(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024159625
(43)【公開日】2024-11-08
(54)【発明の名称】ネットワーク管理装置及び方法
(51)【国際特許分類】
H04L 43/04 20220101AFI20241031BHJP
【FI】
H04L43/04
【審査請求】有
【請求項の数】10
【出願形態】OL
【外国語出願】
(21)【出願番号】P 2024069983
(22)【出願日】2024-04-23
(31)【優先権主張番号】112115527
(32)【優先日】2023-04-26
(33)【優先権主張国・地域又は機関】TW
(71)【出願人】
【識別番号】390023582
【氏名又は名称】財團法人工業技術研究院
【氏名又は名称原語表記】INDUSTRIAL TECHNOLOGY RESEARCH INSTITUTE
【住所又は居所原語表記】No.195,Sec.4,ChungHsingRd.,Chutung,Hsinchu,Taiwan 31040
(74)【代理人】
【識別番号】110003214
【氏名又は名称】弁理士法人服部国際特許事務所
(72)【発明者】
【氏名】劉哲豪
(72)【発明者】
【氏名】卓傳育
(72)【発明者】
【氏名】羅翊萍
(72)【発明者】
【氏名】何貞儀
(57)【要約】
【課題】ネットワーク管理装置及び方法を提供する。
【解決手段】ネットワーク管理装置は、少なくとも1つの電子装置が複数のネットワークパケットを伝送することに応答して、複数のネットワークパケットに対応する複数のネットワークパケット情報を取得する。ネットワーク管理装置は、複数のネットワークパケット情報に基づいて、この少なくとも1つの電子装置に対応する複数の第1パケット特徴を判断する。ネットワーク管理装置は、これらの第1パケット特徴に基づいて、この少なくとも1つの電子装置に対応する少なくとも1つの第1候補ルールを生成する。ネットワーク管理装置は、この少なくとも1つの第1候補ルールに基づいて、この少なくとも1つの電子装置がネットワークで伝送したこれらのネットワークパケットを管理する。
【選択図】図6
【解決手段】ネットワーク管理装置は、少なくとも1つの電子装置が複数のネットワークパケットを伝送することに応答して、複数のネットワークパケットに対応する複数のネットワークパケット情報を取得する。ネットワーク管理装置は、複数のネットワークパケット情報に基づいて、この少なくとも1つの電子装置に対応する複数の第1パケット特徴を判断する。ネットワーク管理装置は、これらの第1パケット特徴に基づいて、この少なくとも1つの電子装置に対応する少なくとも1つの第1候補ルールを生成する。ネットワーク管理装置は、この少なくとも1つの第1候補ルールに基づいて、この少なくとも1つの電子装置がネットワークで伝送したこれらのネットワークパケットを管理する。
【選択図】図6
【特許請求の範囲】
【請求項1】
ネットワークを経由して複数のネットワークパケットを伝送する少なくとも1つの電子装置に通信接続される送受信インタフェースと、
前記少なくとも1つの電子装置が前記複数のネットワークパケットを伝送することに応答して、前記複数のネットワークパケットに対応する複数のネットワークパケット情報を取得する動作と、
前記複数のネットワークパケット情報に基づいて、前記少なくとも1つの電子装置に対応する複数の第1パケット特徴を判断する動作と、
前記複数の第1パケット特徴に基づいて、前記少なくとも1つの電子装置に対応する少なくとも1つの第1候補ルールを生成する動作と、
前記少なくとも1つの第1候補ルールに基づいて、前記少なくとも1つの電子装置が前記ネットワークで伝送した前記複数のネットワークパケットを管理する動作と、を実行することに用いられ、前記送受信インタフェースに電気的に接続されるプロセッサと、
を備えるネットワーク管理装置。
前記少なくとも1つの電子装置が前記複数のネットワークパケットを伝送することに応答して、前記複数のネットワークパケットに対応する複数のネットワークパケット情報を取得する動作と、
前記複数のネットワークパケット情報に基づいて、前記少なくとも1つの電子装置に対応する複数の第1パケット特徴を判断する動作と、
前記複数の第1パケット特徴に基づいて、前記少なくとも1つの電子装置に対応する少なくとも1つの第1候補ルールを生成する動作と、
前記少なくとも1つの第1候補ルールに基づいて、前記少なくとも1つの電子装置が前記ネットワークで伝送した前記複数のネットワークパケットを管理する動作と、を実行することに用いられ、前記送受信インタフェースに電気的に接続されるプロセッサと、
を備えるネットワーク管理装置。
【請求項2】
前記複数のネットワークパケット情報の各々は、メディアアクセス制御アドレス、パケット時間、通信プロトコル、送信元インターネットプロトコル、送信元ポート、宛先インターネットプロトコル、宛先ポート、パケットサイズ、パケットコンテンツのうちの少なくとも1つ又はそれらの組み合わせを含む請求項1に記載のネットワーク管理装置。
【請求項3】
前記少なくとも1つの電子装置に対応する前記複数の第1パケット特徴を判断することは、
前記複数のネットワークパケットの前記複数のネットワークパケット情報を比較することで、前記複数のネットワークパケットに対応する発生頻度を計算する動作と、
前記複数のネットワークパケットに対応する前記発生頻度に基づいて、前記少なくとも1つの電子装置に対応する前記複数の第1パケット特徴を判断する動作と、
を含む請求項1に記載のネットワーク管理装置。
前記複数のネットワークパケットの前記複数のネットワークパケット情報を比較することで、前記複数のネットワークパケットに対応する発生頻度を計算する動作と、
前記複数のネットワークパケットに対応する前記発生頻度に基づいて、前記少なくとも1つの電子装置に対応する前記複数の第1パケット特徴を判断する動作と、
