CN111917703B

CN111917703B - 监视装置及监视方法

Info

Publication number: CN111917703B
Application number: CN202010338025.8A
Authority: CN
Inventors: 太田贵彦
Original assignee: Azbil Corp
Current assignee: Azbil Corp
Priority date: 2019-05-10
Filing date: 2020-04-26
Publication date: 2023-05-09
Anticipated expiration: 2040-04-26
Also published as: JP7232121B2; KR20200130180A; KR102387010B1; CN111917703A; JP2020188303A

Abstract

本发明的目的在于提供一种监视装置及监视方法，能够减轻在网络内传输的ICMPv6包的监视负担，并且能够在IPv6环境下检测非法终端。监视装置(1)具备：生成部(11)，其生成包含预先设定的非法的报头的发送包；收发部(10)，其经由网络(NW)对发送包进行所有节点多播发送，并经由网络(NW)接收来自接收到发送包的终端的包含错误报文的回复包；获取部(24)，其获取回复包中包含的、识别作为回复包的发送源的终端的固有的识别信息；对照部(14)，其将获取到的识别信息与存储部(12)中存储的识别信息的白名单进行对照；以及判断部(15)，其根据对照部(14)的对照结果，来判断回复包的发送源的终端是否是与网络(NW)非法连接的终端。

Description

监视装置及监视方法

技术领域

本发明涉及一种监视装置及监视方法，特别涉及监视IPv6环境下的向网络的非法连接的技术。

背景技术

近年来，随着Iot的普及，各种设备都与互联网连接。与此相伴，连接到因特网的设备的数量也爆发性地增加，并且正在从以往作为因特网协议使用的IPv4向作为具有128位地址长度的新协议的IPv6过渡。另外，在网络监视装置等多种网络安全产品中，也迅速要求支持IPv6的产品。

以往，在掌握网络内的终端时，在各终端中加入代理(SW)，或者使用IPv4中使用的通信协议即arp(Address Resolution Protocol，地址解析协议)等。

然而，特别是难以在嵌入式设备(例如照相机)中加入代理，在各种设备与网络连接的状况下，有时无法掌握网络上的特定的设备、终端。另外，在非法连接到网络的终端的搜索中，arp是基于IPv4协议的协议，在IPv6环境下难以搜索非法终端。

因此，以往提出了防止IPv6环境下的对网络的非法连接的技术。例如，在专利文献1中，在网络中设置监视装置，监视在网络内传输的NS(Neighbor Solicitation，邻居节点请求)包，根据NS包的发送源地址、MAC地址，来判断是否是被许可与网络连接的终端。

现有技术文献

专利文献

专利文献1：日本专利特开2007-104396号公报

发明内容

发明要解决的问题

但是，在专利文献1所记载的技术中，在以窃听为目的而与网络非法连接的终端(以下称为“非法终端”。)不自己发送NS包等的情况下，无法检测出非法终端。

本发明是为了解决上述课题而完成的，其目的在于提供一种能够减轻在网络内传输的ICMPv6包的监视负担，并且能够在IPv6环境下检测非法终端的监视技术。

为了解决上述问题，本发明的监视装置具备：生成部，其构成为生成包含预先设定的非法的报头的发送包；发送部，其构成为经由通信网络对所述发送包进行所有节点多播发送；接收部，其构成为经由所述通信网络接收来自接收到所述发送包的终端的包含错误报文的回复包；获取部，其构成为获取固有的识别信息，该固有的识别信息包含在所述回复包中，识别作为所述回复包的发送源的所述终端；对照部，其构成为将获取到的所述识别信息与存储在存储部中的识别信息的名单进行对照；以及判断部,其构成为根据所述对照部的对照结果，来判断所述发送源的所述终端是否是与所述通信网络非法连接的终端。

另外，在本发明的监视装置中，也可以是，所述名单包含被许可与所述通信网络连接的终端所固有的识别信息，在由所述获取部获取到的所述识别信息未包含在所述名单中的情况下，所述判断部判断为该终端是与所述通信网络非法连接的终端。

另外，在本发明的监视装置中，还可以具备通知部，该通知部构成为通知所述判断部的判断结果。

另外，在本发明的监视装置中，也可以是，所述通信网络是支持IPv6的通信网络，所述发送包包含接收到所述发送包的终端判断为包中存在问题的非法的IPv6报头。

另外，在本发明的监视装置中，所述回复包可以包含基于ICMPv6的参数非法报文。

另外，在本发明的监视装置中，所述识别信息可以是MAC地址。

另外，在本发明的监视装置中，也可以是，所述获取部检测与所述通信网络连接的终端，并获取IP地址及MAC地址中的至少一个作为该终端的信息，所述判断部根据检测出的所述终端的信息以及所述对照部的对照结果，来判断所述发送源的所述终端是否是与所述通信网络非法连接的终端。

