JP2008271416A - ネットワークフォレンジックシステム、ネットワーク監視方法及びmacアドレスのサンプリング方法 - Google Patents

ネットワークフォレンジックシステム、ネットワーク監視方法及びmacアドレスのサンプリング方法 Download PDF

Info

Publication number
JP2008271416A
JP2008271416A JP2007114550A JP2007114550A JP2008271416A JP 2008271416 A JP2008271416 A JP 2008271416A JP 2007114550 A JP2007114550 A JP 2007114550A JP 2007114550 A JP2007114550 A JP 2007114550A JP 2008271416 A JP2008271416 A JP 2008271416A
Authority
JP
Japan
Prior art keywords
network
switch
mac address
user terminal
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007114550A
Other languages
English (en)
Other versions
JP4943929B2 (ja
Inventor
Noriyuki Fujiwara
礼征 藤原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
EASYNET Inc
Original Assignee
EASYNET Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by EASYNET Inc filed Critical EASYNET Inc
Priority to JP2007114550A priority Critical patent/JP4943929B2/ja
Publication of JP2008271416A publication Critical patent/JP2008271416A/ja
Application granted granted Critical
Publication of JP4943929B2 publication Critical patent/JP4943929B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P20/00Technologies relating to chemical industry
    • Y02P20/50Improvements relating to the production of bulk chemicals
    • Y02P20/52Improvements relating to the production of bulk chemicals using catalysts, e.g. selective catalysts

Landscapes

  • Small-Scale Networks (AREA)

Abstract

【課題】 「IP情報を元にスイッチングを行うスイッチ」の介在する環境においても利用者端末を識別することの可能なネットワークフォレンジックシステム、ネットワーク監視方法及びMACアドレスのサンプリング方法を提供すること。
【解決手段】WAN100とL3スイッチとの間の第一通信データP3,P4を監視サーバー8で採取すると共に保存する。端末7とスイッチ5との間にこれらの間の第二通信データP2をサンプリング装置10でサンプリングする。第二通信データP2から利用者端末7のMACアドレスと当該利用者端末のIPアドレスとの対応関係を求め、この対応関係を監視サーバー8に送信し、第一通信データのIPアドレスにMACアドレスを関連づける。ARPにより第二通信データを採取してもよい。
【選択図】 図1