を含む請求項1に記載のネットワーク管理装置。
【請求項4】
前記少なくとも1つの電子装置に対応する前記複数の第1パケット特徴を判断することは、
前記複数のネットワークパケットの前記複数のネットワークパケット情報を比較することで、前記複数のネットワークパケットに対応する発生頻度及びパケット時間を計算する動作と、
前記複数のネットワークパケットに対応する前記発生頻度及び前記パケット時間に基づいて、前記少なくとも1つの電子装置に対応する前記複数の第1パケット特徴を判断する動作と、
を含む請求項1に記載のネットワーク管理装置。
前記複数のネットワークパケットの前記複数のネットワークパケット情報を比較することで、前記複数のネットワークパケットに対応する発生頻度及びパケット時間を計算する動作と、
前記複数のネットワークパケットに対応する前記発生頻度及び前記パケット時間に基づいて、前記少なくとも1つの電子装置に対応する前記複数の第1パケット特徴を判断する動作と、
を含む請求項1に記載のネットワーク管理装置。
【請求項5】
前記少なくとも1つの電子装置に対応する前記複数の第1パケット特徴を判断することは、
前記複数のネットワークパケットの前記複数のネットワークパケット情報を比較することで、前記複数のネットワークパケットに対応する発生頻度、パケット時間及びパケットサイズを計算する動作と、
前記複数のパケットのそれぞれに対応する前記発生頻度、前記パケット時間及び前記パケットサイズに基づいて、前記少なくとも1つの電子装置に対応する前記複数の第1パケット特徴を判断する動作と、
を含む請求項1に記載のネットワーク管理装置。
前記複数のネットワークパケットの前記複数のネットワークパケット情報を比較することで、前記複数のネットワークパケットに対応する発生頻度、パケット時間及びパケットサイズを計算する動作と、
前記複数のパケットのそれぞれに対応する前記発生頻度、前記パケット時間及び前記パケットサイズに基づいて、前記少なくとも1つの電子装置に対応する前記複数の第1パケット特徴を判断する動作と、
を含む請求項1に記載のネットワーク管理装置。
【請求項6】
前記プロセッサは、更に、
前記少なくとも1つの第1候補ルールのそれぞれに対応するルール重みを計算する動作と、
前記複数のルール重みに基づいて、前記少なくとも1つの第1候補ルールから少なくとも1つの適用ルールを決定する動作と、
前記少なくとも1つの適用ルールに基づいて、前記少なくとも1つの電子装置が前記ネットワークで伝送した前記複数のネットワークパケットを管理する動作と、
を実行する請求項1に記載のネットワーク管理装置。
前記少なくとも1つの第1候補ルールのそれぞれに対応するルール重みを計算する動作と、
前記複数のルール重みに基づいて、前記少なくとも1つの第1候補ルールから少なくとも1つの適用ルールを決定する動作と、
前記少なくとも1つの適用ルールに基づいて、前記少なくとも1つの電子装置が前記ネットワークで伝送した前記複数のネットワークパケットを管理する動作と、
を実行する請求項1に記載のネットワーク管理装置。
【請求項7】
前記少なくとも1つの電子装置が前記ネットワークで伝送した前記複数のネットワークパケットを管理することは、
伝送対象ネットワークパケットが前記少なくとも1つの適用ルールに一致するかを判断する動作と、
前記伝送対象ネットワークパケットが前記少なくとも1つの適用ルールに一致することに応答して、前記少なくとも1つの電子装置が前記ネットワークで前記伝送対象ネットワークパケットを伝送することを許可する動作と、
を更に含む請求項6に記載のネットワーク管理装置。
伝送対象ネットワークパケットが前記少なくとも1つの適用ルールに一致するかを判断する動作と、
前記伝送対象ネットワークパケットが前記少なくとも1つの適用ルールに一致することに応答して、前記少なくとも1つの電子装置が前記ネットワークで前記伝送対象ネットワークパケットを伝送することを許可する動作と、
を更に含む請求項6に記載のネットワーク管理装置。
【請求項8】
前記プロセッサは、更に、
ファイアウォールログを受信する動作と、
前記ファイアウォールログから、前記少なくとも1つの電子装置に対応する複数の第2パケット特徴を取得する動作と、
前記複数の第2パケット特徴に基づいて、前記少なくとも1つの電子装置に対応する少なくとも1つの第2候補ルールを生成する動作と、
前記少なくとも1つの第1候補ルール及び前記少なくとも1つの第2候補ルールに基づいて、前記少なくとも1つの電子装置が前記ネットワークで伝送した前記複数のネットワークパケットを管理する動作と、
を実行する請求項1に記載のネットワーク管理装置。
ファイアウォールログを受信する動作と、
前記ファイアウォールログから、前記少なくとも1つの電子装置に対応する複数の第2パケット特徴を取得する動作と、
前記複数の第2パケット特徴に基づいて、前記少なくとも1つの電子装置に対応する少なくとも1つの第2候補ルールを生成する動作と、
前記少なくとも1つの第1候補ルール及び前記少なくとも1つの第2候補ルールに基づいて、前記少なくとも1つの電子装置が前記ネットワークで伝送した前記複数のネットワークパケットを管理する動作と、
を実行する請求項1に記載のネットワーク管理装置。
【請求項9】
前記プロセッサは、ネットワーク装置から前記ファイアウォールログを受信し、前記少なくとも1つの電子装置は、前記ネットワーク装置に通信接続され、且つ前記ネットワーク装置を経由して前記複数のネットワークパケットを伝送する請求項8に記載のネットワーク管理装置。
【請求項10】
ネットワーク管理装置に使用されるネットワーク管理方法であって、
少なくとも1つの電子装置が伝送した複数のネットワークパケットに対応する複数のネットワークパケット情報に基づいて、前記少なくとも1つの電子装置に対応する複数の第1パケット特徴を判断する工程と、
前記複数の第1パケット特徴に基づいて、前記少なくとも1つの電子装置に対応する少なくとも1つの第1候補ルールを生成する工程と、
