国際・国内特許データベース検索
このアプリケーションの一部のコンテンツは現時点では利用できません。
このような状況が続く場合は、にお問い合わせくださいフィードバック & お問い合わせ
1. (WO2006043327) 中継装置及びネットワークシステム
注意: このテキストは、OCR 処理によってテキスト化されたものです。法的な用途には PDF 版をご利用ください。
中継装置及びネットワークシステム

技術分野

[0001] この発明は、ネットワークとネットワークとの間でパケットを中継するネットワークシス テム及び中継装置に関する。

背景技術

[0002] 従来、ウィルスゃゥアーム等に起因した不正パケットを監視'制御する方策として、 侵入検知装置による不正パケットの検知とファイアウォールやルータ等による特定パ ケットの遮断が行なわれている。また、複数ルータ間の連携で不正パケットの流入口 を特定して不正パケットの中継を防止する方策(例えば、特許文献 1)やネットワーク 監視装置、トラフィック監視装置及び搜查情報収集制御装置により、ネットワークにお ける監視対象ホストの重要度、トラフィック量、サービスの重要度に応じた不正バケツ トの監視 ·制御を行なう方策 (例えば、特許文献 2)などが提案されている。

[0003] 従来は、ウィルスゃゥアーム等の侵入により、 LAN (Local Area Network)内に 予期しない不正パケットが蔓延して電子メール等のサービスが継続できなくなった場 合、侵入検知装置で不正パケットを即座に特定し、ファイアウォールやルータの設定 を変更して遮断することは困難なことから、例えば LANの建屋レベルの分起点に設 けられたファイアウォールやルータでー且全てのパケットを遮断し、不正パケットの発 生がおさまるまで、障害の発生して!/、るサブネットワークを含む広、範囲のネットヮー クを隔離しなければならないという問題点があった。更に、ネットワークを遮断した結 果、管理通信も使用できなくなり、機器の管理や制御が遠隔から集中的に行なえなく なる問題点があった。

[0004] また、特許文献 1によれば、不正パケットによる攻撃を検知したルータからの情報に 基づいて、ルータ間の通信により外部ネットワーク力攻撃を受信しているルータで 攻撃を遮断することができる。しかし、ルータ間の情報交換に必要な通信の確保が前 提となっている。このため、攻撃発生箇所がネットワーク内に広範囲に分散しうる LA N環境においては、攻撃が発生した瞬間、ルータ間の通信が確保できなくなる。更に

、本方式を既存の LAN環境に適用しょうとした場合、攻撃元を特定するために多く のルータを配備する必要があり、 LAN環境に与える影響が大きぐ既存の LAN環境 に容易に適用できる方策が求められる。

[0005] また、特許文献 2によれば、監視対象の性格や状況に応じて、疑わ、通信を継続 的に監視することにより、不正侵入等を検知する方策が述べられている。しかし、大 規模な LAN環境に適用しょうとした場合、監視のための通信確保と通信量抑制等の 工夫が必要である。

特許文献 1:特開 2003— 333092号公報

特許文献 2:特開 2002 - 342276号公報

発明の開示

発明が解決しょうとする課題

[0006] この発明は、既存の LAN内に多数の監視 ·制御ポイントを容易に追加でき、隔離 するネットワークの範囲を狭め、予期しない不正パケットによる攻撃が発生中であって も、ネットワークの監視 ·制御のための管理通信や正常なサブネットワーク間の通信を 確保することを目的とする。

課題を解決するための手段

[0007] 本発明のネットワークシステムは、

複数のネットワークの集合として構成される集合ネットワークを構成する構成ネットヮ ークの間の通信を中継する複数の中継装置を備え、

前記複数の中継装置のそれぞれは、

集合ネットワークで通信されるパケットを自己の接続する構成ネットワーク力も受信 した場合に、内容を解読する解読パケットと自己の装置内を透過させる透過パケット との少なくともいずれかに分類することを特徴とする。

[0008] 前記ネットワークシステムは、さらに、

前記集合ネットワークに配置されることにより、前記複数の中継装置の少なくともい ずれかを指定する指定情報と、指定情報により指定された指定中継装置に対して所 定の制御を指示する制御情報とを含む制御パケットを自己に隣接する中継装置に送 信する管理装置を備え、

前記複数の中継装置のうち前記管理装置より制御パケットを受信する前記中継装 置から前記指定中継装置に隣接する中継装置までのそれぞれの中継装置は、 制御パケットを受信した場合に、受信した制御パケットを解読パケットに分類し、解 読パケットに分類した制御パケットの解読結果に基づ、て、制御パケットを前記指定 中継装置に向けて配信することを特徴とする。

[0009] 前記管理装置は、

指定情報として複数の中継装置を指定中継装置に指定し、制御情報として前記複 数の指定中継装置に所定の情報を要求する情報要求を制御パケットに含め、 前記複数の指定中継装置のそれぞれは、

前記情報要求を含む制御パケットを受信した場合に、受信した制御パケットを解読 パケットに分類し、解読パケットに分類した制御パケットの解読結果に基づいて、前 記情報要求に対応する対応情報を含む応答パケットを他の中継装置に送信し、 前記他の中継装置は、

複数の指定中継装置のそれぞれから応答パケットを受信した場合に、それぞれの 応答パケットを統合した統合パケットを生成し、生成した統合パケットを前記管理装置 に向けて送信することを特徴とする。

[0010] 前記他の中継装置は、

前記指定中継装置から応答パケットを受信した場合に、前記指定中継装置から自 己への経路を示す経路情報を含む統合パケットを生成することを特徴とする。

[0011] 前記他の中継装置は、

前記指定中継装置から応答パケットを受信した場合に、前記指定中継装置から自 己への経路を示す経路情報を記憶することを特徴とする。

[0012] 前記中継装置のそれぞれは、

所定の管理情報を保有し、自己の接続する構成ネットワークに新たに中継装置が 設置された場合に、設置された前記中継装置に前記所定の管理情報を提供すること を特徴とする。

[0013] 本発明の中継装置は、

第 1ネットワーク力第 2ネットワークへパケットを中継する中継装置において、 第 1ネットワーク力パケットを受信し、受信したパケットを通信の管理に使用する管 理パケットと自己の装置内部を透過させる透過パケットとの少なくともいずれかに分類 するパケット分類部と、

前記パケット分類部が分類した透過パケットを第 2ネットワークへ送信する送信部と

前記パケット分類部が分類した管理パケットを入力して、管理パケットを解読する管 理制御部と

を備えたことを特徴とする。

[0014] 前記パケット分類部は、

第 1ネットワーク力も所定のフォーマットのパケットを受信パケットとして受信し、 前記送信部は、

前記パケット分類部が受信パケットを透過パケットに分類した場合、透過パケットの フォーマットを受信パケットのフォーマットから変更することなく透過パケットを第 2ネッ トワークへ送信することを特徴とする。

[0015] 前記パケット分類部は、

第 1ネットワーク力受信した所定のパケットをモニタの対象であるモニタパケットに 分類し、

前記中継装置は、さらに、

前記パケット分類部が分類したモニタパケットの数を測定するモニタパケットカウン タ

を備えたことを特徴とする。

[0016] 前記管理制御部は、

前記パケット分類部が分類したモニタパケットを解析することを特徴とする。

[0017] 前記中継装置は、さらに、

前記パケット分類部が分類した透過パケットの数を測定する透過パケットカウンタを 備え、

前記パケット分類部は、

前記透過パケットカウンタの測定数に基づ、て、受信するパケットを透過パケットか ら廃棄の対象である廃棄対象パケットへ分類を変更することを特徴とする。

[0018] 前記パケット分類部は、

第 1ネットワーク力パケットの廃棄を指示する廃棄指示を含む廃棄指示パケットを 受信した場合に、受信した廃棄指示パケットを管理パケットに分類し、

前記管理制御部は、

管理パケットに分類した廃棄指示パケットに含まれる廃棄指示に基づいて、前記パ ケット分類部に対して、前記パケット分類部が受信するパケットを透過パケットから廃 棄の対象である廃棄対象パケットへ分類を変更させることを特徴とする。

[0019] 前記パケット分類部は、

第 1ネットワークから認証情報が付加された認証情報付加パケットを受信した場合 に、受信した認証情報付加パケットを管理パケットに分類し、

前記中継装置は、さらに、

前記パケット分類部が管理パケットに分類した認証情報付加パケットを認証し、認 証が成立した場合に、認証が成立した認証情報付加パケットを前記管理制御部に出 力するパケット認証部を備えたことを特徴とする。

[0020] 前記管理制御部は、

管理パケットの解読結果に基づいて所定の管理情報を含む管理通信用送信パケ ットを生成し、生成した管理通信用送信パケットを出力し、

前記送信部は、

前記管理制御部が出力した管理通信用送信パケットを入力し、入力した管理通信 用送信パケットを透過パケットよりも上位の優先順位で第 2ネットワークへ送信すること を特徴とする。

[0021] 前記中継装置は、さらに、

前記管理制御部が出力した管理通信用送信パケットを入力し、入力した管理通信 用送信パケットに管理通信用送信パケットであることを指標する指標情報を含むへッ ダを付加してヘッダ付加パケットとして出力するヘッダ付加部を備え、

前記送信部は、

前記ヘッダ付加部が出力したヘッダ付加パケットを入力し、入力したヘッダ付加パ ケットを透過パケットよりも上位の優先順位で第 2ネットワークへ送信することを特徴と する。

[0022] 前記中継装置は、さらに、

前記管理制御部が出力した管理通信用送信パケットを入力し、入力した管理通信 用送信パケットに認証情報を付加して認証情報付加パケットとして出力する認証情 報付加部を備え、

前記ヘッダ付加部は、

前記認証情報付加部が出力した認証情報付加パケットを入力し、入力した認証情 報付加パケットに管理通信用送信パケットであることを指標する指標情報を含むへッ ダを付加してヘッダ付加パケットとして出力することを特徴とする。

[0023] 前記管理制御部は、

前記パケット分類部が受信したパケットを管理パケットに分類する管理パケット分類 条件を格納するとともに、格納する管理パケット分類条件を前記パケット分類部に通 知し、

前記パケット分類部は、

前記管理制御部から通知された管理パケット分類条件に基づ!ヽて、受信したバケツ トを管理パケットに分類することを特徴とする。

[0024] 前記管理制御部は、

所定の場合に、所定の管理パケット分類条件を前記パケット分類部に再度通知し、 前記パケット分類部は、

前記管理制御部から再度通知された管理パケット分類条件に基づ!、て、受信した パケットを管理パケットに分類することを特徴とする。

[0025] 前記中継装置は、さらに、

前記パケット分類部が分類した管理パケットの数を測定する管理パケットカウンタを 備え、

前記管理制御部は、

前記管理パケットカウンタが測定した管理パケットの測定数に基づ、て、所定の管 理パケット分類条件を前記パケット分類部に再度通知することを特徴とする。

[0026] 前記パケット分類部は、

第 1ネットワークから認証情報が付加された認証情報付加パケットを受信した場合 に、受信した認証情報付加パケットを管理パケットに分類し、

前記中継装置は、さらに、

前記パケット分類部が管理パケットに分類した認証情報付加パケットを認証するパ ケット認証部を備え、

前記管理制御部は、

前記パケット認証部による管理パケットの認証結果に基づいて、所定の管理バケツ ト分類条件を前記パケット分類部に再度通知することを特徴とする。

[0027] 本発明の中継装置は、

第 1ネットワーク力第 2ネットワークへパケットを中継する中継装置において、 第 2ネットワークに異常が発生している場合に、第 1ネットワーク力も受信した所定の パケットを認証情報を付加する対象である対象パケットに分類するパケット分類部と、 前記パケット分類部が分類した対象パケットに認証情報を付加する認証情報付カロ 部と、

前記認証情報付加部が認証情報を付加した対象パケットを第 2ネットワークへ送信 する送信部と

を備えたことを特徴とする。

[0028] 本発明の中継装置は、

第 1ネットワーク力第 2ネットワークへパケットを中継する中継装置において、 異常が発生している第 1ネットワークから認証情報が付加された認証情報付加パケ ットを受信した場合に、受信した認証情報付加パケットを認証パケットに分類するパ ケット分類部と、

