JP2006237779A - Computer monitor system, monitor method and monitor program - Google Patents

Computer monitor system, monitor method and monitor program Download PDF

Info

Publication number
JP2006237779A
JP2006237779A JP2005046628A JP2005046628A JP2006237779A JP 2006237779 A JP2006237779 A JP 2006237779A JP 2005046628 A JP2005046628 A JP 2005046628A JP 2005046628 A JP2005046628 A JP 2005046628A JP 2006237779 A JP2006237779 A JP 2006237779A
Authority
JP
Japan
Prior art keywords
computer
network
monitoring
connection
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005046628A
Other languages
Japanese (ja)
Inventor
Kentaro Takatani
健太郎 高谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Fielding Ltd
Original Assignee
NEC Fielding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Fielding Ltd filed Critical NEC Fielding Ltd
Priority to JP2005046628A priority Critical patent/JP2006237779A/en
Publication of JP2006237779A publication Critical patent/JP2006237779A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To detect an incorrectly connected computer by monitoring a network while attaining the specification of the place of the computer and a shutting-out from the network. <P>SOLUTION: A MAC address contained in a packet flowing on an intra-net is monitored by a monitor server, and an incorrect connection is detected by a comparison with a database on which the MAC address of a previously connectable terminal is registered. When the incorrect connecting terminal is detected, a positional information is required to the terminal, and a supervisor is dispatched on the basis of the replied positional information while the stop of a network connecting function is required to the terminal. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、企業内や学校内に設置される複数台のコンピュータを遠隔監視するシステムに関し、特に、各コンピュータのMACアドレスを用いて接続許可されたコンピュータか否かを判断し、許可のないコンピュータについてはネットワーク接続を禁止するとともに位置を特定して人員を派遣できるようにした監視システム、監視方法および監視プログラムに関する。   The present invention relates to a system for remotely monitoring a plurality of computers installed in a company or a school, and in particular, determines whether or not a computer is permitted to connect using a MAC address of each computer, and a computer without permission. The present invention relates to a monitoring system, a monitoring method, and a monitoring program for prohibiting network connection and enabling dispatch of personnel by specifying a position.

本願発明者による従来技術として、ネットワーク接続された各コンピュータに定期的に動作確認信号を発信して障害がないか確認し、障害が発生している場合にはコンピュータがGPS等から取得した位置情報を障害情報に付加して返信し、保守員を派遣できるようにしたシステムおよび方法がある(例えば、特許文献1)。   As a prior art by the inventor of the present application, an operation confirmation signal is periodically transmitted to each computer connected to the network to check whether there is a failure. If a failure has occurred, the computer acquires location information from the GPS or the like. There is a system and a method in which a maintenance staff can be dispatched by adding a reply to failure information (for example, Patent Document 1).

また、ダイヤルアップルータにおいて、予め設定された回数以上に周期的に自動接続が繰り返されている場合に不正接続であると判定し、自動接続の禁止を設定することが提案されている(例えば、特許文献2)。   In addition, it is proposed that in a dial-up router, when automatic connection is repeated periodically more than a preset number of times, it is determined that the connection is unauthorized, and prohibition of automatic connection is set (for example, Patent Document 2).

また、ネットワーク上に不正に接続された機器を検出する方法として、正常時および不正監視時におけるARP(Address Resolution Protocol)テーブルの内容を比較し、IPアドレスまたはMACアドレスのいずれかが相違する場合に不正接続機器と判定することが開示されている(例えば、特許文献3)。   In addition, as a method of detecting a device that is illegally connected on the network, the contents of the ARP (Address Resolution Protocol) table at the normal time and during the fraud monitoring are compared, and either the IP address or the MAC address is different. It is disclosed that it is determined as an unauthorized connection device (for example, Patent Document 3).

特開2004−246759号公報JP 2004-246759 A 特開2002−217953号公報Japanese Patent Laid-Open No. 2002-217953 特開2002−325077号公報JP 2002-325077 A

しかしながら、上記特許文献1の技術は各端末における障害復旧の迅速を目的としており、ネットワーク資産の不正利用の発見およびシャットアウトを目的とするものではない。また、特許文献2はダイヤルアップ接続特有の不正接続検出方法にかかるものであり、例えば企業内LANや学内LANなどイーサネット上の不正接続に適用できるものではない。また、特許文献3記載の発明ではMACアドレスを用いることが開示されているが、最初(第1の時期)に接続されている機器をすべて正常接続機器として把握する構成であるため、このとき不正接続の機器がある場合にそれを検知して対策をとることができないという問題がある。   However, the technique of the above-mentioned patent document 1 is aimed at speeding up the failure recovery in each terminal, and is not aimed at finding and shutting out unauthorized use of network assets. Patent Document 2 relates to an unauthorized connection detection method unique to dial-up connection, and is not applicable to unauthorized connections on the Ethernet such as an in-house LAN or a campus LAN. Moreover, although it is disclosed in the invention described in Patent Document 3 that the MAC address is used, since it is a configuration in which all devices connected at the beginning (first period) are grasped as normal connection devices, it is illegal at this time. There is a problem that if there is a connected device, it cannot be detected and countermeasures taken.