前記少なくとも1つの第1候補ルールに基づいて、前記少なくとも1つの電子装置がネットワークで伝送した前記複数のネットワークパケットを管理する工程と、
を含むネットワーク管理方法。
少なくとも1つの電子装置が伝送した複数のネットワークパケットに対応する複数のネットワークパケット情報に基づいて、前記少なくとも1つの電子装置に対応する複数の第1パケット特徴を判断する工程と、
前記複数の第1パケット特徴に基づいて、前記少なくとも1つの電子装置に対応する少なくとも1つの第1候補ルールを生成する工程と、
前記少なくとも1つの第1候補ルールに基づいて、前記少なくとも1つの電子装置がネットワークで伝送した前記複数のネットワークパケットを管理する工程と、
を含むネットワーク管理方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク管理装置及び方法に関する。具体的には、本発明は、無人の自動ネットワーク管理装置及び方法に関する。
【背景技術】
【0002】
近年、ネットワークに関連するアプリケーションサービスが多様化し、人々はネットワーク情報のセキュリティにますます注意を払っている。
【0003】
しかしながら、一般的なネットワーク管理担当者は、関連する情報セキュリティの背景、ネットワークアーキテクチャ、ネットワーク管理等の知識が不足している可能性があるため、適切なネットワークセキュリティから機器を保護できない可能性がある。また、現在の機器、アプリケーションプログラムは多種多様であるため、プロのネットワーク管理担当者であっても、個々のネットワークの動作を完全に理解できず、これにより、正しいネットワーク管理を提供できない可能性がある。
【0004】
また、従来技術の侵入検知システム(IDS/IPS)は、いずれもブラックリストルールの形式を用いるため、悪意のある攻撃ネットワーク行為が検知された場合のみ阻止される。従って、新しいタイプの悪意のある攻撃が発生するが、その特徴が記録し解析されておらず、又はタイムリーに更新されていないと、従来技術におけるネットワーク管理メカニズムは依然として攻撃を効果的に阻止することができない。
【発明の概要】
【発明が解決しようとする課題】
【0005】
従って、ネットワーク行為を自動的に収集して分析し、その後、ホワイトリストのファイアウォールルールを策定し、手動的な監視は完全に不要(すなわち、人間の介入が不要)になれば、現場内の機器に対してより包括的なネットワークセキュリティ保護を行うことができ、それにより、関連する情報セキュリティ担当者の雇用による追加の人件費及び不適切なルールの策定によるネットワーク侵害の問題を解決する。
【0006】
これを鑑みて、如何に無人を実現できる自動化ネットワーク管理技術を提供するかは、業界が努力する必要がある緊急の目標である。
【課題を解決するための手段】
【0007】
本発明の1つの目的は、ネットワーク管理装置を提供することである。このネットワーク管理装置は、ネットワークを経由して複数のネットワークパケットを伝送する少なくとも1つの電子装置に通信接続される送受信インタフェースと、前記送受信インタフェースに電気的に接続されるプロセッサと、を備える。このプロセッサは、前記少なくとも1つの電子装置が前記複数のネットワークパケットを伝送することに応答して、前記複数のネットワークパケットに対応する複数のネットワークパケット情報を取得する動作と、前記複数のネットワークパケット情報に基づいて、前記少なくとも1つの電子装置に対応する複数の第1パケット特徴を判断する動作と、前記複数の第1パケット特徴に基づいて、前記少なくとも1つの電子装置に対応する少なくとも1つの第1候補ルールを生成する動作と、前記少なくとも1つの第1候補ルールに基づいて、前記少なくとも1つの電子装置が前記ネットワークで伝送した前記複数のネットワークパケットを管理する動作と、を実行することに用いられる。
【0008】
本発明の別の目的は、ネットワーク管理装置に使用されるネットワーク管理方法を提供することである。このネットワーク管理方法は、少なくとも1つの電子装置が伝送した複数のネットワークパケットに対応する複数のネットワークパケット情報に基づいて、前記少なくとも1つの電子装置に対応する複数の第1パケット特徴を判断する工程と、前記複数の第1パケット特徴に基づいて、前記少なくとも1つの電子装置に対応する少なくとも1つの第1候補ルールを生成する工程と、前記少なくとも1つの第1候補ルールに基づいて、前記少なくとも1つの電子装置がネットワークで伝送した前記複数のネットワークパケットを管理する工程と、を含む。
【0009】
本発明によって提供されたネットワーク管理技術(少なくとも装置及び方法を含む)は、少なくとも1つの電子装置が伝送した複数のネットワークパケットに対応する複数のネットワークパケット情報を取得することにより、前記少なくとも1つの電子装置に対応する複数の第1パケット特徴を判断し、且つ前記複数の第1パケット特徴に基づいて前記少なくとも1つの電子装置に対応する少なくとも1つの第1候補ルールを生成する。これにより、本発明によって提供されたネットワーク管理技術は、前記少なくとも1つの第1候補ルールに基づいて、前記少なくとも1つの電子装置がネットワークで伝送した前記複数のネットワークパケットを管理することができる。本発明によって提供されたネットワーク管理技術は、ネットワーク行為を自動的に収集して分析することができ、従って、個々の電子装置(例えば、ホスト機器又はアプリケーションプログラム)の固定的なネットワーク行為に対して管理ルール(例えば、ネットワークファイアウォールのホワイトリスト)を生成し、かつルールをファイアウォールに自動的に適用することでファイアウォールのネットワーク保護を有効にすることができる。従って、従来技術において、ルールの設定や策定に人手を必要とするか、ネットワーク管理者が個々の装置のネットワーク行為を十分に理解できないため、正しいネットワーク管理を提供できないという欠点を解決する。
