JP2000307603A - ネットワーク監視方法および装置 - Google Patents

ネットワーク監視方法および装置

Info

Publication number
JP2000307603A
JP2000307603A JP11117197A JP11719799A JP2000307603A JP 2000307603 A JP2000307603 A JP 2000307603A JP 11117197 A JP11117197 A JP 11117197A JP 11719799 A JP11719799 A JP 11719799A JP 2000307603 A JP2000307603 A JP 2000307603A
Authority
JP
Japan
Prior art keywords
network
network configuration
unit
configuration
recording
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP11117197A
Other languages
English (en)
Inventor
Taketo Sasaki
雄飛 佐々木
Toshiaki Shinohara
利章 篠原
Kengo Tsuzuki
健吾 都築
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Holdings Corp
Original Assignee
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Industrial Co Ltd filed Critical Matsushita Electric Industrial Co Ltd
Priority to JP11117197A priority Critical patent/JP2000307603A/ja
Priority to AU27698/00A priority patent/AU770147B2/en
Priority to TW89106904A priority patent/TW463498B/zh
Priority to CA 2305997 priority patent/CA2305997A1/en
Priority to EP00108435A priority patent/EP1047224A3/en
Priority to CN 00106916 priority patent/CN1271895A/zh
Publication of JP2000307603A publication Critical patent/JP2000307603A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/085Retrieval of network configuration; Tracking network configuration history
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0852Delays