本発明のコンピュータ監視システムおよびその監視方法は、ネットワークを流れるパケットを監視してMACアドレスから不正接続されたコンピュータを特定するとともに、当該コンピュータの位置特定およびネットワークからのシャットアウトまでを達成してネットワーク資産の不正利用を効果的に防止することを目的とする。   The computer monitoring system and the monitoring method thereof according to the present invention monitor a packet flowing through a network to identify an illegally connected computer from a MAC address, and attain the location of the computer and shut out from the network. The purpose is to effectively prevent unauthorized use of assets.

上記目的を達成すべく本発明は、ローカルエリアネットワークに接続されたコンピュータを監視するシステムにおいて、予め接続が許可されたコンピュータのMACアドレスが登録されるデータベースと、前記ネットワーク上に送出されるパケットを監視し、そこに含まれるMACアドレスが前記データベースに登録されていない場合に不正接続と判定する監視サーバとを備えることを最も主要な特徴とする。   In order to achieve the above object, the present invention provides a system for monitoring a computer connected to a local area network, a database in which MAC addresses of computers permitted to be connected in advance are registered, and a packet sent over the network. The most important feature is that it includes a monitoring server that monitors and determines an unauthorized connection when the MAC address contained therein is not registered in the database.

また本発明のコンピュータ監視システムは、ユーザが設置する1以上のコンピュータ端末を備え、前記監視サーバは不正接続と判定されたコンピュータ端末に接続停止要求を行うとともに、前記コンピュータ端末が前記停止要求を受けた場合にネットワーク接続機能を停止するネットワーク接続手段を備えることを特徴とする。   In addition, the computer monitoring system of the present invention includes one or more computer terminals installed by a user, and the monitoring server issues a connection stop request to a computer terminal determined to be an unauthorized connection, and the computer terminal receives the stop request. And a network connection means for stopping the network connection function in the event of a failure.

また本発明のコンピュータ監視システムにおいて、前記監視サーバは不正接続と判定されたコンピュータ端末に位置情報の送信を要求するとともに、前記コンピュータ端末が自端末の位置情報を取得する手段を備え、前記位置情報の要求を受けた場合に取得した位置情報を指定された宛先に送信することを特徴とする。   In the computer monitoring system of the present invention, the monitoring server requests the computer terminal determined to be unauthorized connection to transmit the position information, and the computer terminal includes means for acquiring the position information of the own terminal. When the request is received, the acquired position information is transmitted to a designated destination.

好適な実施例において、前記コンピュータ端末の位置情報取得手段は、GPS信号受信手段を備えることを特徴とする。   In a preferred embodiment, the position information acquisition means of the computer terminal includes GPS signal reception means.

また本発明のコンピュータ監視システムは、さらに警備担当者に属する情報通信端末を備え、前記監視サーバまたは前記不正接続と判定されたコンピュータ端末から当該コンピュータ端末の位置情報が前記警備担当者の情報通信端末に送信されることを特徴とする。   The computer monitoring system of the present invention further includes an information communication terminal belonging to a security officer, and the location information of the computer terminal from the monitoring server or the computer terminal determined to be the unauthorized connection is the information communication terminal of the security officer. It is transmitted to.

本発明にかかる方法は、ローカルエリアネットワークに接続されたコンピュータを監視するシステムの監視方法において、前記ネットワークに接続された監視サーバが、前記ネットワーク上に送出されるパケットを監視し、予め接続が許可されたコンピュータのMACアドレスが登録されたデータベースに前記パケットに含まれるMACアドレスが登録されていない場合に不正接続と判定するステップと、前記監視サーバが不正接続と判定されたコンピュータ端末に接続停止要求を送信するステップと、を含むことを特徴とする。   The method according to the present invention is a monitoring method of a system for monitoring a computer connected to a local area network, wherein a monitoring server connected to the network monitors packets sent over the network and permits connection in advance. A step of determining an unauthorized connection when the MAC address included in the packet is not registered in a database in which the MAC address of the registered computer is registered, and a connection stop request to the computer terminal determined to be an unauthorized connection by the monitoring server Transmitting.

また本発明の監視方法はさらに、前記監視サーバが、不正接続と判定されたコンピュータ端末にその位置情報を要求するステップを含むことを特徴とする。   The monitoring method of the present invention further includes a step in which the monitoring server requests the location information from a computer terminal determined to be an unauthorized connection.

また本発明の監視方法は、前記ネットワークに接続されるコンピュータ端末が、前記監視サーバから接続停止要求を受けた場合にネットワーク接続機能を停止するステップと、前記コンピュータ端末が自端末の位置情報を取得するステップと、前記コンピュータ端末が前記監視サーバから位置情報の要求を受けた場合に前記取得した位置情報を指定された宛先に送信するステップと、を含むことを特徴とする。   According to the monitoring method of the present invention, the computer terminal connected to the network stops the network connection function when receiving a connection stop request from the monitoring server, and the computer terminal acquires location information of the terminal. And a step of transmitting the acquired location information to a specified destination when the computer terminal receives a request for location information from the monitoring server.