为了解决上述问题，本发明的监视方法具备：生成步骤，生成包含预先设定的非法的报头的发送包；发送步骤，经由通信网络对所述发送包进行所有节点多播发送；接收步骤，经由所述通信网络接收来自接收到所述发送包的终端的包含错误报文的回复包；获取步骤，获取固有的识别信息，该固有的识别信息包含在所述回复包中，识别作为所述回复包的发送源的所述终端；对照步骤，将获取到的所述识别信息与存储在存储部中的识别信息的名单进行对照；以及判断步骤，根据所述对照步骤中的对照结果，来判断所述发送源的所述终端是否是与所述通信网络非法连接的终端。

发明的效果

根据本发明，由于对包含预先设定的非法的报头的发送包进行所有节点多播发送，并获取来自接收到该发送包的终端的包含错误报文的回复包中包含的终端的识别信息，来与识别信息的名单进行对照，所以能够减轻在网络内传输的ICMPv6包的监视负担，并且在IPv6环境下检测出非法终端。

附图说明

图1是表示本发明的实施方式的包含监视装置的非法连接监视系统的构成的框图。

图2是表示本实施方式的监视装置的构成的框图。

图3是表示本实施方式的监视装置的硬件构成的框图。

图4是用于说明本实施方式的监视装置的动作的流程图。

图5是表示本实施方式的白名单的数据结构的一例的图。

具体实施方式

以下，参照图1至图5详细说明本发明的优选实施方式。

[非法连接监视系统的构成]

本发明的实施方式的非法连接监视系统搜索通过非法访问与网络NW非法连接的非法终端3。如图1所示，非法连接监视系统包含监视装置1、合法终端2以及非法终端3。

监视装置1、合法终端2以及非法终端3能够经由LAN等网络NW相互连接。在图1中，合法终端2是运行被许可与网络NW连接的IPv6的PC等终端。另一方面，非法终端3是运行不被许可与网络NW连接的IPv6的PC等终端。

在本实施方式中，非法连接监视系统搜索并检测在链路本地的同一网段上进行与网络NW的非法的连接的非法终端3。在图1的例子中，3个合法终端2分别被分配IPv6地址“1”、“2”、“3”，并且具有MAC地址“A”、“B”、“C”。另外，非法终端3具有IPv6地址“4”以及MAC地址“D”。另外，在非法连接监视系统中分配有链路本地地址“a”。

本实施方式的非法连接监视系统利用IPv6下的因特网控制报文协议(ICMP)的规范中规定的与ICMPv6参数非法报文(ICMP Parameter Problem)相关的规定，来检测出链路本地的非法终端3。

[监视装置的功能块]

如图2所示，监视装置1具备收发部(发送部、接收部)10、生成部11、存储部12、获取部13、对照部14、判断部15以及通知部16。

收发部10经由网络NW将包向合法终端2及非法终端3进行所有节点多播发送。另外，收发部10接收从合法终端2以及非法终端3经由网络NW发送来的包。更详细地说，收发部10将包含后述的非法的IPv6报头的多播包发往所有节点多播地址。另外，收发部10接收从网络NW内的各个终端回复的后述的ICMPv6错误报文，作为对多播包的回复。

生成部11生成包含预先设定的非法的报头的、发往所有节点多播地址的多播包(发送包)。所谓预先设定的非法的报头，是指由作为IPv6节点的合法终端2及非法终端3判断为包中有问题的IPv6报头、扩展报头中包含有有问题的字段的IPv6报头。

在此，在IPv6用的ICMP的规范书(RFC)中有以下的规定。根据RFC，如果处理包的IPv6节点发现了不能完全处理该包的IPv6报头或扩展报头中包含的存在问题的字段，则认为该包必须丢弃。另外，规定了IPv6节点应该向包的发送源发送表示类型和问题位置的ICMPv6参数非法报文。

生成部11生成多播包，该多播包具有从网络NW上的合法终端2及非法终端3返回ICMPv6参数非法报文(ICMP Parameter Problem)(以下，有时称为“ICMPv6错误报文”。)的回复那样的非法的报头。

例如，生成部11能够生成IPv6报头内的逐跳选项(Hop-by-Hop Option)的值是IPv6节点无法识别的IPv6扩展报头的数据的多播包。此外，生成部11也可以构成为从存储部12中读出预先准备的非法的报头。

存储部12存储许可与网络NW连接的合法终端2所固有的识别信息。存储部12例如存储有登记了合法终端2的MAC地址的白名单。

获取部13获取包含在回复包中的表示发送源的固有的识别信息，该回复包是由收发部10接收到的、来自网络NW内的合法终端2以及非法终端3的回复包。获取部13例如能够获取在ICMPv6错误报文的包中处于规定位置的发送源的MAC地址。