前記パケット分類部が分類した認証パケットを入力して認証し、認証が成立した場 合に、認証の成立した認証パケットを出力するパケット認証部と、

前記パケット認証部が出力した認証パケットを入力して第 2ネットワークへ出力する 送信部と

を備えたことを特徴とする。

[0029] 前記中継装置は、さらに、

前記パケット分類部が受信した認証情報付加パケットを認証パケットに分類する複 数の認証パケット分類条件を格納し、格納した複数の認証パケット分類条件の、ず れカを前記パケット分類部に通知する管理制御部を備え、

前記パケット分類部は、

前記管理制御部力も通知された認証パケット分類条件に基づ、て、受信した認証 情報付加パケットを認証パケットに分類することを特徴とする。

[0030] 前記管理制御部は、

所定の場合に、所定の認証パケット分類条件を前記パケット分類部に再度通知し、 前記パケット分類部は、

前記管理制御部力再度通知された認証パケット分類条件に基づ、て、受信した パケットを認証パケットに分類することを特徴とする。

[0031] 前記管理制御部は、

前記パケット認証部による認証パケットの認証結果に基づ、て、所定の認証バケツ ト分類条件を前記パケット分類部に再度通知することを特徴とする。

[0032] 前記中継装置は、さらに、

前記パケット分類部が分類した認証パケットの数を測定する認証パケットカウンタを 備え、

前記管理制御部は、

前記認証パケットカウンタが測定した認証パケットの測定数に基づ、て、所定の認 証パケット分類条件を前記パケット分類部に再度通知することを特徴とする。

発明の効果

[0033] 本発明により、ウィルスや予期しない不正パケットにより攻撃された場合にも、ネット ワークの監視 ·制御のための管理通信や正常なサブネットワーク間の通信を確保する ことができる。また、ウィルスや予期しない不正パケットにより攻撃された場合にも、隔 離するネットワークの範囲を狭めることができる。

発明を実施するための最良の形態

[0034] 実施の形態 1.

図 1一図 11を用いて実施の形態 1を説明する。

図 1は、実施の形態 1におけるネットワークシステム 1000のネットワーク構成を示す 図である。ネットワーク全体は、 IPパケットによる通信を行うローカルエリアネットワーク (LAN)で構成される。ネットワークシステム 1000は、 LAN網 15— 18と、サブネットヮ ーク 19一 26とから構成される。これら LAN網 15— 18、及びサブネットワーク 19一 2 6は、図 1のネットワークシステムを構成する構成ネットワークである。これらの構成ネッ トワークは、階層構造を形成している。 LAN網 15が第 1層であり、 LAN網 16— 18が 第 2層であり、サブネットワーク 19一 26が第 3層である階層構造を形成する。

[0035] ネットワークシステム 1000は、 LAN監視'制御装置 1一 13 (中継装置の一例)及び 管理装置 14を備える。 LAN監視 '制御装置 1一 13は、ネットワーク間おいてパケット を中継するとともに、自己の接続するネットワークを監視する。 LAN監視 ·制御装置 1 一 13は、 LAN構成に沿って階層構造となるように配置されている。また、管理装置 1 4は、 LAN監視 ·制御装置 1一 13等を監視、制御する。なお、 LAN監視 ·制御装置 1 等がパケットを入力するネットワークが第 1ネットワークであり、パケットを出力するネッ トワークが第 2ネットワークである。

[0036] 図 2は、 LAN監視 ·制御装置 1の一例を示したブロック図である。 LAN監視 ·制御 装置 2— LAN監視 ·制御装置 13も同様の構成である。なお LAN監視 ·制御装置 1の 構成の詳細は、実施の形態 3で詳述する。このため、実施の形態 1では、構成の概要 を説明する。

[0037] LAN監視 '制御装置 1は、ダウンストリームパケット処理部 63、管理制御部 45、アツ プストリームパケット処理部 64とを備える。

[0038] ダウンストリームパケット処理部 63は、ダウンストリームパケット入力 52を入力し、ダ ゥンストリームパケット出力 53を出力する。また、アップストリームパケット処理部 64は 、アップストリームパケット入力 65を入力し、アップストリームパケット出力 66を出力す る。ダウンストリームパケット処理部 63とアップストリームパケット処理部 64とは対をな す。図 2では、ダウンストリームパケット処理部 63のみ内部構成を示している。アップ ストリームパケット処理部 64の内部構成もダウンストリームパケット処理部 63と同様で ある。アップストリームパケット処理部 64の内部構成は、ダウンストリームパケット処理 部 63において、ダウンストリームパケット入力 52をアップストリームパケット入力 65に 置き換え、ダウンストリームパケット出力 53をアップストリームパケット出力 66に置き換 えた構成になっている。図 3にアップストリームパケット処理部 64の内部構成を示した

[0039] LAN監視 ·制御装置 1の構成を説明する

(1)パケット分類部 39は、受信パケットを透過パケット、廃棄パケット、認証パケット、 管理パケット、モニタパケットに分類する。

(2)管理パケットカウンタ 85、透過パケットカウンタ 60、廃棄パケットカウンタ 58、不正 パケットカウンタ 61、認証済みパケットカウンタ 62、モニタパケットカウンタ 59等のカウ ント部は、パケット分類部 39が分類した各パケットの数を積算 (測定)する。

(3)パケット認証部 44は、認証パケット及び管理パケットを認証してパケットの正当性 を確認する。

(4)出力パケット振り分け部 46は、パケット分類部 39からパケットを入力して、出力先 を振り分ける。

(4)送信パケット認証処理部 49は、送信パケットに認証情報を付加する。

(5)認証パケット生成部 50は、送信パケットに認証パケット或いは管理パケットとして 分類できるヘッダを付加する。

(6)送信優先度制御部 51 (送信部の一例)は、管理パケットを第一位の優先順位とし 、認証パケットを第二位の優先順位とし、透過パケットを第三位の優先順位として送 信する。

(7)管理制御部 45は、管理パケットを解読し、また、管理通信の授受と処理及び LA N監視 ·制御装置 1全体の管理や制御を行なう。また、管理制御部 45は、管理バケツ ト分類条件及び認証パケット分類条件を格納する。以上、 LAN監視'制御装置 1の 構成を説明した。さらに、詳細は実施の形態 3で説明する。

[0040] ネットワークシステム 1000において、管理装置 14は、 LAN監視'制御装置 1一 13 カゝら監視情報を受信するとともに、 LAN制御情報を LAN監視 ·制御装置 1一 13に送 信して LANを監視 ·制御する。

[0041] LAN網 15— 18は、ルータ、スィッチ及びハブ等の通信機器で構成される。

[0042] サブネットワーク 19一 26は、スィッチゃハブ等のネットワーク機器にパソコンゃサー バ等の端末装置を含んだ、 27は外部ネットワークとのインターフェースで、従来、ファ ィァウォールや侵入検知装置が設置される位置である。

[0043] 次に動作について説明する。まず、 LANの正常運用時 (ネットワークシステム 1000 に異常が発生していない場合)における、パケット中継動作を説明する。 LAN監視- 制御装置 1一 13は、パケット分類部 39により受信パケットを透過パケットに分類する。 そして、送信優先度制御部 51を通してそのまま装置が接続されている反対側のネッ トワークに送信することにより、リピータとして動作する。すなわち、 LAN監視'制御装 置 1一 13は、ネットワーク(第 1ネットワーク)力ら受信する受信パケットのフォーマット を変更することなぐそのまま反対側のネットワーク(第 2ネットワーク)に送信する。図 2に示した構成に基づき説明する。

(1)パケット分類部 39は、ネットワーク(第 1ネットワーク)力ら所定のフォーマットのパ ケットを受信パケットとして受信する。そして、受信パケットを透過パケットに分類する 。パケット分類部 39は、受信パケットを透過パケットに分類する場合、受信パケットの フォーマットをなんら変更しない。パケット分類部 39は、透過パケットを出力パケット振 り分け部 46に出力する。

(2)出力パケット振り分け部 46は、パケット分類部 39から透過パケットを入力し、フォ 一マットを変更することなぐ送信先優先度制御部 51に出力する。

(3)送信先優先度制御部 51は、出力パケット振り分け部 46から透過パケットを入力 すると、透過パケットのフォーマットを受信パケットのフォーマットから変更することなく 反対側のネットワーク(第 2ネットワーク)に送信する。従って、 LAN内(ネットワークシ ステム 1000内)のその他の機器から、 LAN監視'制御装置 1一 13は、透過に見える oなお、送信優先度制御部 51は、透過パケットを送信する場合、透過パケットを形成 する形成信号を増幅して出力する。

[0044] 次に、図 3、図 4を用いて、 LAN監視'制御装置 1一 13の間で行なう「管理パケット」 の授受動作について説明する。「管理パケット」は、管理装置 14から所定の LAN監 視 '制御装置に送信される。あるいは、いずれかの LAN監視 '制御装置カゝら他の LA N監視'制御装置、または管理装置 14に送信される。以下では、一例として、図 1の

ネットワークシステム 1000にお、て、 LAN監視 ·制御装置 1が LAN監視 ·制御装置

3へ「管理パケット」を送信する場合を説明する。

[0045] 図 3は、 LAN監視 '制御装置 1と LAN監視 '制御装置 3との接続を示すブロック図 である。区別のため、 LAN監視'制御装置 1のアップストリームパケット処理部 64の構 成要素には「a」を付した。また、 LAN監視'制御装置 3のダウンストリームパケット処 理部 63bには「b」を付し、 LAN監視'制御装置 3のアップストリームパケット処理部 64 cには「c」を付した。数字の同じ構成要素は、同一である。

[0046] また、図 4は、 LAN監視.制御装置 1が LAN監視.制御装置 3へ「管理パケット」を 送信する過程を説明するフローチャートである。図 4をもとに説明する。

(1) LAN監視 '制御装置 1は、送信パケット認証処理部 49により管理通信用送信パ ケットに認証情報を付加して認証パケット生成部 50に渡す (S101)。

(2)認証パケット生成部 50は、送信パケット認証処理部 49から受け取ったパケットに 、 LAN監視'制御装置 3のパケット分類部 39bが管理パケットに分類できるヘッダを 付加し、送信優先度制御部 51に渡す (S102)。

(3)送信優先度制御部 51は、当該パケットを最優先でダウンストリームパケット出力 5 3として LAN網 15 (第 2ネットワーク)に送信する。この場合、送信待ちの透過パケット があっても、送信優先度制御部 51は、それを追い越して、当該管理パケットを LAN 網 15へ送信する(S 103)。

(4) LAN網 15は、当該管理パケットをあて先 IPアドレスにもとづき、 LAN監視'制御 装置 3へ送る(S 104)。

(5) LAN監視 ·制御装置 3は、ダウンストリームパケット入力 52bから受信した当該パ ケットをパケット分類部 39によって管理パケットに分類し、パケット認証部 44bに渡す (S105)。パケット分類部 39は、管理制御部 45から管理パケット分類条件をあらかじ め通知される。管理制御部 45は、複数の管理パケット分類条件を格納している。そし て、管理制御部 45は、所定の管理パケット分類条件をパケット分類部 39に通知する 。パケット分類部 39は、通知された管理パケット分類条件に基づいて受信したバケツ トを管理パケットに分類する。なお、管理制御部 45は、所定の場合に管理パケット分 類条件をパケット分類部 39に再通知する。パケット分類部 39は、再通知された管理 パケット分類条件で分類を行う。

(6)パケット認証部 44bは、受け取った管理パケットに含まれる認証情報をもとに、当 該パケットの正当性を検証する(S106, S107)。検証の結果、正当性が確認された 場合は、 LAN監視 '制御装置 3は、当該パケットを LAN監視 '制御装置 1からの管理 パケットとして処理する(S 108)。具体的には、管理制御部 45bが当該パケット (解読 パケットの一例)を出力パケット振り分け部 46bを介して入力し、解読する。一方、 S1 07において、認証が成立しない場合は、図 4の S 109のステップに進む。詳細は、図 5の説明で述べる。

