第２通信フローが、前記通信装置によって受信されるように、ＡＲＰパケットを使用して前記複数の第１端末それぞれのＡＲＰテーブルを変調し、
前記第２通信フローが受信されると、前記ブラックリストに基づいて、前記第２通信フローを遮断するか、前記外部ネットワークに伝達するように構成された、
請求項１に記載のネットワーク保護装置。
【請求項７】
前記制御装置は、
前記複数の第１端末と前記外部ネットワークとの間に接続されたゲートウェイのＩＰアドレス、および前記ネットワーク保護装置のＭＡＣアドレスを出発地アドレス情報として含むＡＲＰ応答パケットを生成し、
前記ＡＲＰ応答パケットを前記複数の第１端末それぞれに伝送して、前記ＡＲＰテーブルで前記ゲートウェイのＭＡＣアドレスを変調するように構成された、
請求項６に記載のネットワーク保護装置。
【請求項８】
前記制御装置は、
前記外部ネットワークからＤＮＳ（ＤｏｍａｉｎＮａｍｅＳｙｓｔｅｍ）応答パケットが受信されると、受信された前記ＤＮＳ応答パケットのＤＮＳ情報をＤＮＳテーブルに保存し、
前記ＤＮＳテーブルを参照して、前記第２通信フローがＤＮＳクエリなしに発生した通信フローと判断されると、前記第２通信フローを目的地に伝達せずに遮断するように構成され、
前記ＤＮＳ情報は、前記ＤＮＳ応答パケットに含まれるＩＰアドレスおよびドメインアドレスを含む、請求項６に記載のネットワーク保護装置。
【請求項９】
前記制御装置は、
前記複数の第１端末が出発地または到着地である通信フローのフロー情報をフローテーブルに保存し、
前記ターゲットネットワークの外部ネットワークから前記複数の第１端末のいずれかに向かう第３通信フローが受信されると、前記フローテーブルを参照して、前記第３通信フローが、前記複数の第１端末のいずれかの要請によって発生した通信フローであるか否かを判断し、
前記第３通信フローが、前記複数の第１端末のいずれかの要請によって発生した通信フローと判断されると、前記第３通信フローを目的地である第１端末に伝達するように構成され、
前記フロー情報は、対応する通信フローの出発地および目的地のアドレス情報、およびプロトコル情報を含む、請求項１に記載のネットワーク保護装置。
【請求項１０】
前記制御装置は、
エージェントが設置された第２端末に前記ネットワーク保護装置と前記第２端末との間の通信経路に位置するＡＰ（ＡｃｃｅｓｓＰｏｉｎｔ）の検出を指示し、
前記第２端末によって前記通信経路で前記ＡＰが検出されると、前記ＡＰに接続された少なくとも一つの第３端末の端末情報収集を前記第２端末に指示し、
前記第２端末がＡＲＰパケットを使用して収集した前記少なくとも一つの第３端末のアドレス情報を前記第２端末から受信し、
前記少なくとも一つの第３端末のアドレス情報に基づいて、前記少なくとも一つの第３端末のうち非認可端末を検出し、
前記非認可端末が検出されると、ＡＲＰパケットを使用して前記非認可端末の通信を遮断するように前記第２端末に指示するように構成された、
請求項９に記載のネットワーク保護装置。
（【請求項１１】以降は省略されています）
発明の詳細な説明【技術分野】
【０００１】
本開示は、ネットワーク保護装置およびその方法に関し、より詳しくは悪性コード拡散を防止するためのネットワーク保護装置およびその方法に関するものである。
続きを表示（約 1,800 文字）【背景技術】
【０００２】
近年、多くの悪性コードが、主要データの乗っ取りおよび被害規模の拡大のために、内部ネットワークなどの感染経路を積極的に利用している。悪性コード感染による被害は、感染したシステムに限定されず、同一ネットワークのすべてのシステムで拡散され、被害規模が大きくなる。感染した一つのシステムから他のシステムへの被害拡散だけ防ぐことができても悪性コードによる被害を劇的に減らすことができる。
