JP2006197518A - ネットワーク管理方法およびネットワーク管理システム - Google Patents

ネットワーク管理方法およびネットワーク管理システム Download PDF

Info

Publication number
JP2006197518A
JP2006197518A JP2005009519A JP2005009519A JP2006197518A JP 2006197518 A JP2006197518 A JP 2006197518A JP 2005009519 A JP2005009519 A JP 2005009519A JP 2005009519 A JP2005009519 A JP 2005009519A JP 2006197518 A JP2006197518 A JP 2006197518A
Authority
JP
Japan
Prior art keywords
communication terminal
end time
communication
network
connection history
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005009519A
Other languages
English (en)
Other versions
JP4437259B2 (ja
Inventor
Wataru Kawai
渉 川合
Hiromasa Yamaoka
弘昌 山岡
Yasuyuki Bito
泰之 尾藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2005009519A priority Critical patent/JP4437259B2/ja
Publication of JP2006197518A publication Critical patent/JP2006197518A/ja
Application granted granted Critical
Publication of JP4437259B2 publication Critical patent/JP4437259B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】 管理対象外の通信端末や管理対象であっても一度LANから切り離され管理外のネットワークに接続された可能性のある通信端末をLANに不用意に接続させず、ウイルスやワームの感染拡大を防止し、セキュリティを強化する。
【解決手段】 ネットワーク中継装置20に接続する各通信端末11〜13には、端末終了時刻管理エージェントを入れる。エージェントが無い通信端末は、管理対象外通信端末と判断し、通信を許可しない。エージェントがある通信端末を接続したら、当該通信端末の終了時刻テーブルから終了時刻を取得し、LAN内で管理する接続履歴テーブル23に格納された当該通信端末の最終接続時刻と比較し、時差が所定値以下であれば通信を許可し、所定値を越えれば未登録の通信端末か管理外ネットワークに接続された可能性がある通信端末と判断し、通信を許可しない。
【選択図】 図1