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

(57)【要約】 【課題】 IEEE1394ネットワークに代表される
活線接続可能なネットワークにおいて、ネットワークに
不正に接続された機器を発見することでセキュリティを
保つことを目的とする。 【解決手段】 ネットワークトポロジを監視、記録する
ことまたは伝送遅延の変化を監視、記録することでトポ
ロジの変化からネットワークに追加、削除された機器を
発見し、機器固有の情報またはバスリセット前情報で機
器の認証を行なう。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、ネットワークのセ
キュリティに係り、特にIEEE1394に代表される
活線接続可能なネットワークにおける機器の不正接続に
対するセキュリティに関する。
【0002】
【従来の技術】IEEE1394は、シンプルな構成と
高いパフォーマンスにより家庭内LANなど今後の様々
な機器間接続手段として期待されている。100Mbp
s以上の転送速度、Isochronous と呼ばれるマルチメデ
ィアデータ転送に適した転送方式、機器の接続を自動的
に認識することでネットワークの稼働中に機器を追加、
削除が可能な活線接続機能を備え、トゥリー型のネット
ワークを構成し、広い用途に活用することが可能であ
る。
【0003】用途のひとつにカメラを用いた監視システ
ムを構成することが考えられる。これは、高速な転送速
度のために多量の映像等のデータを伝送することが可能
になるためである。従来の監視システムの場合、監視に
必要な数のアナログ出力カメラとそれと同数のビデオキ
ャプチャボード等のA/D変換機構を必要とし、また、
カメラとビデオキャプチャボードとの接続に一本のケー
ブルを必要とし、カメラ台数と同じ本数のケーブルを引
き回す必要があった。
【0004】しかし、IEEE1394などの活線接続
が可能なネットワークを利用した監視システムの場合、
監視に必要な数のデジタル出力カメラに対し、ネットワ
ーク監視装置として受信、記録のためのパソコンを最低
ひとつ接続するだけで済み、またトゥリー型のネットワ
ークを構成することにより、少ないケーブル本数で監視
システムを構成することが可能である。
【0005】
【発明が解決しようとする課題】活線接続が可能なネッ
トワークでは、ネットワークに簡単に機器を接続するこ
とができる。これは便利な機能である反面、監視システ
ムなどのセキュリティの必要とされるネットワークにお
いては部外者に不正に機器を接続された場合、ネットワ
ーク上の情報の盗聴、改ざん、不正なパケットの発信な
ど重大な問題を引き起こす可能性がある。このためIE
EE1394などの活線接続が可能なネットワークにお
いては、ネットワークに接続してくる機器を監視し、そ
れが不正な機器であるか否かを判別し、不正な機器の接
続を防止することでネットワーク自体をセキュアに保つ
ことが望ましい。
【0006】そこで本発明では、ネットワークへの機器
の追加、削除およびネットワーク構成の変化を監視し、
ネットワークへの不正な機器の接続を発見することので
きるネットワーク監視方法および装置を提供することを
目的とする。
【0007】
【課題を解決するための手段】原理的には、ネットワー
クのノードとなる機器がポート別に接続状態を把握可能
であれば、ネットワーク構成を得ることができる。IE
EE1394ネットワークでは、ひとつの機器が複数の
ポートを持つが、接続はポート毎に認識が可能である。
これを利用するとネットワークの構成を知ることができ
る。
【0008】活線接続可能なネットワークにおいては、
機器をネットワークに接続、ネットワークから削除する
際に、ネットワークを初期化し、機器のIDを決定する
等の理由でネットワークにリセットを掛ける必要があ
る。リセット後には各機器の能力、状態を交換し、各機
器のIDを決定しネットワーク構成を明らかにする。こ
れらによりネットワーク構成を得ることができ、またネ
ットワーク構成の変化を検出することができる。
【0009】IEEE1394ネットワークでは、新し
い機器が接続されたりすでに接続されている機器が削除
されたりすると、バスリセットがかかり、ネットワーク
構成の認識を始める。IEEE1394ネットワークの
ノードは、階層型の親子関係を持つ。バスリセット後は
最初に親子関係を決定する。接続されたポートをひとつ
しか持たないノードはリーフと呼ばれ、自ら子ノードと
なろうとし、接続されたポートに接続された隣接するノ
ードに、自分は子ノードとなる旨伝達する。伝達を受け
たノードは親ノードとなる。親ノードとなったノード
は、ネットワークがトゥリー型であることが保証されて
いるため、遅かれ早かれ(A)接続されているノードす
べてが子ノードになるか、あるいは(B)ひとつの接続
されているノードを除いたすべての接続されているノー
ドが子ノードとなる。(A)の状況になった場合、その
ノードはルートとなり、親子関係の構築は終了する。
(B)の状況になった場合、そのノードは残された接続
されたポートに接続された隣接するノードに自分は子ノ
ードとなる旨伝達し、以後再帰的にルートが決定される
まで繰り返す。
【0010】親子関係が決定すると、親子の序列上決め
られた順番に自己識別パケットと呼ばれるパケットをブ
ロードキャストし、各ノードのIDを決定してゆく。全
ノードのIDが決定すると、ネットワークの構築の終了
であり、以後は普通にデータ伝送が行なわれる。自己識
別パケットには、各ノードのポート毎の接続状態が記録
されている。このパケットを、トポロジマップレジスタ
と呼ばれるレジスタを持った機器が収集し、ネットワー
ク構成を明らかにし、トポロジマップレジスタに格納す
る。ネットワーク上の機器は、トポロジマップレジスタ
を見ることによりネットワーク構成を知ることができ
る。また、ネットワーク監視装置が自ら自己識別パケッ
トを収集し、ネットワーク構成を知ることもできる。
【0011】以上述べたようにIEEE1394では、
ネットワーク構成を得ることが容易であり、ネットワー
ク構成の変化を監視することで不正な機器の接続が行な
われた可能性を検出することが可能になる。活線接続可
能なネットワークにおいて、ネットワークを管理する機
器は必ずしも一意に決定されるとは限らず、何らかの交
渉を通じて管理者が決定することがある。この時、管理
者を監視し、問題のある機器が管理者になることを防ぐ
必要がある。
【0012】IEEE1394では、バスマネージャは
トポロジマップを持つことが保証されているが、バスマ
ネージャは能力さえあれば成ることが可能なため、どの
機器がバスマネージャになるかも監視する。また、バス
マネージャを決定するのはアイソクロナスマネージャで
あるため、どの機器がアイソクロナスマネージャになる
かも監視する。また、活線接続であることを利用し、自
己識別パケットを偽る、あるいは出力しないノードが正
常なノードの間に不正に接続される可能性がある。そこ
で伝送遅延を測定、記録し、変化を検出することで、不
正なノードを検出する。また、ネットワーク構成が変化
した際のリセットの前に適当な情報を共有しておき、リ
セット後にその情報を用いた認証を行なうことで、機器
がリセット以前から存在したかどうかを検出することが
可能となる。これらに通常の認証を加えて機器の正当性
を確認することで、さらにネットワークのセキュアを高
めることができる。
【0013】
【発明の実施の形態】請求項1に記載のネットワーク監
視方法は、ネットワーク構成を知る機能を有する機器に
問い合わせることでネットワーク構成を観察し、記録
し、観測結果と以前の観測結果の記録との差分を抽出す
ることでネットワーク構成の変化を認識し、ネットワー
クに不正な機器が接続されるのを監視することを特徴と
し、特別な手段を必要とせず、ネットワーク構成の変化
を検出することができ、ネットワークに不正な機器の接
続された可能性を検出することで、ネットワークをセキ
ュアに保つことができるという作用を有する。
【0014】請求項2に記載のネットワーク監視装置
は、ネットワーク構成を知る機能を有する機器に問い合
わせることでネットワーク構成を検出するネットワーク
構成検出部と、検出したネットワーク構成を記録するネ
ットワーク構成記録部と、観測結果と以前の観測結果の
記録とを比較するネットワーク構成比較部と、ユーザに
警告を示す表示部とを具備することを特徴とし、監視機
器にネットワーク構成検出能力を必要とせずにネットワ
ーク構成の変化を検出することができ、ネットワークに
不正な機器の接続された可能性を検出することができる
という作用を有する。
【0015】請求項3に記載のネットワーク監視方法は
各機器に接続状態を問い合わせることでネットワーク構
成を観察し、記録し、観測結果と以前の観測結果の記録
との差分を抽出することでネットワーク構成の変化を認
識することを特徴とし、ネットワーク構成の変化を検出
することができ、ネットワークに不正な機器の接続され
た可能性を検出することができるという作用を有する。
【0016】請求項4に記載のネットワーク監視装置は
各機器に接続状態を問い合わせることでネットワーク構
成を検出するネットワーク構成検出部と、検出したネッ
トワーク構成を記録するネットワーク構成記録部と、観
測結果と以前の観測結果の記録とを比較するネットワー
ク構成比較部と、ユーザに警告を示す表示部とを具備す
ることを特徴とし、ネットワーク構成の変化を検出する
ことができ、ネットワークに不正な機器の接続された可
能性を検出することができるという作用を有する。
【0017】請求項5に記載のネットワーク監視方法
は、請求項1に記載のネットワーク監視方法において、
予めセキュアである条件を与え、それをもとにネットワ
ークがセキュアか否かを自動的に判別することを特徴と
し、特別な手段を必要とせず、ネットワーク構成の変化
を検出することができ、ネットワークに不正な機器の接
続された可能性を検出し、与えられた条件に因ってネッ
トワークがセキュアか否か自動的に判断することができ
るという作用を有する。
【0018】請求項6に記載のネットワーク監視装置
は、請求項2に記載のネットワーク監視装置において、
予めセキュアである条件を与えておく許容ネットワーク
構成記録部と、それをもとにネットワークがセキュアか
否かを自動的に判別する判断部と、変化をユーザに警告
する警告発生部とを具備することを特徴とし、特別な手
段を必要とせず、ネットワーク構成の変化を検出するこ
とができ、ネットワークに不正な機器の接続された可能
性を検出し、与えられた条件に因ってネットワークがセ
キュアか否か自動的に判断することができるという作用
を有する。
【0019】請求項7に記載のネットワーク監視方法
は、請求項3に記載のネットワーク監視方法において、
予めセキュアである条件を与え、それをもとにネットワ
ークがセキュアか否かを自動的に判別することを特徴と
し、ネットワーク構成の変化を検出することができ、ネ
ットワークに不正な機器の接続された可能性を検出し、
与えられた条件に因ってネットワークがセキュアか否か
自動的に判断することができるという作用を有する。
【0020】請求項8に記載のネットワーク監視装置
は、請求項4に記載のネットワーク監視装置において、
予めセキュアである条件を与えておく許容ネットワーク
構成記録部と、それをもとにネットワークがセキュアか
否かを自動的に判別する判断部と、変化をユーザに警告
する警告発生部とを具備することを特徴とし、ネットワ
ーク構成の変化を検出することができ、ネットワークに
不正な機器の接続された可能性を検出し、与えられた条
件に因ってネットワークがセキュアか否か自動的に判断
することができるという作用を有する。
【0021】請求項9に記載のネットワーク監視方法
は、ネットワーク構成のリセット信号を検出し、ネット
ワーク構成を知る機能のある機器に問い合わせることで
ネットワーク構成を観察し、記録し、リセット以前とリ
セット以後の記録との差分を抽出することでネットワー
ク構成の変化を認識することを特徴とし、特別な手段を
必要とせず、最小の手順でネットワーク構成の変化を検
出することができ、ネットワークに不正な機器の接続さ
れた可能性を検出することができるという作用を有す
る。
【0022】請求項10に記載のネットワーク監視装置
は ネットワーク構成のリセット信号を検出するリセッ
ト検出部と、ネットワーク構成を知る機能のある機器に
問い合わせることでネットワーク構成を検出するネット
ワーク構成検出部と、検出したネットワーク構成を記録
するネットワーク構成記録部と、観測結果と以前の観測
結果の記録とを比較するネットワーク構成比較部と、ユ
ーザに警告を示す表示部とを具備することを特徴とし、
特別な手段を必要とせず、最小の手順でネットワーク構
成の変化を検出することができ、ネットワークに不正な
機器の接続された可能性を検出することができるという
作用を有する。
【0023】請求項11に記載のネットワーク監視方法
は、ネットワーク構成のリセット信号後に発生するネッ
トワーク上の機器の識別信号を受信することでネットワ
ーク構成を観察し、記録し、リセット以前とリセット以
後の記録との差分を抽出することでネットワーク構成の
変化を認識することを特徴とし、特別な手段を必要とせ
ず、またトラフィックを増加させることなく、最小の手
順でネットワーク構成の変化を検出することができ、ネ
ットワークに不正な機器の接続された可能性を検出する
ことができるという作用を有する。
【0024】請求項12に記載のネットワーク監視装置
は、ネットワーク構成のリセット信号を検出するリセッ
ト検出部と、リセット後に発生するネットワーク上の機
器の識別信号を受信することでネットワーク構成を検出
するネットワーク構成検出部と、検出したネットワーク
構成を記録するネットワーク構成記録部と、観測結果と
以前の観測結果の記録とを比較するネットワーク構成比
較部と、ユーザに警告を示す表示部とを具備することを
特徴とし、特別な手段を必要とせず、またトラフィック
を増加させることなく、最小の手順でネットワーク構成
の変化を検出することができ、ネットワークに不正な機
器の接続された可能性を検出することができるという作
用を有する。
【0025】請求項13に記載のネットワーク監視方法
は、請求項9に記載のネットワーク監視方法において、
予めセキュアである条件を与え、それをもとにネットワ
ークがセキュアか否かを自動的に判別することを特徴と
し、特別な手段を必要とせず、最小の手順でネットワー
ク構成の変化を検出することができ、ネットワークに不
正な機器の接続された可能性を検出し、与えられた条件
に因ってネットワークがセキュアか否か自動的に判断す
ることができるという作用を有する。
【0026】請求項14に記載のネットワーク監視装置
は、請求項10に記載のネットワークネットワーク監視
装置において、予めセキュアである条件を与えておく許
容ネットワーク構成記録部と、それをもとにネットワー
クがセキュアか否かを自動的に判別する判断部と、変化
をユーザに警告する警告発生部とを具備することを特徴
とし、特別な手段を必要とせず、最小の手順でネットワ
ーク構成の変化を検出することができ、ネットワークに
不正な機器の接続された可能性を検出し、与えられた条
件に因ってネットワークがセキュアか否か自動的に判断
することができるという作用を有する。
【0027】請求項15に記載のネットワーク監視方法
は、請求項11に記載のネットワーク監視方法におい
て、予めセキュアである条件を与え、それをもとにネッ
