JP2016054346A - Access point detection device, access point detection method, and access point detection program - Google Patents
Access point detection device, access point detection method, and access point detection program Download PDFInfo
- Publication number
- JP2016054346A JP2016054346A JP2014178442A JP2014178442A JP2016054346A JP 2016054346 A JP2016054346 A JP 2016054346A JP 2014178442 A JP2014178442 A JP 2014178442A JP 2014178442 A JP2014178442 A JP 2014178442A JP 2016054346 A JP2016054346 A JP 2016054346A
- Authority
- JP
- Japan
- Prior art keywords
- access point
- traffic
- wired
- wireless
- point detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
Description
本発明は、アクセスポイント検出装置、アクセスポイント検出方法、及びアクセスポイント検出プログラムに関する。 The present invention relates to an access point detection device, an access point detection method, and an access point detection program.
近年、無線LAN(Local Area Network)アクセスポイント、PC(Personal Computer)上で動作するソフトアクセスポイント、Wi−Fi(登録商標)ルータ、テザリング機能付きスマートフォン等により、ユーザは、容易に無線LANを構築し、利用できるようになってきている。 In recent years, wireless LAN (Local Area Network) access points, soft access points that operate on PCs (Personal Computers), Wi-Fi (registered trademark) routers, smartphones with a tethering function, etc., users can easily build a wireless LAN. And it has become available.
無線LANアクセスポイントは、企業等の管理されたネットワークであるマネージドネットワークにおいて、管理された無線LANアクセスポイントと、管理されていない無線LANアクセスポイントに大別できる。ユーザは、マネージドネットワークに、マネージドネットワークにおいて管理されていない無線LANアクセスポイントである非正規アクセスポイントを、無許可で容易に接続することが可能になっている。マネージドネットワークに接続された非正規アクセスポイントは、不正アクセスポイントと呼ばれる。 Wireless LAN access points can be broadly classified into managed wireless LAN access points and unmanaged wireless LAN access points in a managed network that is a managed network of a company or the like. A user can easily connect an unauthorized access point, which is a wireless LAN access point that is not managed in the managed network, to the managed network without permission. An unauthorized access point connected to a managed network is called an unauthorized access point.
例えば、ユーザにより、マネージドネットワークへの接続を許可された正規のPC上で動作させられたソフトアクセスポイントは、不正アクセスポイントになる場合がある。不正アクセスポイントは、マネージドネットワークへの不正侵入の入口となり得る。マネージドネットワークは、不正侵入されると、情報漏洩、Webサイト改ざん、マルウェア侵入等のセキュリティインシデントが発生する危険性が高い。不正アクセスポイントは、ユーザが、不正侵入を目的として悪意を持ってマネージドネットワークへ接続された非正規アクセスポイントと、ユーザが、利便性を優先し、マネージドネットワークの管理ルールに反して不用意に接続された非正規アクセスポイントとがある。 For example, a soft access point operated by a user on a legitimate PC permitted to connect to a managed network may become an unauthorized access point. An unauthorized access point can be an entry point for unauthorized entry into a managed network. When a managed network is illegally infiltrated, there is a high risk of security incidents such as information leakage, website alteration, and malware intrusion. An unauthorized access point is an unauthorized access point that a user maliciously connects to the managed network for the purpose of unauthorized intrusion, and the user carelessly connects with the management rules of the managed network giving priority to convenience. With a non-regular access point.
不正アクセスポイントを検出する技術としては、次のようなものがある。すなわち、不正アクセスポイントを、有線LAN側で検出する技術と、無線LAN側で検出する技術とがある。例えば、不正アクセスポイントを有線LAN側で検出する技術は、ルータ、エッジスイッチ等、無線LANアクセスポイントの有線LAN側に接続されるノードの各ポートに接続されているデバイス情報を監視し、管理外の無線LANアクセスポイントが接続されていれば不正アクセスポイントと見なす。 Technologies for detecting unauthorized access points include the following. That is, there are a technique for detecting an unauthorized access point on the wired LAN side and a technique for detecting on the wireless LAN side. For example, the technology for detecting unauthorized access points on the wired LAN side monitors device information connected to each port of a node connected to the wired LAN side of a wireless LAN access point, such as a router or an edge switch, and does not manage them. If the wireless LAN access point is connected, it is regarded as an unauthorized access point.
また、例えば、不正アクセスポイントを無線LAN側で検出する技術は、無線LAN監視装置、アナライザ等を用いて電波を観測し、無線LANアクセスポイントとして動作するデバイスを検出して、マネージドネットワークにおいて管理される無線LANアクセスポイント以外の非正規アクセスポイントがあれば不正アクセスポイントと見なす。 In addition, for example, a technique for detecting an unauthorized access point on the wireless LAN side is managed in a managed network by observing radio waves using a wireless LAN monitoring device, an analyzer, etc., detecting a device operating as a wireless LAN access point, and If there is an unauthorized access point other than the wireless LAN access point, it is regarded as an unauthorized access point.