【0010】
以下、当業者が本発明の技術的特徴を理解できるように、図面を参照しながら、本発明の詳細な技術及び実施形態を説明する。
【図面の簡単な説明】
【0011】
【図1】第1実施形態のネットワーク管理装置の適用シナリオを示す概略図である。
【図2】いくつかの実施形態のネットワーク管理装置の適用シナリオを示す概略図である。
【図3】いくつかの実施形態のネットワーク管理装置のアーキテクチャを示す概略図である。
【図4】いくつかの実施形態のネットワーク管理装置の動作を示す概略図である。
【図5】いくつかの実施形態のネットワークパケットの例を示す概略図である。
【図6】第2実施形態のネットワーク管理方法を示す一部のフローチャートである。
【発明を実施するための形態】
【0012】
以下、実施形態により本発明によって提供されたネットワーク管理装置及び方法を説明する。しかしながら、これらの実施形態は、本発明がこれらの実施形態に記載されるような任意の環境、適用又は方式で実施される必要があることを制限するために使用されるものではない。従って、実施形態についての説明は本発明の説明を目的とするものに過ぎず、本発明の範囲を制限するものではない。理解の便宜上、以下の実施形態及び図面において、本発明に直接関係のない要素は省略されて図示されていない。且つ各要素の寸法及び要素間の寸法比率は例示的なものに過ぎず、本発明の範囲を制限するものではない。
【0013】
まず、本実施形態の適用シナリオを説明し、そのシナリオ概略図100は図1に示される。図1に示すように、本発明のいくつかの実施形態では、本開示のネットワークシステムは、複数の電子装置2及び複数のネットワーク管理装置1を含むことができ、且つネットワーク管理装置1と電子装置2とは1対1の接続関係を有する(例えば、有線通信方式又は無線通信方式で接続される)。なお、電子装置2はネットワーク装置3(例えば、ルータ装置)によりネットワークNW(例えば、インターネット及びローカルエリアネットワーク)に接続することができ、且つ電子装置2はネットワークNWを経由してネットワークパケットを伝送することができる。
【0014】
例を挙げると、図1の適用環境は、例えば、オペレーショナルテクノロジー(Operational technology、OT)分野、医療分野等であってもよく、ネットワーク管理装置1は、例えば、ロボットアーム、ダヴィンチ手術台等の機器を保護することができる。
【0015】
また、いくつかの実施形態では、本開示は、1つのネットワーク管理装置1により複数の電子装置2を一括管理してもよい。理解の便宜上、図2のシナリオ概略図200を参照する。図2に示すように、本開示のネットワークシステムは複数の電子装置2及び1つのネットワーク管理装置1を含むことができ、ネットワーク装置3と複数の電子装置2とは接続関係を有し(例えば、有線通信方式又は無線通信方式で接続される)、ネットワーク装置3とネットワーク管理装置1とは接続関係を有し(例えば、有線通信方式又は無線通信方式で接続される)、複数の電子装置2はネットワーク装置3によりネットワークNWに接続される。また、いくつかの実施形態では、ネットワーク装置3とネットワーク管理装置1とは位置を変換してもよい。
【0016】
例を挙げると、図2の適用環境は、例えば、マイクロネットワークセグメントの分野を分離して保護することができる。
【0017】
そして、本実施形態におけるネットワーク管理装置の要素アーキテクチャを説明する。その概略図は図3に示される。図3に示すように、本発明の第1実施形態では、ネットワーク管理装置1は送受信インタフェース11及びプロセッサ13を備え、プロセッサ13は送受信インタフェース11に電気的に接続される。いくつかの実施形態では、ネットワーク管理装置1は更に記憶装置(図示せず)を備える。
【0018】
なお、送受信インタフェース11はデータの送受信が可能なインタフェース又は当業者に知られているデータの送受信が可能なその他のインタフェースであってもよく、送受信インタフェースは、例えば、外部装置、外部ウェブページ、外部アプリケーションプログラム等のソースを介してデータを受信することできる。プロセッサ13は、様々な処理ユニット、中央処理ユニット(Central Processing Unit、CPU)、マイクロプロセッサ、又は当業者に知られているその他の計算装置であってもよい。記憶装置は、メモリ、ユニバーサルシリアルバス(Universal Serial Bus、USB)ディスク、ハードディスク、光ディスク、ペンドライブ又は当業者に知られており且つ同じ機能を有する任意のその他の記憶媒体又は回路であってもよい。
【0019】
理解の便宜上、以下の段落で説明する場合に、1つのネットワーク管理装置1及び1つの電子装置2(以下、少なくとも1つの電子装置2という)を例として説明する。当業者は、本開示の内容に基づいて接続関係の数が異なる時の実施形態を理解できるため、ここでは詳細に説明しない。
【0020】
先ず、本実施形態では、少なくとも1つの電子装置2がネットワークパケットの伝送(すなわち、送信又は受信を含む双方向動作)を行う時、プロセッサ13はこのネットワークパケットのネットワークパケット情報を取得する。具体的に、プロセッサ13は少なくとも1つの電子装置2がこれらのネットワークパケットを伝送することに応答して、これらのネットワークパケットに対応する複数のネットワークパケット情報を取得する。
【0021】
具体的に、これらのネットワークパケット情報の各々は、メディアアクセス制御アドレス(Media Access ControlAddress)、パケット時間、通信プロトコル(Communication Protocol)、送信元インターネットプロトコル(Internet Protocol、IP)、送信元ポート(Port)、宛先インターネットプロトコル、宛先ポート、パケットサイズ、パケットコンテンツのうちの少なくとも1つ又はそれらの組み合わせを含んでもよい。