トワークがセキュアか否かを自動的に判別することを特
徴とし、特別な手段を必要とせず、またトラフィックを
増加させることなく、最小の手順でネットワーク構成の
変化を検出することができ、ネットワークに不正な機器
の接続された可能性を検出し、与えられた条件に因って
ネットワークがセキュアか否か自動的に判断することが
できるという作用を有する。
【0028】請求項16に記載のネットワーク監視装置
は、請求項12に記載のネットワークネットワーク監視
装置において、予めセキュアである条件を与えておく許
容ネットワーク構成記録部と、それをもとにネットワー
クがセキュアか否かを自動的に判別する判断部と、変化
をユーザに警告する警告発生部とを具備することを特徴
とし、特別な手段を必要とせず、またトラフィックを増
加させることなく、最小の手順でネットワーク構成の変
化を検出することができ、ネットワークに不正な機器の
接続された可能性を検出し、与えられた条件に因ってネ
ットワークがセキュアか否か自動的に判断することがで
きるという作用を有する。
【0029】請求項17に記載のネットワーク監視方法
は、複数の手段でネットワーク構成を検出し、各手段か
ら得られるネットワーク構成に矛盾が無いか判定するこ
とを特徴とし、フォールトトレランスを維持することが
でき、また、不正なトポロジマップを検出することでネ
ットワークに不正な機器の接続された可能性を検出する
ことができるという作用を有する。
【0030】請求項18に記載のネットワーク監視装置
は、複数の手段でネットワーク構成を検出するネットワ
ーク構成検出部または複数のネットワーク構成検出部
と、検出されたネットワーク構成を記録する記録部と、
検出されたネットワーク構成に矛盾がないか調べる比較
部とを具備することを特徴とし、ネットワーク構成獲得
手段を複数持つことでフォールトトレランスを維持する
ことができ、また、不正なネットワーク構成を報告した
ネットワーク構成獲得手段を検出することでネットワー
クに不正な機器の接続された可能性を検出することがで
きるという作用を有する。
【0031】請求項19に記載のネットワーク監視方法
は、自らネットワーク構成を知り、管理する能力を持
ち、ネットワークを管理するマネージャとなり、マネー
ジャになれなかった場合、監視者または上位のネットワ
ーク監視装置に警告を発することを特徴とし、ネットワ
ークを管理するマネージャの乗っ取りを防止するという
作用を有する。
【0032】請求項20に記載のネットワーク監視方法
は、自らアイソクロナス転送とそのリソースを管理する
能力を持ち、アイソクロナス転送を管理するマネージャ
となり、監視者または上位のネットワーク監視装置に警
告を発することを特徴とし、アイソクロナス転送を管理
するマネージャの乗っ取りを防止するという作用を有す
る。
【0033】請求項21に記載のネットワーク監視方法
は、機器間の伝送遅延を観測し、記録し、観測結果と以
前の観測結果の記録との差分を判定し伝送遅延の変化を
認識することでネットワーク構成の変化を認識すること
を特徴とし、ネットワークに不正な機器の接続された可
能性を検出することができるという作用を有する。
【0034】請求項22に記載のネットワーク監視装置
は、機器間の伝送遅延を観測する伝送遅延検出部と、伝
送遅延を記録する記録部と、観測結果と以前の観測結果
の記録との差分を判定し、検出条件と比較し伝送遅延の
変化を検出する変化検出部と、変化をユーザに警告する
警告発生部とを具備することを特徴とし、ネットワーク
にノードとして振舞わない不正な機器の接続された可能
性を検出することができるという作用を有する。
【0035】請求項23に記載のネットワーク監視装置
は、伝送遅延検出の条件を設定、記録する検出条件記録
部と、伝送遅延測定用のパケットを送出するパケット送
信部と、そのackを受信するパケット受信部と、伝送
遅延を記録する記録部と、観測結果と以前の観測結果の
記録との差分を判定し、検出条件と比較し伝送遅延の変
化を検出する変化検出部と、変化をユーザに警告する警
告発生部とを具備することを特徴とし、ネットワークに
ノードとして振舞わない不正な機器の接続された可能性
を検出することができるという作用を有する。
【0036】請求項24に記載のネットワーク監視装置
は、ネットワーク上のデータパケットとそれに対するa
ckを監視するパケット監視部と、伝送遅延を記録する
記録部と、観測結果と以前の観測結果の記録との差分を
判定し、検出条件と比較し伝送遅延の変化を検出する変
化検出部と、変化をユーザに警告する警告発生部とを具
備することを特徴とし、トラフィックを増加させること
なく、ネットワークにノードとして振舞わない不正な機
器の接続された可能性を検出することができるという作
用を有する。
【0037】請求項25に記載のネットワーク監視方法
は、複数の機器からなるネットワークシステムで、ネッ
トワーク構成をリセットする信号の前に予め情報を交換
しておき、リセット後に予め交換しておいた情報に基づ
く認証を行なうことで、リセット以前から存在した機器
と新たに追加された機器および削除された機器を認識す
ることを特徴とし、リセット以前から存在する機器を識
別し、ネットワークに新たに接続された不正な機器を発
見することができるという作用を有する。
【0038】請求項26に記載のネットワーク監視装置
は、ネットワーク構成をリセットする信号の前に交換す
る情報を生成する鍵生成部と、リセット前情報を記録し
ておく記録部と、リセットを検出するリセット検出部
と、予め交換しておいた情報に基づきバスリセット後に
認証を行なう機器認証処理部とを具備することを特徴と
し、リセット以前から存在する機器を識別し、ネットワ
ークに新たに接続された不正な機器を発見することがで
きるという作用を有する。
【0039】請求項27に記載のネットワーク監視シス
テムは、請求項1から26に記載のネットワーク監視方
法およびネットワーク監視装置のいずれかを具備するこ
とを特徴とし、ネットワークをセキュアに保つことで安
全にネットワーク上でデータの送受信をすることが可能
であるという作用を有する。
【0040】以下、添付図面の図1から20に基づき、
本発明の実施の形態を詳細に説明する。なお、ここでは
活線接続可能なネットワークとしてIEEE1394ネ
ットワークの場合を想定して説明している。また、以下
の説明において、ネットワーク構成とは、どの機器の何
番のポートにどの機器の何番のポートが接続されている
かという情報であり、ネットワーク構成を検出すると
は、ここではネットワーク内のノードとアークの関係を
把握することを指す。ネットワーク構成の検出の手段と
しては、バスマネージャなどの物理層でトポロジマップ
を持つ機器に問い合わせを行なう、機器に接続状態を問
い合わせる、自らバスマネージャになる、等の方法があ
る。
【0041】トポロジマップを持つ機器に問い合わせる
方法は、ネットワーク監視装置に特別な能力が無くとも
ネットワーク構成を知ることができるという作用があ
る。機器に接続状態を問い合わせる方法は、物理層に直
接アクセスすること無しにネットワーク構成を知ること
ができ、またネットワーク構成情報以外の情報も同時に
扱うことができるという作用がある。ネットワーク監視
装置自らがバスマネージャになる場合、自分以外の機器
がバスマネージャに決定したか、あるいは自分以外の機
器がバスマネージャに立候補したかという情報をセキュ
リティの判断に用いることができる。この情報を得るこ
とは、バスマネージャになりすまそうとする不正な機器
を発見することができるという作用を有する。自らバス
マネージャにならない場合、バスマネージャを決定する
アイソクロナスマネージャに自らがなっても良い。この
時、自分以外の機器がアイソクロンナスマネージャに決
定したか、あるいは自分以外の機器がアイソクロナスマ
ネージャに立候補したか、あるいは自分がバスマネージ
ャに決定した機器以外の機器がバスマネージャに立候補
したかという情報をセキュリティの判断に用いることが
できる。この情報を得ることは、アイソクロナスマネー
ジャまたはバスマネージャになりすまそうとする不正な
機器を発見することができるという作用を有する。
【0042】セキュアなネットワーク構成の条件として
は、セキュアなネットワーク構成のリスト、ネットワー
クに接続が許容されている機器と接続位置のリスト、許
容されている機器の組、許容されている機器間のアーク
のトポロジ、許されるネットワーク構成変化のリスト、
あるいはこれらを論理的に記述した式等、あるいはこれ
らの組合せが用いられる。
【0043】(実施の形態1)図1は本発明の実施の形
態1におけるネットワーク監視方法を説明する図であ
る。図1において、301a〜301dはネットワーク
を構成するカメラ、308はネットワーク監視装置、3
11はネットワーク監視装置に登録されている機器およ
びネットワークの登録リストである。
【0044】次に、図1を参照して本発明の実施の形態
1におけるネットワーク監視方法を説明する。ネットワ
ーク監視装置308は、ネットワーク構成を獲得する能
力があり、また、ネットワーク機器についての固有な情
報を得る手段を持っている。ここでは情報として機器の
IDとして製造元および製造番号を用いる場合を説明す
る。ネットワーク監視装置308は、許容されるネット
ワーク機器およびネットワーク構成を登録する登録リス
ト311を持つ。登録リスト311の内容は、事前に登
録されても良いし、ネットワーク監視装置308が監視
結果を記録して更新してもよい。ここでは、ネットワー
ク監視装置308、カメラ301a 、カメラ301b 、
カメラ301c からなるネットワークが登録リスト31
1に登録されている。現在のネットワーク上の機器およ
びネットワーク構成は登録リスト311の内容に合致す
るために許容される。
【0045】ここでカメラ301d をネットワークに接
続するとする。その場合、ネットワーク上のネットワー
ク機器およびネットワーク構成が変化する。ネットワー
ク監視装置308は、ネットワーク機器の情報およびネ
ットワーク構成を獲得し、それを登録リスト311と比
較する。ネットワーク機器の情報およびネットワーク構
成が登録リスト311の内容と合致しない場合、ネット
ワーク監視装置308は警告を発する。
【0046】本発明の実施の形態1におけるネットワー
ク監視方法を以上のように構成することにより、ネット
ワーク機器の情報およびネットワーク構成を利用し、ネ
ットワークに不正な機器が接続された可能性を検出でき
るネットワーク監視方法を実現することができる。
【0047】(実施の形態2)図2は本発明の実施の形
態2におけるネットワーク監視方法の流れ図である。図
2において、401はネットワーク構成の監視フェイ
ズ、402はネットワーク構成の記録フェイズ、403
はネットワーク構成の変化検出フェイズ、404はユー
ザに警告を行なうフェイズ、405はユーザの確認を受
けるフェイズ、406はユーザの確認を受けたことを記
録するフェイズである。
【0048】次に、図2を参照して本発明の実施の形態
2におけるネットワーク監視方法を説明する。監視者は
設定された時刻にネットワーク構成を検出する( 40
1)。検出時刻については、バスリセット直後、一定時
間間隔、ランダム時間間隔、トラフィックの少ない時
間、特定のイベントの直前または直後、ユーザの指示し
た時刻、常時、等の手段がある。検出されたネットワー
ク構成は記録される( 402)。検出されたネットワー
ク構成は、過去に記録されたネットワーク構成または特
に設定されたネットワーク構成を比較される( 40
3)。比較の結果、変化が認められなかった場合には4
01に戻り、次のネットワーク構成検出まで待機する。
比較の結果変化が認められた場合、ユーザに警告を行な
う( 404)。警告を受けたユーザは現在のネットワー
ク構成がセキュアであるか否か判断する。ユーザがセキ
ュアであると判断した場合、その旨を記録し( 40
6)、401に戻り、次のネットワーク構成検出まで待
機する。
【0049】なお、ユーザへの警告404は、警告音や
音声を利用または表示と警告音、音声を併用した警告を
行なってもよい。また、警告理由およびその判断材料と
なった情報を提示しても良い。また、ネットワークの運
用を停止する、ネットワークの接続を強制切断する、等
の対策を警告と共に行なっても良い。
【0050】本発明の実施の形態2におけるネットワー
ク監視方法を以上のように構成することにより、ネット
ワーク構成の変化を検出し、ネットワークに不正な機器
の接続された可能性を検出できるネットワーク監視方法
を実現することができる。
【0051】(実施の形態3)図3は本発明の実施の形
態3におけるネットワーク監視装置の構成を示すブロッ
ク図である。図3において、101はネットワーク、1
02はネットワーク構成を検出するネットワーク構成検
出部、103はネットワーク構成を記録するネットワー
ク構成記録部、104はネットワーク構成の変化を検出
するネットワーク構成変化検出部、105はネットワー
ク構成の変化を表示する表示部であり、110はユーザ
からの入力を受け付ける入力部である。
【0052】次に、図3を参照して本発明の実施の形態
3におけるネットワーク監視装置の動作を説明する。最
初に、ネットワークがセキュアな状態において、ネット
ワーク構成検出部102は、現在のセキュアなネットワ
ーク構成を検出し、ネットワーク構成記録部103は、
そのネットワーク構成をそれがセキュアであるというセ
キュリティ情報を付加して記録する。次に、ネットワー
ク構成検出部102は、ネットワーク構成を検出する。
ネットワーク構成変化検出部104は、現在のネットワ
ーク構成と記録されているセキュアなネットワーク構成
とを比較し、ネットワーク構成に変化があった場合それ
を検出し、表示部105に変化を出力する。表示部10
5は、ネットワーク構成変化検出部104からの入力を
受けて、それをユーザに対し表示する。また、ネットワ
ーク構成の変化が検出された場合、ネットワーク構成記
録部103は、新たなネットワーク構成を、セキュアで
はないというセキュリティ情報を付加して記録する。ユ
ーザは、表示部110を見てそれがセキュアなネットワ
ーク構成であるかどうかを確認し、もしそのネットワー
ク構成がセキュアであった場合、その旨を入力部110
に入力する。ネットワーク構成記録部103は、入力部
110からの入力を受け、新たなネットワーク構成に付
加されたセキュリティ情報を、セキュアであると書き換
える。
【0053】なお、表示部110の代わりに、警告音や
音声を利用または表示と警告音、音声を併用した警告を
行なってもよい。また、警告理由およびその判断材料と
なった情報を提示しても良い。また、ネットワークの運
用を停止する、ネットワークの接続を強制切断する、等
の対策を警告とともに行なっても良い。
【0054】本発明の実施の形態3におけるネットワー
ク監視装置を以上のように構成することにより、ネット
ワーク構成の変化を検出し、ネットワークに不正な機器
の接続された可能性を検出できるネットワーク監視装置
を実現することができる。
【0055】(実施の形態4)図4は本発明の実施の形
態4におけるネットワーク監視方法の流れ図であり、図
2に示す構成部の符号と同一の符号を有する構成部は同
様のため、説明を省略する。図4において、407は現
在のネットワーク構成がセキュアであるという条件を新
たに登録するフェイズ、408は登録されているセキュ
アなネットワーク構成の条件と現在のネットワークとを