[0047] 以上の通信で使用する「認証条件」と「管理パケット分類条件」は、予め、 LAN監視 •制御装置 1と LAN監視'制御装置 3で共有しておく。これらの条件は、管理制御部 4 5、管理制御部 45b等が格納している。ここで、「認証条件」としては、例えば、認証用 鍵と認証アルゴリズムを共有する。また、管理パケットの管理パケット分類条件として は、パケットヘッダの構成要素である IPアドレス、プロトコル番号、ポート番号等の複 数フィールドの値の組み合わせで定義し、 LAN監視 ·制御装置 1と LAN監視 ·制御 装置 3で複数種類共有する。但し、あて先 IPアドレスは、 LAN網 15でのパケット転送 が可能なように、 LAN網 17に配信される IPアドレスを指定する。逆に、 LAN監視 '制 御装置 3から LAN監視 '制御装置 1へ管理パケットを送信する場合は、あて先 IPアド レスとして、外部ネットワークインターフェース 27に配信される IPアドレスを指定する。

[0048] 「認証条件」と「管理パケット分類条件」の共有範囲は、 LAN監視 ·制御装置 1一 13 の LAN網 15— 18に接続されるインターフェース毎に定める。例えば、 LAN網 15に は LAN監視'制御装置 1一 4が接続されており、互いに直接管理通信を行なう。この ため、 LAN監視 '制御装置 1一 4は、それそれ相互に一対一で固有の「認証条件」と 「管理パケット分類条件」とを共有する。一方、 LAN監視 '制御装置 2は、 LAN網 16 にも接続しており、 LAN監視'制御装置 5— 7との間で管理通信を行なう。このため、 LAN監視 ·制御装置 2は、 LAN監視 ·制御装置 5— 7とも固有の「認証条件」と「管理 パケット分類条件」を一対一で共有する。 LAN監視 ·制御装置 5は、管理装置 14とも 接続しているので、 LAN監視 ·制御装置 5と管理装置 14も固有の認証条件と管理パ ケット分類条件を共有する。 LAN監視'制御装置 6、 7は、 LAN網 16と反対側の LA Nには認証条件と管理パケット分類条件を共有する相手力たいないので、末端の装置 としてサブネットワーク 19と 20を監視する。

[0049] 以上では、 LAN監視.制御装置 1一 13で管理通信を直接授受する相手毎に「認証 条件」と「管理パケット分類条件」を共有することとした。しかし、 LAN網 15— 18毎に 認証条件と管理パケット分類条件を定義し、そこに接続される LAN監視'制御装置 1 一 13で共通の認証条件と管理パケット分類条件を共有しても構わない。例えば、 LA N網 15に接続される LAN監視 ·制御装置 1一 4で共通の認証条件と管理バケツト分 類条件を共有する。また、 LAN網 16に接続される LAN監視 ·制御装置 2、 5、 6、 7 で別の認証条件と管理パケット分類条件を共有する。

[0050] 次に、図 5を用いて、管理パケット授受の過程で攻撃等の理由で認証エラーが発生 した場合の動作を説明する。図 5は、図 4の S109の処理を示す。

(1)例えば、 LAN監視 '制御装置 3が受信した管理パケットがパケット認証部 44bに よる認証により認証エラーとなった場合、 LAN監視 ·制御装置 3の管理制御部 45bは 、複数共有している「管理パケット分類条件」の中から、代替の「管理パケット分類条 件」を選択し、 LAN監視'制御装置 1へ代替の管理パケット分類条件を通知する (S2 01)。

(2)当該通知を受けた LAN監視 ·制御装置 1の管理制御部 45は、以降、代替の分 類条件に対応した管理パケットを送るよう制御をおこなう(S202)。

(3)なお、 LAN監視 '制御装置 3は、変更前に使用していた「管理パケット分類条件」 を透過パケットの分類条件に変更すると同時に、モニタパケットの分類条件に加えて 、該当する受信パケットを監視し、必要に応じて、廃棄パケットに変更する。一方、認 証エラーとなったパケットは、透過パケットとして LAN網 17へ中継する力、廃棄パケ ットとして廃棄する。いずれの処理を行なうかは、事前に LAN監視 ·制御装置 3に設 定しておく。

[0051] 以上の管理パケット分類条件の変更手順では、認証エラーを検知するとすぐに管 理パケット分類条件を変更した。しかし、認証エラーの発生回数をカウントし、一定時 間内に発生する認証エラーの回数が既定の回数を越えた時点で、「管理パケット分 類条件」を変更するようにしても構わない。具体的には、不正パケットカウンタ 61を用 いて、認証エラーとなった管理パケットの数をカウントする。一定時間のカウンタ数が 規定値を超えた時点で、管理制御部 45が、自己の管理パケット分類部 39に、管理 パケット分類条件を再通知するとともに相手の装置にも通知する。これにより、ネットヮ ークの品質が悪い場合等、攻撃以外で認証エラーが発生しうる環境に対応できる。

[0052] 更に、管理パケットの通信量を LAN監視'制御装置 1と LAN監視'制御装置 3の間 で予め共有しておき、管理パケットカウンタ 85により、一定時間に受信した管理パケ ットの数が規定値を越えたことを検知した場合、予期しない攻撃が発生しているとみ なす。そして、例えば、 LAN監視 ·制御装置 1の管理制御部 45は、自己のパケット分 類部 39に管理パケット分類条件を再通知するとともに、 LAN監視'制御装置 3へ通 知する。

[0053] 次に、図 6を用いて、管理装置 14が全 LAN監視 '制御装置 1一 13の監視情報を採 取する場合の動作を説明する。図 6は、管理装置 14が全 LAN監視'制御装置 1一 1 3の監視情報を採取する動作を示すフローチャートである。

(1)管理装置 14は LAN監視,制御装置 5に対し監視情報送信要求 (情報要求の一 例)を含む管理パケットを送る(制御パケットの一例)(S301)。

(2)この管理パケットを受信した LAN監視 '制御装置 5は、 LAN網 16で接続されて いる LAN監視'制御装置 2、 6、 7に管理装置 14からの管理パケットを配信するととも に、 LAN監視'制御装置 2、 6、 7からの監視情報返信 (応答パケットの一例)を待つ( S302)。

(3) LAN監視 .制御装置 2は、 LAN網 15で接続されてヽる LAN監視 .制御装置 1、 3、 4へ LAN監視 '制御装置 5から受信した管理パケットを配信するとともに、 LAN監 視 '制御装置 1、 3、 4からの監視情報返信を待つ (S303)。

(4) LAN監視 ·制御装置 1は、外部ネットワークインターフェース 27への管理パケット 送信は行なわず、自身の監視情報 (対応情報の一例)を LAN監視 ·制御装置 2へ返 送する(S304)。

(5) LAN監視装置 3と LAN監視 ·制御装置 4は、それぞれ、直下の LAN監視 ·制御 装置 8— 13へ管理パケットを送信し、それらの装置からの監視情報返信を待つ (S30 5)。

(6) LAN監視'制御装置 6— 13は、下位の LAN監視 ·制御装置を持たない。このた め、 LAN監視'制御装置 6と 7は、サブネットワーク 19と 20の監視情報を LAN監視' 制御装置 5へ返信する。また、 LAN監視'制御装置 8— 10は、サブネットワーク 21— 23の監視情報を LAN監視 ·制御装置 3へ返信する。また、 LAN監視'制御装置 11 一 13は、サブネットワーク 24— 26の監視情報を LAN監視'制御装置 4へ返信する( S306)。

(7) LAN監視 ·制御装置 4は、 LAN監視 ·制御装置 11一 13により返信される監視情 報と自身の監視情報を統合して統合パケットを生成し、統合パケットを LAN監視-制 御装置 2へ返信する(S307)。

(8) LAN監視.制御装置 3は、 LAN監視.制御装置 8— 10により返信される監視情 報と自身の監視情報を統合し、 LAN監視 ·制御装置 2へ返信する (S 308)。

(9) LAN監視'制御装置 1、 3、 4から監視情報を受信した LAN監視 ·制御装置 2は、 受信した監視情報及び自身の監視情報を統合し、 LAN監視 ·制御装置 5へ返信す る(S309)。

(10) LAN監視 ·制御装置 5は、 LAN監視 '制御装置 2、 6、 7から受信した監視情報 に自身の監視情報を統合して、管理装置 14へ返信する(S310)。

[0054] なお、管理装置 14から全 LAN監視 ·制御装置 1一 13へ送った監視情報送信要求 への返信に、各 LAN監視 ·制御装置 1一 13が返信経路情報 (経路情報)を添付する ことで、管理装置 14は LAN監視 ·制御装置の台数や接続関係を把握する。本手続 きにより、管理装置 14は、 LAN監視 ·制御装置の増減や異常を随時把握するととも に、管理パケットの送信経路指定に必要な情報を入手する。

[0055] 次に、図 7を用いて、管理装置 14が、収集した監視情報力もサブネットワーク 26に 異常を発見し、サブネットワーク 26を LAN網 18から遮断する際の動作を説明する。 図 7は、サブネットワーク 26の遮断を示すフローチャートである。なお、この例は、サ ブネットワーク 26の異常が通信量の異常増加等であり、攻撃の原因となるパケットの 特徴を特定できな、ケースを想定する。

(1)管理装置 14は LAN監視 ·制御装置 13に対するサブネットワーク 26の遮断指示 (制御情報の一例)を含む管理パケット (制御パケットの一例)を LAN監視 '制御装置 5へ送る。この際、管理装置 14は、管理パケットの転送経路を示す当該管理パケット に含める。この転送経路は、当該管理パケットの次の送り先を示す情報で、 LAN監 視*制御装置 2、 LAN監視,制御装置 4、 LAN監視,制御装置 13 (指定情報の一例) の順で指定する(S401)。

(2)このように指定された管理パケットを受信した LAN監視 '制御装置 5は、管理パ ケット内の経路情報力も次の送り先として、 LAN監視 '制御装置 2を認識し、 LAN監 視 '制御装置 2へのみ、管理パケットを送信する(S402)。

(3)同様に LAN監視 ·制御装置 2は LAN監視 ·制御装置 4へのみ管理パケットを送 り、また、 LAN監視 ·制御装置 4も同様に、受信した管理パケット内の経路情報を元 に、管理パケットを LAN監視 '制御装置 13のみに送信する(S403)。

(4) LAN監視 ·制御装置 13は、自身宛の管理パケットであることを認識し、管理装置 14力もの遮断指示に従い、サブネットワーク 26から受信した透過パケットをパケット 分類部 39で全て廃棄パケットに分類して廃棄することにより、サブネットワーク 26を L AN網 18から遮断する(S404)。

[0056] 次に、図 8を用いて、遮断における部分復旧と全面復旧の場合を説明する。

(1)サブネットワーク 26の遮断後、原因となるパケットの特徴が判明した場合は(S50 1, S502)、管理装置 14から LAN監視 '制御装置 13宛に原因となるパケットの分類 条件を指示する(S503)。この分類条件の指示により、パケット分類部 39により当該 パケットのみを廃棄パケットに分類することで、サブネットワーク 26を部分的に LAN 網 18へ復旧する。 (S504)

(2)更に、管理装置 14は、 LAN監視 '制御装置 13の廃棄パケットカウンタ 58を用い て、廃棄パケットの受信数を監視する(S505、 S506)。この監視により、サブネットヮ ーク 26内の異常対策が完了し、異常パケットの発生が抑えられたことを確認できた段 階で (S507)、 LAN監視 ·制御装置 13内のパケット分類部 39の廃棄条件を全て解 除する。

[0057] ここで、遮断の解除により、サブネットワーク 26から LAN網 18へ送出されるパケット が急激に増カ卩した場合においても、 LAN監視 ·制御装置 13は、送信優先度制御部 51で管理パケットの送信を優先することにより、 LAN監視 .制御装置 13と LAN監視 •制御装置 4との管理通信を確保する。

[0058] 更に、サブネットワーク 24— 26に異常が発生し、サブネットワーク 24— 26を LAN 網 18から遮断する場合は、管理装置 14から LAN監視 ·制御装置 4宛に LAN監視 · 制御装置 11一 13による遮断指示を送る。本指示を受信した LAN監視 ·制御装置 4 は、 LAN監視'制御装置 11一 13宛にサブネットワーク 24— 26の遮断指示を含む管 理パケットを配信する。