【0022】
いくつかの実施形態では、プロセッサ13は更に、コマンドツール(tcpdump及びtsharkなど)を実行することによりこれらのネットワークパケットに対応する複数のネットワークパケット情報を取得することができる。
【0023】
次に、プロセッサ13はこれらのネットワークパケット情報に基づいて、少なくとも1つの電子装置2に対応する複数の第1パケット特徴を判断する。
【0024】
なお、プロセッサ13は異なる分析条件を通じて少なくとも1つの電子装置2の第1パケット特徴を判断することができる。
【0025】
例を挙げると、いくつかの実施形態では、プロセッサ13は、これらのネットワークパケットのこれらのネットワークパケット情報(例えば、同じ通信プロトコル、送信元インターネットプロトコル、宛先インターネットプロトコルを有するネットワークパケット)を比較することで、これらのネットワークパケットに対応する発生頻度(又はネットワークパケットとネットワークパケット間の送信時間)を計算することができる。次に、プロセッサ13はこれらのネットワークパケットに対応するこの発生頻度に基づいて、少なくとも1つの電子装置2に対応するこれらの第1パケット特徴(例えば、同じ通信プロトコル、送信元インターネットプロトコル、宛先インターネットプロトコルを有するいくつかのネットワークパケットが5秒ごとに一回伝送する頻度で発生する)を判断する。
【0026】
いくつかの実施形態では、プロセッサ13は更に、各ネットワークパケットのパケット時間の分析に基づいて、異なる期間に対応するパケット特徴をまとめることができる。例を挙げると、プロセッサ13はこれらのネットワークパケットのこれらのネットワークパケット情報を比較することで、これらのネットワークパケットに対応する発生頻度及びパケット時間を計算することができる。次に、プロセッサ13はこれらのネットワークパケットに対応するこの発生頻度及びこのパケット時間に基づいて、少なくとも1つの電子装置2に対応するこれらの第1パケット特徴(例えば、同じ通信プロトコル、送信元インターネットプロトコル、宛先インターネットプロトコルを有するいくつかのネットワークパケットが一定の期間及び一定の頻度で伝送される)を判断する。
【0027】
いくつかの実施形態では、プロセッサ13は更に、各ネットワークパケットのパケットサイズの分析に基づいて、対応するパケット特徴を判断することができる。例を挙げると、プロセッサ13はこれらのネットワークパケットのこれらのネットワークパケット情報を比較することで、これらのネットワークパケットに対応する発生頻度、パケット時間及びパケットサイズを計算することができる。次に、プロセッサ13はこれらのパケットのそれぞれに対応するこの発生頻度、このパケット時間及びこのパケットサイズに基づいて、少なくとも1つの電子装置2に対応するこれらの第1パケット特徴(例えば、同じ通信プロトコル、送信元インターネットプロトコル、宛先インターネットプロトコルを有するいくつかのネットワークパケットが一定の期間、一定の頻度且つ一定のパケットサイズで伝送される)を判断する。
【0028】
理解できるように説明すると、少なくとも1つの電子装置2は、時間間隔内で、異なる通信プロトコル、送信元インターネットプロトコル、宛先インターネットプロトコル等を有する複数のグループのネットワークパケットを同時に伝送する可能性があるため、プロセッサ13は、異なるタイプ/組み合わせのネットワークパケットに対応して、異なる複数のグループのパケット特徴を生成する可能性がある。
【0029】
次に、プロセッサ13はこれらの第1パケット特徴に基づいて、少なくとも1つの電子装置2に対応する少なくとも1つの第1候補ルールを生成する。なお、この少なくとも1つの第1候補ルールのそれぞれは少なくとも1つの電子装置2の第1行為特徴(すなわち、少なくとも1つの電子装置2の固定的な行為特徴)に対応し、且つこの第1行為特徴はこれらの第1パケット特徴により構成される。
【0030】
例を挙げると、プロセッサ13はいくつかの特定のネットワークパケットに対応する複数のパケット特徴から、一部のパケット特徴を管理条件として選択して、1グループの候補ルールに統合することができる。
【0031】
最後に、プロセッサ13はこの少なくとも1つの第1候補ルールに基づいて、少なくとも1つの電子装置2がこのネットワークで伝送したこれらのネットワークパケットを管理する。
【0032】
例を挙げると、産業用制御分野におけるロボットアームの適用環境では、プロセッサ13が生成した候補ルールは、例えば、「月曜日から金曜日の午前9時から午後6時までの時間帯に5分ごとに伝送されるネットワークパケット」に対応する行為特徴であってもよい。これにより、プロセッサ13は産業用制御分野におけるロボットアームを月曜日から金曜日の午前9時から午後6時まで固定し、5分ごとに送信されたネットワークパケット(すなわち、メインコンソールが送信した、ロボットアームコマンドをディスパッチするネットワークパケット又はロボットアームによりセンターコンソールに返送されるネットワークパケット)を一回作動させる。
【0033】
いくつかの実施形態では、プロセッサ13はこの少なくとも1つの第1候補ルールから一部を実際にネットワーク管理装置1に適用されて管理するための適用ルールとして選択することができる。具体的に、プロセッサ13はこの少なくとも1つの第1候補ルールのそれぞれに対応するルール重み(例えば、ネットワークパケットに対応する発生回数、頻度)を計算する。次に、プロセッサ13はこれらのルール重みに基づいて、この少なくとも1つの第1候補ルールから少なくとも1つの適用ルール(例えば、上位80%の候補ルール)を決定する。最後に、プロセッサ13はこの少なくとも1つの適用ルールに基づいて、少なくとも1つの電子装置2がこのネットワークで伝送したこれらのネットワークパケットを管理する。