另外，获取部13能够检测与网络NW连接的包含合法终端2、非法终端3的设备，并获取这些设备的信息。例如，获取部13能够检测出网络NW上的设备的IP地址以及MAC地址中的至少某一个。

对照部14将由获取部13获取到的ICMPv6错误报文的包中包含的发送源的识别信息与预先登记在存储部12中的合法终端2的识别信息进行对照。更详细地说，对照部14将ICMPv6的错误报文包中包含的MAC地址与登记在白名单中的MAC地址进行对照。

判断部15根据对照部14的对照结果，判断ICMPv6错误报文的发送源的终端是否是与网络NW非法连接的终端。具体而言，在ICMPv6的错误报文的包中包含的MAC地址中，都不符合登记在白名单中的MAC地址的任意一个的情况下，判断部15判断为具有该MAC地址的终端是非法终端3。

此外，判断部15也可以根据由获取部13检测出并获取到的网络NW上的设备的信息以及对照部14的对照结果，来进行上述判断。

通知部16输出判断部15的判断结果。例如，能够使显示装置107显示由判断部15判断为是非法终端3的终端的识别信息。另外，能够向经由因特网等通信网络连接的未图示的外部服务器等通知检测到非法终端3的情况以及非法终端3的识别信息。

[监视装置的硬件构成]

接着，使用图3说明具有上述功能的监视装置1的硬件构成的一例。

如图3所示，监视装置1例如可以通过计算机、和控制这些硬件资源的程序来实现，该计算机具备经由总线101连接的处理器102、主存储装置103、通信接口104、辅助存储装置105以及输入输出I/O106。

在主存储装置103中，预先存储有用于处理器102进行各种控制、运算的程序。通过处理器102和主存储装置103，得以实现图2所示的生成部11、获取部13、对照部14、判断部15等监视装置1的各功能。

通信接口104是用于将监视装置1与合法终端2以及非法终端3、各种外部电子设备之间进行网络连接的接口电路。

辅助存储装置105由可读写的存储介质和用于对该存储介质读写程序、数据等各种信息的驱动装置构成。辅助存储装置105可以使用硬盘、闪存等半导体存储器作为存储介质。

辅助存储装置105具有程序储存区域，该程序储存区域储存用于监视装置1执行非法终端3的检测处理的程序。另外，辅助存储装置105存储被许可与网络NW连接的合法终端2的白名单。通过辅助存储装置105实现图2中说明的存储部12。进一步地，例如也可以具有用于备份上述的数据、程序等的备份区域等。

输入输出I/O106由输入来自外部设备的信号或向外部设备输出信号的I/O端子构成。

显示装置107由液晶显示器等构成。显示装置107实现在图2中说明的通知部16。通知部16的通知显示在显示装置107上。

[监视方法]

接着,参照图4的流程图对具有上述构成的监视装置1的动作进行说明。以下，作为前提，假设在存储部12中存储有包含预先被许可与网络NW连接的终端的识别信息的白名单。

首先，生成部11生成具有从网络NW上的合法终端2及非法终端3返回ICMPv6参数非法报文(ICMP Parameter Problem)的回复那样的非法的报头的包(步骤S1)。具体地说，生成部11能够生成IPv6报头内的逐跳选项(Hop-by-Hop Option)的值是IPv6节点无法识别的IPv6扩展报头的数据的多播包。

接着，收发部10将所生成的具有非法的报头的多播包发往所有节点多播地址(步骤S2)。具体而言，如图1所示，收发部10经由网络NW向3个合法终端2以及非法终端3将多播包发往所有节点多播地址(例如，“FE02::1”)。

然后，收发部10从接收到具有非法的报头的多播包的合法终端2及非法终端3接收ICMPv6错误报文作为回复包(步骤S3)。接着，获取部13获取接收到的ICMPv6的错误报文包中包含的表示发送源的固有的识别信息(步骤S4)。例如，获取部13可以获取发送源的MAC地址作为固有的识别信息。

接着，对照部14将获取部13获取到的固有的识别信息与存储部12中存储的白名单进行对照(步骤S5)。具体而言，对照部14将ICMPv6的错误报文包中包含的发送源的MAC地址与登记在白名单中的MAC地址进行对照。

图5表示存储在存储部12中的白名单的一例。在预先准备的白名单中，登记有MAC地址“A”、“B”、“C”。对照部14将ICMPv6错误报文的包中包含的MAC地址是否与“A”、“B”、“C”一致输出为对照结果。