[0059] また、サブネットワーク 21— 26を遮断する際は、管理装置 14は、 LAN監視'制御 装置 8— 13による遮断指示を含む管理パケットを、 LAN監視 ·制御装置 2宛〖こ送る。 LAN監視 ·制御装置 2は、 LAN監視'制御装置 3、 4へ当該管理パケットを配信する 。 LAN監視 ·制御装置 3は、 LAN監視 ·制御装置 8— 10へ当該管理パケットを配信 する。また、 LAN監視 ·制御装置 4は、 LAN監視 '制御装置 11一 13へ当該管理パ ケットを配信する。当該管理パケットを受け取った LAN監視 '制御装置 8— 13は、サ ブネットワーク 21— 26からの透過パケットをパケット分類部 39で廃棄パケットに分類 することによって、サブネットワーク 21— 26を LAN網 17、 18から遮断する。

[0060] なお、以上では、送り先を指定して管理パケットを配信する場合は、管理装置 14が 送り先までの転送経路を指定する方式とした。しかし、これに限ることはなぐ以下に よっても同等の効果が得られる。

つまり、

(1)管理装置 14が全 LAN監視 ·制御装置 1一 13宛に発信する監視情報送信要求 への返信から、各 LAN監視'制御装置 1一 13が当該返信の発信元 (経路情報の一 例)を記憶しておく。

(2)そして、管理装置 14から送り先 (指定情報)を指定した管理パケット (制御パケット )を受信した際、記憶した発信元情報を逆にたどって、転送先の LAN監視'制御装 置 1一 13を決定する。各 LAN監視'制御装置 1一 13が記憶する経路情報は、管理 装置 14が発信する監視情報送信要求への返信を受け取るたびに更新する。これに よって、管理装置 14の接続箇所変更や LAN監視'制御装置 1一 13の増設等による 装置構成の変更に対応する。

[0061] 次に、 LAN監視 ·制御装置 1一 13による自律的な遮断について説明する。

管理装置 14の管理制御部 45は、予め、各 LAN監視 ·制御装置 1一 13に透過バケツ トカウンタ 60による透過パケットの通信量監視を指示する。指示を受けた場合、各 LA N監視 ·制御装置 1一 13の管理制御部 45は、一定時間内に発生する透過パケットの 通信量が規定値を越えたときには、パケット分類部 39に透過パケットを全て廃棄パケ ットに分類するよう指示する。これによつて、例えば、サブネットワーク 26から LAN網 1 8へ送出されるパケットの通信量が規定値を越えた場合は、 LAN監視 '制御装置 13 が単独でサブネットワーク 26を遮断する。

[0062] 図 9を用いて、アップストリーム方向の透過パケットについての自律遮断について説 明する。図 9は、透過パケットの中継方向を示す図である。例えば、個々のサブネット ワーク 24— 26から LAN網 18へ送出される透過パケット 86, 87、 88の通信量が規 定値を越えていない場合であっても、 LAN網 18から LAN網 15へ送出される透過パ ケット 89の通信量が規定値を越える場合がある。この場合は、 LAN監視'制御装置 4 1S LAN監視'制御装置 11一 13へ遮断指示を送る。ここで、 LAN監視'制御装置 4 は、 LAN監視'制御装置 11一 13から送られる監視情報から、サブネットワーク 25、 2 6力も LAN網 18への透過パケット 87, 88の送出量の変化が大きいことが判明した場 合は、 LAN監視 '制御装置 12、 13にのみ遮断指示を送る。なお、 LAN監視'制御 装置 11一 13から入手した監視情報から、特異な変化が見られない場合は、 LAN網 18に異常が発生していることが予想される。このため、 LAN監視'制御装置 4は、 LA N網 18から受信する透過パケット 89を廃棄パケットに変更する。この場合であっても 、 LAN監視 ·制御装置 11一 13からの管理パケットを LAN監視 ·制御装置 4のバケツ ト分類部 39によって管理パケットとして分類することにより、 LAN監視'制御装置 11 一 13と LAN監視 ·制御装置 4の間の管理通信を確保する。

[0063] 次に図 10を用いてダウンストリーム方向の透過パケットについての遮断を説明する 。図 10は、ダウンストリーム方向の透過パケットについての遮断を示す図である。 LA N監視'制御装置 4は、アップストリーム方向の透過パケットの通信量ば力りでなぐ L AN網 15から LAN網 18へ送出されるダウンストリーム方向の透過パケットの通信量 も監視している。

(l) LAN網 15からの透過パケット 93の通信量が規定値を越えることが判明した場合 、 LAN監視 '制御装置 4は、 LAN監視 '制御装置 1一 3へ透過パケット 90, 91, 92 の遮断指示を送る。なお、この場合も、 LAN監視 '制御装置 1一 3から監視情報を入 手する。そして、例えば、 LAN監視 '制御装置 3における透過パケット 92の通信量増 加が特に大きいことが判明した場合は、 LAN監視 '制御装置 4は、 LAN監視'制御 装置 3のみに透過パケット 92の遮断指示を送る。また、 LAN監視'制御装置 1一 3か ら入手した監視情報に特異な点が見られない場合は、 LAN網 15に異常が発生して いることが予想される。よって、 LAN監視 ·制御装置 4の管理制御部 45はパケット分 類部 39に対して指示を出し、 LAN網 15から受信する透過パケット 93を廃棄パケット に分類させる。

(2)次に、 LAN監視 ·制御装置 4が LAN監視 ·制御装置 1からの監視情報により、外 部ネットワークインターフェース 27に異常があると判断した場合を説明する。この場合 、 LAN監視 ·制御装置 4は、 LAN監視 ·制御装置 1に、外部ネットワークから透過パ ケットと受信してヽる透過パケット 90の遮断指示 (遮断指示を含む管理パケット)を送 信する。遮断指示を受信した LAN監視 ·制御装置 1は、外部ネットワークに向けた末 端に位置することから、外部ネットワークインターフェース 27から受信した透過バケツ ト 90を廃棄パケットに変更する。

(3)次に、 LAN監視 ·制御装置 2、 3からの監視情報により、 LAN監視 ·制御装置 4 が、 LAN監視 '制御装置 2、 3に遮断指示 (遮断指示を含む管理パケット)を送信した 場合を説明する。図 10に示すように、 LAN監視 ·制御装置 2及び LAN監視 ·制御装 置 3は、 LAN網 16、 17を介して、 LAN監視'制御装置 6、 7及び LAN監視 ·制御装 置 8— 10に接続している。 LAN監視.制御装置 2は、 LAN監視 '制御装置 6、 7へ遮 断指示を転送する。また、 LAN監視 ·制御装置 3は、 LAN監視 '制御装置 8— 10へ 遮断指示を転送する。この場合も、 LAN監視 ·制御装置 4は、 LAN監視 ·制御装置 6 、 7及び LAN監視 '制御装置 8— 10から監視情報を入手する。そして、例えば、 LA N監視 ·制御装置 7と LAN監視 ·制御装置 9での透過パケットの通信量の変化が特 に大きいことが判明した場合は、 LAN監視 '制御装置 4は、 LAN監視 '制御装置 7、 9にのみ、透過パケット 94、 95の遮断指示を送る。また、 LAN監視'制御装置 6、 7及 び LAN監視 ·制御装置 8— 10から受信した監視情報に特異な点が見られな、場合 は LAN網 16、 17に異常があることが予想される。その場合、 LAN監視'制御装置 4 は、 LAN監視'制御装置 2に対して LAN網 16から受信した透過パケット 91を廃棄パ ケットに変更させる。また、 LAN監視 '制御装置 4は、 LAN監視 '制御装置 3に対して LAN網 17から受信した透過パケット 92を廃棄パケットに変更させる。

[0064] なお、上記では、遮断指示を送る際、送り先の監視情報を確認する手順を記載した 。しかし、これに限定することはなぐ以下の手順によっても同様の効果が得られる。 例えば LAN監視 ·制御装置 4は、遮断指示の送り先の監視情報は確認せずに、遮 断条件を付加した遮断指示を発行する。「遮断条件」とは、通信量の変化が特異であ る場合に遮断を指示すような条件である。遮断指示の受信元は、自身の監視情報を 確認し、遮断条件が満たされることが判明した場合に遮断指示を実行する。更に、遮 断指示の送信元 (LAN監視'制御装置 4)は、発行した遮断指示に対して結果の返 信を受信元カゝら受ける。この場合、遮断条件を付加した遮断指示を受信したすべて の受信元から、遮断条件が満たされない旨の返信を受けた場合には、各受信元にお ける透過パケットの通信量は適正と予想されるので、送信元自身が遮断を行なう。

[0065] 次に、図 11を用いて、 LAN監視 '制御装置 1一 13の増設手順について説明する。

図 11は、 LAN監視'制御装置 1一 13の増設手順を示すフローチャートである。例と して、 LAN監視 ·制御装置 13を LAN網 18とサブネットワーク 26の間に増設する場 合を説明する。

( 1 ) LAN監視 ·制御装置 13には、既存の LAN監視 ·制御装置 4と管理通信を行うた めに必要な認証条件と管理パケット分類条件を予め設定する(S601)。

(2)接続先の LAN監視 ·制御装置 4へも、 LAN監視 ·制御装置 13と管理通信を行う に必要な認証条件と管理パケット分類条件を予め設定する (S602)。

(3)以上の事前設定完了後、 LAN監視 '制御装置 13を LAN網 18とサブネットヮー ク 26の間に挿入する(S603)。

(4)挿入された LAN監視 ·制御装置 13は、 LAN監視 ·制御装置 4に対して接続した 旨の管理通信を行なう(S604)。

(5) LAN監視 ·制御装置 4は、 LAN監視 ·制御装置 13を新たな接続先として認識す る。以降、管理装置 14力もの管理パケットの転送等を行う(S605)。

(6)更に、 LAN監視 ·制御装置 4は、 LAN監視 ·制御装置 13に対して、 LAN網 18 に接続されてヽる LAN監視 ·制御装置 11及び LAN監視 ·制御装置 12との管理通 信に必要な「認証条件と管理パケット分類条件」(管理情報の一例)を通知する (S60 6)。

(7)同様に、 LAN監視,制御装置 4は、 LAN監視,制御装置 11及び LAN監視-制 御装置 12に対しても LAN監視 ·制御装置 13との管理通信に必要な認証条件と管理 パケット分類条件を通知する。これにより、 LAN監視 '制御装置 13と LAN監視 '制御 装置 11及び LAN監視'制御装置 12との管理通信が可能となる(S607)。

(8)なお、以上の S601— S607の手順においては、 LAN監視'制御装置 4と LAN 監視 '制御装置 13とに予め認証条件と管理パケット分類条件を直接設定することとし た。しかし、管理装置 14から LAN監視.制御装置 4へ LAN監視.制御装置 13との管 理通信に必要な認証条件と管理パケット分類条件を予め通知しておくようにしても構 わない。

[0066] 以上のように、 LAN監視.制御装置 1一 13は、リピータとして動作するので、既存の ネットワークの設定を変更することなく LAN監視 ·制御装置 1一 13を容易に挿入する ことができる。

[0067] LAN監視'制御装置 1一 13の間で授受する管理パケットをパケット分類部 39により パケットヘッダの複数のフィールドで識別し、パケット認証部 44で認証するとともに、 認証エラーが発生した際、パケット分類部 39を変更することにより、不正パケットによ る管理通信への攻撃を迅速に回避することができる。更に、送信優先度制御部 51に よって、管理パケットの送信を優先しているので、予期しない不正パケットによる攻撃 の発生中でも LAN監視 ·制御装置 1一 13の間の管理通信を確保できる。

[0068] また、 LAN監視 '制御装置 1一 13を LAN構成に沿って階層的に配置し、管理装 置 14力ゝらの要求を LAN監視 ·制御装置 1一 13間で伝播させるとともに、 LAN監視 · 制御装置 1一 13からの返信を統合して管理装置 14に返信するようにしているので、 管理装置 14が LAN監視.制御装置 1一 13の配置を意識することなく監視要求を発 行できるとともに、 LAN監視'制御装置 1一 13からの返信結果から、 LAN監視'制御 装置 1一 13の配置を把握することができ、 LAN監視 ·制御装置 1一 13の台数増加や 管理範囲の大規模ィ匕に容易に対応できる。更に、管理装置 14や各 LAN監視 '制御 装置 1一 13間の直接的なパケット授受を減らせるため、管理通信による管理装置 14 の通信負荷やネットワーク負荷を抑えることができる。