【0034】
いくつかの実施形態では、プロセッサ13はホワイトリスト許可メカニズム(例えば、ネットワークファイアウォールホワイトリスト)を設定することにより、ルールに一致するネットワークパケットのみが伝送動作を行うことを許可し、逆に、ルールに一致しないネットワークパケットが伝送動作(すなわち、少なくとも1つの電子装置2による送受信を含む双方向動作)を行うことを阻止する。具体的に、プロセッサ13は伝送対象ネットワークパケットがこの少なくとも1つの適用ルールに一致するかを判断する。次に、プロセッサ13はこの伝送対象ネットワークパケットがこの少なくとも1つの適用ルールに一致することに応答して、少なくとも1つの電子装置2がこのネットワークでこの伝送対象ネットワークパケットを伝送することを許可する。
【0035】
いくつかの実施形態では、電子装置がこのネットワークで伝送したこれらのネットワークパケットをより正確に管理するために、プロセッサ13は更にネットワーク装置(例えば、ルータ装置)のファイアウォールログの分析により、候補ルールを生成することができる。具体的に、プロセッサ13はファイアウォールログを受信する。次に、プロセッサ13はこのファイアウォールログから、少なくとも1つの電子装置2に対応する複数の第2パケット特徴を取得する。次に、プロセッサ13はこれらの第2パケット特徴に基づいて、少なくとも1つの電子装置2に対応する少なくとも1つの第2候補ルールを生成する。最後に、プロセッサ13はこの少なくとも1つの第1候補ルール及びこの少なくとも1つの第2候補ルールに基づいて、少なくとも1つの電子装置2がこのネットワークで伝送したこれらのネットワークパケットを管理する。
【0036】
いくつかの実施形態では、プロセッサ13は更に、コマンドツール(例えば:rsyslog及びsyslog-ng)を実行することによりネットワーク装置のファイアウォールログを収集することができる。
【0037】
具体的に、このファイアウォールログはファイアウォール動作情報(例えば、生成したルールが正常に動作するか)、アプリケーションプログラムインタフェースの対話記録、ルールマッチング記録のうちの少なくとも1つ又はそれらの組み合わせを含むことができる。
【0038】
例を挙げると、プロセッサ13はファイアウォールログ内の過去の履歴ルールマッチング記録を取得し、どのネットワークパケットが通過することを許可するか、又は阻止するかを分析することにより、少なくとも1つの電子装置2に対応する複数のパケット特徴を取得し、かつファイアウォールログに対応する候補ルールを生成することができる。
【0039】
なお、プロセッサ13は、ネットワーク装置(例えば、図2におけるネットワーク装置3)からこのファイアウォールログを受信し、少なくとも1つの電子装置2は、ネットワーク装置3に通信接続され、且つこのネットワーク装置を経由してこれらのネットワークパケットを伝送する。理解できるように、ネットワーク装置3が記録した情報は外部ネットワーク及びローカルエリアネットワークの情報を含むため、プロセッサ13はファイアウォールログの内容に基づいて候補ルールをより正確に生成することができる。
【0040】
本開示のいくつかの実施形態の動作プロセスの理解を容易にするために、図4におけるフローチャート400を参照する。先ず、プロセッサ13はネットワーク管理の動作OP1の実行を開始する。次に、プロセッサ13はネットワークパケットを収集する動作OP2及びファイアウォールログを取得する動作OP5を実行する。次に、プロセッサ13はネットワークパケットを有するかを判断する動作OP3を実行し、動作OP3の判断がYESである場合、プロセッサ13がそれぞれネットワークパケットコンテンツ(例えば、ネットワークパケット情報)を記憶する動作OP4及びネットワーク特徴を取得する動作OP7を実行し、動作OP3の判断がNOである場合、プロセッサ13はネットワークパケットの収集を継続する(すなわち、電子装置がネットワークパケットの伝送を有するかを継続的に監視する)動作OP2を実行する。
【0041】
また、プロセッサ13はファイアウォールログを有するかを判断する動作OP6を実行し、動作OP6の判断がYESである場合、プロセッサ13はネットワーク特徴を取得する動作OP7を実行し、動作OP6の判断がNOである場合、プロセッサ13はファイアウォールログの取得を継続する動作OP5を実行する。
【0042】
次に、プロセッサ13は候補ルールを生成する動作OP8を実行する。次に、プロセッサ13は候補ルールからルールをフィルタリングする動作OP9を実行する。最後に、プロセッサ13はルールを適用してネットワーク管理装置1においてネットワークパケットの管理動作を行う動作OP10を実行する。
【0043】
理解の便宜上、実際の例で説明すると、図5におけるネットワークパケット例の概略図500を参照する。本例では、プロセッサ13は先ずネットワークパケットP1の情報を抽出し、ネットワークパケットP1に対応するネットワークパケット情報は、送信元IP「192.168.47.147」、宛先IP「192.168.47.223」、通信プロトコル「ICMP」、パケットサイズ「84bytes」及びパケット時間「13:55:31」を含む。次に、プロセッサ13は前回のネットワークパケットとの間隔時間を判断し、本例では、この前にその他のパケットデータがないため、1回目の判断は終了する。
【0044】
次に、プロセッサ13は2番目のネットワークパケットP2を抜粋し、ネットワークパケットP2に対応するネットワークパケット情報は、送信元IP「192.168.47.147」、宛先IP「192.168.47.223」、通信プロトコル「ICMP」、パケットサイズ「84bytes」及びパケット時間「13:55:32」を含む。次に、プロセッサ13は前回のネットワークパケットとの間隔時間を判断し、前回のネットワークパケットの時間が「13:55:31」であるため、プロセッサ13が間隔が1秒であると判断する。その他のパケットデータがないため、プロセッサ13は今回の判断を終了する。