比較するフェイズ、409は比較結果、現在のネットワ
ーク構成がセキュアか否かを判断するフェイズ、410
はセキュアなネットワーク構成の条件を設定するフェイ
ズである。
【0056】次に、図4を参照して本発明の実施の形態
4におけるネットワーク監視方法を説明する。最初にネ
ットワークがセキュアか否かを判断するための条件を設
定する( 410)。監視者は設定された時刻にネットワ
ーク構成を検出する( 401)。検出時刻については、
バスリセット直後、一定時間間隔、ランダム時間間隔、
トラフィックの少ない時間、特定のイベントの直前また
は直後、ユーザの指示した時刻、常時、等の手段があ
る。検出されたネットワーク構成は記録される(40
2)。検出されたネットワーク構成は、過去に記録され
たネットワーク構成または特に設定されたネットワーク
構成を比較される( 403)。比較の結果、変化が認め
られなかった場合には401に戻り、次のネットワーク
構成検出まで待機する。比較の結果変化が認められた場
合、検出された現在のネットワーク構成をセキュアなネ
ットワーク構成の条件と比較し( 408)、条件に合致
するか否かを判断する( 409)。現在のネットワーク
構成がセキュアでなネットワーク構成の条件に合致した
場合、401に戻り、次のネットワーク構成検出まで待
機する。合致しなかった場合、ユーザに警告を行なう(
404)。警告を受けたユーザは現在のネットワーク構
成がセキュアであるか否か判断する。ユーザがセキュア
であると判断した場合、現在のネットワーク構成をセキ
ュアなネットワーク構成の条件として新たに登録し( 4
07)、401に戻り次のネットワーク構成検出まで待
機する。
【0057】なお、ユーザへの警告404は、警告音や
音声を利用または表示と警告音、音声を併用した警告を
行なってもよい。また、警告理由およびその判断材料と
なった情報を提示しても良い。また、ネットワークの運
用を停止する、ネットワークの接続を強制切断する、等
の対策を警告とともに行なっても良い。
【0058】本発明の実施の形態4におけるネットワー
ク監視方法を以上のように構成することにより、ネット
ワーク構成の変化を検出し、ネットワークに不正な機器
の接続された可能性を検出することとができ、与えられ
た条件に因ってネットワークがセキュアか否か自動的に
判断するネットワーク監視方法を実現することができ
る。
【0059】(実施の形態5)図5は本発明の実施の形
態5におけるネットワーク監視装置の構成を示すブロッ
ク図であり、図3に示す構成部の符号と同一の符号を有
する構成部は同様のため、説明を省略する。図5におい
て、106は予めセキュアであるとされたネットワーク
構成を記録しておく許容ネットワーク構成記録部、10
7はネットワーク構成が変化した場合にその新たなネッ
トワーク構成はセキュアであるか否かを判断する判断
部、108は変化した新たなネットワークがセキュアで
はないと判断された場合に警告を発する警告発生部であ
る。
【0060】次に、図5を参照して本発明の実施の形態
5におけるネットワーク監視装置の動作を説明する。最
初にユーザは、セキュアであると解っているネットワー
ク構成を許容ネットワーク構成記録部106に登録す
る。また、ネットワーク構成検出部102は、現在のセ
キュアなネットワーク構成を検出し、ネットワーク構成
記録部103は、そのネットワーク構成をそれがセキュ
アであるというセキュリティ情報を付加して記録する。
次に、ネットワーク構成検出部102は、ネットワーク
構成を検出する。ネットワーク構成変化検出部104
は、現在のネットワーク構成と記録されているセキュア
なネットワーク構成とを比較し、ネットワーク構成に変
化があった場合それを検出し、判断部107に出力す
る。また、ネットワーク構成の変化が検出された場合、
ネットワーク構成記録部103は、新たなネットワーク
構成を、セキュアではないというセキュリティ情報を付
加して記録する。判断部107は、ネットワーク構成変
化検出部104からの入力を受けると、許容ネットワー
ク構成記録部106に記録されているセキュアと認定さ
れているネットワーク構成と新たなネットワーク構成と
を比較する。もし新たなネットワーク構成が、許容ネッ
トワーク構成記録部106に記録されているセキュアと
認定されているネットワーク構成に含まれる場合、判断
部107は、ネットワーク構成記録部103に記録され
た新たなネットワーク構成に付加されたセキュリティ情
報を、セキュアであると書き換える。この時、判断部1
07は、変化があったことを警告発生部108に出力し
ても良い。もし新たなネットワーク構成が、許容ネット
ワーク構成記録部106に記録されているセキュアと認
定されているネットワーク構成に含まれない場合、判断
部107は、その旨を警告発生部108に出力する。警
告発生部108は、判断部107からの入力を受け、ユ
ーザに対し警告を発する。ユーザは表示部105を見て
それがセキュアなネットワーク構成であるかどうかを確
認し、もしそのネットワーク構成がセキュアであった場
合、その旨を入力部110に入力する。ネットワーク構
成記録部103は入力部110からの入力を受け、新た
なネットワーク構成に付加されたセキュリティ情報を、
セキュアであると書き換える。また、もしそのネットワ
ーク構成がセキュアであった場合、ユーザは入力部11
0を介して許容ネットワーク構成記録部に新たなネット
ワーク構成を追加することもできる。
【0061】なお、警告発生部108は、警告音や音声
を利用または表示と警告音、音声を併用した警告を行な
ってもよい。また、警告理由およびその判断材料となっ
た情報を提示しても良い。また、ネットワークの運用を
停止する、ネットワークの接続を強制切断する、等の対
策を警告とともに行なっても良い。
【0062】本発明の実施の形態5におけるネットワー
ク監視方法を以上のように構成することにより、ネット
ワーク構成の変化を検出し、ネットワークに不正な機器
の接続された可能性を検出することとができ、与えられ
た条件に因ってネットワークがセキュアか否か自動的に
判断するネットワーク監視方法を実現することができ
る。
【0063】(実施の形態6)図6は本発明の実施の形
態6におけるネットワーク監視装置の構成を示すブロッ
ク図である。これは図5の構成においてネットワーク構
成記録部103とネットワーク構成変化検出部104と
を省略した構成である。このような構成にした場合、実
施の形態5の場合と比較して、ネットワーク構成が変化
しない場合でも判断を行なわねばならず、判断部107
の処理が多くなる一方、全体の構成が簡単になる。
【0064】本発明の実施の形態6におけるネットワー
ク監視装置を以上のように構成することにより、簡易な
構成で、ネットワーク構成の変化を検出し、予め与えら
れた情報を基にネットワークに不正な機器の接続された
可能性を自動的に検出できるネットワーク監視装置を実
現することができる。
【0065】(実施の形態7)図7は本発明の実施の形
態7におけるネットワーク監視方法の流れ図であり、図
2に示す構成部の符号と同一の符号を有する構成部は同
様のため、説明を省略する。図7において、411はバ
スリセット監視フェイズであり、412はバスリセット
が起こったか否かを判断するフェイズである。
【0066】次に、図7を参照して本発明の実施の形態
7におけるネットワーク監視方法を説明する。監視者は
バスリセットが発生しているか否かを検出する( 41
1)。バスリセットが発生しない場合は待機する( 41
2)。バスリセットが発生したら、ネットワーク構成を
検出する( 401)。検出されたネットワーク構成は記
録される( 402)。検出されたネットワーク構成は、
過去に記録されたネットワーク構成または特に設定され
たネットワーク構成を比較される( 403)。比較の結
果変化が認められなかった場合には411に戻り、次の
バスリセットが検出されるまで待機する。比較の結果、
変化が認められた場合、ユーザに警告を行なう( 40
4)。警告を受けたユーザは現在のネットワーク構成が
セキュアであるか否か判断する。ユーザがセキュアであ
ると判断した場合、その旨を記録し(406)、401
に戻り、次のバスリセットが検出されるまで待機する。
【0067】なお、ユーザへの警告404は、警告音や
音声を利用または表示と警告音、音声を併用した警告を
行なってもよい。また、警告理由およびその判断材料と
なった情報を提示しても良い。また、ネットワークの運
用を停止する、ネットワークの接続を強制切断する、等
の対策を警告とともに行なっても良い。
【0068】本発明の実施の形態7におけるネットワー
ク監視方法を以上のように構成することにより、最小の
手順でネットワーク構成の変化を検出することができ、
ネットワークに不正な機器の接続された可能性を検出
し、与えられた条件に因ってネットワークがセキュアか
否か自動的に判断するネットワーク監視方法を実現する
ことができる。
【0069】(実施の形態8)図8は本発明の実施の形
態8におけるネットワーク監視装置の構成を示すブロッ
ク図であり、図3に示す構成部の符号と同一の符号を有
する構成部は同様のため、説明を省略する。図8におい
て、109はネットワークのバスリセットを検出するバ
スリセット検出部である。
【0070】次に、図8を参照して本発明の実施の形態
8におけるネットワーク監視装置の動作を説明する。最
初に、ネットワークがセキュアな状態において、ネット
ワーク構成検出部102は、現在のセキュアなネットワ
ーク構成を検出し、ネットワーク構成記録部103は、
そのネットワーク構成をそれがセキュアであるというセ
キュリティ情報を付加して記録する。次に、バスリセッ
ト検出部109は、ネットワークのバスリセットを検出
すると、その旨をネットワーク構成検出部102に出力
する。ネットワーク構成検出部102は、それを受けて
バスリセット後のネットワーク構成を検出する。ネット
ワーク構成変化検出部104は、現在のネットワーク構
成と記録されているセキュアなネットワーク構成とを比
較し、ネットワーク構成に変化があった場合それを検出
し、表示部105に変化を出力する。表示部105は、
ネットワーク構成変化検出部104からの入力を受け
て、それをユーザに対し表示する。また、ネットワーク
構成の変化が検出された場合、ネットワーク構成記録部
103は新たなネットワーク構成を、セキュアではない
というセキュリティ情報を付加して記録する。ユーザは
表示部105を見てそれがセキュアなネットワーク構成
であるかどうかを確認し、もしそのネットワーク構成が
セキュアであった場合、その旨を入力部110に入力す
る。ネットワーク構成記録部103は、入力部110か
らの入力を受け、新たなネットワーク構成に付加された
セキュリティ情報を、セキュアであると書き換える。
【0071】なお、表示部105の代わりに、警告音や
音声を利用または表示と警告音、音声を併用した警告を
行なってもよい。また、警告理由およびその判断材料と
なった情報を提示しても良い。また、ネットワークの運
用を停止する、ネットワークの接続を強制切断する、等
の対策を警告とともに行なっても良い。
【0072】本発明の実施の形態8におけるネットワー
ク監視装置を以上のように構成することにより、バスリ
セットにともなうネットワーク構成の変化を最小の手順
で検出し、ネットワークに不正な機器の接続された可能
性を検出できるネットワーク監視装置を実現することが
できる。
【0073】(実施の形態9)図9は本発明の実施の形
態9におけるネットワーク監視方法の流れ図であり、図
4および図7に示す構成部の符号と同一の符号を有する
構成部は同様のため、説明を省略する。
【0074】次に、図9を参照して本発明の実施の形態
9におけるネットワーク監視方法を説明する。最初にネ
ットワークがセキュアか否かを判断するための条件を設
定する( 410)。監視者はバスリセットが発生してい
るか否かを検出する( 411)。バスリセットが発生し
ない場合は待機する( 412)。バスリセットが発生し
たら、ネットワーク構成を検出する( 401)。検出さ
れたネットワーク構成は記録される( 402)。検出さ
れたネットワーク構成は、過去に記録されたネットワー
ク構成または特に設定されたネットワーク構成を比較さ
れる( 403)。比較の結果変化が認められなかった場
合には401に戻り、次のネットワーク構成検出まで待
機する。比較の結果変化が認められた場合、検出された
現在のネットワーク構成をセキュアなネットワーク構成
の条件と比較し( 408)、条件に合致するか否かを判
断する( 409)。現在のネットワーク構成がセキュア
でなネットワーク構成の条件に合致した場合、411に
戻り、次のバスリセットが検出されるまで待機する。合
致しなかった場合、ユーザに警告を行なう( 404)。
警告を受けたユーザは現在のネットワーク構成がセキュ
アであるか否か判断する。ユーザがセキュアであると判
断した場合、現在のネットワーク構成をセキュアなネッ
トワーク構成の条件として新たに登録し( 407)、4
11に戻り、次のバスリセットが検出されるまで待機す
る。
【0075】なお、 ユーザへの警告404は、警告音
や音声を利用または表示と警告音、音声を併用した警告
を行なってもよい。また、警告理由およびその判断材料
となった情報を提示しても良い。また、ネットワークの
運用を停止する、ネットワークの接続を強制切断する、
等の対策を警告とともに行なっても良い。
【0076】本発明の実施の形態9におけるネットワー
ク監視方法を以上のように構成することにより、最小の
手順でネットワーク構成の変化を検出し、ネットワーク
に不正な機器の接続された可能性を検出することとがで
き、与えられた条件に因ってネットワークがセキュアか
否か自動的に判断するネットワーク監視方法を実現する
ことができる。
【0077】(実施の形態10)図10は本発明の実施
の形態10におけるネットワーク監視装置の構成を示す
ブロック図であり、図5および図8に示す構成部の符号
と同一の符号を有する構成部は同様のため、説明を省略
する。
【0078】次に、図10を参照して本発明の実施の形
態10におけるネットワーク監視装置の動作を説明す
る。最初にユーザは、セキュアであると解っているネッ
トワーク構成を許容ネットワーク構成記録部106に登
録する。また、ネットワーク構成検出部102は、現在
のセキュアなネットワーク構成を検出し、ネットワーク
構成記録部103は、そのネットワーク構成をそれがセ
キュアであるというセキュリティ情報を付加して記録す
る。次に、バスリセット検出部109は、ネットワーク
のバスリセットを検出するとその旨をネットワーク構成
検出部102に出力する。ネットワーク構成検出部10
2は、それを受けてバスリセット後のネットワーク構成
を検出する。ネットワーク構成変化検出部104は、現
在のネットワーク構成と記録されているセキュアなネッ
トワーク構成とを比較し、ネットワーク構成に変化があ
った場合それを検出し、判断部107に出力する。ま
た、ネットワーク構成の変化が検出された場合、ネット
ワーク構成記録部103は、新たなネットワーク構成
を、セキュアではないというセキュリティ情報を付加し
て記録する。判断部107は、ネットワーク構成変化検
出部104からの入力を受けると、許容ネットワーク構
成記録部106に記録されているセキュアと認定されて
いるネットワーク構成と新たなネットワーク構成とを比
較する。もし新たなネットワーク構成が、許容ネットワ
ーク構成記録部106に記録されているセキュアと認定