[0069] また、 LAN監視 '制御装置 1一 13を LAN構成に沿って階層的に配置し、各 LAN 監視 ·制御装置 1一 13で透過パケットを廃棄できるようにしたので、サブネットワーク 1 9一 26レベルの小規模な単位で、ネットワークを隔離でき、他の正常なネットワーク間 の通信を確保できる。

[0070] LAN網 15- 18毎に LAN監視 ·制御装置 1一 13の間の認証条件と分類条件を共 有し、 LAN監視'制御装置 2— 4が LAN網 15と LAN網 16— 18を橋渡しすること〖こ より、各 LAN監視 ·制御装置 1一 13が直接実行する管理通信の範囲を狭め、管理範 囲の大規模ィ匕を図ることができる。また、 LAN監視'制御装置 1一 13の増設に際して 、例えば、接続先の LAN網 18に接続されている既存の 1台の LAN監視'制御装置 4との管理通信によって、管理通信に必要な情報を得ることができるようにしたので、 管理範囲の大規模ィ匕に際しても、容易に増設を行なえる。

[0071] 実施の形態 1のネットワークシステム 1000は、複数の LAN監視'制御装置のそれ ぞれが、受信したパケットを少なくとも透過パケットと管理パケットのいずれかに分類 するので、不正なパケットによる攻撃に迅速に対応することができる。

[0072] 実施の形態 1のネットワークシステム 1000では、管理装置からだされた要求を含む パケットを、各 LAN監視 '制御装置が解読して転送していくので、管理装置の要求を 確実に転送することができる。

[0073] 実施の形態 1のネットワークシステム 1000では、 LAN監視'制御装置からの返信を 統合して管理装置に返信するので、パケットの数を減らすことができる。また、管理装 置力ネットワークにおける LAN監視'制御装置の配置構成を知ることができる。

[0074] 実施の形態 1のネットワークシステム 1000では、 LAN監視'制御装置から管理装 置へ返信する場合に経路情報を含める。このため、管理装置は、各 LAN監視 ·制御 装置までの経路を把握することができる。

[0075] 実施の形態 1のネットワークシステム 1000では、 LAN監視'制御装置が他の管理 装置から送られる経路情報を記憶する。このため LAN監視 ·制御装置は、他の LAN

監視 ·制御装置までの経路を把握することができる。

[0076] 実施の形態 1のネットワークシステム 1000では、新たに LAN監視 '制御装置が設 置された場合に、既に設置されている LAN監視 ·制御装置力管理情報を受信する

。このため、 LAN監視 ·制御装置を容易に設置することができる。

[0077] 実施の形態 1の LAN監視 '制御装置は、パッケト分類部により受信するパケットを 透過パケットと管理パケットとの少なくともいずれかに分類するので、不正な攻撃に迅 速に対応することができる。

[0078] 実施の形態 1の LAN監視 '制御装置は、ノッケト分類部がパケットをモニタパケット に分類するので、受信するパケットのうち特定のパケットを監視することができる。

[0079] 実施の形態 1の LAN監視 ·制御装置は、透過パケットカウンタの測定結果に基づ いて透過パケットに分類していたパケットを廃棄パケットに分類するので、不正バケツ トによる攻撃に迅速に対応できる。

[0080] 実施の形態 1の LAN監視 '制御装置は、遮断指示に基づき透過パケットとして受信 していたパケットを廃棄パケットに分類して廃棄するので、不正パケットによる攻撃に 迅速に対応できる。

[0081] 実施の形態 1の LAN監視'制御装置は、認証情報の付加されたパケットを管理パ ケットに分類して認証するので、不正なパケットによる攻撃を受けた場合にも、管理通 信の確保を向上することができる。

[0082] 実施の形態 1の LAN監視'制御装置は、透過パケットよりも管理通信用送信バケツ トを優先して送信するので、不正なパケットに攻撃を受けた場合にも、管理通信を確 保することができる。

[0083] 実施の形態 1の LAN監視 '制御装置は、管理通信用送信パケットに、管理通信用 送信パケットであることを示すヘッダを付加するので、管理通信の確保を向上するこ とがでさる。

[0084] 実施の形態 1の LAN監視'制御装置は、管理通信用送信パケットに、認証情報を 付加して送信するので、管理通信の確保を向上することができる。

[0085] 実施の形態 1の LAN監視 ·制御装置は、管理制御部が管理パケット分類条件を格 納し、パケット分類部は、管理制御部から通知された管理パケット分類条件に基づき 、受信したパケットを管理パケットに分類する。このため、管理パケット分類条件を自 由に設定することができる。

[0086] 実施の形態 1の LAN監視'制御装置は、管理制御部がパケット分類部に管理パケ ット分類条件を再度通知し、パケット分類部は再度通知された管理パケット分類条件 によりパケットを管理パケットに分類するので、管理パケットの異変に迅速に対応でき る。

[0087] 実施の形態 2.

次に図 12—図 14を用いて、実施の形態 2を説明する。以上の実施形態 1では、 L

AN監視 ·制御装置 1一 13を階層的かつ網羅的に配置して LANを監視 ·制御するよ うにした。本実施の形態 2では、障害の発生したネットワークを介して LAN監視 '制御 装置どうしがパケットの通信を行なう場合を説明する。

[0088] 図 12は、実施形態 2における LAN監視 '制御装置とネットワークの接続関係を示す 図である。また、図 13は、図 12をブロック図とした図である。

図 13に示す LAN監視 '制御装置 1と LAN監視 '制御装置 3とは、図 3と同様の構 成である。図 12、図 13に示すように、障害の発生している障害サブネットワーク 28に は、 LAN監視 ·制御装置 1と、 LAN監視 ·制御装置 3と、障害発生の元である障害端 末 29とが接続している。

(1)障害端末 29は、ウィルス等に感染し、不正パケットを発信する。障害サブネットヮ ーク 28は、不正パケットが流れる。障害端末 29は、障害サブネットワーク 28へ不正 パケット入力 30を入力している。

(2) LAN監視 ·制御装置 1は、上位ネットワークカゝら LAN監視 ·制御装置 1への入力 であるダウンストリーム入力 31を入力し、障害サブネットワーク 28を含む下位のネット ワークへの出力であるダウンストリーム出力 33を出力する。また、 LAN監視 ·制御装 置 1は、障害サブネットワーク 28を含む下位のネットワークからアップストリーム入力 3 4を入力し、上位ネットワークへの出力であるアップストリーム出力 32を出力する。

(3) LAN監視'制御装置 3は、障害サブネットワークを含む上位のサブネットワークか らの入力であるダウンストリーム入力 35を入力し、下位のネットワークへの出力である ダウンストリーム出力 37を出力する。また LAN監視 '制御装置 3は、上位ネットワーク への入力であるアップストリーム入力 38を入力し、障害サブネットワーク 28を含む上 位ネットワークへの出力であるアップストリーム出力 36を出力する。

[0089] なお、ダウンストリーム入力 31とアップストリーム出力 32が接続される上位ネットヮー クと、ダウンストリーム出力 37とアップストリーム入力 38が接続される下位ネットワーク は正常であるとする。

[0090] 次に、動作について説明する。

LAN監視 ·制御装置 1は、障害サブネットワーク 28の異常発生を知ると、障害サブ ネットワーク 28を経由して障害端末 29から発信される不正パケット入力 30を遮断す るため、障害サブネットワーク 28からアップストリーム入力 34で受信した透過パケット を、パケット分類部 39aで廃棄パケットに分類し廃棄する。

また、 LAN監視'制御装置 3も、障害サブネットワーク 28を経由して障害端末 29から 発信される不正パケットを遮断するため、障害サブネットワーク 28からの入力である ダウンストリーム入力 35で受信した透過パケットをパケット分類部 39bで廃棄パケット に分類し、廃棄する。以上によって、障害サブネットワーク 28は LAN監視 '制御装置 1の上位ネットワーク及び LAN監視'制御装置 3の下位ネットワークと遮断される。

[0091] 次に、図 14を用いて、認証パケットのやり取りについて説明する。図 14は、認証パ ケットのやり取りを示すフローチャートである。

(1)このようなアップストリーム入力 34及びダウンストリーム入力 35を遮断した状態に おいて、 LAN監視 ·制御装置 1は、ダウンストリーム入力 31から LAN監視 '制御装置 3のダウンストリーム出力 37に接続される下位ネットワーク宛のパケットを受信すると、 パケット分類部 39で「透過パケット」(対象パケット)に分類するとともに、出力パケット 振り分け部 46を介して、送信パケット認証処理部 49に渡す (S701)。

(2)送信パケット認証処理部 49は、受け取ったパケットに LAN監視 '制御装置 3に向 けた認証パケット用認証情報を付加し、認証パケット生成部 50に渡す (S702)。

(3)認証パケット生成部 50は、受け取った認証情報付パケットに LAN監視 ·制御装 置 3向けの認証パケット用ヘッダをつけ、認証パケットとして送信優先度制御部 51に 渡す (S703)。

(4)送信優先度制御部 51は、受け取った認証パケットを第二位の優先度でダウンス

トリーム出力 33へ出力し、障害サブネットワーク 28を経由して LAN監視'制御装置 3 へ送る(S704)。

(5) LAN監視 '制御装置 3は、ダウンストリーム入力 35から当該認証パケットを受信 すると、パケット分類部 39bで認証パケットに分類し、パケット認証部 44bに渡す (S7 05)。この認証パケットに分類する認証パケット分類条件は、 LAN監視'制御装置 3 の管理制御部 45bがパケット分類部 39bに通知する。パケット分類部 39bは、通知を 受けた認証パケット分類条件により分類する。なお、管理制御部 45bは、所定の場合 にパケット分類部 39bに認証パケット分類条件を再通知する。パケット分類部 39bは

、再通知の条件で分類をする。

(6)パケット認証部 44bは、受け取ったパケットの認証情報を検証し、パケットの正当 性を確認する(S706)。

(7)パケット認証部 44bは、正しい認証パケットであることを確認したうえで、当該パケ ットを透過パケットとして出力パケット振り分け部 46bを介して、送信優先度制御部 51 bに渡す (S707)。なお、認証が成立しない場合については後述する。

(8)送信優先度制御部 5 lbは、受け取ったパケットを透過パケットとして、第三位の優 先度でダウンストリーム出力 37へ出力する(S708)。

(9)以上の手順により、 LAN監視 ·制御装置 1のダウンストリーム入力 31に送られた 正常な透過パケットは、障害サブネットワーク 28を介して LAN監視'制御装置 3へ送 られ、 LAN監視 ·制御装置 3のダウンストリーム出力 37へ中継される。

次に、認証パケットの認証がエラーの場合 (S706で NGの場合)を説明する。

(1) LAN監視 ·制御装置 3のパケット認証部 44bによる検証で認証エラーとなった場 合 (S706で NG)、 LAN監視 ·制御装置 3は、当該パケットを廃棄する(S 709)。

(2) LAN監視 ·制御装置 1と LAN監視 ·制御装置 3は、認証パケットの認証パケット 分類条件を予め複数の種類を共有しておき、認証エラーが生じた場合に切り替える 。認証エラーを検知した受信側の LAN監視'制御装置 3は、複数種類共有している 認証パケット分類条件の中から代替の認証パケット分類条件を選択し、 LAN監視 · 制御装置 1へ代替の認証パケット分類条件を通知する(S710)。