【０００３】
悪性コードの配布は、カード料金明細書などセキュリティメールに偽装したり、ウェッブクッキー盗用、サイドジャキング（ｓｉｄｅｊａｃｋｉｎｇ）、セッションハイジャッキング（ｈｉｊａｃｋｉｎｇ）など様々な方法で行われている。近年、接続権限だけ専門的に奪取するハッカー集団が、長い時間をかけて少しずつ侵入して接続権限を取得した後、悪性コードを植えて金銭的利益を取る別のハッカー集団に情報を販売する方式で、悪性コード配布トレンドが変わっている。
【０００４】
被害者は、悪性コードに感染したシステムに重要な情報が含まれている場合、ハッカーが要求する金額を支払うしかなく、金額を支払った後にも、当該情報が回復されない、または拡散されないという保証はない。攻撃に備えるためには、構成員全員の注意が必要であるが、悪性コードに感染した一つのシステムのため、同一ネットワークに接続された他の多くのシステムに被害が拡大するのを防止する必要がある。
【発明の概要】
【発明が解決しようとする課題】
【０００５】
本開示は、悪性コードがネットワーク内部に流入するのを防止し、同一ネットワークに接続された端末の間またはネットワークの間で悪性コードによる被害が拡散するのを防止できるネットワーク保護装置およびその方法を提供する。
【課題を解決するための手段】
【０００６】
前記課題を解決するための一実施例に係るネットワーク保護装置は、通信装置、ターゲットネットワークに属する複数の第１端末間の接続権限を定義するホワイトリスト（ｗｈｉｔｅｌｉｓｔ）を保存する保存装置、そして前記複数の第１端末の間で発生した第１通信フローが前記通信装置によって受信されるように、ＡＲＰ（ＡｄｄｒｅｓｓＲｅｓｏｌｕｔｉｏｎＰｒｏｔｏｃｏｌ）パケットを使用して前記複数の第１端末それぞれのＡＲＰテーブルを変調し、前記第１通信フローが受信されると、前記ホワイトリストに基づいて前記第１通信フローを遮断したり目的地に伝達するように構成された制御装置を含むことができる。
【０００７】
前記制御装置は、前記ＡＲＰテーブル内でＭＡＣ（ＭｅｄｉａＡｃｃｅｓｓＣｏｎｔｒｏｌ）アドレスを変調しようとする第１端末のＩＰアドレスおよび前記ネットワーク保護装置のＭＡＣアドレスを出発地アドレス情報として含むＡＲＰ応答パケットを生成し、前記ＡＲＰ応答パケットを前記複数の第１端末それぞれに伝送して前記ＡＲＰテーブルを変調するように構成することができる。
【０００８】
前記制御装置は、ＡＲＰ要請パケットを使用して前記複数の第１端末それぞれのアドレス情報を収集するように構成することができる。前記アドレス情報はＩＰアドレスおよびＭＡＣアドレスを含むことができる。
【０００９】
前記制御装置は、前記アドレス情報に基づいて、前記複数の第１端末のうち非認可端末を検出し、ＡＲＰパケットを使用して前記非認可端末のＡＲＰテーブルに含まれているＭＡＣアドレスを通信が不可能なＭＡＣアドレスに変調して、前記非認可端末の通信を遮断するように構成することができる。
【００１０】
前記制御装置は、受信された前記第１通信フローが前記ホワイトリストによって接続が許可された通信フローであれば、前記第１通信フローの出発地である第１端末でＣＡＰＴＣＨＡ（ＣｏｍｐｌｅｔｅｌｙＡｕｔｏｍａｔｅｄＰｕｂｌｉｃＴｕｒｉｎｇｔｅｓｔｔｏｔｅｌｌＣｏｍｐｕｔｅｒｓａｎｄＨｕｍａｎｓＡｐａｒｔ）プロセスを実行させ、前記出発地である第１端末でのＣＡＰＴＣＨＡ認証結果によって、受信された前記第１通信フローを遮断したり目的地に伝達するように構成することができる。
（【００１１】以降は省略されています）

関連特許