Description

本発明は、ネットワーク管理方法およびネットワーク管理システムに係り、特に、コンピュータウイルスやワームの感染拡大を防止し、ネットワークのセキュリティを強化する手段に関する。
通常、ネットワーク管理者は、ネットワークに接続する通信端末を把握するため、LANに接続を許可された通信端末の情報を登録し、管理している。
従来のネットワーク中継装置では、通信端末が接続された際に、登録された通信端末の通信を許可し、登録されていない通信端末の通信を許可しないことはできる。
しかし、一度登録した通信端末を一時的に管理外のネットワークに接続した後に戻ってきて、ネットワーク中継装置に接続した場合でも、その通信端末は登録された通信端末なので、通信を許可してしまう。
関連する従来技術としては、マネージャがネットワークを介して複数のエージェントからログデータを収集するシステムにおいて、共通的なデータ形式に基づいてログデータを管理するとともに、マネージャの時刻に基づいたログデータを管理する方法も提案されている(例えば、特許文献1参照)。
特開平10−293704号公報(第3〜4頁 図1〜図4)
一度登録され管理対象となった通信端末であっても、LAN接続を解除し、インターネットなど管理外のネットワークに一度接続すれば、コンピュータウイルスやワームに感染する恐れがあり、それを再度LANに接続した際に、コンピュータウイルスやワームそれらをLAN内に拡散させてしまう可能性がある。
これを防ぐためには、管理対象のネットワーク中継装置に接続されていない状態で通信端末が起動されたかどうかを調べ、起動されているならば通信を遮断し、ネットワーク管理者の適切な判断・処置を受ける必要がある。
しかし、上記従来技術では、マネージャとエージェントとに生ずるかもしれない時差を積極的に活用し、管理対象のネットワーク中継装置に接続されていない状態で通信端末が起動されたかどうかを調べようという考えは無かった。
本発明の課題は、管理対象外の通信端末や管理対象であっても一度LANから切り離され管理外のネットワークに接続された可能性のある通信端末をLANに不用意に接続させず、コンピュータウイルスやワームの感染拡大を防止し、セキュリティを強化することである。
本発明は、上記課題を解決するために、登録されてネットワーク中継装置に接続可能な各通信端末には、端末終了時刻管理プログラム(エージェント)をインストールする。
ネットワーク中継装置は、エージェントがインストールされていない通信端末が接続されても、管理対象外通信端末と判断し、通信を許可しない。
また、ネットワーク中継装置は、エージェントをインストールした通信端末が接続されたら、エージェントが管理する終了時刻テーブルに格納された当該通信端末の終了時刻を取得し、LAN内の機器が管理する接続履歴テーブルに格納された当該通信端末の最終接続時刻と比較する。
時差が所定値以下であれば、管理外ネットワークへの接続は無かったと判断し、通信を許可する。一方、時差が所定値を越えていれば、管理外ネットワークに接続された可能性があると判断し、通信を許可しない。
本発明のネットワーク管理装置によれば、管理対象外の通信端末および一度LANから切り離し管理外のネットワークに接続した可能性のある管理対象の通信端末をネットワーク中継装置に接続した場合、通信を自動的に遮断できる。
したがって、管理対象外のネットワークからコンピュータウイルスやワームなどをLAN内に持ち込まれ、感染し拡大することを未然に防止し、LANのネットワークセキュリティを高めることができる。
次に、図1〜図6を参照して、本発明によるネットワーク管理方法およびネットワーク管理システムの実施例を説明する。
図1は、本発明によるネットワーク管理システムの実施例1の系統構成を示すブロック図である。
本実施例1のネットワーク管理システムは、ネットワーク中継装置20と、そのポートを介して接続された複数の通信端末11〜13とからなる。
ネットワーク中継装置20は、そのポートを介して上位のネットワークに接続されている。
図3は、各通信端末が持つ終了時刻テーブルの一例を示す図である。
各通信端末11〜13は、通信端末を終了した時刻を格納する終了時刻テーブルを持っている。
図4は、LAN内の機器が保持するARPテーブルの一例を示す図である。
ネットワーク中継装置20は、ネットワーク中継装置20に接続された各通信端末11〜13のインターネットプロトコル(IP)アドレスと媒体アクセス制御(MAC)アドレスとを対応させるアドレスレゾリューションプロトコル(ARP)テーブル22を備えている。
図5は、LAN内の機器が保持する接続履歴テーブルの一例を示す図である。
ネットワーク中継装置20は、各通信端末11〜13がネットワークに接続されていた最終時刻を格納する接続履歴テーブルと、各通信端末11〜13の接続状態を管理する処理装置21とを備えている。
図6は、本発明によるネットワーク管理システムにおける通信端末とネットワーク中継装置との処理手順を示すフローチャートである。このフローチャートは、通信端末側の処理とネットワーク中継装置側の処理とを分けて記載してある。
ステップ5で、新規に登録する際、ネットワーク中継装置20に接続する通信端末には、端末終了時刻管理プログラム(エージェント)をインストールする。
ステップ10で、インストール時、インストールした時刻を終了時刻の初期値として、終了時刻テーブルに格納する。
ステップ15で、通信端末をネットワーク中継装置20に接続する。予め登録されたエージェントがインストールされている通信端末の場合は、ネットワーク接続装置20に接続した状態で電源を投入する。
ステップ20で、ネットワーク中継装置20に接続した通信端末は、他の通信端末と通信するために、ARPリクエストを送信する。