具体的には、 LAN監視 ·制御装置 1の管理制御部 45と、 LAN監視'制御装置 3の 管理制御部 45bとが、それぞれ複数の認証パケット分類条件を格納し、共有している 。そして、管理制御部 45bは、認証エラーが生じた場合、代替の認証パケット分類条 件を選択し、自己のパケット分類部 39bに代替の認証パケット分類条件を通知すると ともに、 LAN監視 ·制御装置 1へ代替の認証パケット分類条件を通知する。 LAN監 視 '制御装置 1は、以降、代替の認証パケット分類条件に対応する認証パケットを送 る。この認証パケット分類条件の代替は、 LAN監視 ·制御装置 1では、例えば、認証 パケット生成部 50の付加するヘッダの内容を変更することで行なう。また、 LAN監視 •制御装置 3の管理制御部 45bは、認証エラーが発生した際の認証パケット分類条 件を廃棄パケット分類条件に変更するように、パケット分類部 39bに指示する。また、 この他、 LAN監視 '制御装置 3の管理制御部 45bは、認証済みパケットカウンタ 62b による認証エラーのカウント数に基づき認証パケット分類条件を変更してもよ、。管理 制御部 45bは、認証済みパケットカウンタ 62bのエラーカウント数に基づき、認証パケ ット分類条件をパケット分類部 39bへ再度通知する。パケット分類部 39bは、再び通 知された条件により、パケットを分類する。

[0093] 以上のように、 LAN監視 '制御装置 1と LAN監視 '制御装置 3は、正常なネットヮー ク間で中継すべきパケットを認証パケットに変更し、遮断して!/、る障害サブネットヮー ク 28を介して中継するようにしたので、正常なサブネットワーク間の通信を確保できる

[0094] 実施の形態 2の LAN監視 ·制御装置は、管理制御部が認証パケット分類条件を格 納し、パケット分類部は、管理制御部から通知された認証パケット分類条件に基づき 、受信したパケットを認証パケットに分類する。このため、認証パケット分類条件を自 由に設定することができる。

[0095] 実施の形態 2の LAN監視 '制御装置は、管理制御部がパケット分類部に認証パケ ット分類条件を再度通知し、パケット分類部は再度通知された認証パケット分類条件 によりパケットを認証パケットに分類するので、正常なネットワーク間のパケット通信を 確保できる。

[0096] 実施の形態 3.

次に図 2及び図 15—図 17を用いて、実施の形態 3を説明する。

実施の形態 3は、図 2で説明した LAN監視 ·制御装置 1を、さらに詳しく説明する。 [0097] 実施の形態 1でも述べたように、 LAN監視'制御装置 1は、ダウンストリームパケット 処理部 63、管理制御部 45、アップストリームパケット処理部 64とを備える。

[0098] 図 2を参照して、ダウンストリームパケット処理部 63の構成を説明する。

ダウンストリームパケット処理部 63は、パケット分類部 39、パケット認証部 44、出力 パケット振り分け部 46、送信パケット認証処理部 49 (認証情報付加部)、認証パケット 生成部 50 (ヘッダ付加部の一例)、送信優先度制御部 51 (送信部の一例)を備える。 なお、パケット分類部 39は、管理パケットとして分類したパケットの数を測定する管理 パケットカウンタ 85を備える。ダウンストリームパケット処理部 63は、さら〖こ、下記の 5 つのパケットカウンタを備える。透過パケットの数をカウントする透過パケットカウンタ 6 0、廃棄パケットの数をカウントする廃棄パケットカウンタ 58、認証の結果、不正とされ た不正パケットの数をカウントする不正パケットカウンタ 61、認証の済んだパケットの 数をカウントする認証済みパケットカウンタ 62、モニタパケットの数をカウントするモ- タパケットカウンタ 59である。なお、前述のようにアップストリームパケット処理部 64は 、ダウンストリームパケット処理部 63と同様の構成である。

[0099] 次に、各構成要素の機能及び入出力するパケットについて説明する。

(1)パケット分類部 39は、入力パケットを透過パケット、廃棄パケット、管理パケット、 認証パケット及びモニタパケットに分類する。

(2)透過パケット出力 40は、パケット分類部 39の透過パケットの出力である。

(3)廃棄パケット出力 41は、パケット分類部 39の廃棄パケットの出力である。

(4)認証パケット出力 42は、パケット分類部 39によって管理パケットあるいは認証パ ケットに分類されたパケットの出力である。

(5)モニタパケット出力 43は、パケット分類部 39が分類したモニタパケットの出力であ る。

(6)パケット認証部 44は、管理パケット或ヽは認証パケットを認証する。

(7)管理制御部 45は、管理パケットを解読し、また、管理通信の授受と処理及び LA N監視 ·制御装置 1全体の管理や制御を行なう。また、管理制御部 45は、後述のよう に、管理パケット分類条件及び認証パケット分類条件を格納する。

(8)出力パケット振り分け部 46は、パケット分類部 39、パケット認証部 44及び管理制 御部 45への出力を、パケットの属性に合わせて振り分ける。

(9)透過用パケット出力 47は、出力パケット振り分け部 46からの透過パケットの出力 である。

(10)認証用パケット出力 48は、出力パケット振り分け部 46からの認証パケットの出 力である。

(11)送信パケット認証処理部 49は、管理パケット或、は認証パケットの出力に必要 な認証情報を付加する。

(12)認証パケット生成部 50は認証情報を付加したパケットに管理パケット或いは認 証パケットとしてのヘッダを付カ卩する。

(13)送信優先度制御部 51は、管理パケットを第一位の優先度、認証パケットを第二 位の優先度、透過パケットを第三位の優先度で送信する。

(14)ダウンストリームパケット入力 52は、 LAN監視 '制御装置 1において、上位シス テムから下位システム向力パケットの入力である。

(15)ダウンストリームパケット出力 53は、 LAN監視 '制御装置 1において、上位シス テムから下位システム向力パケットの入力である。

(16)不正パケット出力 54は、パケット認証部 44で不正と判定されたパケットの出力 である。

(17)認証済みパケット出力 55は、パケット認証部 44による認証の結果、正当と判定 されたパケットの出力である。

(18)ダウンストリーム入力 56は、ダウンストリームパケット入力 52から管理パケット等 を入力する管理制御部 45への入力である。

(19)ダウンストリーム出力 57は、ダウンストリームパケット出力 53へ管理パケット等を 出力する管理制御部 45の出力である。

(20)廃棄パケットカウンタ 58は、廃棄パケット出力 41に出力される廃棄パケットの数 を積算する。

(21)モニタパケットカウンタ 59は、モニタパケット出力 43に出力されるモニタパケット の数を積算する。

(22)透過パケットカウンタ 60は、透過パケット出力 40に出力される透過パケットの数 を積算する。

(23)不正パケットカウンタ 61は不正パケット出力 54に出力される認証エラーの要因 となった不正パケットの数を積算する。

(24)認証済みパケットカウンタ 62は、認証済みパケット出力 55に出力される認証済 みパケットの数を積算する。

(25)ダウンストリームパケット処理部 63は、ダウンストリームパケット入力力入力され るパケットを処理する全体構成である。

(26)アップストリームパケット処理部 64は、ダウンストリームパケット処理部 63と対を なし、アップストリームパケットを処理する。

(27)アップストリームパケット入力 65は、下位のシステムから上位のシステムに向かう パケットの入力である。

(28)アップストリームパケット出力 66は、下位のシステムから上位のシステムに向かう パケットの出力である。

(29)管理制御部アップストリーム入力 67は、管理パケット等の管理制御部 45への入 力である。

(30)管理制御部アップストリーム出力 68は、管理制御部 45からアップストリームパケ ット処理部への出力である。

[0100] なお、パケット分類部 39、パケット認証部 44、出力パケット振り分け部 46、送信パケ ット認証処理部 49、認証パケット生成部 50及び送信優先度制御部 51で構成される ダウンストリームパケット処理部 63、及びダウンストリームパケット処理部 63と対を成 すアップストリームパケット処理部 64は、ハードウェアロジックのみで実現することが可 能である。ダウンストリームパケット処理部 63、アップストリームパケット処理部 64は、 LANの伝送スピードでパケットの分類、認証、中継、廃棄等の処理を行なう。一方、 管理制御部 45は、プログラムで制御され、ネットワークの監視、遮断の判断、認証条 件や分類条件の設定'変更、管理通信の処理等、より複雑な処理を行なう。

[0101] 次に、図 15を用いて、 LAN (ネットワークシステム 1000)の通常動作時を説明する 。図 15は、通常の中継動作を示すフローチャートである。

通常動作時では、 LAN監視 '制御装置 1のパケット分類部 39は、中継するべきパ

ケットを受信すると、受信したパケットを透過パケットに分類し、自己の装置内を透過 させる。 LAN監視,制御装置 1がパケットを中継する動作を説明する。

(1) LAN監視 ·制御装置 1は、ダウンストリームパケット入力 52から中継すべきバケツ トを受信すると、当該パケットをパケット分類部 39で透過パケットに分類し、透過パケ ット出力 40経由で出力パケット振り分け部 46へ送る(S801)。

(2)出力パケット振り分け部 46は、透過パケット出力 40から受け取った透過パケット を透過用パケット出力 47経由で送信優先度制御部 51へ送る(S802)。

(3)送信優先度制御部 51は、透過用パケット出力 47から受け取った透過パケットを 第三位の優先度でダウンストリームパケット出力 53へ出力する(S803)。

(4)このように、 LAN監視 '制御装置 1は、ダウンストリームパケット入力 52から受信し たパケットをダウンストリームパケット出力 53へ透過中継する。

[0102] 一方、 LAN監視'制御装置 1が、アップストリームパケット入力 65から中継すべきパ ケットを受信した際は、図 3に示した構成力らもわ力るように、アップストリームパケット 処理部 64がダウンストリームパケット処理部 63の上記処理と同等の処理を行なうこと により、アップストリームパケット入力 65から受信したパケットをアップストリームバケツ ト出力 66へ透過中継する。以上の動作により、 LAN監視 ·制御装置 1は、外部から はリピータとして透過に見える。

[0103] 次に、図 16を用いて、 LAN監視 '制御装置 1が管理パケットを受信した場合の動作 を説明する。図 16は、 LAN監視 '制御装置 1が管理パケットを受信した場合の動作 を示す。

(1) LAN監視 '制御装置 1が、ダウンストリームパケット入力 52から管理パケットを受 信した場合、 LAN監視 '制御装置 1は、当該入力パケットをパケット分類部 39で管理 パケットに分類し、認証処理のため、認証パケット出力 42を経由してパケット認証部 4 4へ送る(S901)。

(2)パケット認証部 44は、受信した管理パケットを検証し (S902)、正しいことを確認 した場合、認証済みパケット出力 55経由で出力パケット振り分け部 46へ送る(S903

) o

(3)出力パケット振り分け部 46は、当該パケットが管理パケットであることを知り、管理 制御部ダウンストリーム入力 56経由で管理制御部 45へ送る(S904)。

(4)管理制御部 45は当該パケットの指定に対応した監視 ·制御の処理を行なう(S90

5)。

[0104] 一方、 LAN監視'制御装置 1が、アップストリームパケット入力 65から管理パケット を受信した場合は、アップストリームパケット処理部 64がダウンストリームパケット処理 部 63の上記処理と同様の処理を行なうことにより、アップストリームパケット入力 65か ら受信した管理パケットを管理制御部アップストリーム入力 67経由で管理制御部 45 へせる。

[0105] 次に、図 17を用いて、 LAN監視 '制御装置 1が管理パケットを送信する場合の動 作を説明する。図 17は、 LAN監視'制御装置 1が管理パケットを送信する過程を示 すフローチャートである。図 3の場合を想定する。

(1) LAN監視 '制御装置 1からダウンストリームパケット出力 53へ管理パケットを送信 (出力)する場合、管理制御部 45は、管理通信用パケットを、管理制御部ダウンストリ ーム出力 57として出力パケット振り分け部 46に管理パケットとして送る(S1001)。

(2)出力パケット振り分け部 46は、受け取った管理通信用パケットに認証情報を付加 するため、送信パケット認証処理部 49へ当該パケットを管理パケットとして送る(S10 02)。