本発明にかかるプログラムは、ローカルエリアネットワークに接続されたコンピュータを監視する監視サーバのプログラムにおいて、前記監視サーバに、前記ネットワーク上に送出されるパケットを監視し、予め接続が許可されたコンピュータのMACアドレスが登録されたデータベースに前記パケットに含まれるMACアドレスが登録されていない場合に不正接続と判定するステップと、不正接続と判定されたコンピュータに接続停止要求を送信するステップと、を実行させることを特徴とする。   The program according to the present invention is a monitoring server program for monitoring a computer connected to a local area network, wherein the monitoring server monitors a packet sent to the network, and a MAC of a computer that is permitted to connect in advance. Executing a step of determining an unauthorized connection when a MAC address included in the packet is not registered in a database in which an address is registered, and a step of transmitting a connection stop request to a computer determined to be an unauthorized connection. It is characterized by.

また本発明のプログラムがさらに、前記監視サーバに、不正接続と判定されたコンピュータにその位置情報の送信を要求するステップを実行させることを特徴とする。   The program according to the present invention may further cause the monitoring server to execute a step of requesting the computer determined to be unauthorized connection to transmit the position information.

ローカルエリアネットワーク上に送出されるパケットを監視し、予め許可されたMACアドレス以外のMACアドレスを含むパケットを検出した場合に、当該パケットの送信元が不正接続されたコンピュータと判定することにより、ネットワークへの不正接続を即時に検出して適切な対応をとることが可能となる。   By monitoring a packet transmitted on the local area network and detecting a packet including a MAC address other than a MAC address permitted in advance, the network is determined by determining that the transmission source of the packet is an illegally connected computer. It is possible to immediately detect an unauthorized connection to and take appropriate action.

また、不正接続端末を検出した場合にその端末のネットワーク機能を停止させることにより、不正接続された装置からネットワーク上の重要資料へのアクセスや、ネットワークへの甚大な障害を起こすような操作を防止することができ、他の様々なセキュリティ対策と併せて実施することにより、企業および組織のセキュリティレベルを高く保つことができる。   In addition, if an illegally connected terminal is detected, the network function of that terminal is stopped, preventing access to important data on the network from an illegally connected device or operations that cause a major failure to the network. When implemented in conjunction with various other security measures, the security level of companies and organizations can be kept high.

また、不正接続端末の位置情報を取得して監視員の携帯情報通信端末に送信することにより、監視員が不正接続の現場に駆けつけて注意や勧告を行うことができ、ネットワーク上の重要資料の漏洩といった危険を最小限に抑えることができる。同時に、不正接続端末の使用者に即座に注意や勧告を行うことができ、その使用者による不正接続の反復継続を防止できるとともに、ネットワークの接続ポリシーを指導することにより効果的に不正接続率を低下させることができる。   In addition, by acquiring the location information of the unauthorized connection terminal and transmitting it to the mobile information communication terminal of the monitor, the monitor can rush to the site of the unauthorized connection and give advice and recommendations. Risk of leakage can be minimized. At the same time, it is possible to give immediate attention and recommendations to users of unauthorized connection terminals, prevent repeated continuation of unauthorized connections by the users, and effectively guide unauthorized connection rates by instructing network connection policies. Can be reduced.

この場合のコンピュータ側の位置情報取得手段はGPS位置情報を好適に利用することができ、またこれにより制度の高い位置情報の取得が可能となるという効果を有する。   In this case, the position information acquisition means on the computer side can suitably use the GPS position information, and this has the effect that it is possible to acquire position information with a high system.

以下、本発明を実施するための最良の形態について、図面を参照して詳細に説明する。   Hereinafter, the best mode for carrying out the present invention will be described in detail with reference to the drawings.

図1は、本発明にかかるコンピュータ監視システムの実施形態の構成を示す図である。本図を参照すると、企業や学校などに構築されたイントラネット100(LANまたはWAN)に、複数のユーザ端末10と、ネットワーク上で各ユーザ端末10の送出するパケットを監視する監視サーバ20と、企業や学校などの警備担当者が参照する監視員端末30とが接続されている。   FIG. 1 is a diagram showing a configuration of an embodiment of a computer monitoring system according to the present invention. Referring to the figure, an intranet 100 (LAN or WAN) constructed in a company or a school has a plurality of user terminals 10, a monitoring server 20 that monitors packets sent from each user terminal 10 on the network, and a company And a supervisor terminal 30 referred to by a security officer such as a school.

ユーザ端末10は、企業内でその構成員に支給されるコンピュータや、学校内に設置され生徒や教員が自由に利用できるコンピュータであり、固定的に設置されるデスクトップ型であると、携帯可能で企業内や学内の適宜の場所からイントラネット100に接続できるラップトップ型であるとを問わない。これらのユーザ端末10は、ネットワーク接続機能を備え、イントラネット100に接続してネットワーク上の資源(例えば、共有ファイルへのアクセスやメール機能)を利用することができる。また、後述するように、監視サーバ20からの要求を受けてネットワーク接続機能を停止する機能と、自端末の位置を取得して監視サーバ20に送信する機能を備えている。   The user terminal 10 is a computer that is provided to its members in a company, a computer that is installed in a school and can be freely used by students and teachers, and can be portable if it is a fixed desktop type. It does not matter whether it is a laptop type that can be connected to the intranet 100 from an appropriate place in the company or on campus. These user terminals 10 have a network connection function, and can connect to the intranet 100 and use resources on the network (for example, access to a shared file and a mail function). Further, as will be described later, it has a function of receiving a request from the monitoring server 20 and stopping the network connection function, and a function of acquiring the position of its own terminal and transmitting it to the monitoring server 20.