されているネットワーク構成に含まれる場合、判断部1
07は、ネットワーク構成記録部103に記録された新
たなネットワーク構成に付加されたセキュリティ情報
を、セキュアであると書き換える。この時、判断部10
7は、変化があったことを警告発生部108に出力して
も良い。もし新たなネットワーク構成が、許容ネットワ
ーク構成記録部106に記録されているセキュアと認定
されているネットワーク構成に含まれない場合、判断部
107は、その旨を警告発生部108に出力する。警告
発生部108は、判断部107からの入力を受け、ユー
ザに対し警告を発する。ユーザは表示部105を見てそ
れがセキュアなネットワーク構成であるかどうかを確認
し、もしそのネットワーク構成がセキュアであった場
合、その旨を入力部110に入力する。ネットワーク構
成記録部103は、入力部110からの入力を受け、新
たなネットワーク構成に付加されたセキュリティ情報
を、セキュアであると書き換える。また、もしそのネッ
トワーク構成がセキュアであった場合、ユーザは入力部
110を介して許容ネットワーク構成記録部106に新
たなネットワーク構成を追加することもできる。
【0079】なお、警告発生部108は、警告音や音声
を利用または表示と警告音、音声を併用した警告を行な
ってもよい。また、警告理由およびその判断材料となっ
た情報を提示しても良い。また、ネットワークの運用を
停止する、ネットワークの接続を強制切断する、等の対
策を警告とともに行なっても良い。
【0080】本発明の実施の形態10におけるネットワ
ーク監視装置を以上のように構成することにより、バス
リセットにともなうネットワーク構成の変化を最小の手
順で検出し、予め与えられた情報を基にネットワークに
不正な機器の接続された可能性を自動的に検出できるネ
ットワーク監視装置を実現することができる。
【0081】(実施の形態11)図11は本発明の実施
の形態11におけるネットワーク監視装置の構成を示す
ブロック図である。これは図10の構成において、ネッ
トワーク構成記録部103とネットワーク構成変化検出
部104とを省略した構成である。このような構成にし
た場合、実施の形態10の場合と比較して、ネットワー
ク構成が変化しない場合でも判断を行なわねばならず、
判断部107の処理が多くなる一方、全体の構成が簡単
になる。
【0082】本発明の実施の形態11におけるネットワ
ーク監視装置を以上のように構成することにより、簡易
な構成で、バスリセットにともなうネットワーク構成の
変化を最小の手順で検出し、予め与えられた情報を基に
ネットワークに不正な機器の接続された可能性を自動的
に検出できるネットワーク監視装置を実現することがで
きる。
【0083】(実施の形態12)図12は本発明の実施
の形態12におけるネットワーク監視方法の流れ図であ
る。421はネットワーク構成検出手段を調査するフェ
イズ、422は使用できる全てのネットワーク検出手段
を用いるフェイズ、423はネットワーク構成を検出す
るフェイズ、424は検出したネットワーク構成を記録
するフェイズ、425は複数の手段から検出されたネッ
トワーク構成に矛盾がないか比較するフェイズ、426
はユーザに警告を行なうフェイズである。
【0084】次に図12を参照して、本発明の実施の形
態12におけるネットワーク監視方法を説明する。まず
最初に、ネットワーク構成を検出する手段としてどのよ
うな手段が使用可能かについて調査を行なう( 42
1)。421で得られたネットワーク構成検出手段を用
いてネットワーク構成の検出を行なう( 422)。各ネ
ットワーク構成検出手段はネットワーク構成を検出し(
423)、検出されたネットワーク構成は記録される(
424)。なお、ここでは全てのネットワーク構成検出
手段を用いることになっているが、指定された数、指定
された時間、指定された手段、等実際にネットワーク構
成を検出する手段を限定してもよい。検出された複数の
ネットワーク構成は、互いに矛盾がないか比較される(
425)。矛盾が存在した場合、ネットワーク上に不正
な機器が存在するか、機器あるいはネットワーク構成検
出手段が故障している可能性があるため、ユーザに警告
を行なう( 426)。矛盾が存在しなかった場合、その
ネットワーク構成は正しいものとされ出力される。複数
のネットワーク構成検出手段で得られたネットワーク構
成に矛盾があった場合、その情報を元に信用できないネ
ットワーク構成検出手段を検出することができる。同様
にしてネットワーク構成検出手段の故障を検出すること
ができる。また、ネットワーク構成検出手段を複数持つ
ことで、ネットワーク構成検出手段の故障に対して強靭
となる。
【0085】なお、426でユーザに警告を行なう場
合、警告音や音声を利用または表示と警告音、音声を併
用した警告を行なってもよい。また、警告理由およびそ
の判断材料となった情報を提示しても良い。また、ネッ
トワークの運用を停止する、ネットワークの接続を強制
切断する、等の対策を警告とともに行なっても良い。
【0086】本発明の実施の形態12におけるネットワ
ーク監視方法を以上のように実現することにより、ネッ
トワーク構成獲得手段を複数持つことでフォールトトレ
ランスを維持することができ、また、不正なトポロジマ
ップを検出することでネットワークに不正な機器の接続
された可能性を検出できるネットワーク監視方法を実現
することができる。
【0087】(実施の形態13)図13は本発明の実施
の形態13におけるネットワーク監視装置の構成を示す
ブロック図であり、図3に示す構成部の符号と同一の符
号を有する構成部は同様のため、説明を省略する。図1
3は図3におけるネットワーク構成検出部102の内部
に実現する場合を示しており、102a 〜102x は複
数存在するネットワーク構成検出手段であり、102y
は検出されたネットワーク構成を記録する記録部であ
り、102z は複数の手段から検出されたネットワーク
構成に矛盾がないか比較する比較部である。
【0088】次に図13を参照して、本発明における実
施の形態13におけるネットワーク監視装置の動作を説
明する。ここで説明する実施の形態13は、図3におけ
るネットワーク構成検出部102の内部に実現する場合
について説明する。ネットワーク構成を検出する時刻に
なる、あるいは検出する指令を受けたネットワーク構成
検出部はネットワーク構成の検出を行なう。複数のネッ
トワーク構成検出手段102a 〜102x は、それぞれ
の手段でネットワーク構成を検出する。ネットワーク構
成を獲得したネットワーク構成検出手段102a 〜10
2x は、ネットワーク構成を記録部102y に記録す
る。比較部102z は、記録部102y に記録された複
数の検出手段に因るネットワーク構成を比較し、互いに
矛盾がないかを調べる。矛盾が認められなかった場合、
ネットワーク構成記録部103とネットワーク構成変化
検出部104にネットワーク構成を出力する。矛盾が認
められた場合、警告発生部108にその旨を出力する。
複数のネットワーク構成検出手段で得られたネットワー
ク構成に矛盾があった場合、その情報を元に信用できな
いネットワーク構成検出手段を検出することができる。
同様にしてネットワーク構成検出手段の故障を検出する
ことができる。また、ネットワーク構成検出手段102
a 〜102x を複数持つことで、ネットワーク構成検出
手段の故障に対して強靭となる。
【0089】本発明の実施の形態13におけるネットワ
ーク監視装置を以上のように構成することにより、ネッ
トワーク構成獲得手段を複数持つことでフォールトトレ
ランスを維持することができ、また、不正なトポロジマ
ップを検出することでネットワークに不正な機器の接続
された可能性を検出できるネットワーク監視装置を実現
することができる。また、本発明の実施の形態13にお
けるネットワーク監視装置のように、このネットワーク
監視装置を他のネットワーク監視装置のネットワーク構
成検出部として実装することも可能であり、それによっ
てセキュリティレベルを上げることができる。
【0090】(実施の形態14)図14は本発明の実施
の形態14におけるネットワーク監視方法の流れ図であ
る。431は伝送遅延を測定するフェイズ、432は測
定した伝送遅延を記録するフェイズ、433は伝送遅延
を比較し、変化を検出するフェイズ、434はユーザに
警告を出すフェイズである。
【0091】次に図14を参照して、本発明の実施の形
態14におけるネットワーク監視方法を説明する。監視
者は設定された時刻にネットワーク上の伝送遅延時間を
測定する( 431)。測定時刻については、バスリセッ
ト直後、一定時間間隔、ランダム時間間隔、トラフィッ
クの少ない時間、特定のイベントの直前または直後、ユ
ーザの指示した時刻、常時、等の手段がある。測定手段
としては、遅延測定用のパケットを測定対象ノードに送
信しackを観察する、ネットワーク上を流れるリクエ
ストパケットとそれに対するackを観察する、等の手
段がある。測定された伝送遅延時間は記録される( 43
2)。新たに記録された伝送遅延時間は、過去に記録さ
れた伝送遅延時間、または設定された伝送遅延時間と比
較される( 433)。比較した結果、伝送遅延時間の変
化が認められない場合、431に戻り、次の伝送遅延測
定時刻を待つ。伝送遅延の変化が認められる場合、ユー
ザに警告を行なう( 434)。
【0092】なお、434でユーザに警告を行なう場
合、警告音や音声を利用または表示と警告音、音声を併
用した警告を行なってもよい。また、警告理由およびそ
の判断材料となった情報を提示しても良い。また、ネッ
トワークの運用を停止する、ネットワークの接続を強制
切断する、等の対策を警告とともに行なっても良い。
【0093】本発明の実施の形態14におけるネットワ
ーク監視方法を以上のように実現することにより、伝送
遅延を計測することができ、伝送遅延の変化からネット
ワークに不正な機器の接続された可能性を検出できるネ
ットワーク監視方法を実現することができる。また、請
求項1〜20に記載のネットワーク監視方法およびネッ
トワーク監視装置とともに用いることにより、ネットワ
ークをネットワーク構成とノード間の伝送遅延との二種
類の情報から監視することが可能になり、ネットワーク
のセキュリティレベルを上げることができるという作用
を有する。
【0094】(実施の形態15)図15は本発明の実施
の形態15におけるネットワーク監視装置の構成を示す
ブロック図である。101はネットワーク、121は設
定されたネットワーク機器の検出条件を記録する検出条
件記録部、123は監視情報を記録しておく記録部、1
24は記録から伝達遅延の変化を検出する変化検出部、
125は変化を検出した場合、警告を発する警告発生部
である。126は遅延検査用のパケットを送信するパケ
ット送信部であり、127は遅延検査用のパケットを受
信するパケット受信部である。
【0095】図16は検出条件記録部121および記録
部123で使用される記録テーブルの概念図である。1
51は機器毎の検出条件テーブルと応答結果記録テーブ
ルを管理する機器テーブルであり、152は検出条件を
記録する検出条件テーブルであり、153はパケットの
送信時刻と機器からの応答のパケット受信時刻を記録す
る応答結果テーブルである。
【0096】次に、図15、16を参照して、本発明の
実施の形態15におけるネットワーク監視装置の動作を
説明する。最初にユーザは検出条件記録部121に検出
条件を設定、記録する。パケット送信部126は、検索
条件に従ってネットワーク機器へ遅延測定用のパケット
を発信する。パケット受信部127は、機器から返って
きた遅延測定用パケットへの応答を受信する。監視した
パケットは記録部123に記録される。変化検出部12
4は、記録部123の記録と検出条件記録部121の検
出条件とから許容されない伝達遅延の変化があるかどう
かを検出する。許容されない伝達遅延の変化が検出され
た場合、警告発生部125はユーザに警告を発する。
【0097】なお、検出条件記録部121に設定、記録
される検出条件は、検出時刻、時間、頻度、許容変化範
囲、ホップ数、ケーブル長、中継機器などの経路の条
件、特殊な機器の条件、機器の秘密共有鍵、機器の公開
鍵、送信パケットの条件、機器についての情報などであ
る。また、記録部123は、リクエストのパケットとそ
れに応じる応答パケットの間の時間を記録しても良く、
またパケットのダンプ、パケットの一部、パケットの内
容等も併せて記録しても良い。また、警告発生部125
は、警告音や音声を利用または表示と警告音、音声を併
用した警告を行なってもよい。また、警告理由およびそ
の判断材料となった情報を提示しても良い。また、ネッ
トワークの運用を停止する、ネットワークの接続を強制
切断する、等の対策を警告とともに行なっても良い。
【0098】本発明の実施の形態15におけるネットワ
ーク監視装置を以上のように構成することにより伝送遅
延を計測することができ、伝送遅延の変化からネットワ
ークに不正な機器の接続された可能性を検出できるネッ
トワーク監視装置を実現することができる。また、請求
項1〜20に記載のネットワーク監視方法およびネット
ワーク監視装置とともに用いることにより、ネットワー
クをネットワーク構成とノード間の伝送遅延との二種類
の情報から監視することが可能になり、ネットワークの
セキュリティレベルを上げることができる。
【0099】(実施の形態16)図17は本発明の実施
の形態16におけるネットワーク監視装置の構成を示す
ブロック図である。101はネットワーク、121は設
定されたネットワーク機器の検出条件を記録する検出条
件記録部、122はネットワーク上のパケットを監視す
るパケット監視部、123は監視情報を記録しておく記
録部、124は記録から伝達遅延の変化を検出する変化
検出部、125は変化を検出した場合、警告を発する警
告発生部である。
【0100】図18は記録部123で使用される記録テ
ーブルの概念図である。141は機器間経路と応答時間
記録テーブルとの関係を記録するテーブルであり、14
2は機器間の応答時間を記録するテーブルである。
【0101】次に、図17、18を参照して、本発明の
実施の形態16におけるネットワーク監視装置の動作を
説明する。最初にユーザは検出条件記録部121に検出
条件を設定、記録する。パケット監視部122は、検索
条件に従ってパネットワーク上のパケットを監視し、監
視したパケットは記録部123に記録される。図18に
示すように、監視は機器間の経路単位で行なわれ、リク
エストのパケットとそれに応じる応答パケットの対がそ
れぞれ観測された時刻が記録される。変化検出部124
は、記録部123の記録と検出条件記録部121の検出
条件とから許容されない伝達遅延の変化があるかどうか
を検出する。許容されない伝達遅延の変化が検出された
場合、警告発生部125はユーザに警告を発する。
【0102】なお、検出条件記録部121に設定、記録
される検出条件は、検出時刻、時間、頻度、検出するパ
ケット、許容変化範囲、機器間経路のホップ数、ケーブ
ル長、中継機器などの経路の条件、機器とネットワーク
監視装置間経路ののホップ数、ケーブル長、中継機器な
どの経路の条件、特殊な機器の条件などである。また、
記録部123は、リクエストのパケットとそれに応じる
応答パケットの間の時間を記録しても良く、またパケッ
トのダンプ、パケットの一部、パケットの内容等も併せ
て記録しても良い。また、警告発生部125は、警告音
や音声を利用または表示と警告音、音声を併用した警告