(3)送信パケット認証処理部 49は、受け取ったパケットに管理通信用の認証情報を 付加し、管理パケットとして認証パケット生成部 50へ送る(S1003)。

(4)認証パケット生成部 50は、受け取ったパケットに管理通信用ヘッダを付加し、送 信優先度制御部 51へ管理パケットとして送る(S1004)。

(5)送信優先度制御部 51は、当該パケットが管理パケットであることを知り、第一位 の優先度でダウンストリームパケット出力 53へ送信する(S1005)。

[0106] 一方、 LAN監視 '制御装置 1からアップストリームパケット出力 66へ管理パケットを 送信する場合、管理制御部 45は、管理制御部アップストリーム出力 68からアップスト リームパケット処理部 64へ管理通信用パケットを管理パケットとして送る。アップストリ ームパケット処理部 64は上記のダウンストリームパケット処理部 63と同様の処理を行 つて、アップストリームパケット出力 66に管理パケットを出力する。

(1)なお、 LAN監視'制御装置 1が、ダウンストリームパケット入力 52から管理バケツ トを受信し、パケット認証部 44での検証の結果 (S902)、不正パケットと判定された場 合(S902の NG)、パケット認証部 44は、当該パケットを不正パケット出力 54へ出力 する(S906)。

(2)不正パケットカウンタ 61は、不正パケット出力 54へ出力された不正パケットをカウ ントする(S907)。

(3)管理制御部 45は、このカウント結果を監視する。管理制御部 45は、不正パケット カウンタ 61の値がカウントアップしたことを検知すると、認証エラーが発生した旨を当 該管理パケットの送信元へ通知するため、管理制御部アップストリーム出力 68からァ ップストリームパケット処理部 64へ管理用パケットを送る(S908)。

(4)この管理用パケットを受け取ったアップストリームパケット処理部 64は、認証情報 と管理パケット用ヘッダをつけ、管理パケットとしてアップストリームパケット出力 66へ 出力する(S909)。

次に、 LAN監視 ·制御装置 1がネットワークを遮断する際の動作を説明する。図 3を 参照して説明する。 LAN監視'制御装置 1が、例えば、管理装置 14からの指示等に より、アップストリーム側ネットワークをダウンストリーム側ネットワーク力ら遮断する場合 を説明する。図 3において、ダウンストリームパケット入力 52からのパケットの入力を遮 断する場合に相当する。

管理制御部 45は、パケット分類部 39の透過パケット分類条件を廃棄パケットの分 類条件に変更する。この変更により、以降、パケット分類部 39は、ダウンストリームパ ケット入力 52で受信した透過中継すべきパケットを全て廃棄パケットに分類して、廃 棄する。以上により、 LAN監視 '制御装置 1は、アップストリーム側ネットワークカもダ ゥンストリーム側へのパケットを遮断し、アップストリーム側ネットワークをダウンストリー ム側ネットワーク力も遮断する。逆に、ダウンストリーム側のネットワークをアップストリ ーム側のネットワーク力も遮断する場合は、管理制御部 45が、アップストリームバケツ ト処理部 64のパケット分類部 39aに対して、透過パケット分類条件を廃棄パケット分 類条件に変更させる。これにより、アップストリームパケット処理部 64がダウンストリー ムパケット処理部 63の上記動作と同様の処理を行って、アップストリームパケット入力 65から受信した中継すべきパケットを全て廃棄し、ダウンストリーム側ネットワークをァ ップストリーム側ネットワーク力遮断する。

[0108] LAN監視 '制御装置 1は、実施の形態 2で説明したように、認証パケットを中継する 。これについては実施の形態 2において図 13、図 14を用いて説明したので、詳しい 説明は省略する。

[0109] 次に、 LAN監視 '制御装置 1における受信パケットの監視機能について説明する。

管理制御部 45は、管理パケットカウンタ 85、透過パケットカウンタ 60、廃棄パケット力 ゥンタ 58、不正パケットカウンタ 61、認証済みパケットカウンタ 62及びモニタパケット カウンタ 59を観測し、各パケットの通信量を監視する。

[0110] また、管理制御部 45は、パケット分類部 39のモニタパケット分類条件を設定するこ とで、監視したいパケットの写しをモニタパケット出力 43に出力し、モニタパケットカウ ンタ 59で発生頻度を監視する。さらに、管理制御部 45は、必要に応じてモニタパケ ットを出力パケット振り分け部 46から管理制御部ダウンストリーム入力 56として入力し 、入力したモニタパケットを解析する。アップストリームパケット入力 65についても、ダ ゥンストリームパケット処理部 63と同様に、管理制御部 45は、アップストリームパケット 処理部 64を制御し、各パケットの発生頻度を監視するとともに、管理制御部アップス トリーム入力 67からモニタパケットを取り込み、解析する。

[0111] なお、パケット分類部 39で使用するパケット分類条件、パケット認証部 44で使用す る管理パケットと認証パケットの認証条件、送信パケット認証処理部 49で使用する管 理パケットと認証パケットの認証条件及び認証パケット生成部 50で生成する管理パ ケットと認証パケットのヘッダ生成条件は、予め、管理制御部 45が各処理部に設定 するとともに、攻撃等に対応するため、実施形態 1及び実施形態 2で説明したタイミン グで管理制御部 45が変更する。

[0112] LAN監視'制御装置 1は以上のように構成されているので、予期しない不正バケツ トによる攻撃が発生中であっても、不正パケットを遮断しつつ、正常なネットワーク間 の通信を確保できる。

[0113] 実施の形態 4.

次に図 18—図 21を用いて実施の形態 4を説明する。実施形態 3では、一対の入出 力を持つ LAN監視 '制御装置 1の構成を示したが、複数の入出力をもち、スィッチと しても利用できる装置の、一実施形態を示す。

[0114] 図 18は、このようなスィッチ型 LAN監視'制御装置 80の一例を示したブロック図で ある。また、図 19は、このようなスィッチ型 LAN監視'制御装置 80を用いたネットーク の構成例を示す。上記実施形態 1一実施の形態 3と同じ番号の部位は、同一機能の 部位であることを示す。

[0115] スィッチ型 LAN監視 ·制御装置 80の構成を説明する。スィッチ型 LAN監視 ·制御装 置 80は、パケットを入力する複数の入力パケット処理部 72a、 72b, · · · 72η等と、 ケットを出力する複数の出力パケット処理部 73a、 73b、 · · · 73η等と、パケットスイツ チ部 70と、管理制御部 45とを備える。

[0116] 入力パケット処理部 72a等の構成は、 LAN監視'制御装置 1のダウンストリームパケ ット処理部 63を、出力パケット振り分け部 46を基準に入力側 (パケット分類部 39側) と出力側 (送信優先度制御部側)に分けた場合における、入力側の構成に類似であ る。入力パケット処理部 72a等は、さらに、パケット入力スィッチインターフェース部 69 を備える。同様に、出力パケット処理部 73a等の構成は、出力パケット振り分け部 46 を基準に出力側の構成に類似である。出力パケット処理部 73a等は、さらに、パケット 出力スィッチインターフェース部 71を備える。

[0117] 各要素の機能を説明する。

(1)パケット入力スィッチインターフェース部 69は、パケット分類部 39で分類した受信 パケットを送信先に振り分ける。

(2)パケットスィッチ部 70は、スィッチ型 LAN監視 '制御装置 80の内部におけるパケ ットを転送 *5る。

(3)パケット出力スィッチインターフェース部 71は、パケットスィッチ部 70から送信用 パケットを受け取る。

(4)入力パケット処理部 72aは、ダウンストリームパケット入力 52で受信したパケットを 分類、認証し、送信先を決定する 1番目の入力パケット処理部である。

(5)出力パケット処理部 73aは、送信用パケットに認証情報と分類条件にあつたへッ ダを付加し、パケットの属性に応じて優先度制御しながら、パケットをダウンストリーム パケット出力 53へ送信する 1番目の出力パケット処理部である。

(6)入力パケット処理部 72bは、アップストリームパケット入力 65からの受信パケットを 処理する 2番目の入力パケット処理部である。

(7)出力パケット処理部 73bは、アップストリームパケット出力 66へ送り出す送信パケ ットを処理する、 2番目の出力パケット処理部である。

(8)入力パケット処理部 72ηは、その他の入力パケットを処理する η番目の入力パケ ット処理部である。

(9)出力パケット処理部 73ηは、その他の出力パケットを処理する η番目の出力パケ ット処理部である。

(10)管理制御部統合入力 78は、各入力パケット処理部 72a、 72b、 · ' · 72ηから管 理制御部 45へ送られるパケットの入力である。

(11)管理制御部統合出力 79は、各出力パケット処理部 73a、 73b、 · ' · 73ηへ管理 制御部 45から送りだす送信用パケットの出力である。

次に、図 20を参照して、動作について説明する。図 20は、スィッチ型 LAN監視-制 御装置 80とネットワークとの接続を示す図である。

( 1)スィッチ型 LAN監視 '制御装置 80は、ダウンストリームパケット入力 52とアップス トリームパケット出力 66でアップストリーム側ネットワークと接続し、アップストリームパ ケット入力 65とダウンストリームパケット出力 53でダウンストリーム側ネットワークと接続 する。この接続により、 LAN監視'制御装置 1と同様、アップストリーム側ネットワークと ダウンストリーム側ネットワークとの間のパケットを中継する。

(2)これに加え、入力パケット処理部 72a、 72b以外の複数の入力パケット処理部 72 c、 72d、 · ' · 72η等と、出力パケット処理部 73a、 73b以外の複数の出力パケット処理 部 73c、 73bd、 · · · 73η等を複数のサブネットワークに接続し、パケットスィッチ部 70 で各処理部間の接続を切り替えてパケット配信をすることにより、スィッチとして動作 する。

(3)例えば、サブネットワーク力も入力パケット処理部 72ηを介して受信したパケットを 透過パケットとして分類し、あて先 IPアドレスがアップストリーム側ネットワークであった 場合、当該パケットをパケットスィッチ部 70経由で、出力パケット処理部 73bへ送り、 アップストリームパケット出力 66へ出力する。これにより、アップストリーム側ネットヮー クへ中継する。また、あて先 IPアドレスがダウンストリーム側ネットワークであった場合 は、当該パケットをパケットスィッチ部 70経由で、出力パケット処理部 73aへ送り、ダウ ンストリームパケット出力 53へ出力する。これにより、ダウンストリーム側ネットワークへ パケットを中継する。

[0119] 管理通信について説明する。

(1)管理パケットは、複数の入力パケット処理部 72a、 72b、 · · · 72η等が受信し、接 続先のネットワーク毎に独立した管理パケット分類条件と認証条件を元に、管理パケ ットへの分類と、管理パケットの認証を行ない、パケットスィッチ部 70経由で全て管理 制御部統合入力 78へ送られる。

(2)管理制御部 45は,受け取った管理パケットを処理するとともに、必要に応じて、 返信や配信等のための送信パケットを管理制御部統合出力 79に出力し、パケットス イッチ部 70経由で送信先ネットワークに接続されている出力パケット処理部 73a、 73 b, · ' · 73η等へ送る。当該パケットを受信した出力パケット処理部 73a、 73b、 73η等 は、送信先に対応した認証情報とヘッダを付加し、ダウンストリームパケット出力 53や アップストリームパケット出力 66等に第一位の優先度で送信する。

[0120] 図 21は、図 19に示すスィッチ型 LAN監視 ·制御装置 80の接続状態を示す図であ る。サブネットワーク 15の出力は入力パケット処理部 72aに接続するとともに出力が 出力パケット処理部 73aに接続している。また、管理装置 14の出力は入力パケット処 理部 72bに接続するとともに出力が出力パケット処理部 73bに接続している。また、 サブネットワーク 19の出力は入力パケット処理部 72cに接続するとともに出力が出力 パケット処理部 73cに接続している。また、サブネットワーク 20の出力は入力パケット 処理部 72dに接続するとともに出力が出力パケット処理部 73dに接続している。パケ ットスィッチ部 70は、入力パケット処理部 72a、 72b, 72c, 72bのそれぞれからバケツ トが出力された場合に接続を切り替えて、出力されたパケットを出力パケット処理部 7

3a、 73b, 73c、 73dのうちの!/ヽずれ力に出力する。

[0121] スィッチ型 LAN監視 ·制御装置 80は、以上のように構成されているので、複数のサ ブネットワークに直接接続し、きめ細かい監視 ·制御をより少ない装置台数で実現で