図2に、ユーザ端末10の概略構成を示す。ユーザ端末10は、イントラネット100に接続するための接続手段101と、監視サーバ20からの要求に応じて位置情報を指定された宛先に送信する送信処理手段102と、位置情報を取得するGPS信号受信手段103とを備えている。接続手段101は、ネットワークカード等の情報処理装置であり、ユーザ端末10のネットワーク接続を担当する。この接続手段101は装置ごとに固有のMACアドレス(Media Access Control Address)を有しており、ユーザ端末10がネットワーク100に送出するデータパケットにはこのMACアドレスが付加される。また、接続手段101は監視サーバ20から接続停止要求を受けた場合にネットワーク接続機能を停止する。接続手段101はこの監視サーバ20からの接続停止要求を最高レベルの優先度として扱い、当該要求を受けた場合にはネットワーク100を介したパケットの送受信が遮断される。   FIG. 2 shows a schematic configuration of the user terminal 10. The user terminal 10 includes a connection unit 101 for connecting to the intranet 100, a transmission processing unit 102 that transmits location information to a designated destination in response to a request from the monitoring server 20, and a GPS signal reception that acquires the location information. Means 103. The connection unit 101 is an information processing apparatus such as a network card, and is responsible for network connection of the user terminal 10. This connection means 101 has a unique MAC address (Media Access Control Address) for each apparatus, and this MAC address is added to a data packet sent from the user terminal 10 to the network 100. Further, the connection unit 101 stops the network connection function when receiving a connection stop request from the monitoring server 20. The connection unit 101 treats the connection stop request from the monitoring server 20 as the highest priority, and when receiving the request, transmission / reception of packets via the network 100 is blocked.

ユーザ端末10の送信処理手段102は、監視サーバ20から位置情報送信要求を受けた場合に、GPS信号受信手段103から位置情報を取得して指定された宛先に送信する。本実施例では位置情報の宛先を監視員端末30として説明する。GPS信号受信手段103は公知の衛星航法システムのサテライト信号を受信し、そこから自端末の位置を導出して送信処理手段102に通知する。GPS(Gloval Positioning System)は公知であるため、その詳細な説明は本明細書において省略する。なお、図示しないが、ユーザ端末10はこの他ネットワークに接続して業務を遂行するための必要な機能(ソフトウェアやハードウェア)を備えるものとする。   When receiving the location information transmission request from the monitoring server 20, the transmission processing unit 102 of the user terminal 10 acquires the location information from the GPS signal receiving unit 103 and transmits it to the designated destination. In this embodiment, the position information destination is described as the monitor terminal 30. The GPS signal receiving unit 103 receives a satellite signal of a known satellite navigation system, derives the position of the terminal from the satellite signal, and notifies the transmission processing unit 102 of it. Since GPS (Gloval Positioning System) is well-known, the detailed description is abbreviate | omitted in this specification. Although not shown, it is assumed that the user terminal 10 is provided with necessary functions (software and hardware) for connecting to a network and performing business.

監視サーバ20は、イントラネット100に接続された例えばワークステーション型サーバコンピュータであり、ネットワーク100上に流されているパケットをスニファーし、パケットに含まれるMACアドレスと予め接続許可されたMACアドレスと比較することにより不正接続を検出する装置である。   The monitoring server 20 is, for example, a workstation type server computer connected to the intranet 100. The monitoring server 20 sniffs a packet flowing on the network 100, and compares the MAC address included in the packet with a MAC address permitted to connect in advance. This is an apparatus for detecting unauthorized connection.

図3に示すように、監視サーバ20は処理装置201と、MACアドレスDB202とを備えている。MACアドレスDB202には、イントラネット100に接続が許可された端末固有の情報であるMACアドレスが登録される。また、図示しないが監視サーバ20はイントラネット100に接続されたルータまたはハブ装置を備えており、当該ルータまたはハブ装置はネットワーク100上に流れるパケットに含まれるMACアドレスを抽出して処理装置201に通知する。処理装置201はMACアドレスDB202を参照して通知されたMACアドレスがデータベース202に登録されているかを確認し、登録されていない場合は接続許可がされていない端末による不正接続であると判定する。そして、不正接続端末を検出した場合は、当該端末に対して位置情報の送信要求を行うとともに、その後ネットワーク接続停止要求を発信する。この場合の位置情報の送信要求には監視員端末30の送り先アドレス情報が含まれ、ユーザ端末10は位置情報を指定された宛先である監視員端末30に直接送信する。   As shown in FIG. 3, the monitoring server 20 includes a processing device 201 and a MAC address DB 202. In the MAC address DB 202, a MAC address that is information unique to a terminal permitted to connect to the intranet 100 is registered. Although not shown, the monitoring server 20 includes a router or hub device connected to the intranet 100, and the router or hub device extracts a MAC address included in a packet flowing on the network 100 and notifies the processing device 201. To do. The processing device 201 refers to the MAC address DB 202 to check whether or not the notified MAC address is registered in the database 202. If the MAC address is not registered, the processing device 201 determines that the connection is unauthorized by a terminal that is not permitted to connect. When an unauthorized connection terminal is detected, a request for transmitting location information is sent to the terminal, and then a network connection stop request is sent. In this case, the position information transmission request includes the destination address information of the monitor terminal 30, and the user terminal 10 transmits the position information directly to the monitor terminal 30 that is the designated destination.