ステップ25で、ネットワーク中継装置20は、ネットワーク中継装置以外の機器へのTCP/IP通信をデフォルトでブロックする。
ステップ30で、ネットワーク中継装置20は、ARPリクエストを送信した通信端末が自身のARPテーブル22に存在するかを確認する。
ARPテーブル22に当該通信端末が存在していれば、既にTCP/IP通信が確立しているので、ステップ60でTCP/IP通信のブロックを解除し、通信を許可する。
ステップ30でARPテーブル22に当該通信端末が存在していなければ、ステップ35で、当該通信端末のMACアドレスをARPテーブル22に格納し、当該通信端末とのTCP/IP通信を確立する。
ステップ40で、当該通信端末から、終了時刻テーブルに格納されている終了時刻を取得する。
終了時刻テーブルに格納されている終了時刻を取得できない場合は、エージェントがインストールされておらず管理外の通信端末であると判断し、ステップ65で、通信端末の画面にユーザへの通知とネットワーク管理者への連絡を促すメッセージとを表示する。この場合は、TCP/IP通信のブロックは解除されないので、コンピュータウイルスやワームの侵入を阻止できる。
ステップ40で当該通信端末から終了時刻を取得できた場合、ステップ45で、ネットワーク中継装置20が持つ接続履歴テーブル23に当該通信端末が存在するかどうか確認する。
接続履歴テーブル23に当該通信端末が存在しなければ、新規登録した通信端末の最初の接続と判断し、ステップ55で、接続履歴テーブル23に追加する。
ステップ60で、TCP/IP通信のブロックを解除し、通信を許可する。
ステップ45で接続履歴テーブル23に当該通信端末が存在していれば、ステップ50で、接続履歴テーブル23に格納された最終接続時刻と当該通信端末から取得した終了時刻との差をとり、予めネットワーク管理者により設定された時差以下であるかを確認する。
設定された時差を越えていれば、管理されていないネットワークに接続されたと判断し、ステップ65で、通信端末の画面にユーザへの通知と管理者への連絡を促すメッセージを表示する。この場合は、TCP/IP通信のブロックは解除されないので、コンピュータウイルスやワームの侵入を阻止できる。
ステップ60で、ステップ50で最終接続時刻と終了時刻との差が設定された時差以下であれば、当該通信端末は管理外のネットワークに接続していないと判断し、TCP/IP通信のブロックを解除し、通信を許可する。
ステップ70で、他の通信端末からARPリプライを受信すると、当該通信端末のMACアドレスを取得し、TCP/IP通信が確立する。
ステップ75〜ステップ85のループ処理でTCP/IP通信をしている間に、通信端末にインストールされたエージェントは、ステップ80で、不意の電源断がある場合に配慮して、所定時間ごとに終了時刻テーブルに時刻を格納する。
ステップ90で、ネットワーク中継装置20に接続した通信端末の電源断時に、当該通信端末にインストールされたエージェントは、通信端末の終了時刻を終了時刻テーブルに格納する。
ステップ95で、ARPテーブル22に格納された通信端末のMACアドレスとIPアドレスとは、一定時間で消去される。
ARPテーブル22からある通信端末が消去された際に、その時刻を接続履歴テーブル23に当該通信端末の最終接続時刻として格納する。接続履歴テーブル23は、意図的に消去しない限り、消去されないようにしてある。
実施例1のネットワーク管理システムによれば、管理対象外の通信端末や管理対象であっても一度LANから切り離され管理外のネットワークに接続された可能性のある通信端末をLANに不用意に接続させず、コンピュータウイルスやワームの感染拡大を防止し、セキュリティを強化できる。
図2は、本発明によるネットワーク管理システムの実施例2の系統構成を示すブロック図である。
本実施例2のネットワーク管理システムは、ネットワーク中継装置30と、そのポートを介して接続された複数の通信端末11〜13とからなる。
ネットワーク中継装置30は、そのポートおよび上位のネットワークを介して、サーバ40に接続されている。
本実施例2においては、ARPテーブル41および接続履歴テーブル42が、ネットワーク中継装置30ではなく、ネットワークに接続されたサーバ40に設けられている。
実施例1でネットワーク中継装置20が実行していた
A.接続を求めてきた通信端末の前記終了時刻テーブル内の終了時刻と前記接続履歴テーブルに格納されている最終接続履歴と比較する比較機能
B.時差が所定値以下であれば通信を許可し時差が所定値を越えていれば新たな通信端末または管理外ネットワークに接続した可能性がある通信端末と判断し当該通信端末の通信を拒否する判定機能
をサーバ40が実行することになる。
本実施例2の通信端末とサーバ40との処理手順は、図6に示した実施例1における通信端末とネットワーク中継装置20との処理手順と同様なので、説明を省略する。
本実施例2は、ARPテーブル22および接続履歴テーブル23を持たない既存のネットワーク中継装置30を用いるネットワーク管理システムにも適用できる利点がある。
本発明によるネットワーク管理システムの実施例1の系統構成を示すブロック図である。 本発明によるネットワーク管理システムの実施例2の系統構成を示すブロック図である。 各通信端末が持つ終了時刻テーブルの一例を示す図である。 LAN内の機器が保持するARPテーブルの一例を示す図である。 LAN内の機器が保持する接続履歴テーブルの一例を示す図である。 本発明によるネットワーク管理システムにおける通信端末とネットワーク中継装置との処理手順を示すフローチャートである。
符号の説明
11 通信端末
12 通信端末
13 通信端末
20 ネットワーク中継装置
21 処理装置
22 ARPテーブル
23 接続履歴テーブル
30 ネットワーク中継装置
40 サーバ
41 ARPテーブル
42 接続履歴テーブル