在ICMPv6错误报文的包中包含的MAC地址存在于白名单中的情况下(步骤S6：是)，重复步骤S3到步骤S6，直到获取到的所有的MAC地址都与白名单进行对照为止(步骤S8：否)。

另一方面，在ICMPv6错误报文的包中包含的MAC地址不存在于白名单中的情况下(步骤S6：否)，判断部15将具有所对照的MAC地址的终端判断为非法终端3(步骤S7)。

之后，通知部16通知存在非法终端3以及非法终端的MAC地址(步骤S9)。例如，通知部16能够使显示装置107显示非法终端3的MAC地址等。另外，在未检测到非法终端3的情况下，通知部16也可以进行表示该情况的通知。

如以上说明的那样，根据本实施方式的监视装置1，将包含非法的报头的多播包向网络NW内的终端进行所有节点多播发送，然后利用从终端返回的ICMPv6错误报文的包中包含的发送源的固有的识别信息，来检测出非法终端3。因此，无需等待网络NW内的各终端发送NS包，就能够在IPv6环境下检测与链路本地连接的非法终端3。

另外，由于使用ICMPv6错误报文的包中包含的信息，所以能够通过发送更少的量的搜索包，在更短的时间内检测出非法终端3。

此外，在说明的实施方式中，例示了使用MAC地址作为网络NW内的终端所固有的识别信息的情况。但是，作为固有的识别信息使用的信息不限于此。例如，也可以使用IPv6地址和MAC地址的组合等。

以上，对本发明的监视装置以及监视方法中的实施方式进行了说明，但本发明并不限定于所说明的实施方式，本领域技术人员能够在技术方案所记载的发明的范围内进行能够设想的各种变形。

符号说明

1…监视装置、2…合法终端、3…非法终端、10…收发部、11…生成部、12…存储部、13…获取部、14…对照部、15…判断部、16…通知部、101…总线、102…处理器、103…主存储装置、104…通信接口、105…辅助存储装置、106…输入输出I/O、107…显示装置、NW…网络。

Claims

1.一种监视装置，其特征在于，

所述监视装置对以窃听为目的而与网络非法连接的非法终端进行检测，具备：

生成部，其构成为生成包含预先设定的非法的报头的发送包；

发送部，其构成为经由通信网络对所述发送包进行所有节点多播发送；

接收部，其构成为经由所述通信网络接收来自接收到所述发送包的终端的包含错误报文的回复包；

获取部，其构成为获取固有的识别信息，该固有的识别信息包含在所述回复包中，识别作为所述回复包的发送源的所述终端；

对照部，其构成为将获取到的所述识别信息与存储在存储部中的识别信息的名单进行对照；以及

判断部，其构成为根据所述对照部的对照结果，来判断所述发送源的所述终端是否是与所述通信网络非法连接的终端。

2.根据权利要求1所述的监视装置，其特征在于，

所述名单包含被许可与所述通信网络连接的终端所固有的识别信息，

在由所述获取部获取到的所述识别信息未包含在所述名单中的情况下，所述判断部判断为该终端是与所述通信网络非法连接的终端。

3.根据权利要求1或2所述的监视装置，其特征在于，还具备：

通知部，其构成为通知所述判断部的判断结果。

4.根据权利要求1或2所述的监视装置，其特征在于，

所述通信网络是支持IPv6的通信网络，

所述发送包包含接收到所述发送包的终端判断为包中存在问题的非法的IPv6报头。

5.根据权利要求1或2所述的监视装置，其特征在于，

所述回复包包含基于ICMPv6的参数非法报文。

6.根据权利要求1或2所述的监视装置，其特征在于，

所述识别信息是MAC地址。

7.根据权利要求1或2所述的监视装置，其特征在于，

所述获取部检测与所述通信网络连接的终端，并获取IP地址及MAC地址中的至少某一个作为该终端的信息，

所述判断部根据检测出的所述终端的信息以及所述对照部的对照结果，来判断所述发送源的所述终端是否是与所述通信网络非法连接的终端。

8.一种监视方法，其特征在于，

所述监视方法对以窃听为目的而与网络非法连接的非法终端进行检测，具备：

生成步骤，生成包含预先设定的非法的报头的发送包；

发送步骤，经由通信网络对所述发送包进行所有节点多播发送；

接收步骤，经由所述通信网络接收来自接收到所述发送包的终端的包含错误报文的回复包；

获取步骤，获取固有的识别信息，该固有的识别信息包含在所述回复包中，识别作为所述回复包的发送源的所述终端；

对照步骤，将获取到的所述识别信息与存储在存储部中的识别信息的名单进行对照；以及

判断步骤，根据所述对照步骤中的对照结果，来判断所述发送源的所述终端是否是与所述通信网络非法连接的终端。