ただし、別の実施例ではユーザ端末10が監視サーバ20に位置情報を返信し、監視サーバ20が監視員端末30にこの位置情報を転送するよう構成してもよい。この場合、監視サーバ20と監視員端末30との情報通信はイントラネット100を介して行ってもよいし、別途接続されたインターネット等の公衆回線網や、監視員端末30が携帯電話機等の移動通信端末である場合は携帯電話会社等の接続サービス業者の通信基地局を介して行われる構成であってもよい。   However, in another embodiment, the user terminal 10 may return the position information to the monitoring server 20, and the monitoring server 20 may transfer the position information to the monitor terminal 30. In this case, information communication between the monitoring server 20 and the monitor terminal 30 may be performed via the intranet 100, or a public line network such as the Internet connected separately, or mobile communication such as a mobile phone connected to the monitor terminal 30. In the case of a terminal, the configuration may be performed via a communication base station of a connection service provider such as a mobile phone company.

また、監視サーバ20の処理装置202は、監視サーバ20が備えるキーボードやマウス等の入力手段から、あるいはイントラネット100に接続されたアドミニストレータ権限を有するユーザ端末からの入力により、新規にネットワーク接続を許可する端末のMACアドレスをDB202に登録したり、既にDB202に登録された情報の変更あるいは削除を実施する。なお、以上の監視サーバ20の処理装置202の動作は、監視サーバ20の記憶領域に格納された監視プログラムが監視サーバのメモリに展開されCPUで実行されることにより実現することができる。   In addition, the processing device 202 of the monitoring server 20 newly permits a network connection by input from an input unit such as a keyboard or a mouse provided in the monitoring server 20 or from a user terminal having administrator authority connected to the intranet 100. The MAC address of the terminal is registered in the DB 202, or information already registered in the DB 202 is changed or deleted. The above-described operation of the processing device 202 of the monitoring server 20 can be realized by developing a monitoring program stored in the storage area of the monitoring server 20 in the memory of the monitoring server and executing it by the CPU.

監視員端末30は、企業や学校のセキュリティ担当者が利用するパーソナルコンピュータ、携帯電話機やPDA等の情報通信端末であり、不正接続端末(ユーザ端末10)または監視サーバ20から位置情報を受信して、画面上に表示する機能を有する。この監視員端末30は、本願システムが適用される企業や学校の施設地図画像データを備えており、位置情報を受信したら地図画面上に不正接続端末の位置を重ねて画面上に表示することが望ましい(図6参照)。ただし、監視員端末30への位置情報の通知はこの例に限らず、例えば「○○棟の××階、第△△号室」等のような文字データや音声データで伝達される構成としてもよい。また、上述のように監視員端末30は監視サーバ20とイントラネット100で接続されてもよいし、外部のインターネット等を介して位置情報を受信する構成であってもよい。このように、監視サーバ20により不正接続端末が検出されたら監視員端末30へその位置情報が通知されるため、セキュリティ担当者がそこへ出向いて不正接続端末の利用者に注意・警告を行うことができる。   The monitor terminal 30 is an information communication terminal such as a personal computer, a mobile phone, or a PDA used by a security officer of a company or school, and receives position information from an unauthorized connection terminal (user terminal 10) or the monitoring server 20. Have a function of displaying on the screen. This monitor terminal 30 includes facility map image data of a company or school to which the system of the present application is applied, and when the position information is received, the position of the unauthorized connection terminal can be displayed on the map screen and displayed on the screen. Desirable (see FIG. 6). However, the notification of the position information to the supervisor terminal 30 is not limited to this example. For example, a configuration in which text data or voice data such as “XX floor of XX building, No. △ Δ room” is transmitted may be used. Good. Further, as described above, the monitor terminal 30 may be connected to the monitoring server 20 via the intranet 100, or may be configured to receive position information via the external Internet or the like. As described above, when an unauthorized connection terminal is detected by the monitoring server 20, the position information is notified to the monitor terminal 30, so that the security officer goes there and gives a warning / warning to the user of the unauthorized connection terminal. Can do.

図4は、上記コンピュータ監視システムの動作を説明するためのフロー図である。紙面右側にユーザ装置10の処理を示し、中央に監視サーバ20の処理を示し、左側に監視員端末30の処理を示す。本実施例の前提として、企業や学校などの施設の管理下にあるコンピュータ端末、すなわちイントラネット100に接続が許可された各ユーザ端末10のMACアドレスは監視サーバ20のMACアドレスDB202に登録されているものとする。   FIG. 4 is a flowchart for explaining the operation of the computer monitoring system. The process of the user device 10 is shown on the right side of the page, the process of the monitoring server 20 is shown in the center, and the process of the monitor terminal 30 is shown on the left side. As a premise of this embodiment, the MAC address of each user terminal 10 permitted to connect to the intranet 100 is registered in the MAC address DB 202 of the monitoring server 20 under the management of a facility such as a company or school. Shall.