【0045】
次に、プロセッサ13は3番目のネットワークパケットP3を抜粋し、ネットワークパケットP3に対応するネットワークパケット情報は、送信元IP「192.168.47.147」、宛先IP「192.168.47.223」、通信プロトコル「ICMP」、パケットサイズ「84bytes」及びパケット時間「13:55:33」を含む。次に、プロセッサ13は前回のネットワークパケットとの間隔時間を判断し、前回のネットワークパケットの時間が「13:55:32」であるため、プロセッサ13が間隔が1秒であると判断する。プロセッサ13は発生頻度を比較することで、このようなネットワークパケットの間隔時間がいずれも1秒である(すなわち、ネットワークパケットP1とネットワークパケットP2との間隔が1秒であり、且つネットワークパケットP2とネットワークパケットP3との間隔が1秒である)と判断する。
【0046】
本例では、プロセッサ13は更に、比較閾値を3に動的に調整することができ(すなわち、相対的に一致するネットワークパケットの数が比較閾値に達すると、プロセッサ13は管理メカニズムを有効にすることができる)、プロセッサ13は比較閾値を動的に更新することができるため、行為特徴をタイムリーに検知して管理メカニズムを有効にすることを実現できる。
【0047】
また、プロセッサ13は更に、ネットワークパケットの発生時間帯を比較し、このようなネットワークパケットがいずれも「13:55」という時間間隔に発生すると判断することができる。また、プロセッサ13は更に、ネットワークパケットのパケットサイズを比較し、このようなネットワークパケットがいずれも「84bytes」というパケットサイズであると判断することができる。
【0048】
これにより、プロセッサ13が生成したルールは、送信元がIP「192.168.47.147」、宛先IPが「192.168.47.223」、通信プロトコルが「ICMP」、パケットサイズが「84bytes」、及びパケット時間が「13:55」に対応するネットワークパケットの伝送を許可することである。
【0049】
上記説明から明らかなように、本発明によって提供されたネットワーク管理装置1は、少なくとも1つの電子装置が伝送した複数のネットワークパケットに対応する複数のネットワークパケット情報を取得することにより、この少なくとも1つの電子装置に対応する複数の第1パケット特徴を判断し、且つこれらの第1パケット特徴に基づいてこの少なくとも1つの電子装置に対応する少なくとも1つの第1候補ルールを生成する。これにより、本発明によって提供されたネットワーク管理装置1はこの少なくとも1つの第1候補ルールに基づいて、この少なくとも1つの電子装置がネットワークで伝送したこれらのネットワークパケットを管理することができる。本発明によって提供されたネットワーク管理装置1はネットワーク行為を自動的に収集して分析することができ、従って、個々の電子装置(例えば、ホスト機器又はアプリケーションプログラム)の固定的なネットワーク行為に対して管理ルール(例えば、ネットワークファイアウォールのホワイトリスト)を生成し、かつルールをファイアウォールに自動的に適用することでファイアウォールのネットワーク保護を有効にすることができる。従って、従来技術において、ルールの設定や策定に人手を必要とするか、ネットワーク管理者が個々の装置のネットワーク行為を十分に理解できないため、正しいネットワーク管理を提供できないという欠点を解決する。
【0050】
本発明の第2実施形態はネットワーク管理方法であり、そのフローチャートは図6に示される。ネットワーク管理方法600はネットワーク管理装置、例えば、第1実施形態に記載のネットワーク管理装置1に適用される。ネットワーク管理方法600は工程S601~工程S605で少なくとも1つの電子装置がネットワークで伝送したネットワークパケットを管理する。
【0051】
工程S601で、ネットワーク管理装置は少なくとも1つの電子装置が伝送した複数のネットワークパケットに対応する複数のネットワークパケット情報に基づいて、この少なくとも1つの電子装置に対応する複数の第1パケット特徴を判断する。次に、工程S603で、ネットワーク管理装置はこれらの第1パケット特徴に基づいて、この少なくとも1つの電子装置に対応する少なくとも1つの第1候補ルールを生成する。最後に工程S605で、ネットワーク管理装置はこの少なくとも1つの第1候補ルールに基づいて、この少なくとも1つの電子装置がネットワークで伝送したこれらのネットワークパケットを管理する。
【0052】
いくつかの実施形態では、これらのネットワークパケット情報のそれぞれは、メディアアクセス制御アドレス、パケット時間、通信プロトコル、送信元インターネットプロトコル、送信元ポート、宛先インターネットプロトコル、宛先ポート、パケットサイズ、パケットコンテンツのうちの少なくとも1つ又はそれらの組み合わせを含む。
【0053】
いくつかの実施形態では、ネットワーク管理方法600は更に、これらのネットワークパケットのこれらのネットワークパケット情報を比較することで、これらのネットワークパケットに対応する発生頻度を計算する工程と、これらのネットワークパケットに対応するこの発生頻度に基づいて、この少なくとも1つの電子装置に対応するこれらの第1パケット特徴を判断する工程と、を含む。
【0054】
いくつかの実施形態では、ネットワーク管理方法600は更に、これらのネットワークパケットのこれらのネットワークパケット情報を比較することで、これらのネットワークパケットに対応する発生頻度及びパケット時間を計算する工程と、これらのネットワークパケットに対応するこの発生頻度及びこのパケット時間に基づいて、この少なくとも1つの電子装置に対応するこれらの第1パケット特徴を判断する工程と、を含む。