を行なってもよい。また、警告理由およびその判断材料
となった情報を提示しても良い。また、ネットワークの
運用を停止する、ネットワークの接続を強制切断する、
等の対策を警告とともに行なっても良い。
【0103】本発明の実施の形態16におけるネットワ
ーク監視装置を以上のように構成することにより、ネッ
トワークのトラフィックを増加させることなく簡易な構
成で伝送遅延を計測することができ、伝送遅延の変化か
らネットワークに不正な機器の接続された可能性を検出
できるネットワーク監視装置を実現することができる。
また、請求項1〜20に記載のネットワーク監視方法お
よびネットワーク監視装置とともに用いることにより、
ネットワークをネットワーク構成とノード間の伝送遅延
との二種類の情報から監視することが可能になり、ネッ
トワークのセキュリティレベルを上げることができる。
【0104】(実施の形態17)図19は本発明の実施
の形態17におけるネットワークおよびネットワーク監
視装置のふるまいの概念図である。201はネットワー
ク監視装置であり、202は監視対象のネットワーク機
器である。203はネットワークがセキュアであること
が確認されたことを示しており、204はネットワーク
にバスリセットがかかったことを示している。205は
バスリセット前に予め交換しておくバスリセット前情報
であり、206はバスリセット後に交換される認証情報
要求であり、207は認証情報である。
【0105】本発明実施の形態17におけるネットワー
クに接続されるネットワーク機器は、互いに情報を交換
し、交換した情報を記録しておく能力を有する。ネット
ワーク上の機器はバスリセットが起こる前に予め情報を
交換しておき、バスリセット後にその情報を用いること
によりバスリセットに因われない運用が可能になる。例
えば、バスリセット前に各機器の固有の名前または仮想
的なIDと物理IDとの組をバスリセット前に交換して
おき、バスリセット後にも同様の情報を交換すること
で、バスリセットの前後で変化する各機器の物理ID変
換テーブルを得ることができ、物理IDに因われない運
用が可能となり、また、ネットワーク構成の変化も知る
ことができる。
【0106】次に、図19を参照して本発明の実施の形
態17におけるネットワークおよびネットワーク監視装
置の動作の例を説明する。ここではバスリセット前に交
換した情報をバスリセット後に秘密鍵として用いること
で機器の承認を行なう。まず、セキュア確認203を経
てネットワークのセキュリティが確認される必要があ
る。ここでネットワーク上に不正を働くネットワーク機
器、悪意を実現することに利用できるネットワーク機器
が存在しない状態であることが確認される。セキュアな
ネットワーク上の情報は秘密情報として扱うことができ
るため、ネットワーク監視装置201はこの時に鍵とな
るバスリセット前情報205をネットワーク機器202
に送信する。この情報は予測されてはならないため、こ
こでは乱数を使ったことにする。この乱数を以後乱数A
と呼ぶ。ネットワーク監視装置201およびネットワー
ク機器202は、このバスリセット前情報205を記憶
しておく。
【0107】バスリセット204が起こると、それは新
たな機器がネットワークに接続された可能性を示すため
に、これ以後はネットワークのセキュリティは保証され
ない。ここでバスリセット前情報205を利用してネッ
トワーク機器202の認証を行なう。ネットワーク監視
装置はバスリセット前情報205に含まれる情報、ここ
では乱数Aを関数に通した値を、認証情報要求206と
一緒にネットワーク機器202に送信する。ここでは関
数としてハッシュ関数を用いている。この関数が、逆変
換のできない、あるいは逆変換の困難な一方向関数であ
る場合、この関数は公開されていてもよいが、少なくと
も相手のネットワーク機器202はこの関数を知ってい
る必要がある。ここではここでは乱数Aを関数に通した
値をHash( 乱数A)とする。
【0108】認証情報要求を受けたネットワーク機器2
02は、バスリセット前情報と既知の関数から認証情報
要求206に含まれるHash(乱数A)を計算し、ネット
ワーク監視装置201がバスリセット前情報を交換した
ネットワークネットワーク監視装置であることを確認す
る。確認後、ネットワーク機器は、乱数Aと自分のID
とのXORをとった値を関数に通した、Hash(乱数A|
ID)およびIDを認証情報207としてネットワーク
ネットワーク監視装置に送信する。ネットワーク機器が
乱数AとIDとのXORをとるのは、認証情報207が
認証確認情報206で鸚鵡返しできては困るためであ
り、既知の異なる関数を用いたり、ネットワーク監視装
置201が認証情報要求206と共に塩を送りそれを利
用したり、IDの代わりに乱数などの適当な値を用いた
りする、などの別の手段を用いてもよい。認証情報20
7を受信したネットワーク監視装置201は、乱数Aと
IDからHash(乱数A|ID)を計算し、ネットワーク
機器202がバスリセット前情報を交換したネットワー
ク機器であることを確認できる。このプロセスを全ての
機器に行なうことでバスリセット前から接続されていた
機器の認証を行なうことができる。このプロセスは、な
りすましを防止するために機器毎に行なった方が良い。
具体的にはバスリセット前情報205の乱数を機器毎に
変えると良い。
【0109】本発明の実施の形態17におけるネットワ
ークおよびネットワーク監視装置を以上のように構成す
ることにより、バスリセット前に交換した情報をバスリ
セット後に利用することができるネットワークを得るこ
とができる。また、バスリセット前情報を以上のように
利用することで、バスリセット以前から存在する機器の
認証を行なうことができるネットワークおよびネットワ
ーク監視装置を得ることができる。
【0110】(実施の形態18)図20は本発明の実施
の形態18におけるネットワーク監視装置およびネット
ワーク機器の構成を示すブロック図である。101はネ
ットワークであり、161はネットワーク監視装置であ
る。ネットワーク監視装置161において、162は送
受信部であり、163は機器認証処理を行なう機器認証
処理部であり、164は記録部であり、165は鍵生成
部であり、166はバスリセット検出部である。171
はネットワーク機器であり、172はネットワーク機器
の送受信部であり、173はネットワーク機器の機器認
証処理部であり、174はネットワーク機器の記録部で
ある。
【0111】次に、図20を参照して、本発明の実施の
形態18におけるネットワーク監視装置およびネットワ
ーク機器の動作を説明する。ネットワークがセキュアで
あることが確認できた後、ネットワーク監視装置161
の鍵生成部165は、認証用の鍵を生成する。鍵は送受
信部162を通して伝送され、また伝送先の情報ととも
に記録部164に記録される。ネットワーク機器171
は、送受信部172で鍵を受信し、記録部174に記録
する。
【0112】バスリセットが発生すると、バスリセット
検出部166がそれを検出し、機器認証処理部163に
通知する。機器認証処理部163は、記録部164に記
録されている鍵を用いてネットワーク機器の認証のため
の情報を生成し、送受信部162を通してネットワーク
機器171に伝送される。ネットワーク機器171は送
受信部172で認証情報を受信する。それを受けて、機
器認証処理部173は受信した認証情報および記録部1
74に記録されている鍵を用いて認証情報を生成し、送
受信部172を通してネットワーク監視装置161に送
信する。ネットワーク監視装置161の認証処理部16
3は、送受信部162を介して認証情報を受信し、機器
の認証を行なう。
【0113】ここではネットワーク監視装置161がバ
スリセットを関知し、他のネットワーク機器の認証のト
リガとなる情報を生成する例を挙げているが、ネットワ
ーク機器がそれぞれバスリセットを関知し認証情報を生
成しても良い。また、ネットワーク機器が鍵を生成して
も良い。また、認証を一回の応答で行なっているが、セ
キュアのために複数回の応答が必要な認証を行なっても
良い。なお、バスリセット前の情報として、鍵以外に
も、現在のネットワーク構成、次に起こることが想定さ
れるネットワーク構成の変化、などを交換することもで
きる。
【0114】本発明の実施の形態18におけるネットワ
ーク監視装置およびネットワーク機器を以上のように構
成することにより、バスリセット前に交換した情報をバ
スリセット後に利用することができるネットワーク監視
装置およびネットワーク機器を得ることができる。ま
た、バスリセット前情報を以上のように利用すること
で、バスリセット以前から存在する機器の認証を行なう
ことができるネットワーク監視装置およびネットワーク
機器を得ることができる。
【0115】(実施の形態19)図21は本発明の実施
の形態19における監視システムの構成例を示すブロッ
ク図である。301はカメラ、302はマイク、303
はセンサ、304は表示装置、305は記録装置、30
6はバスブリッジ、307はユーザ端末、308は請求
項1〜26に記載のネットワーク監視方法を具備した機
器あるいはネットワーク監視装置である。
【0116】次に、図21を参照して本発明の実施の形
態19における監視システムの動作を説明する。最初に
ユーザはユーザ端末307から設定項目をネットワーク
監視装置308に入力する。次にネットワーク監視装置
308は、ネットワーク構成情報を取得し、ネットワー
ク構成が許容されているものであるかどうかを判断し、
許容されていない場合にはユーザに警告を行なう。ま
た、ネットワーク監視装置308は、ネットワーク上の
伝送遅延を調査し、伝送遅延の変化が許容されているも
のかどうかを判断し、許容されていない場合にはユーザ
に警告を行なう。また、ネットワークが許容される状態
である時はセキュアであると判断し、ネットワーク監視
装置308は、予め秘密鍵となる情報をネットワーク機
器301〜306と交換しておく。バスリセットの発生
は、ネットワーク構成の変化の可能性を意味するため、
少なくともバスリセット毎にネットワーク監視装置30
8はネットワーク構成および伝送遅延を取得し、許容さ
れているものであるかどうかを調査する。
【0117】警告が出された場合、それはネットワーク
が設定で許されていない状態に変化したことを意味す
る。ユーザは警告を受け、現在の状態を警告に付随する
情報を利用し調査を行なう。その結果、その状態もセキ
ュアであるとユーザが判断した場合、ユーザ端末307
を通してその旨をネットワーク監視装置308に伝え
る。ネットワーク監視装置308はその状態を許容され
る状態として蓄積する。
【0118】本発明の実施の形態19における監視シス
テムを以上のように構成することにより、ネットワーク
に接続しようとする不正な機器を発見し、ネットワーク
をセキュアに保つことができるネットワーク監視システ
ムを得ることができる。
【0119】
【発明の効果】以上のように、本発明によれば、ネット
ワーク構成を監視することにより、ネットワークへの機
器の追加、削除およびネットワーク構成の変化を検出
し、ネットワークへの不正な機器の接続を発見すること
ができるネットワーク監視装置を得ることができる。ま
た、伝送遅延を監視することによりネットワークへの機
器の追加、削除およびネットワーク構成の変化を検出
し、ネットワークへの不正な機器の接続を発見すること
ができるネットワーク監視装置を得ることができる。ま
た、バスリセット前に情報を交換しておくことによりバ
スリセット前から接続されている機器の認証を行ない、
ネットワークへの機器の追加、削除およびネットワーク
構成の変化を検出し、ネットワークへの不正な機器の接
続を発見することができるネットワーク監視装置を得る
ことができる。また、ネットワーク自体をセキュアに保
つことのできるネットワーク監視システムを得ることが
できる。
【図面の簡単な説明】
【図1】本発明の実施の形態1におけるネットワーク監
視方法を説明する概念図
【図2】本発明の実施の形態2におけるネットワーク監
視方法の構成を示す流れ図
【図3】本発明の実施の形態3におけるネットワーク監
視装置の構成を示すブロック図
【図4】本発明の実施の形態4におけるネットワーク監
視方法の構成を示す流れ図
【図5】本発明の実施の形態5におけるネットワーク監
視装置の構成を示すブロック図
【図6】本発明の実施の形態6におけるネットワーク監
視装置の構成を示すブロック図
【図7】本発明の実施の形態7におけるネットワーク監
視方法の構成を示す流れ図
【図8】本発明の実施の形態8におけるネットワーク監
視装置の構成を示すブロック図
【図9】本発明の実施の形態9におけるネットワーク監
視方法の構成を示す流れ図
【図10】本発明の実施の形態10におけるネットワー
ク監視装置の構成を示すブロック図
【図11】本発明の実施の形態11におけるネットワー
ク監視装置の構成を示すブロック図
【図12】本発明の実施の形態12におけるネットワー
ク監視方法の構成を示す流れ図
【図13】本発明の実施の形態13におけるネットワー
ク監視装置の構成を示すブロック図
【図14】本発明の実施の形態14におけるネットワー
ク監視方法の構成を示す流れ図
【図15】本発明の実施の形態15におけるネットワー
ク監視装置の構成を示すブロック図
【図16】本発明の実施の形態15におけるネットワー
ク監視装置の監視記録テーブルの概念図
【図17】本発明の実施の形態16におけるネットワー
ク監視装置の構成を示すブロック図
【図18】本発明の実施の形態16におけるネットワー
ク監視装置の監視条件、記録テーブルの概念図
【図19】本発明の実施の形態17におけるネットワー
ク監視方法の概念図
【図20】本発明の実施の形態18におけるネットワー
ク監視装置のブロック図
【図21】本発明の実施の形態19における監視システ
ムの概念図
【符号の説明】
101 ネットワーク 102 ネットワーク構成検出部 102a 〜102x ネットワーク構成検出手段 102y 記録部 102z 比較部 103 ネットワーク構成記録部 104 ネットワーク構成変化検出部 105 表示部 106 許容ネットワーク構成記録部 107 判断部 108 警告発生部 109 バスリセット検出部 110 入力部 121 検出条件記録部 122 パケット監視部 123 記録部 124 変化検出部 125 警告発生部 126 パケット送信部 127 パケット受信部 141 経路テーブル 142 応答時間記録テーブル 151 機器確認テーブル 152 検出条件テーブル 153 応答結果記録テーブル 161 ネットワーク監視装置 162 送受信部 163 機器認証処理部 164 記録部 165 鍵生成部 166 バスリセット検出部 171 ネットワーク機器 172 送受信部 173 機器認証処理部 174 記録部 201 ネットワーク監視装置 202 ネットワーク機器 203 セキュア確認 204 バスリセット 205 バスリセット前情報 206 認証情報要求 207 認証情報 301 カメラ 302 マイク 303 センサ 304 表示装置 305 記録装置 306 バスブリッジ 307 ユーザ端末 308 ネットワーク監視装置 311 登録リスト
フロントページの続き (72)発明者 都築 健吾 神奈川県横浜市港北区綱島東四丁目3番1 号 松下通信工業株式会社内 Fターム(参考) 5K030 GA15 HB08 HC13 JT04 MA01 MA06 MD07 MD08 5K033 AA08 BA01 BA08 DA01 DA16 DB20 EA03