Claims (5)

  1. ネットワーク中継装置と複数の通信端末とを含み、各通信端末にインターネットプロトコルアドレスを静的に割り当てているローカルエリアネットワークのネットワーク管理方法において、
    前記各通信端末が、端末終了時刻管理プログラムを動作させ、当該通信端末の終了時刻を終了時刻テーブルに格納し、
    前記ネットワーク中継装置が、各通信端末の最終接続履歴を接続履歴テーブルに格納し、
    通信端末が接続を求めてきた時に、当該通信端末の前記終了時刻テーブルから終了時刻を取得して前記接続履歴テーブルに格納されている最終接続履歴と比較し、
    時差が所定値以下であれば、通信を許可し、
    時差が所定値を越えていれば、新たな通信端末または管理外ネットワークに接続した可能性がある通信端末と判断して当該通信端末のユーザおよびネットワーク管理者に通知し、当該通信端末に通信を許可しないことを特徴とするネットワーク管理方法。
  2. ネットワーク中継装置と複数の通信端末とサーバとを含み、各通信端末にインターネットプロトコルアドレスを静的に割り当てているローカルエリアネットワークのネットワーク管理方法において、
    前記各通信端末が、端末終了時刻管理プログラムを動作させ、当該通信端末の終了時刻を終了時刻テーブルに格納し、
    前記サーバが、各通信端末の最終接続履歴を接続履歴テーブルに格納し、
    通信端末が接続を求めてきた時に、当該通信端末の前記終了時刻テーブルから終了時刻を取得して前記接続履歴テーブルに格納されている最終接続履歴と比較し、
    時差が所定値以下であれば、通信を許可し、
    時差が所定値を越えていれば、新たな通信端末または管理外ネットワークに接続した可能性がある通信端末と判断して当該通信端末のユーザおよびネットワーク管理者に通知し、当該通信端末に通信を許可しないことを特徴とするネットワーク管理方法。
  3. ネットワーク中継装置と複数の通信端末とを含み、各通信端末にインターネットプロトコルアドレスを静的に割り当てているローカルエリアネットワークのネットワーク管理システムにおいて、
    前記各通信端末が、端末終了時刻管理プログラムと、当該通信端末の終了時刻を格納する終了時刻テーブルとを備え、
    前記ネットワーク中継装置が、各通信端末の最終接続履歴を格納する接続履歴テーブルと、接続を求めてきた通信端末の前記終了時刻テーブル内の終了時刻と前記接続履歴テーブルに格納されている最終接続履歴と比較し、時差が所定値以下であれば通信を許可し時差が所定値を越えていれば新たな通信端末または管理外ネットワークに接続した可能性がある通信端末と判断し当該通信端末の通信を拒否する処理装置とを備えたことを特徴とするネットワーク管理システム。
  4. ネットワーク中継装置と複数の通信端末とサーバとを含み、各通信端末にインターネットプロトコルアドレスを静的に割り当てているローカルエリアネットワークのネットワーク管理システムにおいて、
    前記各通信端末が、端末終了時刻管理プログラムと、当該通信端末の終了時刻を格納する終了時刻テーブルとを備え、
    前記サーバが、各通信端末の最終接続履歴を格納する接続履歴テーブルと、接続を求めてきた通信端末の前記終了時刻テーブル内の終了時刻と前記接続履歴テーブルに格納されている最終接続履歴と比較する比較手段と、時差が所定値以下であれば通信を許可し時差が所定値を越えていれば新たな通信端末または管理外ネットワークに接続した可能性がある通信端末と判断し当該通信端末の通信を拒否する判定手段とを備えたことを特徴とするネットワーク管理システム。
  5. ネットワーク中継装置と複数の通信端末とを含み、各通信端末が端末終了時刻管理プログラムと当該通信端末の終了時刻を格納する終了時刻テーブルとを有しインターネットプロトコルアドレスを静的に割り当てられているローカルエリアネットワークのネットワーク管理システム用サーバにおいて、
    各通信端末の最終接続履歴を格納する接続履歴テーブルと、接続を求めてきた通信端末の前記終了時刻テーブル内の終了時刻と前記接続履歴テーブルに格納されている最終接続履歴と比較する比較手段と、時差が所定値以下であれば通信を許可し時差が所定値を越えていれば新たな通信端末または管理外ネットワークに接続した可能性がある通信端末と判断し当該通信端末の通信を拒否する判定手段とを備えたことを特徴とするネットワーク管理システム用サーバ。