【0055】
いくつかの実施形態では、ネットワーク管理方法600は更に、これらのネットワークパケットのこれらのネットワークパケット情報を比較することで、これらのネットワークパケットに対応する発生頻度、パケット時間及びパケットサイズを計算する工程と、これらのパケットのそれぞれに対応するこの発生頻度、このパケット時間及びこのパケットサイズに基づいて、この少なくとも1つの電子装置に対応するこれらの第1パケット特徴を判断する工程と、を含む。
【0056】
いくつかの実施形態では、ネットワーク管理方法600は更に、この少なくとも1つの第1候補ルールのそれぞれに対応するルール重みを計算する工程と、これらのルール重みに基づいて、この少なくとも1つの第1候補ルールから少なくとも1つの適用ルールを決定する工程と、この少なくとも1つの適用ルールに基づいて、この少なくとも1つの電子装置がこのネットワークで伝送したこれらのネットワークパケットを管理する工程と、を含む。
【0057】
いくつかの実施形態では、ネットワーク管理方法600は更に、伝送対象ネットワークパケットがこの少なくとも1つの適用ルールに一致するかを判断する工程と、この伝送対象ネットワークパケットがこの少なくとも1つの適用ルールに一致することに応答して、この少なくとも1つの電子装置がこのネットワークでこの伝送対象ネットワークパケットを伝送することを許可する工程と、を含む。
【0058】
いくつかの実施形態では、ネットワーク管理方法600は更に、ファイアウォールログを受信する工程と、このファイアウォールログから、この少なくとも1つの電子装置に対応する複数の第2パケット特徴を取得する工程と、これらの第2パケット特徴に基づいて、この少なくとも1つの電子装置に対応する少なくとも1つの第2候補ルールを生成する工程と、この少なくとも1つの第1候補ルール及びこの少なくとも1つの第2候補ルールに基づいて、この少なくとも1つの電子装置がこのネットワークで伝送したこれらのネットワークパケットを管理する工程と、を含む。
【0059】
いくつかの実施形態では、このネットワーク管理装置は、ネットワーク装置からこのファイアウォールログを受信し、この少なくとも1つの電子装置は、このネットワーク装置に通信接続され、且つこのネットワーク装置を経由してこれらのネットワークパケットを伝送する。
【0060】
上記工程に加え、第2実施形態は第1実施形態に記載のネットワーク管理装置1のすべての動作及び工程を実行することもでき、同じ機能を有し、且つ同じ技術効果を達成することができる。当業者は第2実施形態で如何に上記第1実施形態に基づいてこのような動作及び工程を実行するかを直接了解することができ、同じ機能を有し、且つ同じ技術効果を達成するため、ここでは詳細に説明しない。
【0061】
なお、本発明の特許明細書及び特許出願の範囲において、いくつかの用語(パケット特徴、候補ルール等を含む)の前に「第1」又は「第2」が付けられており、これらの「第1」又は「第2」は異なる用語を区別するためにのみ使用される。例えば、第1パケット特徴及び第2パケット特徴における「第1」及び「第2」は、異なる動作時に使用される異なるパケット特徴を示すためにのみ使用される。
【0062】
要約すると、本発明によって提供されたネットワーク管理技術(少なくとも装置及び方法を含む)は、少なくとも1つの電子装置が伝送した複数のネットワークパケットに対応する複数のネットワークパケット情報を取得することにより、この少なくとも1つの電子装置に対応する複数の第1パケット特徴を判断し、且つこれらの第1パケット特徴に基づいてこの少なくとも1つの電子装置に対応する少なくとも1つの第1候補ルールを生成する。これにより、本発明によって提供されたネットワーク管理技術はこの少なくとも1つの第1候補ルールに基づいて、この少なくとも1つの電子装置がネットワークで伝送したこれらのネットワークパケットを管理することができる。本発明によって提供されたネットワーク管理技術はネットワーク行為を自動的に収集して分析することができ、従って、個々の電子装置(例えば、ホスト機器又はアプリケーションプログラム)の固定的なネットワーク行為に対して管理ルール(例えば、ネットワークファイアウォールのホワイトリスト)を生成し、かつルールをファイアウォールに自動的に適用することでファイアウォールのネットワーク保護を有効にすることができる。従って、従来技術において、ルールの設定や策定に人手を必要するか、又はネットワーク管理者が個々の装置のネットワーク行為を十分に理解できないため、正しいネットワーク管理を提供できないという欠点を解決する。
【0063】
上記実施形態は、例を挙げて本発明の一部の実施態樣を説明し、本発明の技術特徴を説明するためにのみ使用され、本発明の保護範疇及び範囲を制限するものではない。当業者が容易に達成できる任意の変更又は等価な配置はいずれも本発明が請求する範囲に属し、本発明の権利の保護範囲は特許出願の範囲を基準とすべきである。
【符号の説明】
【0064】
1:ネットワーク管理装置
2:電子装置
3:ネットワーク装置
100:概略図
NW:ネットワーク
200:概略図
11:送受信インタフェース
13:プロセッサ
400:フロー図
OP1、…、OP10:動作
500:ネットワークパケット例概略図
P1、P2、P3:ネットワークパケット
600:ネットワーク管理方法
S601、S603、S605:工程
2:電子装置
3:ネットワーク装置
100:概略図
NW:ネットワーク
200:概略図
11:送受信インタフェース
13:プロセッサ
400:フロー図
OP1、…、OP10:動作
500:ネットワークパケット例概略図
P1、P2、P3:ネットワークパケット
600:ネットワーク管理方法
S601、S603、S605:工程
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【外国語明細書】