Claims (27)

    【特許請求の範囲】
  1. 【請求項1】 ネットワーク構成を知る機能を有する機
    器に問い合わせることでネットワーク構成を観察し、記
    録し、観測結果と以前の観測結果の記録との差分を抽出
    することでネットワーク構成の変化を認識し、ネットワ
    ークに不正な機器が接続されるのを監視するネットワー
    ク監視方法。
  2. 【請求項2】 ネットワーク構成を知る機能を有する機
    器に問い合わせることでネットワーク構成を検出するネ
    ットワーク構成検出部と、検出したネットワーク構成を
    記録するネットワーク構成記録部と、観測結果と以前の
    観測結果の記録とを比較するネットワーク構成比較部
    と、ユーザに警告を示す表示部とを具備することを特徴
    とするネットワーク監視装置。
  3. 【請求項3】 各機器に接続状態を問い合わせることで
    ネットワーク構成を観察し、記録し、観測結果と以前の
    観測結果の記録との差分を抽出することでネットワーク
    構成の変化を認識するネットワーク監視方法。
  4. 【請求項4】 各機器に接続状態を問い合わせることで
    ネットワーク構成を検出するネットワーク構成検出部
    と、検出したネットワーク構成を記録するネットワーク
    構成記録部と、観測結果と以前の観測結果の記録とを比
    較するネットワーク構成比較部と、ユーザに警告を示す
    表示部とを具備することを特徴とするネットワークネッ
    トワーク監視装置。
  5. 【請求項5】 請求項1に記載のネットワーク監視方法
    において、予めセキュアである条件を与え、それをもと
    にネットワークがセキュアか否かを自動的に判別するネ
    ットワーク監視方法。
  6. 【請求項6】 請求項2に記載のネットワーク監視装置
    において、予めセキュアである条件を与えておく許容ネ
    ットワーク構成記録部と、それをもとにネットワークが
    セキュアか否かを自動的に判別する判断部と、変化をユ
    ーザに警告する警告発生部とを具備することを特徴とす
    るネットワーク監視装置。
  7. 【請求項7】 請求項3に記載のネットワーク監視方法
    において、予めセキュアである条件を与え、それをもと
    にネットワークがセキュアか否かを自動的に判別するネ
    ットワーク監視方法。
  8. 【請求項8】 請求項4に記載のネットワーク監視装置
    において、予めセキュアである条件を与えておく許容ネ
    ットワーク構成記録部と、それをもとにネットワークが
    セキュアか否かを自動的に判別する判断部と、変化をユ
    ーザに警告する警告発生部とを具備することを特徴とす
    るネットワーク監視装置。
  9. 【請求項9】 ネットワーク構成のリセット信号を検出
    し、ネットワーク構成を知る機能を有する機器に問い合
    わせることでネットワーク構成を観察し、記録し、リセ
    ット以前とリセット以後の記録との差分を抽出すること
    でネットワーク構成の変化を認識するネットワーク監視
    方法。
  10. 【請求項10】 ネットワーク構成のリセット信号を検
    出するリセット検出部と、ネットワーク構成を知る機能
    のある機器に問い合わせることでネットワーク構成を検
    出するネットワーク構成検出部と、検出したネットワー
    ク構成を記録するネットワーク構成記録部と、観測結果
    と以前の観測結果の記録とを比較するネットワーク構成
    比較部と、ユーザに警告を示す表示部とを具備すること
    を特徴とするネットワーク監視装置。
  11. 【請求項11】 ネットワーク構成のリセット信号後に
    発生するネットワーク上の機器の識別信号を受信するこ
    とでネットワーク構成を観察し、記録し、リセット以前
    とリセット以後の記録との差分を抽出することでネット
    ワーク構成の変化を認識するネットワーク監視方法。
  12. 【請求項12】 ネットワーク構成のリセット信号を検
    出するリセット検出部と、リセット後に発生するネット
    ワーク上の機器の識別信号を受信することでネットワー
    ク構成を検出するネットワーク構成検出部と、検出した
    ネットワーク構成を記録するネットワーク構成記録部
    と、観測結果と以前の観測結果の記録とを比較するネッ
    トワーク構成比較部と、ユーザに警告を示す表示部とを
    具備することを特徴とするネットワーク監視装置。
  13. 【請求項13】 請求項9に記載のネットワーク監視方
    法において、予めセキュアである条件を与え、それをも
    とにネットワークがセキュアか否かを自動的に判別する
    ネットワーク監視方法。
  14. 【請求項14】 請求項10に記載のネットワーク監視
    装置において、予めセキュアである条件を与えておく許
    容ネットワーク構成記録部と、それをもとにネットワー
    クがセキュアか否かを自動的に判別する判断部と、変化
    をユーザに警告する警告発生部とを具備することを特徴
    とするネットワーク監視装置。
  15. 【請求項15】 請求項11に記載のネットワーク監視
    方法において、予めセキュアである条件を与え、それを
    もとにネットワークがセキュアか否かを自動的に判別す
    るネットワーク監視方法。
  16. 【請求項16】 請求項12に記載のネットワーク監視
    装置において、予めセキュアである条件を与えておく許
    容ネットワーク構成記録部と、それをもとにネットワー
    クがセキュアか否かを自動的に判別する判断部と、変化
    をユーザに警告する警告発生部とを具備することを特徴
    とするネットワーク監視装置。
  17. 【請求項17】 複数の手段でネットワーク構成を検出
    し、各手段から得られるネットワーク構成に矛盾が無い
    か判定するネットワーク監視方法。
  18. 【請求項18】 複数の手段でネットワーク構成を検出
    するネットワーク構成検出部または複数のネットワーク
    構成検出部と、検出されたネットワーク構成を記録する
    記録部と、検出されたネットワーク構成に矛盾がないか
    調べる比較部とを具備することを特徴とするネットワー
    ク監視装置。
  19. 【請求項19】 自らネットワーク構成を知り、管理す
    る能力を持ち、ネットワークを管理するマネージャとな
    り、マネージャになれなかった場合、監視者または上位
    のネットワーク監視装置に警告を発するネットワーク監
    視方法。
  20. 【請求項20】 自らアイソクロナス転送とそのリソー
    スを管理する能力を持ち、アイソクロナス転送を管理す
    るマネージャとなり、マネージャになれなかった場合、
    監視者または上位のネットワーク監視装置に警告を発す
    るネットワークネットワーク監視方法。
  21. 【請求項21】 機器間の伝送遅延を観測し、記録し、
    観測結果と以前の観測結果の記録との差分を判定し、伝
    送遅延の変化を認識することでネットワーク構成の変化
    を認識するネットワーク監視方法。
  22. 【請求項22】 機器間の伝送遅延を観測する伝送遅延
    検出部と、伝送遅延を記録する記録部と、観測結果と以
    前の観測結果の記録との差分を判定し、検出条件と比較
    し伝送遅延の変化を検出する変化検出部と、変化をユー
    ザに警告する警告発生部とを具備することを特徴とする
    ネットワーク監視装置。
  23. 【請求項23】 伝送遅延検出の条件を設定、記録する
    検出条件記録部と、伝送遅延測定用のパケットを送出す
    るパケット送信部と、そのackを受信するパケット受
    信部と、伝送遅延を記録する記録部と、観測結果と以前
    の観測結果の記録との差分を判定し、検出条件と比較し
    伝送遅延の変化を検出する変化検出部と、変化をユーザ
    に警告する警告発生部とを具備することを特徴とするネ
    ットワーク監視装置。
  24. 【請求項24】 ネットワーク上のデータパケットとそ
    れに対するackを監視するパケット監視部と、伝送遅
    延を記録する記録部と、観測結果と以前の観測結果の記
    録との差分を判定し、検出条件と比較し伝送遅延の変化
    を検出する変化検出部と、変化をユーザに警告する警告
    発生部とを具備することを特徴とするネットワーク監視
    装置。
  25. 【請求項25】 複数の機器からなるネットワークシス
    テムで、ネットワーク構成をリセットする信号の前に予
    め情報を交換しておき、リセット後に予め交換しておい
    た情報に基づく認証を行なうことで、リセット以前から
    存在した機器と新たに追加された機器および削除された
    機器を認識するネットワーク監視方法。
  26. 【請求項26】 ネットワーク構成をリセットする信号
    の前に交換する情報を生成する鍵生成部と、リセット前
    情報を記録しておく記録部と、リセットを検出するリセ
    ット検出部と、予め交換しておいた情報に基づきリセッ
    ト後に認証を行なう機器認証処理部とを具備することを
    特徴とするネットワーク監視装置。
  27. 【請求項27】 請求項1から26に記載のネットワー
    ク監視方法およびネットワーク監視装置のいずれかを具
    備するネットワーク監視システム。
JP11117197A 1999-04-23 1999-04-23 ネットワーク監視方法および装置 Pending JP2000307603A (ja)