きる。

[0122] 以上の実施の形態では、以下の(a)— (f)を備えた LAN監視'制御装置を LAN内 に分散配置して相互通信させることにより、障害が発生しているネットワーク力ものパ ケットを遮断しつつ、正常なサブネットワーク間の通信を確保する LAN監視 ·制御方 式を説明した。

(a)受信パケットを、パケットヘッダ内の複数フィールドの組み合わせにより、透過パ ケット、廃棄パケット、認証パケット、管理パケット、モニタパケットのいずれかに分類 するパケット分類部 39

(b)分類された各パケットの数を積算するカウント部 (カウンタ)

(c)認証パケット及び管理パケットを認証してパケットの正当性を確認するパケット認 証部

(d)送信パケットに認証情報を付加する送信パケット認証処理部

(e)送信パケットに認証パケットあるいは管理パケットへの分類に用いるパケットへッ ダをつける認証パケット生成部

(f)管理パケットを第一位の優先順位とし、認証パケットを第二位の優先順位とし、透 過パケットを第三位の優先順位として送信する送信優先度制御部

[0123] 以上の実施の形態では、 LAN監視'制御装置をリピータとして動作させる場合を説 明した。

[0124] 以上の実施の形態では、 LANを介して互いに接続された LAN監視 '制御装置は 、管理パケット分類条件、認証パケット分類条件及びそれらパケットの認証条件を共 有する場合を説明した。

また、共有方法として、以下の 2種類を説明した。

( 1)接続先毎に個別の分類条件と認証条件を持つ。

(2) LANで直接接続された複数の LAN監視 ·制御装置をグループとして同一の分 類条件と認証条件を共有する。 LAN監視 ·制御装置を階層的に配置した場合は、階 層毎に共通の分類条件と認証条件を共有する。

[0125] 以上の実施の形態では、受信した管理パケットあるいは認証パケットが認証の結果 不正と判定された場合、互いに管理通信を行なっている LAN監視'制御装置は、互 いに共有して、る管理パケット或いは認証パケットの分類条件を変更する場合を説 明した。

[0126] 以上の実施の形態では、互いに接続された LAN監視 '制御装置は、認証パケット 及び管理パケットの複数の分類条件を共有し、受信側の LAN監視 ·制御装置が認 証エラーを検知した場合、受信側の LAN監視 .制御装置が送信側の LAN監視 .制 御装置に代替の分類条件を通知することにより、以降の通信で使用する分類条件を 切り替えることを説明した。なお、同一の分類条件を複数の LAN監視'制御装置で 共有する場合は、認証エラーを検知した LAN監視 '制御装置が、関係する全 LAN 監視 ·制御装置に代替の分類条件を通知することで、グループ全体で分類条件を切 り替える場合を説明した。

[0127] 以上の実施の形態では、前記受信パケットの認証不正判定に際し、一定時間内に 発生する不正判定が既定の回数を越えたことを条件に、管理パケット或いは認証パ ケットの分類条件を変更する場合を説明した。

[0128] 以上の実施の形態では、管理パケット及び認証パケットを授受する LAN監視 '制御 装置間で、一定時間内に授受する当該パケット数の上限値を予め共有しておき、受 信側 LAN監視 ·制御装置で、受信する管理パケット及び認証パケットの数が上限値 を越えた場合、対応する管理パケット或いは認証パケットの分類条件を変更する場 合を説明した。

[0129] 以上の実施の形態では、 LAN監視 '制御装置を LANの階層構造に沿って階層的 に配置する場合を説明した。

[0130] 以上の実施の形態では、管理装置から全 LAN監視'制御装置へ管理情報 (管理 パケット)を送信する場合は、管理装置から直接管理指示を受信した LAN監視'制 御装置が起点となり、送信先として隣接して配置された全 LAN監視 ·制御装置に当 該管理情報を配信することを説明した。また、当該管理情報を受信した LAN監視 · 制御装置も送信先として隣接して配置された全 LAN監視 '制御装置に当該管理情 報を配信することを説明した。そして、以上の配信処理を末端の LAN監視'制御装 置に到達するまで繰り返す場合を説明した。

[0131] 以上の実施の形態では、 LAN監視'制御装置から管理装置に管理情報 (管理パ ケット)を返信する際、末端に配置された LAN監視'制御装置からの管理情報を中間 に配置された LAN監視'制御装置がー且集積し、ひとつの管理パケットとして上流の LAN監視 ·制御装置へ返信する場合を説明した。

[0132] 以上の実施の形態では、中間に配置された LAN監視 ·制御装置が、末端カゝら返信 された管理情報と自身の管理情報を集積した結果、予め定めた遮断条件に合致す ることが判明した場合、当該 LAN監視 '制御装置の下流に配置された全 LAN監視' 制御装置に管理パケットと認証パケットを除く全ての受信パケットを廃棄パケットに分 類するよう指示するとともに、管理装置に警報を発する場合を説明した。

[0133] 以上の実施の形態では、各 LAN監視'制御装置から返信される管理情報 (管理パ ケット)に受け渡しした LAN監視 ·制御装置の経路情報を含め、管理装置が分散配 置された LAN監視'制御装置の数と接続関係を把握する場合を説明した。

[0134] 以上の実施の形態では、管理装置から特定の LAN監視'制御装置へ管理情報を 送る際には、前記の手順で把握した経路情報を元に、あて先までの経路情報を管理 パケットに含めることで、各 LAN監視 '制御装置が当該管理パケットを目的の LAN 監視'制御装置まで受け渡し、配信する場合を説明した。更に、特定の LAN監視- 制御装置までの経路情報と全装置向け管理情報配信指示を含む管理パケットを送 ることにより、特定の LAN監視 '制御装置の下流に接続されている全ての LAN監視 •制御装置に管理情報を配信する場合を説明した。これは、特定の LAN監視'制御 装置以下の全装置に対して一気に遮断指示を発行する際に有効である。

[0135] 以上の実施の形態では、各 LAN監視'制御装置から管理装置宛への返信パケット を転送する際、各 LAN監視 ·制御装置が転送関係を記憶しておき、管理装置から発 信された特定の LAN監視,制御装置宛パケットを受信した際、自動的に、送り先の L AN監視'制御装置を判定して、当該パケットを転送する場合を説明した。なお、記憶 情報は、管理装置から全 LAN監視'制御装置宛の管理パケット転送のたびに更新 する。これは、装置に増設や管理装置に接続位置変更に動的に対応するためである

[0136] 以上の実施の形態では、障害のため遮断しているサブネットワークを介して互いに 接続して、る LAN監視 ·制御装置間で正常なサブネットワーク側力も受信したバケツ トを認証パケットに変更して授受することにより、遮断しているサブネットワークを介し て正常なパケットを転送する場合を説明した。

[0137] 以上の実施の形態では、 LAN監視'制御装置を増設する際、当該装置が既設の 隣接する 1台の LAN監視 ·制御装置との間の管理通信によって、監視'制御に必要 な情報を得る場合を説明した。接続先の既設の装置と増設する装置との管理通信は 以下のいずれかにいより可能にする場合を説明した。

(1)既設の装置に直接、分類と認証に必要な情報を設定する。

(2)管理装置から接続先の装置に予め分類と認証に必要な情報を送っておく。

[0138] 以上の実施の形態では、最初の接続先となった LAN監視 '制御装置は、増設され た装置に更に接続可能な装置の接続情報を供給するとともに、接続可能な他の装置 に、増設された装置の接続情報を配信する場合を説明した。 LANを介して直接管理 通信を行なえる範囲で自律的に接続範囲を拡大することができる。

図面の簡単な説明

[0139] [図 1]実施の形態 1におけるネットワークシステム 1000のネットワーク構成を示す図で ある。

[図 2]実施の形態 1における LAN監視'制御装置 1のブロック図である。

[図 3]実施の形態 1における LAN監視 ·制御装置 1と LAN監視 ·制御装置 3との接続 を示す図である。

[図 4]実施の形態 1における LAN監視 ·制御装置 1が LAN監視 ·制御装置 3へ管理 パケットを送信する過程をフローチャートである。

[図 5]実施の形態 1における管理パケットの認証エラーが発生した場合のフローチヤ ートである。

[図 6]実施の形態 1における管理装置 14が全 LAN監視'制御装置 1一 13の監視情 報を採取する動作を示すフローチャートである。

[図 7]実施の形態 1におけるサブネットワーク 26の遮断を示すフローチャートである。

[図 8]実施の形態 1における遮断の部分復旧と全復旧の場合を説明するフローチヤ ートである。

[図 9]実施の形態 1における透過パケットの中継方向を示す図である。

[図 10]実施の形態 1におけるダウンストリーム方向の透過パケットの遮断を示す図で ある。

[図 11]実施の形態 1における LAN監視'制御装置 1一 13の増設手順を示すフロー チャートである。

[図 12]実施の形態 2における LAN監視 '制御装置とネットワークとの接続関係を示す 図である。

[図 13]実施の形態 2における LAN監視 ·制御装置 1及び LAN監視 ·制御装置 3のブ ロック図である。

[図 14]実施の形態 2における認証パケットのやり取りを示すフローチャートである。

[図 15]実施の形態 3における通常の中継動作を示すフローチャートである。

[図 16]実施の形態 3における LAN監視 '制御装置 1が管理パケットを受信した場合の 動作を示すフローチャートである。

[図 17]実施の形態 3における LAN監視 ·制御装置 1が管理パケットを送信する過程を 示すフローチャートである。

[図 18]実施の形態 4におけるスィッチ型 LAN監視 ·制御装置 80のブロック図である。

[図 19]実施の形態 4におけるスィッチ型 LAN監視'制御装置 80を用いたネットークの 構成例を示す図である。

[図 20]実施の形態 4におけるスィッチ型 LAN監視'制御装置 80とネットワークとの接 続を示す図である。

[図 21]実施の形態 4におけるスィッチ型 LAN監視 '制御装置 80の接続状態を示す 図である。

符号の説明

1一 13 LAN監視 '制御装置、 14 管理装置、 15— 18 LAN網、 19一 26 サブ ネットワーク、 27 外部ネットワークインターフェース、 28 障害サブネットワーク、 29 障害端末、 30 不正パケット入力、 31 ダウンストリーム入力、 32 アップストリーム出 力、 33 ダウンストリーム出力、 34 アップストリーム入力、 35 ダウンストリーム入力、 36 アップストリーム出力、 37 ダウンストリーム出力、 38 アップストリーム入力、 39 パケット分類部、 40 透過パケット出力、 41 廃棄パケット出力、 42 認証パケット 出力、 43 モニタパケット出力、 44 パケット認証部、 45 管理制御部、 46 出力パ ケット振り分け部、 47 透過用パケット出力、 48 認証用パケット出力、 49 送信パケ ット認証処理部、 50 認証パケット生成部、 51 送信優先度制御部、 52 ダウンストリ ームパケット入力、 53 ダウンストリームパケット出力、 54 不正パケット出力、 55 認 証済みパケット出力、 56 管理制御部ダウンストリーム入力、 57 管理制御部ダウン ストリーム出力、 58 廃棄パケットカウンタ、 59 モニタパケットカウンタ、 60 透過パ ケットカウンタ、 61 不正パケットカウンタ、 62 認証済みパケットカウンタ、 63 ダウン ストリームパケット処理部、 64 アップストリームパケット処理部、 65 アップストリーム パケット入力、 66 アップストリームパケット出力、 67 管理制御部アップストリーム入 力、 68 管理制御部アップストリーム出力、 69 パケット入力スィッチインターフェース 部、 70 パケットスィッチ部、 71 パケット出力スィッチインターフェース部、 72a 入 力パケット処理部、 73a 出力パケット処理部、 72b 入力パケット処理部、 73b 出力 パケット処理部、 72η 入力パケット処理部、 73η 出力パケット処理部、 78 管理制 御部統合入力、 79 管理制御部統合出力、 80 スィッチ型 LAN監視 ·制御装置、 8 1 スィッチ型 LAN監視 ·制御装置、 82 スィッチ型 LAN監視 ·制御装置、 85 管理 ノゲットカクン夕、 86, 87, 88, 89, 90, 91, 92, 93, 94, 95 透過ノゲット、 1000 ネットワークシステム。