この状況において、接続が許可されていない、すなわちMACアドレスDB202にMACアドレスが登録されていないユーザ端末10がイントラネット100に不正接続を試みた場合(ステップA11)、監視サーバ20はネットワーク100上のパケットをスニファーしており、このユーザ端末10のMACアドレスが取得される(ステップA12)。次に、監視サーバ20はMACアドレスDB202を参照して取得したMACアドレスが登録されているかを確認し、DB202に当該ユーザ端末10のMACアドレスがない場合に不正接続であると判定する(ステップA13)。DB202にMACアドレスが登録されていれば接続許可された端末であるとして処理を終了する。   In this situation, when the user terminal 10 that is not permitted to connect, that is, whose MAC address is not registered in the MAC address DB 202 attempts an unauthorized connection to the intranet 100 (step A11), the monitoring server 20 transmits a packet on the network 100. The MAC address of the user terminal 10 is acquired (step A12). Next, the monitoring server 20 confirms whether or not the MAC address acquired by referring to the MAC address DB 202 is registered, and determines that the unauthorized connection is made when the DB 202 does not have the MAC address of the user terminal 10 (step A13). ). If the MAC address is registered in the DB 202, it is determined that the terminal is permitted to connect, and the process ends.

不正接続を検出した場合、監視サーバ20は当該ユーザ端末10に対し、位置情報を監視員端末30に送信するよう要求する(ステップA14)。ユーザ端末10はこの指示を受信し、GPS信号受信手段103により導出される位置情報を取得し、監視員端末30に送信する(ステップA16)。監視員端末30はこの位置情報を受信して(ステップA17)、監視画面に表示し(ステップA18)、これによりセキュリティ担当者が現場に向かい不正接続端末の使用者に注意や警告が与えられる。   When the unauthorized connection is detected, the monitoring server 20 requests the user terminal 10 to transmit the position information to the monitor terminal 30 (step A14). The user terminal 10 receives this instruction, acquires the position information derived by the GPS signal receiving means 103, and transmits it to the supervisor terminal 30 (step A16). The monitor terminal 30 receives this position information (step A17) and displays it on the monitor screen (step A18), whereby the security officer heads to the site and gives a warning or warning to the user of the unauthorized connection terminal.

その後、監視サーバ20は不正接続にかかるユーザ端末10に、ネットワーク接続機能の停止を要求する(ステップA19)。この要求を受け取ったユーザ端末10の接続手段101はネットワーク接続機能を停止する(ステップA20〜A21)。これにより、ユーザ端末10からネットワーク100上の重要データへのアクセスを迅速に遮断することができ、被害を最小限に抑えることができる。   Thereafter, the monitoring server 20 requests the user terminal 10 involved in unauthorized connection to stop the network connection function (step A19). Upon receiving this request, the connection means 101 of the user terminal 10 stops the network connection function (steps A20 to A21). Thereby, access from the user terminal 10 to important data on the network 100 can be quickly blocked, and damage can be minimized.

図5はこの動作イメージを表す図であり、監視サーバ20がネットワーク100のパケットをスニファーして不正接続端末を検出し、位置情報の送信要求(T1)を行った後にネットワーク接続機能の停止要求(T2)を行う様子が示されている。また、図6は位置情報を受け取った監視員端末30の画面例を示す図であり、企業や学校の施設内のどの位置に不正接続端末が位置しているかが視覚的に示された様子を示している。   FIG. 5 is a diagram showing this operation image. After the monitoring server 20 sniffs the packet of the network 100 to detect an illegally connected terminal and makes a location information transmission request (T1), the network connection function stop request ( A state of performing T2) is shown. FIG. 6 is a diagram showing an example of the screen of the monitor terminal 30 that has received the position information, and shows a visual indication of where the unauthorized connection terminal is located in the company or school facility. Show.

本発明の実施の一形態について詳細に説明したが、本発明は上記実施例に限られるものではなく、他の様々な実施例として実現することができる。例えば上記実施例では、ユーザ端末10がGPS受信機能を備え位置情報を導出しているが、これはユーザ端末10の利用者がキーボードやマウス等の入力手段を用いて手入力するようにしてもよいし、施設を構成する建物の各階または各部屋ごとに位置情報発信器を設けるとともに、ユーザ端末10がこの発信器からの情報を受信して自端末の位置情報を取得する構成としてもよい。GPSだと屋内の場合や建物の階数についての精度が低くなる可能性があるが、屋内の適宜箇所に正確な位置情報を取得できる手段を設けることにより、正確な位置情報を取得できるようにして不正接続端末の発見を迅速に行うことができる。また、MACアドレスDB202は監視サーバ20内にある必要はなく、別に設けられた外部記憶装置内に登録されていてもよい。   Although one embodiment of the present invention has been described in detail, the present invention is not limited to the above embodiment, and can be realized as various other embodiments. For example, in the above-described embodiment, the user terminal 10 has a GPS reception function and derives position information. However, the user terminal 10 may be manually input using an input means such as a keyboard or a mouse. Alternatively, a location information transmitter may be provided for each floor or each room of the building constituting the facility, and the user terminal 10 may receive the information from the transmitter and acquire the location information of the terminal itself. In the case of GPS, the accuracy of indoors and the number of floors of a building may be low. However, by providing means that can acquire accurate position information at appropriate locations indoors, it is possible to acquire accurate position information. Unauthorized connection terminals can be quickly discovered. Further, the MAC address DB 202 does not need to be in the monitoring server 20, and may be registered in an external storage device provided separately.

本発明は、ネットワークへの接続許可がなされていないコンピュータ端末を検出し、その位置情報をセキュリティ担当者の端末画面上に表示するとともに、当該端末のネットワーク接続機能を停止させるものであり、セキュリティ性を高めたネットワーク情報処理産業に好適に利用することができる。   The present invention detects a computer terminal that is not permitted to connect to a network, displays its position information on the security officer's terminal screen, and stops the network connection function of the terminal. It can be suitably used in the network information processing industry with improved performance.

本発明のコンピュータ監視システムの全体構成を示す図である。It is a figure which shows the whole structure of the computer monitoring system of this invention. ユーザ端末10の構成を示す概略図である。2 is a schematic diagram illustrating a configuration of a user terminal 10. FIG. 監視サーバ20の構成を示す概略図である。2 is a schematic diagram illustrating a configuration of a monitoring server 20. FIG. コンピュータ監視システムの動作を説明するフローチャートである。It is a flowchart explaining operation | movement of a computer monitoring system. コンピュータ監視システムの動作イメージを示す図である。It is a figure which shows the operation | movement image of a computer monitoring system. 監視員端末30の画面例を示す図である。It is a figure which shows the example of a screen of the supervisor terminal 30. FIG.

符号の説明Explanation of symbols

100 イントラネット
10 ユーザ端末
101 接続手段
102 送信処理手段
103 GPS信号受信手段
20 監視サーバ
201 処理装置
202 MACアドレスDB
30 監視員端末
DESCRIPTION OF SYMBOLS 100 Intranet 10 User terminal 101 Connection means 102 Transmission processing means 103 GPS signal receiving means 20 Monitoring server 201 Processing apparatus 202 MAC address DB
30 Monitor terminal

Claims (10)

ネットワークに接続されたコンピュータを監視するシステムにおいて、予め前記ネットワークに接続が許可されたコンピュータのMACアドレスが登録されるデータベースと、前記ネットワーク上に送出されるパケットを監視し、そこに含まれるMACアドレスが前記データベースに登録されていない場合に不正接続と判定する監視サーバとを備えることを特徴とするコンピュータ監視システム。   In a system for monitoring computers connected to a network, a database in which MAC addresses of computers permitted to be connected to the network are registered in advance, and packets sent on the network are monitored, and MAC addresses included therein are monitored. And a monitoring server that determines that the connection is unauthorized when the password is not registered in the database. 請求項1に記載のコンピュータ監視システムにおいて、前記ネットワークに接続された1以上のコンピュータ端末を備え、前記監視サーバは不正接続と判定されたコンピュータ端末に接続停止要求を行うとともに、前記コンピュータ端末が前記停止要求を受けた場合にネットワーク接続機能を停止するネットワーク接続手段を備えることを特徴とするコンピュータ監視システム。   2. The computer monitoring system according to claim 1, comprising one or more computer terminals connected to the network, wherein the monitoring server issues a connection stop request to a computer terminal determined to be an unauthorized connection, and the computer terminal A computer monitoring system comprising network connection means for stopping a network connection function when a stop request is received. 請求項2に記載のコンピュータ監視システムにおいて、前記監視サーバは不正接続と判定されたコンピュータ端末に位置情報の送信を要求するとともに、前記コンピュータ端末が自端末の位置情報を取得する手段を備え、前記位置情報の要求を受けた場合に取得した位置情報を指定された宛先に送信することを特徴とするコンピュータ監視システム。   The computer monitoring system according to claim 2, wherein the monitoring server requests the computer terminal determined to be unauthorized connection to transmit position information, and the computer terminal includes means for acquiring position information of the own terminal, A computer monitoring system, which transmits position information acquired upon receiving a request for position information to a designated destination. 請求項3に記載のコンピュータ監視システムにおいて、前記コンピュータ端末の位置情報取得手段は、GPS信号受信手段を備えることを特徴とするコンピュータ監視システム。   4. The computer monitoring system according to claim 3, wherein the position information acquisition unit of the computer terminal includes a GPS signal receiving unit. 請求項3または4に記載のコンピュータ監視システムにおいて、当該システムがさらに警備担当者に属する情報通信端末を備え、前記監視サーバまたは前記不正接続と判定されたコンピュータ端末から当該コンピュータ端末の位置情報が前記警備担当者の情報通信端末に送信されることを特徴とするコンピュータ監視システム。   5. The computer monitoring system according to claim 3, wherein the system further includes an information communication terminal belonging to a security officer, and the position information of the computer terminal is obtained from the monitoring server or the computer terminal determined to be the unauthorized connection. A computer monitoring system which is transmitted to an information communication terminal of a security officer. ネットワークに接続されたコンピュータを監視するシステムの監視方法において、前記ネットワークに接続された監視サーバが、前記ネットワーク上に送出されるパケットを監視し、予め接続が許可されたコンピュータのMACアドレスが登録されたデータベースに前記パケットに含まれるMACアドレスが登録されていない場合に不正接続と判定するステップと、前記監視サーバが不正接続と判定されたコンピュータ端末に接続停止要求を送信するステップと、を含むことを特徴とするコンピュータ監視方法。   In a system monitoring method for monitoring a computer connected to a network, a monitoring server connected to the network monitors a packet transmitted on the network, and a MAC address of a computer permitted to connect in advance is registered. A step of determining an unauthorized connection when the MAC address included in the packet is not registered in the database, and a step of transmitting a connection stop request to the computer terminal determined to be an unauthorized connection by the monitoring server. A computer monitoring method characterized by the above. 請求項6に記載の監視方法がさらに、前記監視サーバが、不正接続と判定されたコンピュータ端末にその位置情報を要求するステップを含むことを特徴とするコンピュータ監視方法。   7. The computer monitoring method according to claim 6, further comprising a step in which the monitoring server requests the location information from a computer terminal determined to be an unauthorized connection. 請求項6または7に記載の監視方法において、前記ネットワークに接続されるコンピュータ端末が、前記監視サーバから接続停止要求を受けた場合にネットワーク接続機能を停止するステップと、前記コンピュータ端末が自端末の位置情報を取得するステップと、前記コンピュータ端末が前記監視サーバから位置情報の要求を受けた場合に前記取得した位置情報を指定された宛先に送信するステップと、を含むことを特徴とするコンピュータ監視方法。   The monitoring method according to claim 6 or 7, wherein a computer terminal connected to the network stops a network connection function when receiving a connection stop request from the monitoring server; Computer monitoring, comprising: acquiring location information; and transmitting the acquired location information to a specified destination when the computer terminal receives a request for location information from the monitoring server. Method. ネットワークに接続されたコンピュータを監視する監視サーバのプログラムにおいて、前記監視サーバに、前記ネットワーク上に送出されるパケットを監視し、予め接続が許可されたコンピュータのMACアドレスが登録されたデータベースに前記パケットに含まれるMACアドレスが登録されていない場合に不正接続と判定するステップと、不正接続と判定されたコンピュータに接続停止要求を送信するステップと、を実行させることを特徴とするプログラム。   In a monitoring server program for monitoring a computer connected to a network, the monitoring server monitors a packet transmitted to the network, and the packet is stored in a database in which MAC addresses of computers permitted to be connected in advance are registered. A program for executing a step of determining an unauthorized connection when a MAC address included in the password is not registered and a step of transmitting a connection stop request to a computer determined to be an unauthorized connection. 請求項9に記載のプログラムがさらに、前記監視サーバに、不正接続と判定されたコンピュータにその位置情報の送信を要求するステップを実行させることを特徴とするプログラム。
The program according to claim 9, further causing the monitoring server to execute a step of requesting transmission of the position information to a computer determined to be an unauthorized connection.
JP2005046628A 2005-02-23 2005-02-23 Computer monitor system, monitor method and monitor program Pending JP2006237779A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005046628A JP2006237779A (en) 2005-02-23 2005-02-23 Computer monitor system, monitor method and monitor program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005046628A JP2006237779A (en) 2005-02-23 2005-02-23 Computer monitor system, monitor method and monitor program

Publications (1)

Publication Number Publication Date
JP2006237779A true JP2006237779A (en) 2006-09-07

Family

ID=37044985

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005046628A Pending JP2006237779A (en) 2005-02-23 2005-02-23 Computer monitor system, monitor method and monitor program

Country Status (1)

Country Link
JP (1) JP2006237779A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012138888A (en) * 2010-12-10 2012-07-19 Toshiba Corp Information processing device and information processing method

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012138888A (en) * 2010-12-10 2012-07-19 Toshiba Corp Information processing device and information processing method

Similar Documents

Publication Publication Date Title
US7832006B2 (en) System and method for providing network security
KR100284902B1 (en) Information security system and method for tracking information leakage
US20100169472A1 (en) Web Access Monitoring Method and Associated Program
EP2071883A2 (en) Apparatus, method, program and recording medium for protecting data in a wireless communication terminal
US20140201808A1 (en) Network system, mobile communication device and program
CN102457716A (en) Monitoring camera apparatus and control method for monitoring camera apparatus
JP6470597B2 (en) VPN communication terminal compatible with captive portal, communication control method thereof and program thereof
JP2016095631A (en) Information diagnostic system, information diagnostic device, information diagnostic method and program
CN101909298A (en) Secure access control method and device for wireless network
TW201618518A (en) Detection and deterrance of unauthorized use of mobile devices
JP2009163578A (en) Data center monitoring apparatus
CN102291239B (en) Remote authentication method, system, agent component and authentication servers
JPWO2007069337A1 (en) Unauthorized communication program regulation system and program
JP2009164968A (en) Mobile terminal and terminal function control program
JP5353714B2 (en) Server system and its event message transmission method
KR101366622B1 (en) Apparatus for recognizing platform to identify a node for the control of unauthorized access
KR20130002044A (en) A method for detecting illegal access point and a wlan device therefor
JP2006237779A (en) Computer monitor system, monitor method and monitor program
CN110329865B (en) Elevator inspection support system and elevator operation information management method
CN105391686A (en) Data access method and data access device
CN109743733B (en) Wireless signal control method and device
JP4923304B2 (en) Emergency information network display system
JP2005115716A (en) Remote control system
JP4816388B2 (en) Information management apparatus, image processing control apparatus, image processing system, and program
JP2008217221A (en) Railroad maintenance work management system

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080729

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080805

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081003

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20081111