Priority Applications (6)

Application Number Priority Date Filing Date Title
JP11117197A JP2000307603A (ja) 1999-04-23 1999-04-23 ネットワーク監視方法および装置
AU27698/00A AU770147B2 (en) 1999-04-23 2000-04-12 Network security monitor and method of monitoring
TW89106904A TW463498B (en) 1999-04-23 2000-04-13 Network security monitor and method of monitoring
CA 2305997 CA2305997A1 (en) 1999-04-23 2000-04-18 Network security monitor and method of monitoring
EP00108435A EP1047224A3 (en) 1999-04-23 2000-04-18 Network security monitor and method of monitoring
CN 00106916 CN1271895A (zh) 1999-04-23 2000-04-21 网络安全监视器和监视方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP11117197A JP2000307603A (ja) 1999-04-23 1999-04-23 ネットワーク監視方法および装置

Publications (1)

Publication Number Publication Date
JP2000307603A true JP2000307603A (ja) 2000-11-02

Family

ID=14705808

Family Applications (1)

Application Number Title Priority Date Filing Date
JP11117197A Pending JP2000307603A (ja) 1999-04-23 1999-04-23 ネットワーク監視方法および装置

Country Status (6)

Country Link
EP (1) EP1047224A3 (ja)
JP (1) JP2000307603A (ja)
CN (1) CN1271895A (ja)
AU (1) AU770147B2 (ja)
CA (1) CA2305997A1 (ja)
TW (1) TW463498B (ja)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005069549A1 (ja) * 2004-01-15 2005-07-28 Sony Corporation 情報通信システム、送信装置及び送信方法、並びにコンピュータ・プログラム
JP2005536120A (ja) * 2002-08-12 2005-11-24 ハリス コーポレイション 侵入検出機能を備えた無線ローカルまたはメトロポリタンエリアネットワーク及び関連する方法
JP2007018102A (ja) * 2005-07-05 2007-01-25 Sharp Corp 認証装置、画像形成装置、及び画像読取装置
JP2007249962A (ja) * 2006-03-14 2007-09-27 Internatl Business Mach Corp <Ibm> 進捗を聴覚的に示すための装置、システム及び方法
JP2007306466A (ja) * 2006-05-15 2007-11-22 Yokogawa Electric Corp ネットワーク管理装置
JP2008026915A (ja) * 2007-08-27 2008-02-07 Matsushita Electric Ind Co Ltd 通信装置、通信方法、通信システム及びプログラム
JP2008527849A (ja) * 2005-01-10 2008-07-24 インターデイジタル テクノロジー コーポレーション 無線通信ネットワークにおいて可変セキュリティ水準を提供するシステムおよび方法
US7602736B2 (en) 2000-12-15 2009-10-13 Robert Bosch Gmbh Method for testing a network, and corresponding network
JP2010147768A (ja) * 2008-12-18 2010-07-01 Fujitsu Microelectronics Ltd 通信装置、データの通信方法及びネットワークシステム
JP2011035941A (ja) * 2003-07-28 2011-02-17 Sony Corp 情報処理装置、情報処理方法、およびプログラム
JP2011090678A (ja) * 2010-10-21 2011-05-06 Yokogawa Electric Corp ネットワーク管理装置
JP2021047745A (ja) * 2019-09-19 2021-03-25 株式会社東芝 無線通信装置および方法
WO2022102397A1 (ja) * 2020-11-11 2022-05-19 株式会社オートネットワーク技術研究所 車載装置、管理装置、異常判定方法および異常判定プログラム
JP7311660B1 (ja) 2022-03-08 2023-07-19 株式会社日立製作所 情報機器の管理システム及び管理方法

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7124183B2 (en) 2001-09-26 2006-10-17 Bell Security Solutions Inc. Method and apparatus for secure distributed managed network information services with redundancy
CN100435526C (zh) * 2004-07-21 2008-11-19 威达电股份有限公司 网络安全动态侦测系统及方法
CN100456705C (zh) * 2005-09-09 2009-01-28 刘红健 一种互联网多媒体通讯的监视系统及监视方法
FR2924548B1 (fr) * 2007-11-30 2015-07-24 Canon Kk Procede de determination de la configuration d'un reseau de communication
CN102436560A (zh) * 2011-08-22 2012-05-02 高振宇 计算机自防御系统及方法
CN104253798A (zh) * 2013-06-27 2014-12-31 中兴通讯股份有限公司 一种网络安全监控方法和系统

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4551833A (en) * 1983-08-10 1985-11-05 At&T Bell Laboratories Distributed monitoring of packet transmission delay
US5546540A (en) * 1991-01-14 1996-08-13 Concord Communications, Inc. Automatic topology monitor for multi-segment local area network
US5687319A (en) * 1994-09-27 1997-11-11 International Business Machines Corporation Method and system for determining maximum cable segments between all possible node to node paths on a serial bus
SE504827C2 (sv) * 1995-09-05 1997-05-12 Daniel Danielsson Sätt för övervakning av ett datorsystem
JP3587000B2 (ja) * 1996-11-01 2004-11-10 ヤマハ株式会社 不正コピー防止システム、監視ノード及び送受信ノード
JPH10187583A (ja) * 1996-12-27 1998-07-21 Canon Inc データ通信装置及び方法
AU7161198A (en) * 1997-04-30 1998-11-24 Qualcomm Incorporated A method of and apparatus for tracking propagation delay between a base station and a subscriber unit
US6266694B1 (en) * 1997-06-19 2001-07-24 Nortel Networks Limited Architecture for network manager
JPH1155485A (ja) * 1997-07-29 1999-02-26 Canon Inc 情報処理装置、情報処理方法、及びコンピュータが読み出し可能なプログラムを記憶した記憶媒体

Cited By (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7602736B2 (en) 2000-12-15 2009-10-13 Robert Bosch Gmbh Method for testing a network, and corresponding network
JP2005536120A (ja) * 2002-08-12 2005-11-24 ハリス コーポレイション 侵入検出機能を備えた無線ローカルまたはメトロポリタンエリアネットワーク及び関連する方法
US8407473B2 (en) 2003-07-28 2013-03-26 Sony Corporation Information processing apparatus and method, recording medium and program
JP2012178169A (ja) * 2003-07-28 2012-09-13 Sony Corp 情報処理装置、情報処理方法、およびプログラム
US8788818B2 (en) 2003-07-28 2014-07-22 Sony Corporation Information processing apparatus and method, recording medium and program
US8763124B2 (en) 2003-07-28 2014-06-24 Sony Corporation Information processing apparatus and method, recording medium and program
US8621593B2 (en) 2003-07-28 2013-12-31 Sony Corporation Information processing apparatus and method, recording medium and program
US9401907B2 (en) 2003-07-28 2016-07-26 Sony Corporation Information processing apparatus and method, recording medium and program
US7962747B2 (en) 2003-07-28 2011-06-14 Sony Corporation Information processing, apparatus and method, recording medium, and program
JP4692826B2 (ja) * 2003-07-28 2011-06-01 ソニー株式会社 情報処理装置および方法、記録媒体、並びにプログラム
JP2011035941A (ja) * 2003-07-28 2011-02-17 Sony Corp 情報処理装置、情報処理方法、およびプログラム
US7908479B2 (en) 2003-07-28 2011-03-15 Sony Corporation Information processing device and method, recording medium and program
JP2012178168A (ja) * 2003-07-28 2012-09-13 Sony Corp 受信装置および受信方法
JP2012150838A (ja) * 2003-07-28 2012-08-09 Sony Corp 情報処理装置、情報処理方法、およびプログラム
WO2005069549A1 (ja) * 2004-01-15 2005-07-28 Sony Corporation 情報通信システム、送信装置及び送信方法、並びにコンピュータ・プログラム
US8107384B2 (en) 2004-01-15 2012-01-31 Sony Corporation Information communication system, transmitting apparatus, transmitting method, and computer program
KR101091481B1 (ko) 2004-01-15 2011-12-07 소니 주식회사 정보 통신 시스템, 송신장치 및 송신방법, 및 컴퓨터프로그램
US8855313B2 (en) 2005-01-10 2014-10-07 Interdigital Technology Corporation System and method for providing variable security level in a wireless communication system
JP2008527849A (ja) * 2005-01-10 2008-07-24 インターデイジタル テクノロジー コーポレーション 無線通信ネットワークにおいて可変セキュリティ水準を提供するシステムおよび方法
US8341408B2 (en) 2005-01-10 2012-12-25 Interdigital Technology Corporation System and method for providing variable security level in a wireless communication system
US8135953B2 (en) 2005-01-10 2012-03-13 Interdigital Technology Corporation System and method for providing variable security level in a wireless communication system
JP2007018102A (ja) * 2005-07-05 2007-01-25 Sharp Corp 認証装置、画像形成装置、及び画像読取装置
JP4628204B2 (ja) * 2005-07-05 2011-02-09 シャープ株式会社 画像形成装置
JP2007249962A (ja) * 2006-03-14 2007-09-27 Internatl Business Mach Corp <Ibm> 進捗を聴覚的に示すための装置、システム及び方法
JP2007306466A (ja) * 2006-05-15 2007-11-22 Yokogawa Electric Corp ネットワーク管理装置
JP4650337B2 (ja) * 2006-05-15 2011-03-16 横河電機株式会社 ネットワーク管理装置
JP2008026915A (ja) * 2007-08-27 2008-02-07 Matsushita Electric Ind Co Ltd 通信装置、通信方法、通信システム及びプログラム
JP2010147768A (ja) * 2008-12-18 2010-07-01 Fujitsu Microelectronics Ltd 通信装置、データの通信方法及びネットワークシステム
US9143322B2 (en) 2008-12-18 2015-09-22 Cypress Semiconductor Corporation Communication apparatus, data communication method, and network system
JP2011090678A (ja) * 2010-10-21 2011-05-06 Yokogawa Electric Corp ネットワーク管理装置
JP2021047745A (ja) * 2019-09-19 2021-03-25 株式会社東芝 無線通信装置および方法
US11550287B2 (en) 2019-09-19 2023-01-10 Kabushiki Kaisha Toshiba Electronic apparatus and method
JP7271380B2 (ja) 2019-09-19 2023-05-11 株式会社東芝 無線通信装置および方法
WO2022102397A1 (ja) * 2020-11-11 2022-05-19 株式会社オートネットワーク技術研究所 車載装置、管理装置、異常判定方法および異常判定プログラム
JP7311660B1 (ja) 2022-03-08 2023-07-19 株式会社日立製作所 情報機器の管理システム及び管理方法
JP2023130723A (ja) * 2022-03-08 2023-09-21 株式会社日立製作所 情報機器の管理システム及び管理方法

Also Published As

Publication number Publication date
EP1047224A2 (en) 2000-10-25
EP1047224A3 (en) 2003-04-23
CA2305997A1 (en) 2000-10-23
AU770147B2 (en) 2004-02-12
CN1271895A (zh) 2000-11-01
AU2769800A (en) 2000-10-26
TW463498B (en) 2001-11-11

Similar Documents

Publication Publication Date Title
JP2000307603A (ja) ネットワーク監視方法および装置
US5546540A (en) Automatic topology monitor for multi-segment local area network
US5805801A (en) System and method for detecting and preventing security
US8000698B2 (en) Detection and management of rogue wireless network connections
US8819764B2 (en) Network security monitor apparatus and network security monitor system
CN100542188C (zh) 具有入侵检测特性的无线局域网或城域网和相关方法
US10193907B2 (en) Intrusion detection to prevent impersonation attacks in computer networks
KR100947211B1 (ko) 능동형 보안 감사 시스템
EP2052327A1 (en) Early authentication in cable modem initialization
JP3483782B2 (ja) 電子データの追跡システム及びデータ中継装置
US7840698B2 (en) Detection of hidden wireless routers
US10972464B2 (en) Network system
JP2002164899A (ja) ネットワーク監視方法および装置
CN114900377B (zh) 一种基于诱导数据包的违规外联监测方法及系统
CN109040137B (zh) 用于检测中间人攻击的方法、装置以及电子设备
JP2002325077A (ja) ネットワーク管理方法及びネットワーク管理装置
Renault et al. Communication security in vanets based on the physical unclonable function
KR20040049714A (ko) 인터넷을 이용한 무인경비 시스템 및 그 방법
JP2005210451A (ja) 不正アクセス防止装置及びプログラム
JP3996105B2 (ja) 顧客宅内装置の不正動作監視方法
JP3729830B2 (ja) 不正ルーティング監視方法、不正ルーティング監視プログラムおよび不正ルーティング監視装置
JP2000216830A (ja) 多段ファイアウォ―ルシステム
Shonia et al. Automatized Design of the Logic and Structured Process of Wireless Local Area Networks Monitoring
JP2004229224A (ja) 障害監視装置、方法及びプログラム
CN116599715A (zh) 一种防止终端仿造功能的入网设备管理方法