Description

本発明は、ネットワークフォレンジックシステム並びにこれに関連するネットワーク監視方法及びMACアドレスのサンプリング方法に関する。さらに詳しくは、各々がMACアドレスを有する複数の利用者端末と、これら複数の利用者端末を接続する第一ネットワークと、これら利用者端末が利用対象とする第二ネットワークに対する他ネット接続部と、IP情報を元にスイッチングを行うスイッチとを備え、このスイッチを前記他ネット接続部と前記第一ネットワークとの間に配置し、前記他ネット接続部とスイッチとの間の第一通信データを採取すると共に保存する監視サーバーを備えたネットワークフォレンジックシステム、並びに、これに関連するネットワーク監視方法及びMACアドレスのサンプリング方法に関する。
上述の如きネットワークフォレンジックシステムでは、例えば、第一ネットワークであるLANに接続された利用者端末が第二ネットワークであるWANへの接続を行うことで、TCP/IP等による通信がなされる。そして、監視サーバーにより各利用者端末とWANとの通信パケットを監視サーバーは採取・解析・記録・保存する。
一方、上記WAN,LAN環境では、ギガビットネットワークの普及とLANの大規模化に伴い、ルーティングの高速化とサブネット間通信の必要性が高まってきた。そこで、これらの要請に応え、IP情報を元にスイッチングを行うスイッチの一例としてレイヤー3スイッチが導入されている。
ところが、パケットがレイヤー3スイッチを通過する際、パケットに付加されていたMACアドレスの値が変更されてしまうため、送信元である各利用者用端末7のMACアドレスが不明となる。その一方、各利用者用端末のIPアドレスは、DHCP(Dynamic Host Configuration Protocol)によって一時的かつ自動的に割り振られているケースが多い。したがって、IPアドレスのみでは各利用者用端末を識別することができなかった。
ところで、特許文献1でも、このようなDHCPによるデバイスの識別上の問題が指摘されている。同文献ではIPとMACの情報を有するARPテーブルを利用して疑似物理デバイスとIPとを関連づけており、レイヤー3スイッチではMACの情報が欠落するため、「IP情報を元にスイッチングを行うスイッチ」の介在する環境では同技術を利用しても利用者端末を識別することは不可能である。
特開平11−355303号公報
かかる従来の実情に鑑みて、本発明は、「IP情報を元にスイッチングを行うスイッチ」の介在する環境においても利用者端末を識別することの可能なネットワークフォレンジックシステム、ネットワーク監視方法及びMACアドレスのサンプリング方法を提供することを目的とする。
上記目的を達成するため、本発明に係るネットワークフォレンジックシステムの特徴は、各々がMACアドレスを有する複数の利用者端末と、これら複数の利用者端末を接続する第一ネットワークと、これら利用者端末が利用対象とする第二ネットワークに対する他ネット接続部と、IP情報を元にスイッチングを行うスイッチとを備え、このスイッチを前記他ネット接続部と前記第一ネットワークとの間に配置し、前記他ネット接続部とスイッチとの間の第一通信データを採取すると共に保存する監視サーバーを備えた構成において、前記利用者端末と前記スイッチとの間にこれらの間の第二通信データをサンプリングするサンプリング装置を設け、このサンプリング装置によりサンプリングされた第二通信データから前記利用者端末のMACアドレスと当該利用者端末のIPアドレスとの対応関係を求め、この対応関係を前記監視サーバーに送信し、第一通信データのIPアドレスにMACアドレスを関連づけることにある。
また、本発明に係るネットワークフォレンジックシステムの他の特徴は、各々がMACアドレスを有する複数の利用者端末と、これら複数の利用者端末を接続する第一ネットワークと、これら利用者端末が利用対象とする第二ネットワークに対する他ネット接続部と、IP情報を元にスイッチングを行うスイッチとを備え、このスイッチを前記他ネット接続部と前記第一ネットワークとの間に配置し、前記他ネット接続部とスイッチとの間の第一通信データを採取すると共に保存する監視サーバーを備えた構成において、前記利用者端末と前記スイッチとの間に各利用者端末においてARPにより付与されるMACアドレスと当該利用者端末のIPアドレスとの対応関係をサンプリングするサンプリング装置を設け、この対応関係を前記監視サーバーに送信し、第一通信データのIPアドレスにMACアドレスを関連づけることにある。
前記スイッチとしてはレイヤー3スイッチが用いられ、前記サンプリング装置はサブネット毎に設けられる。また、前記監視サーバーは、前記各利用者端末の情報を前記MACアドレスに関連づけて保持すると利用者端末の管理がより容易となる。これらの構成は以下の方法においても実施される。
一方、本発明に係るネットワーク監視方法の特徴は、各々がMACアドレスを有する複数の利用者端末と、これら複数の利用者端末を接続する第一ネットワークと、これら利用者端末が利用対象とする第二ネットワークに対する他ネット接続部と、IP情報を元にスイッチングを行うスイッチとを備え、このスイッチを前記他ネット接続部と前記第一ネットワークとの間に配置したネットワークシステムにおいて、前記他ネット接続部とスイッチとの間の第一通信データを監視サーバーにより採取すると共に保存する方法において、前記利用者端末と前記スイッチとの間にこれらの間の第二通信データをサンプリングするサンプリング装置を設け、このサンプリング装置によりサンプリングされた第二通信データから前記利用者端末のMACアドレスと当該利用者端末のIPアドレスとの対応関係を求め、この対応関係を前記監視サーバーに送信し、第一通信データのIPアドレスにMACアドレスを関連づけることにある。
また、本発明に係るネットワーク監視方法の他の特徴は、各々がMACアドレスを有する複数の利用者端末と、これら複数の利用者端末を接続する第一ネットワークと、これら利用者端末が利用対象とする第二ネットワークに対する他ネット接続部と、IP情報を元にスイッチングを行うスイッチとを備え、このスイッチを前記他ネット接続部と前記第一ネットワークとの間に配置したネットワークシステムにおいて、前記他ネット接続部とスイッチとの間の第一通信データを監視サーバーにより採取すると共に保存する方法において、前記利用者端末と前記スイッチとの間に各利用者端末においてARPにより付与されるMACアドレスと当該利用者端末のIPアドレスとの対応関係をサンプリングするサンプリング装置を設け、この対応関係を前記監視サーバーに送信し、第一通信データのIPアドレスにMACアドレスを関連づけることにある。
一方、本発明に係るMACアドレスのサンプリング方法の特徴は、各々がMACアドレスを有する複数の利用者端末と、これら複数の利用者端末を接続する第一ネットワークと、これら利用者端末が利用対象とする第二ネットワークに対する他ネット接続部と、IP情報を元にスイッチングを行うスイッチとを備え、このスイッチを前記他ネット接続部と前記第一ネットワークとの間に配置し、前記他ネット接続部とスイッチとの間の第一通信データを監視サーバーにより採取すると共に保存するネットワークフォレンジックシステムにおいて、前記利用者端末と前記スイッチとの間にこれらの間の第二通信データをサンプリングするサンプリング装置を設け、このサンプリング装置によりサンプリングされた第二通信データから前記利用者端末のMACアドレスと当該利用者端末のIPアドレスとの対応関係を求め、この対応関係を前記監視サーバーに送信し、第一通信データのIPアドレスにMACアドレスを関連づけることにある。
また、本発明に係るMACアドレスのサンプリング方法の他の特徴は、各々がMACアドレスを有する複数の利用者端末と、これら複数の利用者端末を接続する第一ネットワークと、これら利用者端末が利用対象とする第二ネットワークに対する他ネット接続部と、IP情報を元にスイッチングを行うスイッチとを備え、このスイッチを前記他ネット接続部と前記第一ネットワークとの間に配置し、前記他ネット接続部とスイッチとの間の第一通信データを監視サーバーにより採取すると共に保存するネットワークフォレンジックシステムにおいて、前記利用者端末と前記スイッチとの間に各利用者端末においてARPにより付与されるMACアドレスと当該利用者端末のIPアドレスとの対応関係をサンプリングするサンプリング装置を設け、この対応関係を前記監視サーバーに送信し、第一通信データのIPアドレスにMACアドレスを関連づけることにある。
上記本発明に係るネットワークフォレンジックシステム、ネットワーク監視方法及びMACアドレスのサンプリング方法の特徴によれば、「IP情報を元にスイッチングを行うスイッチ」の介在する環境においても利用者端末を識別することが可能となった。
本発明の他の目的、構成及び効果については、以下の発明の実施の形態の項から明らかになるであろう。
次に、添付図面を適宜参照しながら、本発明に係るネットワークフォレンジックシステム1についてさらに詳しく説明する。
図1に示すように、一般にネットワークフォレンジックシステム1は、第一ネットワークであるローカルエリアネットワーク(以下、LAN)2において,ネットワークタップ(以下、タップ)4、レイヤー2スイッチ6、ネットワーク利用者用端末7(7a〜d)、通信パケットの採取・解析・記録・監視を行う監視サーバ8、監視サーバ8の管理者が使用する管理者用端末9を備えている。
LAN2は、他ネット接続部99においてファイアウォール3を介して、利用者端末7が利用の対象とする第二ネットワークであるワイドエリアネットワーク(以下、WAN)100に接続されている。本実施形態では、LAN2及びWAN100はいずれもインターネットプロトコル(TCP/IP)での通信がなされる。各端末及び監視サーバ8は図示省略するCPU、メモリ及びハードディスク等の記憶装置、データ及びアドレス等のバス並びにマウス、キーボード及びディスプレイ等のインターフェイスを備えている。また、各端末にはウェブブラウザ及びメーラーがインストールされている。
ここで、レイヤー2スイッチ6は、データーリンク層においてMACアドレス情報を基にスイッチングを行うものである。LAN2がある程度の大きさになると、レイヤー2スイッチ6は複数個設けられ、各レイヤー2スイッチ6a,6bはそれぞれが異なるサブネットを構成する。例えば、第一、第二レイヤー2スイッチ6a,6bがそれぞれ第一、第二サブネットS1、S2を構成する場合、これら各レイヤー2スイッチ6a,6bは互いに異なる第一、第二サブネット間のネットワークを接続できないため、これら各レイヤー2スイッチ6a,6b間を高速でハードウエアにより接続するレイヤー3スイッチ5を設けている。
レイヤー3スイッチ5は、レイヤー2スイッチ6の機能を持ちながら、ハードウエア(ASIC)でネットワーク層においてIP情報を基にスイッチングを行うものである。本実施形態では、レイヤー3スイッチはルーティングの機能も有し、LAN2をWAN100に接続している。
LAN2は、4つのエリアに区分され、利用者用端末群7とレイヤー2スイッチ6との間を端末エリアA1、レイヤー2スイッチ6とレイヤー3スイッチ5との間をサンプリングエリアA2、レイヤー3スイッチ5と他ネット接続部99との間を他ネット接続エリアA3、TAP4と監視サーバー8との間をTAPエリアA4とそれぞれ称することとする。また、各エリアを流れるパケットの名称は、第一パケットP1が端末エリアA1を、第二パケットP2がサンプリングエリアA2を、第三パケットP3が他ネット接続エリアA3を、第四パケットP4がTAPエリアA4をそれぞれ流れるものとする。なお、第三、第四パケットP3,P4は共に同じ内容であり、これらを第一通信データと称する。
インターネット等のネットワークの利用に伴い、利用者用端末群7とWAN100との間の通信ネットワークには様々なパケットが流れている。監視サーバ8は、これら通信ネットワークを流れているパケットのすべてを、タップ4を経由することによって採取し、さらに採取したパケットのすべてを解析・記録・保存する。監視サーバ8の管理者は、採取・解析・記録・保存されたパケットのデータを、管理者用端末9において必要に応じて検索・再現し、ディスプレイ等のインターフェイスにおいてその内容を表示し、その内容を確認することができる。
また、インターネット等のネットワークの不適切と判断される利用・通信が発生した場合、監視サーバ8より管理者用端末9に対しリアルタイムに電子メールが送信され、不適切な利用・通信の発生を管理者に対し通知することができる。不適切と判断される利用・通信とは、例えば、組織内部の秘匿情報の電子メールやウェブメールによる漏洩やウェブ上の電子掲示板への組織内部情報の書き込み、通常業務と関連のないウェブ・電子メールの利用あるいは組織によって定められた規則に反するウェブ・電子メールの利用等を指すが、これらに限られるものではない。
本発明に係るネットワークフォレンジックシステムが企業等、様々な組織等に対する監査に利用される場合、監視サーバ8の管理者は監査担当者に相当する。監査における利用に耐え得るように、管理者によるパケットデータの検索・再現等の操作・閲覧履歴を記録・保存することができる。
ここで説明する第一の方式では、パケットサンプリングによって各利用者用端末のMACアドレスを収集し、監視サーバにおいて採取・解析された各利用者用端末のIPアドレスと対応させることにより、各利用者用端末を特定する。
レイヤー2スイッチ6a,6bは、レイヤー2(データリンク層)の情報を使ってネットワークを中継する。つまり、MACアドレスの情報を基にスイッチングを行うため、各利用者用端末7のIPアドレスおよびMACアドレスの情報は第一パケットP1から第二パケットP2へとそのまま通過する。しかし、レイヤー3スイッチはレイヤー3(ネットワーク層)の情報を使ってネットワークを中継する。つまり、IPアドレスを基にスイッチングを行うため、第二パケットP2から第三パケットP3への伝達において、各利用者用端末7のIPアドレスはそのまま通過するが、MACアドレスの値は変更されてしまう。また、一般的に、各利用者用端末7のIPアドレスは、DHCP(Dynamic Host Configuration Protocol)によって一時的かつ自動的に割り振られているケースが多い。この場合、これらのIPアドレスでは、各利用者用端末7の特定要素・特定要因にはならない。
そこで、本第一の方式に係る本システム1では、MACアドレスの値が変更される以前の情報を採取するために、第一、第二レイヤー2スイッチ6a,6bとレイヤー3スイッチ5の間であるサンプリングエリアA2に各サブネットS1,S2に対応させてそれぞれ第一、第二サンプリング装置10a,10bを設けている。そして、サンプリング装置10a,10bにおいて第二パケットP2から採取した各利用者用端末7のIPアドレスとMACアドレスの情報を対応情報信号RSにより監視サーバ8に適宜に送信し、監視サーバ8は第一データベース11aにこれらの情報をIPアドレスとMACアドレスの対応表として常時記録・保存する。
このように、第一データベース11aにおけるIPアドレスとMACアドレスの対応表を常に最新の状態にすることにより、タップ4を経由して監視サーバ8が採取・解析・記録・保存した通信パケットデータのIPアドレスから各利用者用端末7を特定することが可能である。
ここで、以上の構成による本システム1の具体的動作を説明する。利用者端末7a〜7dの添字であるa〜dは、MACアドレスMa〜Md及びIPアドレスIa〜dの添字に該当するものとする。例えば、ある利用者aの利用者用端末7aは、MaなるMACアドレスをネットワークカードが保有し、DHCPによりIaなるIPアドレスが付与されているものとする。
この利用者端末7aの利用に伴い、LAN2の端末エリアA1の経路上を{MAC:[Ma]、IP:[Ia]}なる第一パケットP1が流れる。第一パケットP1は、{MAC:[Ma]、IP:[Ia]}の値を変更することなくレイヤー2スイッチ6を通過して第二パケットP2となる。
本第一方式のサンプリング装置10は、{MAC:[Ma]、IP:[Ia]}なる第二パケットP2を間欠的に採取し、監視サーバ8に{MAC:[Ma]、IP:[Ia]}の情報を保有する対応情報信号RSを送信する。この信号RSの送信は、LAN2上の他ネット接続エリアA3及びTAPエリアA4を経由してもよいが、他のLANを設けて送信してもよい。監視サーバー8は、第一データベース11aにMAC:[Ma]とIP:[Ia]とを対応させたMACアドレスとIPアドレスとの「アドレス対応情報」を格納する。
一方、{MAC:[Ma]、IP:[Ia]}なる第二パケットP2はレイヤー3スイッチ5を通過する際にMACアドレスの値がレイヤー3スイッチ5のMACアドレスMxに変更されるので、他ネット接続エリアA3の第3パケットP3は{MAC:[Mx]、IP:[Ia]}としてその情報内容が変換される。よって、タップ4が補足する利用者用端末7aのMACアドレスおよびIPアドレスは{MAC:[Mx]、IP:[Ia]}になり、監視サーバ8はこれを第四パケットP4として採取・解析・記録・保存する。
監視サーバ8は、この第四パケットP4のIPアドレスIP:[Ia]と、上述の過程により第一データベース11aに格納したアドレス対応情報からMAC:[Ma]及びIP:[Ia]なる対応情報を参照することにより、この時点において採取された第四パケットP4を送信した利用者用端末のMACアドレスは[Maであり、使用されていた利用者用端末はMACアドレスより7aであることを特定することができる。
監視サーバー8では、上記第一データベース11aに加え、さらに第二データベース11bを利用してもよい。この第二データベース11bには、あらかじめ各利用者用端末7a〜dの各MACアドレスと各利用者用端末の情報、例えば使用者名・各利用者用端末番号・認証された使用者かどうか等の情報を内容とする対応表「各利用者用端末のMACアドレス及び各利用者用端末情報」が格納されている。これにより、上記第一データベース11aと同様の過程を経て特定されたMACアドレスから、第二データベース11bにあらかじめ格納されていた「各利用者用端末のMACアドレス及び各利用者用端末情報」の対応表を参照することにより、例えば、使用者名・各利用者用端末番号・認証された使用者かどうか等の情報を特定することができる。
次に、サンプリング装置10における処理手順について説明する。図2に示すように、サンプリング部12は第二通信データである第二パケットP2をサンプリングし、IPアドレスとMACアドレスを収集する。収集されたIPアドレス及びMACアドレスは、比較部14において、アドレスキャッシュ部15にキャッシュされているIPアドレス及びMACアドレスと比較される。比較の結果、新たであるか以前の記録とは異なるIPアドレス及びMACアドレスの対応情報(以下、新規・変更情報)が見出された場合、記録部16にこの新規・変更情報が書き込まれ、同時にアドレスキャッシュ部15にもこの新規・変更情報が書き込まれる。比較の結果、新規・変更情報が見出された場合、さらに送信部17より監視サーバ8に対してこの新規・変更情報を含む対応情報信号RSが送信される。上述の例では、DHCPによるIPアドレスの付与又は変更がなされた時点で新規・変更情報の監視サーバーに対する送信がなされ、当該送信は結果として間欠的なものとなる。
サンプリング装置10から監視サーバー8に新規・変更情報が送信されると、図3に示すように、この情報はアドレス受信部18において受信され、アドレス取得部19において取得される。取得されたIPアドレス及びMACアドレスの対応情報は、第一データベース11aにおいて格納され、同時に監視サーバ8のMACアドレス取得部22にも送られ、取得される。
監視サーバ8は、LAN2の他ネット接続エリアA3に設けたTAP4を解して、第四パケットP4をパケット取得部21に取得する。従来では第四パケットP4が直接パケット記録部23に格納されていた。しかし、本発明においては、例えば利用者端末7aに由来する第四パケットP4は、MACアドレス取得部22を経由することにより、IPアドレスとMACアドレスの対応情報が{MAC:[Ma]、IP:[Ia]}なる第一パケットP1の形に修正された状態でパケット記録部23に記録される。このように、第一データベース11aにおけるIPアドレスとMACアドレスの対応表(テーブル)を常に最新の状態にすることにより、タップ4を経由して監視サーバ8が採取・解析・記録・保存した通信パケットデータのIPアドレスから各利用者用端末7を特定することが可能になった。
次に、本発明の別の実施形態について説明する。なお、上記第一実施形態と同様の実施形態には同一の符号を附してある。
上記第一の方式ではパケットサンプリングによりMACアドレスを収集した。しかし、ARP(アドレス解決プロトコル (Address Resolution Protocol))監視方式によって各利用者用端末のMACアドレスを収集し、監視サーバにおいて採取・解析された各利用者用端末のIPアドレスと対応させることも可能であり、以下この考えに従った第二の方式である第二実施形態について説明する。
図4に示すように、第二の方式では、利用者用端末群の各利用者用端末7a〜dのMACアドレスを採取するために、ARP監視装置としてのサンプリング装置10a,10bが用いられる。本実施形態では、第一、第二サブネットS1,S2をそれぞれ担当する第一、第二サンプリング装置10a,10bが、担当のサブネット内で交信されるARPをサンプリングする。
ARPはデータリンク層(イーサネット(登録商標)環境)において、IPアドレスからMACアドレスを得る際に用いられるプロトコルである。したがって、サンプリングエリアA2にサンプリング装置10を設けても、レーヤー2スイッチ6を経由して各利用者端末7a〜dからMACアドレスを取得することができる。
例えば、レイヤー3スイッチ5と利用者端末7aとの間で通信がなされる場合は、レイヤー3スイッチ5からIPアドレスIaの情報を含むARP要求RQが送信される。これを受信した利用者端末7aは、IaとMACアドレスMaの情報を含むARP返信RPをレイヤー2スイッチ6を超えて返信する。図5に示すサンプリング装置10のサンプリング部13は、この種のブロードキャストされたARP返信RPをサンプリングにより受信し、{MAC:[Ma]、IP:[Ia]}なる情報を比較部14に送る。その他の処理は、先の第一実施形態と同様である。なお、ARPの情報は各端末であるキャッシュ時間の後適宜更新される。サンプリング部13はARP返信RPを受信する替わりに各端末やサーバー等が保有するARPテーブルを参照してもよい。
上記実施形態では、IP情報を元にスイッチングを行うスイッチとしてレイヤー3スイッチを用いた。しかし、レイヤー3スイッチ以外のものも使用可能であり、ルーター機能は別に設けてもよい。
上記各実施形態において、第一ネットワークとしてLANを、第二ネットワークとしてWANを用いており、ネットワークフォレンジックシステムの通常の使用形態である。しかし、第一ネットワークとしてWANを、第二ネットワークとしてLANを用いてもよい。さらに、第一、第二ネットワークとして双方ともLANを用いたり、又は双方ともWANを用いてもよい。
本発明は、ネットワークフォレンジックシステム並びにこれに関連するネットワーク監視方法及びMACアドレスのサンプリング方法として利用することができる。
本発明に係るネットワークフォレンジックシステムの構成図である。 パケットサンプリング装置におけるプログラムの説明図である。 監視サーバーにおけるプログラムの説明図である。 本発明の第二実施形態に係る図1相当図である。 第二実施形態における図2相当図である。
符号の説明
1:ネットワークフォレンジックシステム、2:第一ネットワーク、ローカルエリアネットワーク(LAN)、3:ファイアウォール、4:ネットワークタップ、5:レイヤー3スイッチ、6(6a,6b):レイヤー2スイッチ、7:利用者用端末群、7a〜d:利用者用端末、8:監視サーバ、9:管理者用端末、10(10a,10b):サンプリング装置、11(11a,11b):データベース、12、13:サンプリング部、14:比較部、15:アドレスキャッシュ部、16:記録部、17:送信部、18:アドレス受信部、19:アドレス取得部、20:データベース、21:パケット取得部、22:MACアドレス取得部、23:パケット記録部、24:監視サーバ、99:他ネット接続部、100:第二ネットワーク、ワイドエリアネットワーク(WAN)、A1:端末エリア、A2:サンプリングエリア、A3:他ネット接続エリア、A4:TAPエリア、P1〜P4:第一〜第四パケット、RS:対応情報信号、RQ:ARP要求、RP:ARP返信

Claims (12)

  1. 各々がMACアドレスを有する複数の利用者端末と、これら複数の利用者端末を接続する第一ネットワークと、これら利用者端末が利用対象とする第二ネットワークに対する他ネット接続部と、IP情報を元にスイッチングを行うスイッチとを備え、このスイッチを前記他ネット接続部と前記第一ネットワークとの間に配置し、前記他ネット接続部とスイッチとの間の第一通信データを採取すると共に保存する監視サーバーを備えたネットワークフォレンジックシステムであって、前記利用者端末と前記スイッチとの間にこれらの間の第二通信データをサンプリングするサンプリング装置を設け、このサンプリング装置によりサンプリングされた第二通信データから前記利用者端末のMACアドレスと当該利用者端末のIPアドレスとの対応関係を求め、この対応関係を前記監視サーバーに送信し、第一通信データのIPアドレスにMACアドレスを関連づけることを特徴とするネットワークフォレンジックシステム。
  2. 各々がMACアドレスを有する複数の利用者端末と、これら複数の利用者端末を接続する第一ネットワークと、これら利用者端末が利用対象とする第二ネットワークに対する他ネット接続部と、IP情報を元にスイッチングを行うスイッチとを備え、このスイッチを前記他ネット接続部と前記第一ネットワークとの間に配置し、前記他ネット接続部とスイッチとの間の第一通信データを採取すると共に保存する監視サーバーを備えたネットワークフォレンジックシステムであって、前記利用者端末と前記スイッチとの間に各利用者端末においてARPにより付与されるMACアドレスと当該利用者端末のIPアドレスとの対応関係をサンプリングするサンプリング装置を設け、この対応関係を前記監視サーバーに送信し、第一通信データのIPアドレスにMACアドレスを関連づけることを特徴とするネットワークフォレンジックシステム。
  3. 前記スイッチがレイヤー3スイッチであり、前記サンプリング装置がサブネット毎に設けられていることを特徴とする請求項1又は2記載のネットワークフォレンジックシステム。
  4. 前記監視サーバーが前記各利用者端末の情報を前記MACアドレスに関連づけて保持することを特徴とする請求項1〜3のいずれかに記載のネットワークフォレンジックシステム。
  5. 各々がMACアドレスを有する複数の利用者端末と、これら複数の利用者端末を接続する第一ネットワークと、これら利用者端末が利用対象とする第二ネットワークに対する他ネット接続部と、IP情報を元にスイッチングを行うスイッチとを備え、このスイッチを前記他ネット接続部と前記第一ネットワークとの間に配置したネットワークシステムにおいて、前記他ネット接続部とスイッチとの間の第一通信データを監視サーバーにより採取すると共に保存するネットワーク監視方法であって、前記利用者端末と前記スイッチとの間にこれらの間の第二通信データをサンプリングするサンプリング装置を設け、このサンプリング装置によりサンプリングされた第二通信データから前記利用者端末のMACアドレスと当該利用者端末のIPアドレスとの対応関係を求め、この対応関係を前記監視サーバーに送信し、第一通信データのIPアドレスにMACアドレスを関連づけることを特徴とするネットワーク監視方法。
  6. 各々がMACアドレスを有する複数の利用者端末と、これら複数の利用者端末を接続する第一ネットワークと、これら利用者端末が利用対象とする第二ネットワークに対する他ネット接続部と、IP情報を元にスイッチングを行うスイッチとを備え、このスイッチを前記他ネット接続部と前記第一ネットワークとの間に配置したネットワークシステムにおいて、前記他ネット接続部とスイッチとの間の第一通信データを監視サーバーにより採取すると共に保存するネットワーク監視方法であって、前記利用者端末と前記スイッチとの間に各利用者端末においてARPにより付与されるMACアドレスと当該利用者端末のIPアドレスとの対応関係をサンプリングするサンプリング装置を設け、この対応関係を前記監視サーバーに送信し、第一通信データのIPアドレスにMACアドレスを関連づけることを特徴とするネットワーク監視方法。
  7. 前記スイッチがレイヤー3スイッチであり、前記サンプリング装置がサブネット毎に設けられていることを特徴とする請求項5又は6記載のネットワーク監視方法。
  8. 前記監視サーバーが前記各利用者端末の情報を前記MACアドレスに関連づけて保持することを特徴とする請求項5〜7のいずれかに記載のネットワーク監視方法。
  9. 各々がMACアドレスを有する複数の利用者端末と、これら複数の利用者端末を接続する第一ネットワークと、これら利用者端末が利用対象とする第二ネットワークに対する他ネット接続部と、IP情報を元にスイッチングを行うスイッチとを備え、このスイッチを前記他ネット接続部と前記第一ネットワークとの間に配置し、前記他ネット接続部とスイッチとの間の第一通信データを監視サーバーにより採取すると共に保存するネットワークフォレンジックシステムにおいて、前記利用者端末と前記スイッチとの間にこれらの間の第二通信データをサンプリングするサンプリング装置を設け、このサンプリング装置によりサンプリングされた第二通信データから前記利用者端末のMACアドレスと当該利用者端末のIPアドレスとの対応関係を求め、この対応関係を前記監視サーバーに送信し、第一通信データのIPアドレスにMACアドレスを関連づけることを特徴とするMACアドレスのサンプリング方法。
  10. 各々がMACアドレスを有する複数の利用者端末と、これら複数の利用者端末を接続する第一ネットワークと、これら利用者端末が利用対象とする第二ネットワークに対する他ネット接続部と、IP情報を元にスイッチングを行うスイッチとを備え、このスイッチを前記他ネット接続部と前記第一ネットワークとの間に配置し、前記他ネット接続部とスイッチとの間の第一通信データを監視サーバーにより採取すると共に保存するネットワークフォレンジックシステムにおいて、前記利用者端末と前記スイッチとの間に各利用者端末においてARPにより付与されるMACアドレスと当該利用者端末のIPアドレスとの対応関係をサンプリングするサンプリング装置を設け、この対応関係を前記監視サーバーに送信し、第一通信データのIPアドレスにMACアドレスを関連づけることを特徴とするMACアドレスのサンプリング方法。
  11. 前記スイッチがレイヤー3スイッチであり、前記サンプリング装置がサブネット毎に設けられていることを特徴とする請求項9又は10記載のMACアドレスのサンプリング方法。
  12. 前記監視サーバーが前記各利用者端末の情報を前記MACアドレスに関連づけて保持することを特徴とする請求項9〜11のいずれかに記載のMACアドレスのサンプリング方法。
JP2007114550A 2007-04-24 2007-04-24 ネットワークフォレンジックシステム、ネットワーク監視方法及びmacアドレスのサンプリング方法 Active JP4943929B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007114550A JP4943929B2 (ja) 2007-04-24 2007-04-24 ネットワークフォレンジックシステム、ネットワーク監視方法及びmacアドレスのサンプリング方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007114550A JP4943929B2 (ja) 2007-04-24 2007-04-24 ネットワークフォレンジックシステム、ネットワーク監視方法及びmacアドレスのサンプリング方法

Publications (2)

Publication Number Publication Date
JP2008271416A true JP2008271416A (ja) 2008-11-06
JP4943929B2 JP4943929B2 (ja) 2012-05-30

Family

ID=40050300

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007114550A Active JP4943929B2 (ja) 2007-04-24 2007-04-24 ネットワークフォレンジックシステム、ネットワーク監視方法及びmacアドレスのサンプリング方法

Country Status (1)

Country Link
JP (1) JP4943929B2 (ja)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0832607A (ja) * 1994-07-13 1996-02-02 Hitachi Cable Ltd ネットワーク構成管理方法
JP2001356972A (ja) * 2000-06-15 2001-12-26 Fast Net Kk ネットワーク監視システム及びネットワーク監視方法
JP2002314541A (ja) * 2001-04-10 2002-10-25 Allied Tereshisu Kk ネットワーク検出方法、ネットワーク検出装置、ネットワーク検出プログラム、及びコンピュータネットワークシステム
JP2002325077A (ja) * 2001-04-25 2002-11-08 Hitachi Software Eng Co Ltd ネットワーク管理方法及びネットワーク管理装置
JP2003534721A (ja) * 2000-05-24 2003-11-18 イーシーテル・リミテツド インターネット通信を監視する方法
JP2005151107A (ja) * 2003-11-14 2005-06-09 Hitachi Ltd データセンタの装置管理方法、装置管理サーバ、データセンタの装置管理システム並びにプログラム
JP2005333200A (ja) * 2004-05-18 2005-12-02 Ntt Data Corp 不正通信監視装置、及び不正通信監視プログラム
JP2007028124A (ja) * 2005-07-15 2007-02-01 Sony Corp 中継装置

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0832607A (ja) * 1994-07-13 1996-02-02 Hitachi Cable Ltd ネットワーク構成管理方法
JP2003534721A (ja) * 2000-05-24 2003-11-18 イーシーテル・リミテツド インターネット通信を監視する方法
JP2001356972A (ja) * 2000-06-15 2001-12-26 Fast Net Kk ネットワーク監視システム及びネットワーク監視方法
JP2002314541A (ja) * 2001-04-10 2002-10-25 Allied Tereshisu Kk ネットワーク検出方法、ネットワーク検出装置、ネットワーク検出プログラム、及びコンピュータネットワークシステム
JP2002325077A (ja) * 2001-04-25 2002-11-08 Hitachi Software Eng Co Ltd ネットワーク管理方法及びネットワーク管理装置
JP2005151107A (ja) * 2003-11-14 2005-06-09 Hitachi Ltd データセンタの装置管理方法、装置管理サーバ、データセンタの装置管理システム並びにプログラム
JP2005333200A (ja) * 2004-05-18 2005-12-02 Ntt Data Corp 不正通信監視装置、及び不正通信監視プログラム
JP2007028124A (ja) * 2005-07-15 2007-02-01 Sony Corp 中継装置

Also Published As

Publication number Publication date
JP4943929B2 (ja) 2012-05-30

Similar Documents

Publication Publication Date Title
US7711800B2 (en) Network connectivity determination
JP4341413B2 (ja) 統計収集装置を備えたパケット転送装置および統計収集方法
KR101177203B1 (ko) 애니캐스트를 통한 맵리스 글로벌 트래픽 로드 밸런싱
JP5237034B2 (ja) イベント情報取得外のit装置を対象とする根本原因解析方法、装置、プログラム。
KR100369486B1 (ko) 통합 인터넷 프로토콜 전송망
EP2451125B1 (en) Method and system for realizing network topology discovery
WO2001014988B1 (en) Technique for automatic remote media access control (mac) layer address resolution
CN101155072A (zh) 用于检测第2层循环的方法、装置和系统
US7907543B2 (en) Apparatus and method for classifying network packet data
US20200412686A1 (en) MAPPING INTERNET ROUTING WITH ANYCAST AND UTILIZING SUCH MAPS FOR DEPLOYING AND OPERATING ANYCAST POINTS OF PRESENCE (PoPs)
US20100223387A1 (en) Method and Arrangement for Suppressing Duplicate Network Resources
US20070214242A1 (en) Network configuration change evaluation program, network configuration change evaluation device, and network configuration change evaluation method
JP4943929B2 (ja) ネットワークフォレンジックシステム、ネットワーク監視方法及びmacアドレスのサンプリング方法
CN107070908A (zh) 一种自动检测假冒网关arp欺骗的方法
JP2006157313A (ja) 経路作成システム、経路作成装置及び経路作成プログラム
CN114285718B (zh) 一种拓扑生成方法、装置、电子设备及存储介质
JP7008451B2 (ja) 複数のプロフィールを作成してプロファイリングを低減する方法及びシステム
JP2010183214A (ja) パケット解析装置、パケット解析方法およびパケット解析プログラム
CN111953807B (zh) 一种报文标识处理方法、装置及存储介质
KR100761984B1 (ko) 자국어 인터넷주소의 처리방법 및 이를 실행시키기 위한프로그램을 기록한 기록매체
Hsieh et al. Topology discovery for coexisting IPv6 and IPv4 networks
JP2008160890A (ja) 通信装置
Heidemann et al. Los Angeles/Colorado Research Exchange for Network Data
JP3754045B2 (ja) フォワーディングテーブル
JP3856368B2 (ja) Ipネットワークにおけるプロミスキャスノードを発見する方法及び装置、並びにプロミスキャスノード発見プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100406

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20100616

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20100616

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111018

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111219

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120207

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120301

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4943929

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150309

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250