JP2005009519A 2005-01-17 2005-01-17 ネットワーク管理方法およびネットワーク管理システム Expired - Fee Related JP4437259B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005009519A JP4437259B2 (ja) 2005-01-17 2005-01-17 ネットワーク管理方法およびネットワーク管理システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005009519A JP4437259B2 (ja) 2005-01-17 2005-01-17 ネットワーク管理方法およびネットワーク管理システム

Publications (2)

Publication Number Publication Date
JP2006197518A true JP2006197518A (ja) 2006-07-27
JP4437259B2 JP4437259B2 (ja) 2010-03-24

Family

ID=36803192

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005009519A Expired - Fee Related JP4437259B2 (ja) 2005-01-17 2005-01-17 ネットワーク管理方法およびネットワーク管理システム

Country Status (1)

Country Link
JP (1) JP4437259B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022525205A (ja) * 2019-03-20 2022-05-11 新華三技術有限公司 異常ホストのモニタニング

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022525205A (ja) * 2019-03-20 2022-05-11 新華三技術有限公司 異常ホストのモニタニング
JP7228712B2 (ja) 2019-03-20 2023-02-24 新華三技術有限公司 異常ホストのモニタニング

Also Published As

Publication number Publication date
JP4437259B2 (ja) 2010-03-24

Similar Documents

Publication Publication Date Title
WO2009087702A1 (ja) 仮想マシン実行プログラム、ユーザ認証プログラムおよび情報処理装置
US8369346B2 (en) Method and system for restricting a node from communicating with other nodes in a broadcast domain of an IP (internet protocol) network
US20090007254A1 (en) Restricting communication service
JP2006262141A (ja) Ipアドレス適用方法、vlan変更装置、vlan変更システム、および検疫処理システム
US20050091514A1 (en) Communication device, program, and storage medium
JP2020017809A (ja) 通信装置及び通信システム
JP2006252256A (ja) ネットワーク管理システム、方法およびプログラム
JP2003218873A (ja) 通信監視装置及び監視方法
JP2008271242A (ja) ネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システム
JP4636345B2 (ja) セキュリティポリシー制御システム、セキュリティポリシー制御方法、及びプログラム
US20080172742A1 (en) Information processing system
CN108494749B (zh) Ip地址禁用的方法、装置、设备及计算机可读存储介质
KR101993860B1 (ko) 네트워크 접속 제어 시스템 및 방법
JP4437259B2 (ja) ネットワーク管理方法およびネットワーク管理システム
JP4728871B2 (ja) 機器検疫方法、検疫機器、集約クライアント管理機器、集約クライアント管理プログラム、ネットワーク接続機器およびユーザ端末
JP4921864B2 (ja) 通信制御装置、認証システムおよび通信制御プログラム
JP4767683B2 (ja) 中継装置、不正アクセス防止装置、およびアクセス制御プログラム
JP2008234410A (ja) リモートアクセスシステム、情報処理装置、リモートアクセスプログラム、及びリモートアクセス方法
JP2008289040A (ja) 端末pcの接続先制御方法及びシステム
JP2006018608A (ja) 端末装置、通信制御方法、及び、プログラム
JP2010287932A (ja) 検疫ネットワークシステム、アクセス管理装置、アクセス管理方法、及びアクセス管理プログラム
KR101070522B1 (ko) 스푸핑 공격 탐지 및 차단 시스템 및 방법
JP4418211B2 (ja) ネットワークセキュリティ維持方法,接続許可サーバおよび接続許可サーバ用プログラム
JP2009259041A (ja) サーバ装置およびセキュリティ制御方法
JP3828557B2 (ja) 排他的ネットワーク管理システム及びその管理方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20071218

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20091119

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20091201

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091215

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130115

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140115

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees