JP2009302625A - Network configuration information collection analysis system, network configuration information collection analysis server, and network configuration information collection analysis method - Google Patents
Network configuration information collection analysis system, network configuration information collection analysis server, and network configuration information collection analysis method Download PDFInfo
- Publication number
- JP2009302625A JP2009302625A JP2008151592A JP2008151592A JP2009302625A JP 2009302625 A JP2009302625 A JP 2009302625A JP 2008151592 A JP2008151592 A JP 2008151592A JP 2008151592 A JP2008151592 A JP 2008151592A JP 2009302625 A JP2009302625 A JP 2009302625A
- Authority
- JP
- Japan
- Prior art keywords
- configuration information
- network configuration
- network
- network device
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
Description
本発明は、ネットワーク構成情報収集分析システム及びネットワーク構成情報収集分析サーバ及びネットワーク構成情報収集分析方法に関するものである。本発明は、特に、ネットワーク内に配置されている複数の資源の状況(以下、「ネットワーク構成情報」という)を収集するシステムに関するものである。ここで、ネットワーク構成情報とは、例えば、管理しているネットワークに接続しているネットワーク機器の名前、IP(Internet・Protocol)アドレス、MAC(Media・Access・Control)アドレス、オープンポート、利用しているサービス、利用しているアプリケーション及びそのバージョン情報、OS(Operating・System)及びそのバージョン情報、CPU(Central・Processing・Unit)使用率、HDD(Hard・Disk・Drive)利用量、ネットワーク設定、シリアル番号、パッチの適用状況、DNS(Domain・Name・Service)名、デバイスの種別(ルータ、プリンタ、モデム、PC(Personal・Computer)、サーバなど)、ネットワーク利用量、稼動状況といったネットワーク機器に関するあらゆる情報(特に、パケット通信に係る構成を示す情報、即ち、パケット通信に影響を与える構成を示す情報)を指す。 The present invention relates to a network configuration information collection / analysis system, a network configuration information collection / analysis server, and a network configuration information collection / analysis method. In particular, the present invention relates to a system for collecting the status of a plurality of resources arranged in a network (hereinafter referred to as “network configuration information”). Here, the network configuration information includes, for example, the name of a network device connected to the managed network, an IP (Internet Protocol) address, a MAC (Media Access Control) address, an open port, and the like. Service, application used and version information, OS (Operating System) and version information, CPU (Central Processing Unit) usage rate, HDD (Hard Disk Drive) usage, network settings, serial Number, patch application status, DNS (Domain Name Service) name, device type (router, printer, modem, PC (Personal Computer) , Servers, etc.), it refers to the network usage, any information (particularly regarding the network devices such operating condition, the information indicating the configuration of the packet communication, i.e., information) showing the structure affecting packet communications.
近年、ネットワークはビジネスに不可欠なものとなり、その依存度が高くなるとともに、ネットワークを介したセキュリティ事故が多発している。セキュリティ事故を防ぐためには、セキュリティ監査を実施して、管理するネットワーク内にどのような機器が接続され、どのような状態で、どのように利用されているか、といったことを示すネットワーク構成情報を把握、管理し、不正接続機器や禁止されたソフトウェアを利用している不正な状態のネットワーク機器などを検出したり、ネットワーク機器が正しく利用されているというエビデンスを残したりする必要がある。 In recent years, networks have become indispensable for business, and the degree of dependence has increased, and security incidents via networks have frequently occurred. In order to prevent security incidents, a security audit is performed to understand network configuration information that indicates what devices are connected to the network to be managed, how they are used, and how they are used. It is necessary to manage and detect illegally connected devices and unauthorized network devices that use prohibited software, or leave evidence that the network devices are being used correctly.
ネットワーク構成情報を収集する方法としては、監視対象となるネットワーク機器内に収集用のプログラムを導入し、直接ネットワーク構成情報を収集するエージェント型と、監視対象となるネットワーク機器とは別のネットワーク機器に収集用のプログラムを導入し、ネットワークを介してネットワーク構成情報を収集するエージェントレス型がある。エージェントレス型の収集方法としては、受動的な収集方法(以下、「パッシブスキャン」という)と能動的な収集方法(以下、「アクティブスキャン」という)がある。パッシブスキャンは、監視対象ネットワーク内を流れるパケットを取得し、取得したパケットを解析することでネットワーク構成情報を得る方式である。アクティブスキャンは、監視用のネットワーク機器がネットワーク内の監視対象となるネットワーク機器と通信したり、監視対象ネットワーク機器の情報を持っている、他のネットワーク機器と通信したりすることでネットワーク構成情報を得る方式である。パッシブスキャンとアクティブスキャンの両方を利用してネットワーク構成情報を収集する方式も存在する(例えば、特許文献1参照)。
パッシブスキャンは、ネットワークを流れているパケットを収集することで、ネットワーク構成情報を収集するため、情報収集してもネットワークに負荷をかけないという点が長所として挙げられる。また、情報収集してもネットワークに負担をかけないことから、常時監視が可能であるという長所がある。しかしながら、従来のパッシブスキャンでは、ネットワーク機器からネットワーク構成情報に関するパケットが送信され、しかもそのときにパケットを受信しなければ情報を収集することができないため、欲しい情報が欲しいときに得られるとは限らないという大きな課題があった。 Passive scanning collects network configuration information by collecting packets flowing through the network, and therefore has an advantage in that no load is applied to the network even if information is collected. In addition, there is an advantage that monitoring is always possible because it does not place a burden on the network even if information is collected. However, in the conventional passive scan, a packet related to network configuration information is transmitted from a network device, and information cannot be collected unless the packet is received at that time. There was a big problem of not.
一方、アクティブスキャンでは、欲しい情報を欲しいときに要求することができる。しかしながら、従来のアクティブスキャンでは、ネットワーク構成情報を得るためにネットワーク機器と直接通信しなければならず、情報収集することでネットワークに負荷がかかるという課題があった。さらに、情報収集することでネットワークに負荷がかかることから、一般に、パッシブスキャンのような常時監視を行うことは現実的ではなく、ある程度の時間間隔ごとに情報収集を行う必要がある。そのため、ネットワーク機器の増減やソフトウェアの変更など、ネットワーク構成情報の変化にリアルタイムに対応できないという課題があった。 On the other hand, in the active scan, it can be requested when desired information is desired. However, in the conventional active scan, it is necessary to communicate directly with a network device in order to obtain network configuration information, and there is a problem that a load is imposed on the network by collecting information. Furthermore, since information collection causes a load on the network, it is generally not practical to perform constant monitoring such as passive scanning, and it is necessary to collect information at certain time intervals. For this reason, there has been a problem that it is not possible to cope with changes in network configuration information in real time, such as increase / decrease in network devices and software changes.
従来、パッシブスキャンとアクティブスキャンの両方を利用してネットワーク構成情報を収集する方式では、指定時間内にパッシブスキャンにより資源情報を取得できなかった場合に、アクティブスキャンにより資源情報を取得していた。しかしながら、この方式は、ネットワーク機器から定期的に稼働状況を報告してくるシステムを対象としており、情報収集してもネットワークに負荷をかけないという本来のパッシブスキャンの長所を生かすことができないという課題があった。 Conventionally, in a method of collecting network configuration information using both passive scan and active scan, resource information is acquired by active scan when resource information cannot be acquired by passive scan within a specified time. However, this method is intended for systems that regularly report the operating status from network devices, and cannot collect the advantages of the original passive scan that does not put a load on the network even if information is collected. was there.
本発明は、例えば、複数のネットワーク機器のネットワーク構成情報を得るためにネットワークにかかる負荷を抑えながら、各ネットワーク機器のネットワーク構成情報の変化にリアルタイムに対応することを目的とする。 For example, an object of the present invention is to cope with a change in network configuration information of each network device in real time while suppressing a load on the network in order to obtain network configuration information of a plurality of network devices.
本発明の一の態様に係るネットワーク構成情報収集分析システムは、
ネットワークにてパケット通信を行う複数のネットワーク機器を対象に、各ネットワーク機器に関する情報であるネットワーク構成情報を収集し、当該ネットワーク構成情報を分析するネットワーク構成情報収集分析システムであって、
各ネットワーク機器のネットワーク構成情報を記憶装置に記憶するネットワーク構成情報データベース部と、
ネットワークを流れるパケットを処理装置により解析し、当該パケットを送信したネットワーク機器のネットワーク構成情報を生成するパケット解析部と、
前記パケット解析部により生成された当該ネットワーク機器のネットワーク構成情報と前記ネットワーク構成情報データベース部により記憶された当該ネットワーク機器のネットワーク構成情報との異同を処理装置により分析し、当該ネットワーク機器のネットワーク構成情報における変化を検出するネットワーク構成情報分析部と、
前記ネットワーク構成情報分析部により当該ネットワーク機器のネットワーク構成情報に変化が検出された場合、当該ネットワーク機器以外のネットワーク機器へ、各ネットワーク機器に関する情報のリクエストを送信するリクエスト送信部と、
前記リクエスト送信部により送信されたリクエストに対するレスポンスを処理装置により解析し、当該レスポンスを送信したネットワーク機器のネットワーク構成情報を生成するレスポンス解析部とを備え、
前記ネットワーク構成情報データベース部は、前記ネットワーク構成情報分析部により当該ネットワーク機器のネットワーク構成情報に変化が検出された場合、前記パケット解析部と前記レスポンス解析部とにより生成された各ネットワーク機器のネットワーク構成情報で記憶装置に記憶した各ネットワーク機器のネットワーク構成情報を更新することを特徴とする。
A network configuration information collection and analysis system according to an aspect of the present invention includes:
A network configuration information collection and analysis system that collects network configuration information that is information about each network device and analyzes the network configuration information for a plurality of network devices that perform packet communication in a network,
A network configuration information database unit for storing network configuration information of each network device in a storage device;
A packet analysis unit that analyzes a packet flowing through a network by a processing device and generates network configuration information of a network device that has transmitted the packet;
The processing device analyzes the difference between the network configuration information of the network device generated by the packet analysis unit and the network configuration information of the network device stored by the network configuration information database unit, and the network configuration information of the network device A network configuration information analysis unit for detecting changes in
When a change is detected in the network configuration information of the network device by the network configuration information analysis unit, a request transmission unit that transmits a request for information on each network device to a network device other than the network device;
A response analysis unit that analyzes a response to the request transmitted by the request transmission unit, and generates network configuration information of the network device that transmitted the response, and
The network configuration information database unit, when a change is detected in the network configuration information of the network device by the network configuration information analysis unit, the network configuration of each network device generated by the packet analysis unit and the response analysis unit The network configuration information of each network device stored in the storage device with information is updated.
本発明の一の態様によれば、ネットワーク構成情報収集分析システムにおいて、パケット解析部が、ネットワークを流れるパケットを解析し、当該パケットを送信したネットワーク機器のネットワーク構成情報を生成し、リクエスト送信部が、ネットワーク構成情報分析部により当該ネットワーク機器のネットワーク構成情報に変化が検出された場合、当該ネットワーク機器以外のネットワーク機器へリクエストを送信し、レスポンス解析部が、当該レスポンスを送信したネットワーク機器のネットワーク構成情報を生成し、ネットワーク構成情報データベース部が、前記パケット解析部と前記レスポンス解析部とにより生成された各ネットワーク機器のネットワーク構成情報で記憶装置に記憶した各ネットワーク機器のネットワーク構成情報を更新することにより、複数のネットワーク機器のネットワーク構成情報を得るためにネットワークにかかる負荷を抑えながら、各ネットワーク機器のネットワーク構成情報の変化にリアルタイムに対応することが可能となる。 According to one aspect of the present invention, in the network configuration information collection and analysis system, the packet analysis unit analyzes a packet flowing through the network, generates network configuration information of the network device that transmitted the packet, and the request transmission unit When a change is detected in the network configuration information of the network device by the network configuration information analysis unit, a request is transmitted to a network device other than the network device, and the response analysis unit transmits the response to the network configuration of the network device. Network configuration information of each network device stored in the storage device with the network configuration information of each network device generated by the packet analysis unit and the response analysis unit. By updating the while suppressing load on the network to obtain the network configuration information of the plurality of network devices, it is possible to correspond to the real time to changes in the network configuration information for each network device.
図1は、後述する本発明の各実施の形態に係るネットワーク構成情報収集分析システム1000の基本的な構成及び機能を示す図である。 FIG. 1 is a diagram showing a basic configuration and functions of a network configuration information collection / analysis system 1000 according to each embodiment of the present invention to be described later.
図1において、ネットワーク構成情報収集分析システム1000は、ネットワーク構成情報収集分析サーバ1100、ネットワーク構成情報収集センサ1200を備えている。ネットワーク構成情報収集分析システム1000は、ネットワーク2000に接続している複数のネットワーク機器1300から、ネットワーク構成情報を収集可能である。ここでは、ネットワーク機器1300として、ネットワーク機器X1〜Xn(nはn>1となる整数)がネットワーク2000に接続されており、ネットワーク2000にて互いに又は外部の機器とパケット通信を行うものとする。ネットワーク機器Xk(k=1,2,・・・,n)には、Webサーバや個人PC、ファイアウォールやプリンタなど、ネットワーク2000に接続する機器全てが該当する。
In FIG. 1, a network configuration information collection / analysis system 1000 includes a network configuration information collection / analysis server 1100 and a network configuration information collection sensor 1200. The network configuration information collection / analysis system 1000 can collect network configuration information from a plurality of
ネットワーク構成情報収集分析システム1000において、ネットワーク構成情報収集分析サーバ1100はネットワーク構成情報収集センサ1200を制御する。そのために、ネットワーク構成情報収集分析サーバ1100は、ネットワーク構成情報収集センサ1200とネットワーク2000又は他のネットワークで接続されている。ネットワーク構成情報収集分析サーバ1100は、具体的には、ネットワーク構成情報収集センサ1200にネットワーク構成情報Y1〜Ynを収集するように指示する。ネットワーク構成情報収集センサ1200は、指示に従って、ネットワーク機器X1〜Xnからネットワーク構成情報Y1〜Ynを収集する。ネットワーク構成情報Ykは、ネットワーク機器Xkに関する情報を複数の項目に分類して示す。ここでは、m個(mはm>2となる整数)の項目が存在するものとし、各項目をネットワーク構成情報yi,k(i=1,2,・・・,m)と表す。即ち、ネットワーク構成情報Ykは、ネットワーク構成情報y1,k,y2,k,・・・,ym,kの集合である。前述したように、ネットワーク構成情報yi,kには、ネットワーク機器Xkの名前、IPアドレス、MACアドレス、オープンポート、利用しているサービス、利用しているアプリケーション及びそのバージョン情報、OS及びそのバージョン情報、CPU使用率、HDD利用量、ネットワーク設定、シリアル番号、パッチの適用状況、DNS名、デバイスの種別(ルータ、プリンタ、モデム、PC、サーバなど)、ネットワーク利用量、稼動状況など、ネットワーク機器Xkに関する情報全てが該当する。
In the network configuration information collection / analysis system 1000, the network configuration information collection / analysis server 1100 controls the network configuration information collection sensor 1200. For this purpose, the network configuration information collection / analysis server 1100 is connected to the network configuration information collection sensor 1200 via the network 2000 or another network. Specifically, the network configuration information collection analysis server 1100 instructs the network configuration information collection sensor 1200 to collect the network configuration information Y 1 to Y n . Network configuration information collecting sensor 1200 in accordance with an instruction to collect
各実施の形態では、ネットワーク構成情報収集分析サーバ1100は、ネットワーク構成情報収集センサ1200にネットワーク構成情報Y1〜Ynを収集させるか、あるいは、ユーザにより入力されるネットワーク構成情報Y1〜Ynを取得して、予めネットワーク構成情報Y1〜Ynを保持しておく。その上で、まず、ネットワーク構成情報収集センサ1200は、パッシブスキャンによる常時監視を実行してネットワーク構成情報yi,kを取得する。そして、ネットワーク構成情報収集分析サーバ1100は、ネットワーク構成情報収集センサ1200の取得したネットワーク構成情報yi,kと予め保持しているネットワーク構成情報yi,kを比較することでネットワーク構成情報yi,kの変化を検出する。 In each embodiment, the network configuration information collection analysis server 1100 causes the network configuration information collection sensor 1200 to collect the network configuration information Y 1 to Y n or the network configuration information Y 1 to Y n input by the user. And the network configuration information Y 1 to Y n is held in advance. In addition, first, the network configuration information collection sensor 1200 performs constant monitoring by passive scanning to acquire network configuration information y i, k . The network configuration information collection / analysis server 1100 compares the network configuration information y i, k acquired by the network configuration information collection sensor 1200 with the network configuration information y i, k held in advance , thereby comparing the network configuration information y i. , K is detected.
ネットワーク構成情報収集分析サーバ1100がネットワーク機器Xkのネットワーク構成情報yi,kに変化を検出したとすると、次に、ネットワーク構成情報収集センサ1200は、ネットワーク機器Xkのネットワーク構成情報y1,k〜y(i−1),k,y(i+1),k〜ym,kについてアクティブスキャンによる情報収集を実施する。そうすることで、ネットワーク構成情報yi,kに変化があったネットワーク機器Xkに対して、パッシブスキャンでネットワーク構成情報Ykが得られるのを待つことなく、迅速に最新のネットワーク構成情報Ykを収集することができる。ネットワーク構成情報収集分析サーバ1100は、ネットワーク構成情報収集センサ1200の収集したネットワーク構成情報y1,k〜y(i−1),k,y(i+1),k〜ym,kと予め保持しているネットワーク構成情報y1,k〜y(i−1),k,y(i+1),k〜ym,kを比較することでネットワーク構成情報Ykの変化を検出する。 Network configuration information y i of the network configuration information collection analysis server 1100 network devices X k, When detecting a change in k, then, the network configuration information collecting sensor 1200, the network configuration information y 1 of the network device X k, k ~y (i-1), k, y (i + 1), k ~y m, for k out the information collection by active scanning. By doing so, the latest network configuration information Y can be quickly obtained without waiting for the network configuration information Y k to be obtained by passive scanning for the network device X k whose network configuration information y i, k has changed. k can be collected. The network configuration information collection / analysis server 1100 holds the network configuration information y 1, k to y (i−1), k 1 , y (i + 1), k 1 to y m, k collected by the network configuration information collection sensor 1200 in advance. The network configuration information Y1 , k- y (i-1), k , y (i + 1), k- ym , k is compared to detect a change in the network configuration information Yk .
ネットワーク構成情報収集分析サーバ1100がネットワーク機器Xkのネットワーク構成情報Ykに含まれる複数の項目に変化を検出したとすると、次に、ネットワーク構成情報収集センサ1200は、他のネットワーク機器X1〜X(k−1),X(k+1)〜Xnのネットワーク構成情報Y1〜Y(k−1),Y(k+1)〜Ynについてアクティブスキャンによる情報収集を実施する。ここで、ネットワーク構成情報収集分析サーバ1100がネットワーク機器Xkのネットワーク構成情報Ykで変化を検出した項目をまとめてネットワーク構成情報Zk,kと表す。そして、他のネットワーク機器Xh(h=1,2,・・・,k−1,k+1,・・・,n)のネットワーク構成情報Yhでネットワーク構成情報Zk,kに対応する項目をまとめてネットワーク構成情報Zh,kと表す。例えば、ネットワーク構成情報y1,kがネットワーク機器Xkの名前、ネットワーク構成情報y2,kがネットワーク機器XkのIPアドレスを示し、ネットワーク構成情報収集分析サーバ1100がネットワーク機器XkのIPアドレスのみに変化を検出したとすると、ネットワーク構成情報Zk,kにはネットワーク構成情報y2,kのみが含まれることになる。この場合、ネットワーク構成情報Zh,kには、ネットワーク機器XhのIPアドレスを示すネットワーク構成情報y2,hのみが含まれることになる。各実施の形態では、ネットワーク構成情報収集センサ1200は、他のネットワーク機器X1〜X(k−1),X(k+1)〜Xnのネットワーク構成情報Y1〜Y(k−1),Y(k+1)〜Yn全てについてアクティブスキャンによる情報収集を実施する代わりに、ネットワーク構成情報Z1,k〜Z(k−1),k,Z(k+1),k〜Zn,kについてアクティブスキャンによる情報収集を実施するものとする。これにより、あるネットワーク機器1300のネットワーク構成情報の一部に変化があった場合、他のネットワーク機器1300のネットワーク構成情報で同様に変化している可能性が高い部分のみについてアクティブスキャンを実施することで、ネットワークにかかる負荷を抑えながら、各ネットワーク機器1300のネットワーク構成情報の変化にリアルタイムに対応することが可能となる。
If the network configuration information collection / analysis server 1100 detects a change in a plurality of items included in the network configuration information Y k of the network device X k , then the network configuration information collection sensor 1200 is connected to the other network devices X 1 to X 1 . X (k-1), X (k + 1) ~X network configuration n information Y 1 ~Y (k-1) , Y (k + 1) ~Y n implement information collection by active scan for. Here, items for which the network configuration information collection / analysis server 1100 has detected a change in the network configuration information Y k of the network device X k are collectively expressed as network configuration information Z k, k . And the item corresponding to the network configuration information Z k, k in the network configuration information Y h of the other network device X h (h = 1, 2,..., K−1, k + 1,..., N). Collectively, it is expressed as network configuration information Zh , k . For example, the network configuration information y 1, k indicates the name of the network device X k , the network configuration information y 2, k indicates the IP address of the network device X k , and the network configuration information collection analysis server 1100 indicates the IP address of the network device X k . If only a change is detected, the network configuration information Z k, k includes only the network configuration information y 2, k . In this case, the network configuration information Z h, k includes only network configuration information y 2, h indicating the IP address of the network device X h . In each embodiment, the network configuration information collection sensor 1200 includes network configuration information Y 1 to Y (k−1) and Y of other network devices X 1 to X (k−1) and X (k + 1) to X n. (k + 1) for all to Y n, instead of performing the information collection by active scanning, network configuration information Z 1, k ~Z (k- 1), k, Z (k + 1), k ~Z n, active scanning for k Information collection by As a result, when there is a change in a part of the network configuration information of a
このように、本発明の各実施の形態によれば、例えばセキュリティパッチの適用やウイルスの蔓延により、同時期に複数のネットワーク機器1300のネットワーク構成情報が変化するような場合において、1つのネットワーク機器1300のネットワーク構成情報における1項目の変化の検出から、即座にそのネットワーク機器1300のネットワーク構成情報における全項目の変化を検査し、当該検査結果に基づいて、ネットワーク2000内に存在する他のネットワーク機器1300のネットワーク構成情報においても変化がありそうな項目の変化を、必要最小限のアクティブスキャンで検査可能となる。
As described above, according to each embodiment of the present invention, for example, when the network configuration information of a plurality of
図2は、ネットワーク構成情報収集分析サーバ1100、ネットワーク構成情報収集センサ1200それぞれのハードウェア構成の一例を示す図である。 FIG. 2 is a diagram illustrating an example of the hardware configuration of each of the network configuration information collection / analysis server 1100 and the network configuration information collection sensor 1200.
図2において、ネットワーク構成情報収集分析サーバ1100、ネットワーク構成情報収集センサ1200は、コンピュータであり、CRT(Cathode・Ray・Tube)やLCD(液晶ディスプレイ)の表示画面を有する表示装置1901、キーボード1902(K/B)、マウス1903、FDD1904(Flexible・Disk・Drive)、CDD1905(Compact・Disc・Drive)、プリンタ装置1906などのハードウェアを備え、これらはケーブルや信号線で接続されている。
In FIG. 2, a network configuration information collection / analysis server 1100 and a network configuration information collection sensor 1200 are computers, a
ネットワーク構成情報収集分析サーバ1100、ネットワーク構成情報収集センサ1200は、プログラムを実行するCPU1911を備えている。CPU1911は、処理装置の一例である。CPU1911は、バス1912を介してROM1913(Read・Only・Memory)、RAM1914(Random・Access・Memory)、通信ボード1915、表示装置1901、キーボード1902、マウス1903、FDD1904、CDD1905、プリンタ装置1906、磁気ディスク装置1920(HDD)と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置1920の代わりに、光ディスク装置、メモリカードリーダライタなどの記憶媒体が用いられてもよい。
The network configuration information collection analysis server 1100 and the network configuration information collection sensor 1200 include a
RAM1914は、揮発性メモリの一例である。ROM1913、FDD1904、CDD1905、磁気ディスク装置1920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置の一例である。通信ボード1915、キーボード1902、マウス1903、FDD1904、CDD1905などは、入力装置の一例である。また、通信ボード1915、表示装置1901、プリンタ装置1906などは、出力装置の一例である。また、通信ボード1915は、通信装置の一例である。
The
通信ボード1915は、LAN(Local・Area・Network)などに接続されている。通信ボード1915は、LANに限らず、インターネット、あるいは、IP−VPN(Internet・Protocol・Virtual・Private・Network)、広域LAN、ATM(Asynchronous・Transfer・Mode)ネットワークなどのWAN(Wide・Area・Network)などに接続されていても構わない。LAN、インターネット、WANは、ネットワーク2000の一例である。
The
磁気ディスク装置1920には、OS1921、ウィンドウシステム1922、プログラム群1923、ファイル群1924が記憶されている。プログラム群1923のプログラムは、CPU1911、OS1921、ウィンドウシステム1922により実行される。プログラム群1923には、各実施の形態の説明において「〜部」として説明する機能を実行するプログラムが記憶されている。プログラムは、CPU1911により読み出され実行される。また、ファイル群1924には、各実施の形態の説明において、「〜データ」、「〜情報」、「〜ID(識別子)」、「〜フラグ」、「〜結果」として説明するデータや情報や信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」や「〜テーブル」の各項目として記憶されている。「〜ファイル」や「〜データベース」や「〜テーブル」は、ディスクやメモリなどの記憶媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶されたデータや情報や信号値や変数値やパラメータは、読み書き回路を介してCPU1911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・制御・出力・印刷・表示などのCPU1911の処理(動作)に用いられる。抽出・検索・参照・比較・演算・計算・制御・出力・印刷・表示などのCPU1911の処理中、データや情報や信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
The
また、各実施の形態の説明において用いるブロック図やフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号は、RAM1914などのメモリ、FDD1904のフレキシブルディスク(FD)、CDD1905のコンパクトディスク(CD)、磁気ディスク装置1920の磁気ディスク、その他光ディスク、ミニディスク(MD)、DVD(Digital・Versatile・Disc)などの記録媒体に記録される。また、データや信号は、バス1912や信号線やケーブルその他の伝送媒体により伝送される。
In addition, the arrows in the block diagrams and flowcharts used in the description of each embodiment mainly indicate input and output of data and signals. The data and signals are the memory such as the
また、各実施の形態の説明において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」であってもよく、また、「〜ステップ」、「〜工程」、「〜手順」、「〜処理」であってもよい。即ち、「〜部」として説明するものは、ROM1913に記憶されたファームウェアで実現されていても構わない。あるいは、ソフトウェアのみ、あるいは、素子・デバイス・基板・配線などのハードウェアのみ、あるいは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実現されていても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVDなどの記録媒体に記憶される。このプログラムはCPU1911により読み出され、CPU1911により実行される。即ち、プログラムは、各実施の形態の説明で述べる「〜部」としてコンピュータを機能させるものである。あるいは、各実施の形態の説明で述べる「〜部」の手順や方法をコンピュータに実行させるものである。
In addition, what is described as “to part” in the description of each embodiment may be “to circuit”, “to device”, and “to device”, and “to step” and “to process”. , “˜procedure”, and “˜processing”. That is, what is described as “˜unit” may be realized by firmware stored in the
以下、本発明の各実施の形態について、図を用いて説明する。 Hereinafter, each embodiment of the present invention will be described with reference to the drawings.
実施の形態1.
以下、図3〜図6を用いて本実施の形態を説明する。
Hereinafter, the present embodiment will be described with reference to FIGS.
図3は、本実施の形態に係るネットワーク構成情報収集分析システム1001の構成及び機能の概要を示す図である。 FIG. 3 is a diagram showing an outline of the configuration and functions of the network configuration information collection / analysis system 1001 according to the present embodiment.
図3において、ネットワーク構成情報収集分析システム1001は、ネットワーク構成情報収集分析サーバ1101、ネットワーク構成情報収集センサ1201を備える。ここで、ネットワーク構成情報収集センサ1201は複数台あってもよい。ネットワーク構成情報収集センサ1201が存在するサブネットワーク2100上には、ネットワーク構成情報の収集対象となる複数のネットワーク機器1300が存在する。
3, the network configuration information collection / analysis system 1001 includes a network configuration information collection /
ネットワーク構成情報収集分析サーバ1101は、ユーザにより入力されたネットワーク構成情報やネットワーク構成情報収集センサ1201が収集したネットワーク構成情報を管理・分析し、ネットワーク構成情報の変化に応じてネットワーク構成情報収集センサ1201にネットワーク構成情報の収集を指示する。ネットワーク構成情報収集センサ1201は、ネットワーク構成情報収集分析サーバ1101からの指示により、サブネットワーク2100上を流れるパケットを解析することで、ネットワーク構成情報を収集するパッシブスキャンと、監視対象となるネットワーク機器Xkに対して通信を行うことで(ネットワーク機器Xkに関する情報を持つ他のネットワーク機器1300に対して通信を行ってもよいが、このようなケースでは、当該ネットワーク機器1300をネットワーク機器Xkと同視できるため、以下では、特に分けて説明しないものとする)、ネットワーク構成情報Ykを収集するアクティブスキャンを実施し、収集したネットワーク構成情報をネットワーク構成情報収集分析サーバ1101に集約する。
The network configuration information collection /
図4は、ネットワーク構成情報収集分析システム1001の構成を示すブロック図である。 FIG. 4 is a block diagram showing the configuration of the network configuration information collection / analysis system 1001.
図4において、ネットワーク構成情報収集分析サーバ1101は、ネットワーク構成情報入力部1110、ネットワーク構成情報出力部1120、ネットワーク構成情報データベース部1130、ネットワーク構成情報分析部1140、ネットワーク構成情報分析ルール格納部1150、サーバセンサ間インタフェース部1160を備えている。また、図示していないが、ネットワーク構成情報収集分析サーバ1101は、記憶装置、処理装置、入力装置、出力装置、通信装置などのハードウェアを備えるものとする。
4, the network configuration information collection /
ネットワーク構成情報入力部1110は、ユーザによるネットワーク機器X1〜Xnのネットワーク構成情報Y1〜Ynやネットワーク構成情報分析ルールなどの入力を入力装置から受け付ける。
The network configuration
ネットワーク構成情報データベース部1130は、ネットワーク機器X1〜Xnのネットワーク構成情報Y1〜Ynを記憶装置に記憶する。例えば、ネットワーク構成情報データベース部1130は、ネットワーク構成情報入力部1110に入力されたネットワーク機器X1〜Xnのネットワーク構成情報Y1〜Ynを記憶装置に記憶する。
Network
ネットワーク構成情報分析ルール格納部1150は、ネットワーク構成情報分析ルールを記憶装置に記憶する。例えば、ネットワーク構成情報分析ルール格納部1150は、ネットワーク構成情報入力部1110に入力されたネットワーク構成情報分析ルールを記憶装置に記憶する。
The network configuration information analysis
サーバセンサ間インタフェース部1160は、ネットワーク構成情報収集分析サーバ1101とネットワーク構成情報収集センサ1201との間の通信インタフェースを通信装置に実装したものである。
The inter-server-
ネットワーク構成情報分析部1140は、ネットワーク構成情報収集センサ1201にパッシブスキャンの実施を指示し、後述するように、そのパッシブスキャンの結果に基づいてネットワーク構成情報収集センサ1201のパケット解析部1232により生成されるネットワーク機器Xkのネットワーク構成情報Yk又はその少なくとも1項目を取得する。
The network configuration
一例として、ネットワーク構成情報分析部1140がネットワーク機器Xkのネットワーク構成情報Ykの1項目であるネットワーク構成情報yi,kを取得したとすると、ネットワーク構成情報分析部1140は、そのネットワーク構成情報yi,kとネットワーク構成情報データベース部1130により記憶されたネットワーク機器Xkのネットワーク構成情報yi,kとの異同を処理装置により分析し、ネットワーク機器Xkのネットワーク構成情報yi,kにおける変化を検出する。
As an example, if the network configuration
続けて、ネットワーク構成情報分析部1140は、ネットワーク構成情報収集センサ1201にネットワーク機器Xkを対象とするアクティブスキャンの実施を指示し、後述するように、そのアクティブスキャンの結果に基づいてネットワーク構成情報収集センサ1201のレスポンス解析部1244により生成されたネットワーク機器Xkのネットワーク構成情報y1,k〜y(i−1),k,y(i+1),k〜ym,kを取得する。そして、ネットワーク構成情報分析部1140は、そのネットワーク構成情報y1,k〜y(i−1),k,y(i+1),k〜ym,kとネットワーク構成情報データベース部1130により記憶されたネットワーク機器Xkのネットワーク構成情報y1,k〜y(i−1),k,y(i+1),k〜ym,kとの異同を処理装置により分析し、ネットワーク機器Xkのネットワーク構成情報y1,k〜y(i−1),k,y(i+1),k〜ym,kにおける変化を検出する。即ち、ネットワーク構成情報分析部1140は、ネットワーク機器Xkのネットワーク構成情報Zk,kを特定する。
Subsequently, the network configuration
さらに続けて、ネットワーク構成情報分析部1140は、ネットワーク構成情報収集センサ1201にネットワーク機器Xk以外のネットワーク機器1300を対象とするアクティブスキャンの実施を指示し、後述するように、そのアクティブスキャンの結果に基づいてネットワーク構成情報収集センサ1201のレスポンス解析部1244により生成されたネットワーク機器X1〜X(k−1),X(k+1)〜Xnのネットワーク構成情報Z1,k〜Z(k−1),k,Z(k+1),k〜Zn,kを取得する。そして、ネットワーク構成情報分析部1140は、そのネットワーク構成情報Z1,k〜Z(k−1),k,Z(k+1),k〜Zn,kとネットワーク構成情報データベース部1130により記憶されたネットワーク機器X1〜X(k−1),X(k+1)〜Xnのネットワーク構成情報Z1,k〜Z(k−1),k,Z(k+1),k〜Zn,kとの異同を処理装置により分析し、ネットワーク機器X1〜X(k−1),X(k+1)〜Xnのネットワーク構成情報Z1,k〜Z(k−1),k,Z(k+1),k〜Zn,kにおける変化を検出する。
Further continued, the network configuration
上記の例のように、ネットワーク構成情報分析部1140によりネットワーク機器Xkのネットワーク構成情報yi,kに変化が検出された場合、ネットワーク構成情報データベース部1130は、ネットワーク構成情報分析部1140により特定されたネットワーク機器Xkのネットワーク構成情報Zk,kと、ネットワーク機器X1〜X(k−1),X(k+1)〜Xnのネットワーク構成情報Z1,k〜Z(k−1),k,Z(k+1),k〜Zn,kのうち、ネットワーク構成情報分析部1140により変化が検出されたものとで、記憶装置に記憶したネットワーク機器X1〜Xnのネットワーク構成情報Y1〜Ynのうち、該当するものを更新する。即ち、ネットワーク構成情報データベース部1130は、ネットワーク構成情報収集センサ1201のパケット解析部1232とレスポンス解析部1244とにより生成された各ネットワーク機器1300のネットワーク構成情報で記憶装置に記憶した各ネットワーク機器1300のネットワーク構成情報を更新する。
As in the above example, when the network configuration
ネットワーク構成情報出力部1120は、各部の処理結果などを出力装置へ出力する。
The network configuration
ネットワーク構成情報収集センサ1201は、センサ制御部1210、サーバセンサ間インタフェース部1220、1つ又は複数のパッシブスキャン実行部1230、1つ又は複数のアクティブスキャン実行部1240を備えている。また、図示していないが、ネットワーク構成情報収集センサ1201は、記憶装置、処理装置、入力装置、出力装置、通信装置などのハードウェアを備えるものとする。ここで、パッシブスキャン実行部1230及びアクティブスキャン実行部1240は双方合わせて1つ以上あればよく、一方がなくてもよい。
The network configuration
サーバセンサ間インタフェース部1220は、ネットワーク構成情報収集分析サーバ1101とネットワーク構成情報収集センサ1201との間の通信インタフェースを通信装置に実装したものである。
The inter-server-
センサ制御部1210は、ネットワーク構成情報収集分析サーバ1101からの指示に従って、接続しているサブネットワーク2100上に存在するネットワーク機器1300を対象に、パッシブスキャン実行部1230によるパッシブスキャンとアクティブスキャン実行部1240によるアクティブスキャンを利用してネットワーク構成情報を収集し、ネットワーク構成情報収集分析サーバ1101に提供する。
In accordance with an instruction from the network configuration information collection /
パッシブスキャン実行部1230は、パッシブスキャン設定部1231、パケット解析部1232、パケット取得部1233を有する。
The passive
パッシブスキャン設定部1231は、センサ制御部1210がネットワーク構成情報収集分析サーバ1101からの指示に従って行うパッシブスキャンの設定に関する情報を記憶装置に記憶する。
The passive scan setting unit 1231 stores, in a storage device, information related to setting of passive scan performed by the
パケット取得部1233は、サブネットワーク2100を流れるパケットを通信装置により取得する。
The
パケット解析部1232は、パケット取得部1233により取得されたパケットを処理装置により解析し、当該パケットを送信したネットワーク機器Xkのネットワーク構成情報Yk又はその少なくとも1項目(例えば、ネットワーク構成情報yi,k)を生成する。
The
アクティブスキャン実行部1240は、アクティブスキャン設定部1241、リクエスト生成部1242、リクエスト送信部1243、レスポンス解析部1244、レスポンス受信部1245を有する。
The active
アクティブスキャン設定部1241は、センサ制御部1210がネットワーク構成情報収集分析サーバ1101からの指示に従って行うアクティブスキャンの設定に関する情報を記憶装置に記憶する。
The active
リクエスト生成部1242は、前述したように、ネットワーク構成情報収集分析サーバ1101のネットワーク構成情報分析部1140によりネットワーク機器Xkのネットワーク構成情報Ykの少なくとも1項目に変化が検出された場合、ネットワーク機器Xkへ送信するリクエストとして、ネットワーク機器Xkに関する情報のうち、当該項目以外の項目のリクエストを処理装置により生成する。また、リクエスト生成部1242は、前述したように、ネットワーク構成情報収集分析サーバ1101のネットワーク構成情報分析部1140によりネットワーク機器Xkのネットワーク構成情報Ykの少なくとも1項目に変化が検出された場合、ネットワーク機器Xk以外のネットワーク機器1300へ送信するリクエストとして、各ネットワーク機器1300に関する情報のうち、当該項目と同じ分類の項目のみのリクエストを処理装置により生成する。
一例として、ネットワーク構成情報収集分析サーバ1101のネットワーク構成情報分析部1140がネットワーク機器Xkのネットワーク構成情報Ykの1項目であるネットワーク構成情報yi,kに変化を検出したとすると、リクエスト生成部1242は、ネットワーク機器Xkへ送信するリクエストとして、当該項目以外の項目(ネットワーク構成情報y1,k〜y(i−1),k,y(i+1),k〜ym,kに相当する)のリクエストを生成する。続けて、ネットワーク構成情報収集分析サーバ1101のネットワーク構成情報分析部1140がネットワーク機器Xkのネットワーク構成情報Zk,kを特定すると、リクエスト生成部1242は、ネットワーク機器X1〜X(k−1),X(k+1)〜Xnへ送信するリクエストとして、ネットワーク構成情報Zk,kに含まれる項目と同じ分類の項目(ネットワーク構成情報Z1,k〜Z(k−1),k,Z(k+1),k〜Zn,kに相当する)のリクエストを生成する。
As an example, if the network configuration
リクエスト送信部1243は、リクエスト生成部1242により生成されたリクエストを通信装置により送信する。
The
レスポンス受信部1245は、リクエスト送信部1243により送信されたリクエストに対するレスポンスを通信装置により受信する。
The
レスポンス解析部1244は、レスポンス受信部1245により受信されたレスポンスを処理装置により解析し、当該レスポンスを送信したネットワーク機器1300のネットワーク構成情報を生成する。
The
一例として、レスポンス受信部1245がリクエスト送信部1243によりネットワーク機器Xkへ送信されたネットワーク構成情報yi,k以外の項目のリクエストに対するレスポンスを受信すると、レスポンス解析部1244は、ネットワーク構成情報y1,k〜y(i−1),k,y(i+1),k〜ym,kを生成する。続けて、レスポンス受信部1245がリクエスト送信部1243によりネットワーク機器X1〜X(k−1),X(k+1)〜Xnへ送信されたネットワーク構成情報Zk,kに含まれる項目と同じ分類の項目のリクエストに対するレスポンスを受信すると、レスポンス解析部1244は、ネットワーク構成情報Z1,k〜Z(k−1),k,Z(k+1),k〜Zn,kを生成する。
As an example, when the
次に、図5及び図6を用いて、ネットワーク構成情報収集分析システム1001の動作を説明する。 Next, the operation of the network configuration information collection / analysis system 1001 will be described with reference to FIGS.
図5は、ネットワーク構成情報収集分析サーバ1101がネットワーク構成情報を収集する際の動作を示すフローチャートである。
FIG. 5 is a flowchart showing an operation when the network configuration information
ステップS101において、ネットワーク構成情報入力部1110は、ユーザによる初期設定の入力を入力装置から受け付ける。初期設定としては、ユーザが現在把握しているネットワーク構成情報やネットワーク構成情報分析ルールが入力される。入力方法は問わない。例えば、コマンド入力やファイル入力でもよいし、前回終了時の状態を利用するなどしてもよい。ネットワーク構成情報分析ルールとは、「監視するネットワーク構成情報の選択」、「ネットワーク構成情報の変化の抽出方法」、「変化を検出したネットワーク構成情報に関するアクティブスキャンを実施するネットワーク機器の条件」といった、ネットワーク構成情報の変化を検出するためのルールを指す。例えば、「監視するネットワーク構成情報の選択」としては、ネットワーク機器1300のOS、IPアドレス、MACアドレス、利用アプリケーションといった様々なネットワーク構成情報から、監視対象とするネットワーク構成情報(項目)を設定することができる。このとき、設定する項目は複数あってもよい。また、「ネットワーク構成情報の変化の抽出方法」としては、あるネットワーク機器1300のOSが変化した場合をネットワーク構成情報の変化と判断する、あるネットワーク機器1300からのトラヒック量にある一定量の変化があればネットワーク構成情報の変化と判断する、といったルールを設定することができる。また、「変化を検出したネットワーク構成情報に関するアクティブスキャンを実施するネットワーク機器の条件」としては、あるネットワーク機器1300で変化を検出したネットワーク構成情報に関するアクティブスキャンを他のネットワーク機器1300に実施する際にアクティブスキャンの実施対象とするネットワーク機器1300の条件を設定することができる。例えば、ネットワーク機器1300のOS、ソフトウェア、利用するサービス、利用用途(例えば、Webサーバ用、事務用)などのうち、1つもしくは複数の任意の項目が同じネットワーク機器1300のみにアクティブスキャンを実施する、といった条件を設定することが可能である。入力された設定のうち、ネットワーク構成情報はネットワーク構成情報データベース部1130に、ネットワーク構成情報分析ルールはネットワーク構成情報分析ルール格納部1150に記録される。
In step S101, the network configuration
ステップS102において、ネットワーク構成情報分析部1140は、サーバセンサ間インタフェース部1160を利用し、ネットワーク構成情報収集センサ1201に対して、パッシブスキャンの実施を指示する。
In step S102, the network configuration
ステップS103において、ネットワーク構成情報分析部1140は、ネットワーク構成情報収集センサ1201からのネットワーク構成情報を受信するまで待機する。
In step S103, the network configuration
ステップS104において、ネットワーク構成情報分析部1140は、ネットワーク構成情報分析ルール格納部1150に格納されているネットワーク構成情報分析ルールを利用し、ネットワーク構成情報収集センサ1201から受信したネットワーク構成情報とネットワーク構成情報データベース部1130に格納されているネットワーク構成情報を比較して、ネットワーク構成情報の変化を判断する。例えば、ネットワーク構成情報分析部1140は、未登録のIPアドレスを持つネットワーク機器1300を検出したり、あるネットワーク機器1300のOSが変化したことを検出したりする。サブネットワーク2100内のネットワーク機器Xkに対応するネットワーク構成情報の変化を検出した場合はステップS105へ進み、ネットワーク機器Xkに対応するネットワーク構成情報の変化が検出できなかった場合はステップS102へ戻る。
In step S104, the network configuration
ステップS105において、ネットワーク構成情報分析部1140は、サーバセンサ間インタフェース部1160を利用し、ネットワーク構成情報収集センサ1201にネットワーク機器Xkに対するアクティブスキャンの実施を指示して、ネットワーク機器Xkの他のネットワーク構成情報に変化がないか検査する。このとき、アクティブスキャン対象となるネットワーク構成情報は、ネットワーク機器Xkで変化を検出したネットワーク構成情報以外のネットワーク構成情報とする。
In step S105, the network configuration
ステップS106において、ネットワーク構成情報分析部1140は、サーバセンサ間インタフェース部1160を利用し、ネットワーク構成情報収集センサ1201に、サブネットワーク2100内の他のネットワーク機器1300に対する、ステップS104で変化が検出したネットワーク構成情報とステップS105で検出したネットワーク構成情報に関するアクティブスキャンの実施を指示し、他のネットワーク機器1300でネットワーク機器Xkと同様の変化が発生していないか検査する。ここで、ネットワーク構成情報分析部1140は、検査対象となるネットワーク機器1300を、ネットワーク構成情報分析ルール格納部1150に登録されているネットワーク構成情報分析ルールに基づいて決定する。例えば、ネットワーク構成情報分析部1140は、サブネットワーク2100内の全てのネットワーク機器1300を対象としてもよいし、ネットワーク機器1300のOS、ソフトウェア、利用するサービス、利用用途が同じであるネットワーク機器1300のみを対象としてもよい。
In step S106, the network configuration
ステップS107において、ネットワーク構成情報分析部1140は、ネットワーク構成情報データベース部1130に登録されているネットワーク構成情報を更新する。ネットワーク構成情報データベース部1130に未登録のネットワーク機器1300のネットワーク構成情報は、新規登録する。
In step S107, the network configuration
図6は、ネットワーク構成情報収集センサ1201の動作を示すフローチャートである。
FIG. 6 is a flowchart showing the operation of the network configuration
ステップS108において、センサ制御部1210は、サーバセンサ間インタフェース部1220を介して、ネットワーク構成情報収集分析サーバ1101に接続する。
In step S108, the
ステップS109において、センサ制御部1210は、ネットワーク構成情報収集分析サーバ1101からの指示、及び、サブネットワーク2100からのパケットやレスポンスを待つ。センサ制御部1210は、ネットワーク構成情報収集分析サーバ1101からパッシブスキャンに関する指示を受信した場合にはステップS110〜S112を、ネットワーク構成情報収集分析サーバ1101からアクティブスキャンに関する指示を受信した場合にはステップS113〜S115を、サブネットワーク2100を流れるパケットを取得した場合にはステップS116、S117、S120を、サブネットワーク2100内のネットワーク機器1300からのレスポンスを受信した場合にはステップS118〜S120を実行する。ここで、パッシブスキャンに関する指示とは、パッシブスキャンの実行、停止、設定の変更及び追加の指示を、アクティブスキャンに関する指示とは、アクティブスキャンの実行、停止、設定の変更及び追加の指示を指す。
In step S109, the
ステップS110において、センサ制御部1210は、サーバセンサ間インタフェース部1220を利用してネットワーク構成情報収集分析サーバ1101からパッシブスキャンの実行指示を受信する。ここで、ネットワーク構成情報収集分析サーバ1101から受信するパッシブスキャンの実行指示には、パッシブスキャンにより収集するネットワーク構成情報のリスト(例えば、IPアドレスを収集する、MACアドレスは収集しない、など)、ネットワーク構成情報の収集条件のリスト(例えば、ネットワーク構成情報を収集するサブネットワーク2100内のネットワーク機器1300の指定、収集しないネットワーク機器1300の指定など)、パッシブスキャンを実施するためのプログラムが含まれる。
In step S110, the
ステップS111において、センサ制御部1210は、パッシブスキャン実行指示に含まれるリストを利用して、パッシブスキャン設定部1231を更新する。ここで、更新される情報とは、例えば、あるIPアドレスのネットワーク機器1300のパケットのみを取得する、あるプロトコルを利用したパケットのみを取得するといった設定情報、ネットワーク構成情報を収集するためにネットワーク構成情報収集分析サーバ1101から受信したパッシブスキャンを実施するためのプログラムを指す。
In step S111, the
ステップS112において、センサ制御部1210は、パッシブスキャン実行部1230によりパッシブスキャンを開始し、ステップS109へ戻る。
In step S112, the
ステップS113において、センサ制御部1210は、サーバセンサ間インタフェース部1220を利用してネットワーク構成情報収集分析サーバ1101からアクティブスキャンの実行指示を受信する。ここで、ネットワーク構成情報収集分析サーバ1101から受信するアクティブスキャンの実行指示には、アクティブスキャンにより収集するネットワーク構成情報のリスト(例えば、IPアドレスを収集する、MACアドレスは収集しない、など)、ネットワーク構成情報の収集条件のリスト(例えば、ネットワーク構成情報を収集するサブネットワーク2100内のネットワーク機器1300の指定、収集しないネットワーク機器1300の指定など)、アクティブスキャンを実施するためのプログラムが含まれる。
In step S113, the
ステップS114において、センサ制御部1210は、アクティブスキャン実行指示に含まれるリストを利用して、アクティブスキャン設定部1241を更新する。ここで、更新される情報とは、アクティブスキャンにより、ネットワーク構成情報を収集するネットワーク機器1300の設定、ネットワーク機器1300から収集するネットワーク構成情報、ネットワーク構成情報を収集するためにネットワーク構成情報収集分析サーバ1101から受信したアクティブスキャンを実施するためのプログラムを指す。
In step S114, the
ステップS115において、リクエスト生成部1242は、アクティブスキャン設定部1241の設定に含まれるネットワーク機器1300に対してアクティブスキャン用のリクエストを生成し、リクエスト送信部1243を利用してリクエストをネットワーク機器1300に送信する。アクティブスキャンは従来手法を利用する。例えば、ICMP(Internet・Control・Message・Protocol)・echoリクエストを送信して、ネットワーク機器1300の存在確認をしたり、ポートスキャンを実施して、稼動ポートを調査したりする。リクエスト送信後は、ステップS109へ戻る。
In step S115, the
ステップS116において、パケット取得部1233は、サブネットワーク2100を流れるパケットを取得する。
In step S116, the
ステップS117において、パケット解析部1232は、パッシブスキャン設定部1231の設定を利用してパケット取得部1233で取得したパケットのフィルタリング及び解析を行い、ネットワーク構成情報を取得する。パッシブスキャンは従来手法を利用する。例えば、パケットヘッダの情報を解析することで送信元IPアドレス、あて先IPアドレス、利用ポート番号などの情報を取得したり、OSごとのプロトコルの実装に関する特徴からOSを特定するOS・fingerprintingという手法を利用して情報を取得したりする。情報取得後、ステップS120へ進む。
In step S117, the
ステップS118において、レスポンス受信部1245は、ネットワーク機器1300からのレスポンスを受信する。
In step S118, the
ステップS119において、レスポンス解析部1244は、アクティブスキャン設定部1241の設定を利用して、レスポンスを解析し、ネットワーク構成情報を取得する。
In step S119, the
ステップS120において、センサ制御部1210は、サーバセンサ間インタフェース部1220を利用してネットワーク構成情報収集分析サーバ1101にネットワーク構成情報を送信する。送信後、ステップS109へ戻る。
In step S120, the
以上のように、本実施の形態によれば、管理対象となるネットワーク上に接続するネットワーク機器1300に関するネットワーク構成情報とその変化を自動的に把握することができ、ネットワーク構成情報の変化した部分を中心としたアクティブスキャンを実施することで、管理対象となるネットワークへの負荷を抑えながらネットワーク構成情報の変化に迅速に対応可能なネットワーク構成情報の収集が可能となる。
As described above, according to the present embodiment, it is possible to automatically grasp the network configuration information related to the
実施の形態2.
以下、図7〜図9を用いて本実施の形態を説明する。
Hereinafter, the present embodiment will be described with reference to FIGS.
図7は、本実施の形態に係るネットワーク構成情報収集分析システム1002の構成及び機能の概要を示す図である。 FIG. 7 is a diagram showing an outline of the configuration and functions of the network configuration information collection / analysis system 1002 according to the present embodiment.
本実施の形態に係るネットワーク構成情報収集分析システム1002は、実施の形態1に係るネットワーク構成情報収集分析システム1001のネットワーク構成情報収集センサ1201に多段接続機能を追加し、複数のサブネットワーク2100におけるネットワーク構成情報を収集することができるようにしたものである。
The network configuration information collection / analysis system 1002 according to the present embodiment adds a multi-stage connection function to the network configuration
図7において、ネットワーク構成情報収集分析システム1002は、ネットワーク構成情報収集分析サーバ1102、ネットワーク構成情報収集センサ1202を備える。ここで、ネットワーク構成情報収集分析サーバ1102については、実施の形態1に係るネットワーク構成情報収集分析システム1001のネットワーク構成情報収集分析サーバ1101と同じであるため、説明を省く。
In FIG. 7, the network configuration information collection / analysis system 1002 includes a network configuration information collection /
ネットワーク構成情報収集センサ1202は、ネットワーク構成情報収集分析サーバ1102もしくは上位のネットワーク構成情報収集センサ1202と接続し、ネットワーク構成情報収集分析サーバ1102の指示をネットワーク構成情報収集分析サーバ1102もしくは上位のネットワーク構成情報収集センサ1202から受信して、実施の形態1に係るネットワーク構成情報収集センサ1201と同様にネットワーク構成情報を収集する。そして、ネットワーク構成情報収集センサ1202は、収集したネットワーク構成情報を、上位のネットワーク構成情報収集センサ1202を中継してネットワーク構成情報収集分析サーバ1102に通知する。また、ネットワーク構成情報収集センサ1202は、下位のネットワーク構成情報収集センサ1202に対するネットワーク構成情報収集分析サーバ1102からの指示やネットワーク構成情報収集分析サーバ1102に対する下位のネットワーク構成情報収集センサ1202からのネットワーク構成情報の中継を行う。
The network configuration
図8は、ネットワーク構成情報収集分析システム1001の構成を示すブロック図である。 FIG. 8 is a block diagram showing the configuration of the network configuration information collection / analysis system 1001.
前述したように、ネットワーク構成情報収集分析サーバ1102については、実施の形態1に係るネットワーク構成情報収集分析システム1001のネットワーク構成情報収集分析サーバ1101と同じであるため、説明を省く。
As described above, the network configuration information collection /
図8において、ネットワーク構成情報収集センサ1201は、センサ制御部1210、サーバセンサ間インタフェース部1220、1つ又は複数のパッシブスキャン実行部1230、1つ又は複数のアクティブスキャン実行部1240、センサ間インタフェース部1250を備えている。また、図示していないが、実施の形態1と同様に、ネットワーク構成情報収集センサ1201は、記憶装置、処理装置、入力装置、出力装置、通信装置などのハードウェアを備えるものとする。ここで、センサ制御部1210、サーバセンサ間インタフェース部1220、パッシブスキャン実行部1230、アクティブスキャン実行部1240については、実施の形態1に係るネットワーク構成情報収集センサ1201が備えるものと同じであるため、説明を省く。
In FIG. 8, the network configuration
センサ間インタフェース部1250は、ネットワーク構成情報収集センサ1202同士で通信するために利用される通信インタフェースを通信装置に実装したものである。具体的には、センサ間インタフェース部1250は、上位のネットワーク構成情報収集センサ1202から送信されたネットワーク構成情報収集分析サーバ1102からの指示を受信し、下位のネットワーク構成情報収集センサ1202に中継するため、及び/又は、下位のネットワーク構成情報収集センサ1202から送信されたネットワーク構成情報を上位のネットワーク構成情報収集センサ1202に中継したり、自らが収集したネットワーク構成情報を上位のネットワーク構成情報収集センサ1202に送信したりするために利用される。
The inter-sensor interface unit 1250 is obtained by mounting a communication interface used for communication between the network configuration
次に、図9を用いて、ネットワーク構成情報収集分析システム1002の動作を説明する。 Next, the operation of the network configuration information collection / analysis system 1002 will be described with reference to FIG.
図9は、上位のネットワーク構成情報収集センサ1202に接続し、さらに下位のネットワーク構成情報収集センサ1202から接続されている状態のネットワーク構成情報収集センサ1202の動作を示すフローチャートである。
FIG. 9 is a flowchart showing the operation of the network configuration
ステップS121において、センサ制御部1210は、上位のネットワーク構成情報収集センサ1202から送信されたネットワーク構成情報収集分析サーバ1102からの指示、及び、下位のネットワーク構成情報収集センサ1202から送信されたネットワーク構成情報、及び、サブネットワーク2100からのパケットやレスポンスを待つ。
In step S121, the
ステップS122において、センサ制御部1210は、センサ間インタフェース部1250を利用して上位のネットワーク構成情報収集センサ1202からパッシブスキャンの実行指示を受信する。その後、センサ制御部1210は、実施の形態1と同様に、ステップS111、S112を実施し、ステップS121へ戻る。
In step S122, the
ステップS123において、センサ制御部1210は、センサ間インタフェース部1250を利用して上位のネットワーク構成情報収集センサ1202からアクティブスキャンの実行指示を受信する。その後、センサ制御部1210は、実施の形態1と同様に、ステップS114、S115を実施し、ステップS121へ戻る。
In step S123, the
ステップS124において、センサ制御部1210は、センサ間インタフェース部1250を利用して上位のネットワーク構成情報収集センサ1202から下位のネットワーク構成情報収集センサ1202に対するネットワーク構成情報収集分析サーバ1102からの指示を受信する。
In step S124, the
ステップS125において、センサ制御部1210は、センサ間インタフェース部1250を利用して下位のネットワーク構成情報収集センサ1202にネットワーク構成情報収集分析サーバ1102からの指示を送信し、ステップS121へ戻る。
In step S125, the
ステップS126において、センサ制御部1210は、センサ間インタフェース部1250を利用して下位のネットワーク構成情報収集センサ1202からネットワーク構成情報を受信する。
In step S126, the
ステップS127において、センサ制御部1210は、センサ間インタフェース部1250を利用して上位のネットワーク構成情報収集センサ1202にネットワーク構成情報を送信し、ステップS121へ戻る。
In step S127, the
ステップS128において、センサ制御部1210は、サブネットワーク2100からパケットを受信した場合には、実施の形態1と同様にステップS116、S117を実行した後、ステップS127を実行する。また、センサ制御部1210は、サブネットワーク2100からアクティブスキャンのリクエストに対するレスポンスを受信した場合は、実施の形態1と同様にステップS118、S119を実行した後、ステップS127を実行する。
In step S128, when receiving a packet from the subnetwork 2100, the
以上のように、本実施の形態によれば、ネットワーク構成情報収集分析サーバ1102とネットワーク構成情報収集センサ1202が直接通信できないような場合でも、多段接続することで間接的に情報をやりとりすることができる。例えば、ネットワーク構成情報収集分析サーバ1102がネットワーク構成情報を実際に収集するサブネットワーク2100の外部に配置されており、さらに、ファイアウォールにより、ネットワーク構成情報収集分析サーバ1102とネットワーク構成情報収集センサ1202が直接通信できない場合において、管理対象となるネットワークの内部ではサブネットワーク2100ごとに配置したネットワーク構成情報収集センサ1202が情報収集を行い、外部通信可能なサブネットワーク2100に配置したネットワーク構成情報収集センサ1202とネットワーク構成情報収集分析サーバ1102が通信することで、ネットワーク構成情報収集分析サーバ1102が直接通信できないネットワーク構成情報収集センサ1202とも情報のやりとりをすることが可能となる。
As described above, according to the present embodiment, even when the network configuration information collection /
実施の形態3.
以下、図10〜図12を用いて本実施の形態を説明する。
Hereinafter, the present embodiment will be described with reference to FIGS.
図10は、本実施の形態に係るネットワーク構成情報収集分析システム1002の構成及び機能の概要を示す図である。 FIG. 10 is a diagram showing an outline of the configuration and functions of the network configuration information collection / analysis system 1002 according to the present embodiment.
本実施の形態に係るネットワーク構成情報収集分析システム1003は、実施の形態2に係るネットワーク構成情報収集分析システム1002のネットワーク構成情報収集分析サーバ1102に、ネットワーク構成情報の更新を監視する機能を追加し、一定期間情報が得られなかったネットワーク構成情報についてアクティブスキャンの実施を指示することで、ネットワーク構成情報の取得漏れを防ぐことができるようにしたものである。
The network configuration information collection / analysis system 1003 according to the present embodiment adds a function for monitoring the update of the network configuration information to the network configuration information collection /
図10において、ネットワーク構成情報収集分析システム1003は、ネットワーク構成情報収集分析サーバ1103、ネットワーク構成情報収集センサ1203を備える。ここで、ネットワーク構成情報収集センサ1203については、実施の形態2に係るネットワーク構成情報収集分析システム1002のネットワーク構成情報収集センサ1202と同じであるため、説明を省く。
In FIG. 10, the network configuration information collection / analysis system 1003 includes a network configuration information collection /
ネットワーク構成情報収集分析サーバ1103は、ネットワーク構成情報の更新状況を監視し、一定時間情報が得られなかったネットワーク構成情報についてアクティブスキャンの実施をネットワーク構成情報収集センサ1203に指示する。
The network configuration information collection /
図11は、ネットワーク構成情報収集分析システム1003の構成を示すブロック図である。 FIG. 11 is a block diagram showing the configuration of the network configuration information collection / analysis system 1003.
前述したように、ネットワーク構成情報収集センサ1203については、実施の形態2に係るネットワーク構成情報収集分析システム1002のネットワーク構成情報収集センサ1202と同じであるため、説明を省く。
As described above, the network configuration
図11において、ネットワーク構成情報収集分析サーバ1103は、ネットワーク構成情報入力部1110、ネットワーク構成情報出力部1120、ネットワーク構成情報データベース部1130、ネットワーク構成情報分析部1140、ネットワーク構成情報分析ルール格納部1150、サーバセンサ間インタフェース部1160、ネットワーク構成情報更新監視部1170を備えている。また、図示していないが、実施の形態1及び実施の形態2と同様に、ネットワーク構成情報収集分析サーバ1103は、記憶装置、処理装置、入力装置、出力装置、通信装置などのハードウェアを備えるものとする。ここで、ネットワーク構成情報入力部1110、ネットワーク構成情報出力部1120、ネットワーク構成情報データベース部1130、ネットワーク構成情報分析部1140、ネットワーク構成情報分析ルール格納部1150、サーバセンサ間インタフェース部1160については、実施の形態1及び実施の形態2のネットワーク構成情報収集分析サーバ1101,1102が備えるものと同じであるため、説明を省く。
In FIG. 11, the network configuration information collection /
ネットワーク構成情報更新監視部1170は、ネットワーク構成情報データベース部1130により記憶された各ネットワーク機器1300のネットワーク構成情報の更新状況を監視し、一定期間更新のないネットワーク機器1300のネットワーク構成情報を検出する。ネットワーク構成情報更新監視部1170は、一定期間更新のないネットワーク機器1300のネットワーク構成情報を検出すると、ネットワーク構成情報収集センサ1203のリクエスト送信部1243に、当該ネットワーク機器1300へ、当該ネットワーク機器1300に関する情報のリクエストを送信させるための指示を、ネットワーク構成情報収集センサ1203に送信する。即ち、ネットワーク構成情報更新監視部1170は、ネットワーク構成情報データベース部1130に登録されているネットワーク構成情報を監視し、一定時間更新されていないネットワーク構成情報をアクティブスキャンにより情報収集するように、ネットワーク構成情報収集センサ1203に要求することができる。
The network configuration information update
次に、図12を用いて、ネットワーク構成情報収集分析システム1003の動作を説明する。 Next, the operation of the network configuration information collection / analysis system 1003 will be described with reference to FIG.
図12は、ネットワーク構成情報収集分析サーバ1103のネットワーク構成情報更新監視部1170の動作を示すフローチャートである。
FIG. 12 is a flowchart showing the operation of the network configuration information update
ネットワーク構成情報収集分析サーバ1103のネットワーク構成情報入力部1110、ネットワーク構成情報出力部1120、ネットワーク構成情報データベース部1130、ネットワーク構成情報分析部1140、ネットワーク構成情報分析ルール格納部1150、サーバセンサ間インタフェース部1160の動作については、実施の形態1及び実施の形態2のネットワーク構成情報収集分析サーバ1101,1102と同じであるため、説明を省く。
Network configuration information input /
ステップS129において、ネットワーク構成情報更新監視部1170は、ネットワーク構成情報データベース部1130に登録されているネットワーク構成情報の更新状況を監視する。
In step S129, the network configuration information update
ステップS130において、ネットワーク構成情報更新監視部1170は、一定時間ネットワーク構成情報が更新されていないものがあればステップS131を実行する。なければステップS129へ戻り、ネットワーク構成情報の更新状況の監視を続ける。
In step S130, the network configuration information update
ステップS131において、ネットワーク構成情報更新監視部1170は、一定時間更新されていないネットワーク構成情報に関して、アクティブスキャンによる情報収集をネットワーク構成情報収集センサ1203に指示する。ここで、アクティブスキャンを指示するまでの監視時間については、ネットワーク機器1300やネットワーク構成情報の項目ごとに任意で設定できるものとする。例えば、OSに関しては情報が1週間得られなければアクティブスキャンを行うという設定にしたり、IPアドレスに関しては情報が1時間得られなければアクティブスキャンを行うという設定にしたり、あるネットワーク機器1300に関してはネットワーク構成情報の更新監視を行わないという設定にしたりすることができる。ネットワーク構成情報更新監視部1170は、アクティブスキャンの指示後、ステップS129へ戻り、ネットワーク構成情報の更新状況の監視を続ける。
In step S131, the network configuration information update
以上のように、本実施の形態によれば、パッシブスキャンによりネットワーク構成情報が得られなかった場合においても、アクティブスキャンによりネットワーク構成情報を収集することでネットワーク構成情報の取得漏れを防ぐことができる。 As described above, according to the present embodiment, even when the network configuration information is not obtained by the passive scan, it is possible to prevent the network configuration information from being missed by collecting the network configuration information by the active scan. .
以上説明したように、実施の形態1に係るネットワーク構成情報収集分析システムは、ネットワーク構成情報を以下のように収集する。
(1)受動的及び能動的なネットワーク構成情報の収集により、ネットワーク構成情報の変化を検出する。
(2)ネットワーク構成情報の変化を検出したネットワーク機器に対して、収集を実行していないネットワーク構成情報について能動的なネットワーク構成情報の収集を実行し、他のネットワーク構成情報が変化していないか検査する。
(3)他のネットワーク機器に対して、上記(1)及び(2)で変化が検出されたネットワーク構成情報について能動的なネットワーク構成情報の収集を実行することで、変化が検出されたネットワーク機器と同様の変化が発生していないかを検査する。
As described above, the network configuration information collection / analysis system according to
(1) A change in network configuration information is detected by collecting passive and active network configuration information.
(2) Active network configuration information is collected for network configuration information that has not been collected, and other network configuration information has not changed for network devices that have detected a change in network configuration information. inspect.
(3) A network device in which a change has been detected by collecting active network configuration information for the network configuration information in which a change has been detected in the above (1) and (2) with respect to another network device. Inspect whether there is a change similar to.
実施の形態1に係るネットワーク構成情報収集分析システムは、以下の特徴を持つネットワーク構成情報収集分析サーバ、ネットワーク構成情報収集センサを備える。
・ネットワーク構成情報収集分析サーバは、ネットワーク構成情報を蓄積、管理する。
・ネットワーク構成情報収集分析サーバは、ネットワーク構成情報の収集と分析を実行する。具体的には、ネットワーク構成情報収集センサに受動的及び能動的なネットワーク構成情報の収集の実行を指示し、ネットワーク構成情報収集センサが収集したネットワーク構成情報からネットワーク構成の変更を検出してネットワーク構成の変更に応じたネットワーク構成情報の収集を指示する。
・ネットワーク構成情報収集センサは、ネットワーク構成情報収集分析サーバからの指示により、受動的なネットワーク構成情報の収集や能動的なネットワーク構成情報の収集、もしくは、その両方を実行し、収集したネットワーク構成情報をネットワーク構成情報収集分析サーバに通知する。
The network configuration information collection / analysis system according to
The network configuration information collection / analysis server accumulates and manages network configuration information.
The network configuration information collection / analysis server collects and analyzes network configuration information. Specifically, the network configuration information collection sensor is instructed to execute passive and active network configuration information collection, and a network configuration change is detected from the network configuration information collected by the network configuration information collection sensor. Instructs the collection of network configuration information in response to changes in
-The network configuration information collection sensor collects passive network configuration information and / or active network configuration information according to instructions from the network configuration information collection / analysis server. To the network configuration information collection and analysis server.
実施の形態2に係るネットワーク構成情報収集分析システムでは、ネットワーク構成情報収集センサは、さらに以下の特徴を持つ。
・ネットワーク構成情報収集センサは、多段接続が可能である。
・ネットワーク構成情報収集センサは、ネットワーク構成情報収集分析サーバからの指示を下位のネットワーク構成情報収集センサに中継し、また、下位のネットワーク構成情報収集センサが収集したネットワーク構成情報を上位のネットワーク構成情報収集センサもしくはネットワーク構成情報収集分析サーバに中継する。
In the network configuration information collection and analysis system according to the second embodiment, the network configuration information collection sensor further has the following characteristics.
-The network configuration information collection sensor can be connected in multiple stages.
The network configuration information collection sensor relays instructions from the network configuration information collection analysis server to the lower network configuration information collection sensor, and the network configuration information collected by the lower network configuration information collection sensor Relay to collection sensor or network configuration information collection and analysis server.
実施の形態3に係るネットワーク構成情報収集分析システムでは、ネットワーク構成情報収集分析サーバは、さらに以下の特徴を持つ。
・ネットワーク構成情報収集分析サーバは、ネットワーク構成情報の更新状況を監視し、一定期間情報が得られなかったネットワーク構成情報に関して能動的なネットワーク構成情報の収集を指示する。
In the network configuration information collection / analysis system according to
The network configuration information collection / analysis server monitors the update status of the network configuration information, and instructs active collection of network configuration information regarding the network configuration information for which information has not been obtained for a certain period of time.
以上、本発明の実施の形態について説明したが、これらのうち、2つ以上の実施の形態を組み合わせて実施しても構わない。あるいは、これらのうち、1つの実施の形態を部分的に実施しても構わない。あるいは、これらのうち、2つ以上の実施の形態を部分的に組み合わせて実施しても構わない。 As mentioned above, although embodiment of this invention was described, you may implement combining 2 or more embodiment among these. Alternatively, one of these embodiments may be partially implemented. Or you may implement combining two or more embodiment among these partially.
1000,1001,1002,1003 ネットワーク構成情報収集分析システム、1100,1101,1102,1103 ネットワーク構成情報収集分析サーバ、1110 ネットワーク構成情報入力部、1120 ネットワーク構成情報出力部、1130 ネットワーク構成情報データベース部、1140 ネットワーク構成情報分析部、1150 ネットワーク構成情報分析ルール格納部、1160 サーバセンサ間インタフェース部、1170 ネットワーク構成情報更新監視部、1200,1201,1202,1203 ネットワーク構成情報収集センサ、1210 センサ制御部、1220 サーバセンサ間インタフェース部、1230 パッシブスキャン実行部、1231 パッシブスキャン設定部、1232 パケット解析部、1233 パケット取得部、1240 アクティブスキャン実行部、1241 アクティブスキャン設定部、1242 リクエスト生成部、1243 リクエスト送信部、1244 レスポンス解析部、1245 レスポンス受信部、1250 センサ間インタフェース部、1300 ネットワーク機器、2000 ネットワーク、2100 サブネットワーク、1901 表示装置、1902 キーボード、1903 マウス、1904 FDD、1905 CDD、1906 プリンタ装置、1911 CPU、1912 バス、1913 ROM、1914 RAM、1915 通信ボード、1920 磁気ディスク装置、1921 OS、1922 ウィンドウシステム、1923 プログラム群、1924 ファイル群。
1000, 1001, 1002, 1003 Network configuration information collection / analysis system, 1100, 1101, 1102, 1103 Network configuration information collection / analysis server, 1110 Network configuration information input unit, 1120 Network configuration information output unit, 1130 Network configuration information database unit, 1140 Network configuration information analysis unit, 1150 Network configuration information analysis rule storage unit, 1160 Server sensor interface unit, 1170 Network configuration information update monitoring unit, 1200, 1201, 1202, 1203 Network configuration information collection sensor, 1210 Sensor control unit, 1220 server Inter-sensor interface unit, 1230 passive scan execution unit, 1231 passive scan setting unit, 1232
Claims (8)
各ネットワーク機器のネットワーク構成情報を記憶装置に記憶するネットワーク構成情報データベース部と、
ネットワークを流れるパケットを処理装置により解析し、当該パケットを送信したネットワーク機器のネットワーク構成情報を生成するパケット解析部と、
前記パケット解析部により生成された当該ネットワーク機器のネットワーク構成情報と前記ネットワーク構成情報データベース部により記憶された当該ネットワーク機器のネットワーク構成情報との異同を処理装置により分析し、当該ネットワーク機器のネットワーク構成情報における変化を検出するネットワーク構成情報分析部と、
前記ネットワーク構成情報分析部により当該ネットワーク機器のネットワーク構成情報に変化が検出された場合、当該ネットワーク機器以外のネットワーク機器へ、各ネットワーク機器に関する情報のリクエストを送信するリクエスト送信部と、
前記リクエスト送信部により送信されたリクエストに対するレスポンスを処理装置により解析し、当該レスポンスを送信したネットワーク機器のネットワーク構成情報を生成するレスポンス解析部とを備え、
前記ネットワーク構成情報データベース部は、前記ネットワーク構成情報分析部により当該ネットワーク機器のネットワーク構成情報に変化が検出された場合、前記パケット解析部と前記レスポンス解析部とにより生成された各ネットワーク機器のネットワーク構成情報で記憶装置に記憶した各ネットワーク機器のネットワーク構成情報を更新することを特徴とするネットワーク構成情報収集分析システム。 A network configuration information collection and analysis system that collects network configuration information that is information about each network device and analyzes the network configuration information for a plurality of network devices that perform packet communication in a network,
A network configuration information database unit for storing network configuration information of each network device in a storage device;
A packet analysis unit that analyzes a packet flowing through a network by a processing device and generates network configuration information of a network device that has transmitted the packet;
The processing device analyzes the difference between the network configuration information of the network device generated by the packet analysis unit and the network configuration information of the network device stored by the network configuration information database unit, and the network configuration information of the network device A network configuration information analysis unit for detecting changes in
When a change is detected in the network configuration information of the network device by the network configuration information analysis unit, a request transmission unit that transmits a request for information on each network device to a network device other than the network device;
A response analysis unit that analyzes a response to the request transmitted by the request transmission unit, and generates network configuration information of the network device that transmitted the response, and
The network configuration information database unit, when a change is detected in the network configuration information of the network device by the network configuration information analysis unit, the network configuration of each network device generated by the packet analysis unit and the response analysis unit A network configuration information collection / analysis system characterized by updating network configuration information of each network device stored in a storage device with information.
前記リクエスト送信部は、前記ネットワーク構成情報分析部により当該ネットワーク機器のネットワーク構成情報の少なくとも1項目に変化が検出された場合、当該ネットワーク機器以外のネットワーク機器へ、各ネットワーク機器に関する情報のうち、当該項目と同じ分類の項目のみのリクエストを送信することを特徴とする請求項1に記載のネットワーク構成情報収集分析システム。 The network configuration information of each network device indicates information related to each network device by classifying it into a plurality of items.
When a change is detected in at least one item of the network configuration information of the network device by the network configuration information analysis unit, the request transmission unit transmits to the network device other than the network device, The network configuration information collection / analysis system according to claim 1, wherein a request for only an item having the same classification as the item is transmitted.
前記ネットワーク構成情報分析部は、前記パケット解析部により生成された当該ネットワーク機器のネットワーク構成情報の項目における変化を検出し、
前記リクエスト送信部は、前記ネットワーク構成情報分析部により当該ネットワーク機器のネットワーク構成情報の当該項目に変化が検出された場合、当該ネットワーク機器へ、当該ネットワーク機器に関する情報のうち、当該項目以外の項目のリクエストを送信し、
前記レスポンス解析部は、前記リクエスト送信部により当該ネットワーク機器へ送信されたリクエストに対するレスポンスを解析し、当該ネットワーク機器のネットワーク構成情報を生成し、
前記ネットワーク構成情報分析部は、前記レスポンス解析部により生成された当該ネットワーク機器のネットワーク構成情報と前記ネットワーク構成情報データベース部により記憶された当該ネットワーク機器のネットワーク構成情報との異同を分析し、当該ネットワーク機器のネットワーク構成情報における変化を検出することを特徴とする請求項2に記載のネットワーク構成情報収集分析システム。 The packet analysis unit analyzes a packet flowing through the network, generates at least one item of network configuration information of a network device that has transmitted the packet,
The network configuration information analysis unit detects a change in the item of network configuration information of the network device generated by the packet analysis unit,
When a change is detected in the item of the network configuration information of the network device by the network configuration information analysis unit, the request transmission unit sends information on the item other than the item to the network device. Send a request,
The response analysis unit analyzes a response to the request transmitted to the network device by the request transmission unit, and generates network configuration information of the network device,
The network configuration information analysis unit analyzes the difference between the network configuration information of the network device generated by the response analysis unit and the network configuration information of the network device stored by the network configuration information database unit, and The network configuration information collection / analysis system according to claim 2, wherein a change in the network configuration information of the device is detected.
前記ネットワーク構成情報データベース部により記憶された各ネットワーク機器のネットワーク構成情報の更新状況を監視し、一定期間更新のないネットワーク機器のネットワーク構成情報を検出するネットワーク構成情報更新監視部を備え、
前記リクエスト送信部は、前記ネットワーク構成情報更新監視部により一定期間更新のないネットワーク機器のネットワーク構成情報が検出された場合、当該ネットワーク機器へ、当該ネットワーク機器に関する情報のリクエストを送信し、
前記レスポンス解析部は、前記リクエスト送信部により送信されたリクエストに対するレスポンスを解析し、当該ネットワーク機器のネットワーク構成情報を生成し、
前記ネットワーク構成情報データベース部は、前記レスポンス解析部により生成された当該ネットワーク機器のネットワーク構成情報で記憶装置に記憶した当該ネットワーク機器のネットワーク構成情報を更新することを特徴とする請求項1から3までのいずれかに記載のネットワーク構成情報収集分析システム。 The network configuration information collection and analysis system further includes:
A network configuration information update monitoring unit that monitors the update status of the network configuration information of each network device stored by the network configuration information database unit and detects network configuration information of the network device that has not been updated for a certain period of time;
When the network configuration information of the network device that has not been updated for a certain period is detected by the network configuration information update monitoring unit, the request transmission unit transmits a request for information regarding the network device to the network device,
The response analysis unit analyzes a response to the request transmitted by the request transmission unit, and generates network configuration information of the network device,
The network configuration information database unit updates the network configuration information of the network device stored in a storage device with the network configuration information of the network device generated by the response analysis unit. The network configuration information collection and analysis system according to any one of the above.
前記ネットワーク構成情報データベース部及び前記ネットワーク構成情報分析部を備えるネットワーク構成情報収集分析サーバを有するとともに、
前記パケット解析部と、前記リクエスト送信部及び前記レスポンス解析部との少なくともいずれかを備えるネットワーク構成情報収集センサを複数有し、
ネットワーク構成情報収集分析サーバは、少なくとも1つのネットワーク構成情報収集センサを制御し、
ネットワーク構成情報収集分析サーバにより制御されるネットワーク構成情報収集センサは、少なくとも1つの他のネットワーク構成情報収集センサを制御することを特徴とする請求項1から4までのいずれかに記載のネットワーク構成情報収集分析システム。 The network configuration information collection and analysis system includes:
While having a network configuration information collection analysis server comprising the network configuration information database unit and the network configuration information analysis unit,
A plurality of network configuration information collection sensors comprising at least one of the packet analysis unit, the request transmission unit and the response analysis unit;
The network configuration information collection analysis server controls at least one network configuration information collection sensor,
The network configuration information according to any one of claims 1 to 4, wherein the network configuration information collection sensor controlled by the network configuration information collection analysis server controls at least one other network configuration information collection sensor. Collection analysis system.
各ネットワーク機器のネットワーク構成情報を記憶装置に記憶するネットワーク構成情報データベース部と、
ネットワーク構成情報収集センサに、ネットワークを流れるパケットを解析し、当該パケットを送信したネットワーク機器のネットワーク構成情報を生成するように指示するネットワーク構成情報生成指示部と、
前記ネットワーク構成情報生成指示部による指示に従ってネットワーク構成情報収集センサにより生成された当該ネットワーク機器のネットワーク構成情報と前記ネットワーク構成情報データベース部により記憶された当該ネットワーク機器のネットワーク構成情報との異同を処理装置により分析し、当該ネットワーク機器のネットワーク構成情報における変化を検出するネットワーク構成情報分析部とを備え、
前記ネットワーク構成情報生成指示部は、前記ネットワーク構成情報分析部により当該ネットワーク機器のネットワーク構成情報に変化が検出された場合、ネットワーク構成情報収集センサに、当該ネットワーク機器以外のネットワーク機器へ、各ネットワーク機器に関する情報のリクエストを送信し、当該リクエストに対するレスポンスを解析し、当該レスポンスを送信したネットワーク機器のネットワーク構成情報を生成するように指示し、
前記ネットワーク構成情報データベース部は、前記ネットワーク構成情報分析部により当該ネットワーク機器のネットワーク構成情報に変化が検出された場合、前記ネットワーク構成情報生成指示部による指示に従ってネットワーク構成情報収集センサにより生成された各ネットワーク機器のネットワーク構成情報で記憶装置に記憶した各ネットワーク機器のネットワーク構成情報を更新することを特徴とするネットワーク構成情報収集分析サーバ。 Network configuration information collection analysis that acquires and analyzes the network configuration information from a network configuration information collection sensor that collects network configuration information, which is information about each network device, for multiple network devices that perform packet communications on the network A server,
A network configuration information database unit for storing network configuration information of each network device in a storage device;
A network configuration information generation instruction unit that instructs the network configuration information collection sensor to analyze a packet flowing through the network and generate network configuration information of the network device that has transmitted the packet;
A processing device for processing the difference between the network configuration information of the network device generated by the network configuration information collection sensor according to the instruction from the network configuration information generation instruction unit and the network configuration information of the network device stored by the network configuration information database unit And a network configuration information analysis unit that detects a change in the network configuration information of the network device,
When the network configuration information analysis unit detects a change in the network configuration information of the network device, the network configuration information generation instruction unit sends each network device to a network device other than the network device. Send an information request, analyze the response to the request, instruct to generate network configuration information for the network device that sent the response,
The network configuration information database unit, when a change is detected in the network configuration information of the network device by the network configuration information analysis unit, each generated by the network configuration information collection sensor according to an instruction from the network configuration information generation instruction unit A network configuration information collection / analysis server that updates network configuration information of each network device stored in a storage device with network configuration information of the network device.
コンピュータの記憶装置が、各ネットワーク機器のネットワーク構成情報を記憶する第1ステップと、
コンピュータの処理装置が、ネットワークを流れるパケットを解析し、当該パケットを送信したネットワーク機器のネットワーク構成情報を生成する第2ステップと、
コンピュータの処理装置が、前記第2ステップにより生成された当該ネットワーク機器のネットワーク構成情報と前記第1ステップにより記憶された当該ネットワーク機器のネットワーク構成情報との異同を分析し、当該ネットワーク機器のネットワーク構成情報における変化を検出する第3ステップと、
コンピュータの通信装置が、前記第3ステップにより当該ネットワーク機器のネットワーク構成情報に変化が検出された場合、当該ネットワーク機器以外のネットワーク機器へ、各ネットワーク機器に関する情報のリクエストを送信する第4ステップと、
コンピュータの処理装置が、前記第4ステップにより送信されたリクエストに対するレスポンスを解析し、当該レスポンスを送信したネットワーク機器のネットワーク構成情報を生成する第5ステップと、
コンピュータの記憶装置が、前記第3ステップにより当該ネットワーク機器のネットワーク構成情報に変化が検出された場合、前記第2ステップと前記第5ステップとにより生成された各ネットワーク機器のネットワーク構成情報で前記第1ステップにより記憶した各ネットワーク機器のネットワーク構成情報を更新する第6ステップとを備えることを特徴とするネットワーク構成情報収集分析方法。 A network configuration information collection and analysis method for collecting network configuration information, which is information about each network device, for a plurality of network devices performing packet communication in a network, and analyzing the network configuration information,
A first step in which a storage device of the computer stores network configuration information of each network device;
A second step in which a computer processing device analyzes a packet flowing through a network and generates network configuration information of a network device that has transmitted the packet;
The processing device of the computer analyzes the difference between the network configuration information of the network device generated in the second step and the network configuration information of the network device stored in the first step, and the network configuration of the network device A third step of detecting changes in the information;
A fourth step in which when a change is detected in the network configuration information of the network device by the third step, the computer communication device transmits a request for information on each network device to a network device other than the network device;
A fifth step in which a computer processing device analyzes a response to the request transmitted in the fourth step and generates network configuration information of the network device that has transmitted the response;
When a change is detected in the network configuration information of the network device by the third step, the storage device of the computer uses the network configuration information of each network device generated by the second step and the fifth step. A network configuration information collection / analysis method comprising: a sixth step of updating network configuration information of each network device stored in one step.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008151592A JP2009302625A (en) | 2008-06-10 | 2008-06-10 | Network configuration information collection analysis system, network configuration information collection analysis server, and network configuration information collection analysis method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008151592A JP2009302625A (en) | 2008-06-10 | 2008-06-10 | Network configuration information collection analysis system, network configuration information collection analysis server, and network configuration information collection analysis method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2009302625A true JP2009302625A (en) | 2009-12-24 |
Family
ID=41549115
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008151592A Pending JP2009302625A (en) | 2008-06-10 | 2008-06-10 | Network configuration information collection analysis system, network configuration information collection analysis server, and network configuration information collection analysis method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2009302625A (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013027921A1 (en) * | 2011-08-24 | 2013-02-28 | (주)케이티 | Configuration management server for automatically configuring multiple hosts, and method for same |
CN111028085A (en) * | 2019-03-29 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | Network shooting range asset information acquisition method and device based on active and passive combination |
CN112260863A (en) * | 2020-10-15 | 2021-01-22 | 腾讯科技(深圳)有限公司 | Organization-level network equipment connection management method and device and computer equipment |
JP2022053152A (en) * | 2020-09-24 | 2022-04-05 | Kddi株式会社 | Infrastructure verification code generator, method, and program |
JP7311660B1 (en) | 2022-03-08 | 2023-07-19 | 株式会社日立製作所 | Information equipment management system and management method |
-
2008
- 2008-06-10 JP JP2008151592A patent/JP2009302625A/en active Pending
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013027921A1 (en) * | 2011-08-24 | 2013-02-28 | (주)케이티 | Configuration management server for automatically configuring multiple hosts, and method for same |
CN111028085A (en) * | 2019-03-29 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | Network shooting range asset information acquisition method and device based on active and passive combination |
JP2022053152A (en) * | 2020-09-24 | 2022-04-05 | Kddi株式会社 | Infrastructure verification code generator, method, and program |
JP7296349B2 (en) | 2020-09-24 | 2023-06-22 | Kddi株式会社 | INFRASTRUCTURE VERIFICATION CODE GENERATOR, METHOD AND PROGRAM |
CN112260863A (en) * | 2020-10-15 | 2021-01-22 | 腾讯科技(深圳)有限公司 | Organization-level network equipment connection management method and device and computer equipment |
CN112260863B (en) * | 2020-10-15 | 2024-05-14 | 腾讯科技(深圳)有限公司 | Organization-level network device connection management method and device and computer device |
JP7311660B1 (en) | 2022-03-08 | 2023-07-19 | 株式会社日立製作所 | Information equipment management system and management method |
US20230291649A1 (en) * | 2022-03-08 | 2023-09-14 | Hitachi, Ltd. | Management system and management method for information apparatus |
JP2023130723A (en) * | 2022-03-08 | 2023-09-21 | 株式会社日立製作所 | Management system and controlling method for information apparatus |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10958543B2 (en) | Monitoring wireless access point events | |
US7804787B2 (en) | Methods and apparatus for analyzing and management of application traffic on networks | |
US7752307B2 (en) | Technique of analyzing an information system state | |
JP5050781B2 (en) | Malware detection device, monitoring device, malware detection program, and malware detection method | |
KR101836016B1 (en) | Context-aware network forensics | |
US7832010B2 (en) | Unauthorized access program monitoring method, unauthorized access program detecting apparatus, and unauthorized access program control apparatus | |
JP4847687B2 (en) | How to automatically discover and configure external network devices | |
US10735422B2 (en) | Automated individualized network security controls for internet of things (IoT) devices | |
US20120005743A1 (en) | Internal network management system, internal network management method, and program | |
JP2009282983A (en) | System for checking vulnerable point of server and its method | |
JP2013519257A (en) | Using aggregate DNS information originating from multiple sources to detect anomalous DNS name resolution | |
JP2014086821A (en) | Unauthorized connection detection method, network monitoring device, and program | |
JP5617304B2 (en) | Switching device, information processing device, and fault notification control program | |
JP2009302625A (en) | Network configuration information collection analysis system, network configuration information collection analysis server, and network configuration information collection analysis method | |
JP4714173B2 (en) | IT resource configuration change detection method and configuration management apparatus | |
US20090122721A1 (en) | Hybrid network discovery method for detecting client applications | |
WO2020027250A1 (en) | Infection spread attack detection device, attack origin specification method, and program | |
JP2014036408A (en) | Communication apparatus, communication system, communication method, and communication program | |
JP6476853B2 (en) | Network monitoring system and method | |
KR20150026187A (en) | System and Method for dropper distinction | |
EP1754337B1 (en) | Systems and methods for discovering machines | |
JP2003015973A (en) | Network device management device, management method and management program | |
JP2006067279A (en) | Intrusion detection system and communication equipment | |
JP2013255196A (en) | Network monitoring apparatus and network monitoring method | |
JP2006135885A (en) | Attack route analyzing apparatus, attack route analyzing method and program |