また、例えば、有線LAN側で検出する技術は、IEEE(登録商標)802.11で規定される無線通信はIEEE802.3で規定される有線通信に比べてアクセス遅延が大きい場合が多いという特徴を利用する。そして、有線LAN側で検出する技術は、パケット到着間隔、TCP ACK(Transmission Control Protocol ACKnowledgement)のレスポンス遅延から、無線LANアクセスポイントからのトラヒックの存在を推定する。そして、有線LAN側で検出する技術は、マネージドネットワークにおいて管理される無線LANアクセスポイントが存在しないセグメントにおいて無線LANアクセスポイントからのトラヒックが存在すれば、不正アクセスポイントが接続されていると見なす。 In addition, for example, the detection technique on the wired LAN side is characterized in that the wireless communication specified by IEEE (registered trademark) 802.11 often has a larger access delay than the wired communication specified by IEEE 802.3. Use. The technology detected on the wired LAN side estimates the presence of traffic from the wireless LAN access point from the packet arrival interval and the response delay of TCP ACK (Transmission Control Protocol ACKnowledgement). The technology detected on the wired LAN side assumes that an unauthorized access point is connected if there is traffic from the wireless LAN access point in a segment where there is no wireless LAN access point managed in the managed network.
しかしながら、上述の従来技術では、検出した非正規アクセスポイントが、Wi−Fiルータ、スマートフォン等のように、プロバイダネットワークに接続された無線LANアクセスポイントであるか、マネージドネットワークに接続された不正アクセスポイントであるかを判定することができない。すなわち、従来技術は、検出精度が低く、不正アクセスポイントを誤検出するという問題がある。 However, in the above-described conventional technology, the detected unauthorized access point is a wireless LAN access point connected to a provider network, such as a Wi-Fi router or a smartphone, or an unauthorized access point connected to a managed network. Cannot be determined. That is, the conventional technique has a problem that detection accuracy is low and an unauthorized access point is erroneously detected.
本願が開示する実施形態の一例は、上記に鑑みてなされたものであって、不正アクセスポイントの検出精度を向上させることを目的とする。 An example of an embodiment disclosed in the present application has been made in view of the above, and an object thereof is to improve detection accuracy of an unauthorized access point.
本願が開示する実施形態の一例は、管理ネットワークに接続される無線LAN(Local Area Network)アクセスポイントを検出するアクセスポイント検出装置は、検出部、無線側トラヒック測定部、有線側トラヒック測定部、照合部を備える。検出部は、管理ネットワークに接続許可されない非正規無線LANアクセスポイントを検出する。無線側トラヒック測定部は、検出部により検出された非正規無線LANアクセスポイントが送受信する無線通信のトラヒックを測定する。有線側トラヒック測定部は、不正アクセスポイントの候補となる機器が送受信する有線通信のトラヒックを測定する。照合部は、無線通信のトラヒックと、有線通信のトラヒックとを照合し、所定以上の相関があるか否かを判定し、所定以上の相関がある非正規無線LANアクセスポイントが不正アクセスポイントであると判定する。 An example of an embodiment disclosed in the present application is that an access point detection device that detects a wireless LAN (Local Area Network) access point connected to a management network includes a detection unit, a wireless-side traffic measurement unit, a wired-side traffic measurement unit, and a verification A part. The detection unit detects an unauthorized wireless LAN access point that is not permitted to connect to the management network. The wireless-side traffic measurement unit measures traffic of wireless communication transmitted / received by the non-regular wireless LAN access point detected by the detection unit. The wired-side traffic measurement unit measures the traffic of wired communication transmitted and received by devices that are candidates for unauthorized access points. The collation unit collates wireless communication traffic and wired communication traffic to determine whether or not there is a predetermined correlation or more, and an unauthorized wireless LAN access point having a predetermined correlation or more is an unauthorized access point. Is determined.
本願が開示する実施形態の一例によれば、例えば、不正アクセスポイントの検出精度を向上させることができる。 According to an example of an embodiment disclosed in the present application, for example, the accuracy of detecting an unauthorized access point can be improved.
以下、本願が開示するアクセスポイント検出装置等の実施形態を説明する。なお、以下の実施形態は、一例を示すに過ぎず、本願が開示する技術を限定するものではない。また、以下に示す実施形態及びその変形例は、矛盾しない範囲で適宜組合せてもよい。 Hereinafter, embodiments of an access point detection device and the like disclosed in the present application will be described. The following embodiments are merely examples, and do not limit the technology disclosed by the present application. Moreover, you may combine suitably embodiment shown below and its modification in the range which does not contradict.
[用語の説明]
以下の実施形態で言及する各用語を説明する。「マネージドネットワーク」は、企業、官公庁等で用いられる、管理された閉域網であるネットワークを指す。「正規アクセスポイント」は、マネージドネットワークにおいて管理され、マネージドネットワークに接続が許可されている無線LAN(Local Area Network)アクセスポイントである。「非正規アクセスポイント」は、マネージドネットワークにおいて管理されておらず、マネージドネットワークに接続が許可されない無線LANアクセスポイントである。「不正アクセスポイント」は、非正規アクセスポイントのうち、所定の判定処理によりマネージドネットワークに不正接続していると判定された無線LANアクセスポイントである。また、「不正アクセスポイント検出対象装置」は、非正規アクセスポイントが有線接続可能な、マネージドネットワークのノードである装置である。
[Explanation of terms]
Each term referred to in the following embodiments will be described. “Managed network” refers to a network that is a managed closed network used in companies, government offices, and the like. The “regular access point” is a wireless local area network (LAN) access point that is managed in the managed network and permitted to connect to the managed network. The “non-regular access point” is a wireless LAN access point that is not managed in the managed network and is not permitted to connect to the managed network. The “illegal access point” is a wireless LAN access point that is determined to be illegally connected to the managed network by a predetermined determination process among non-regular access points. The “illegal access point detection target device” is a device that is a node of a managed network to which an unauthorized access point can be wired.
また、無線LANアクセスポイントの「無線側MAC(Media Access Control)アドレス」とは、無線LANアクセスポイントが、他装置とIEEE802.11準拠の無線LAN通信を行う際の無線通信インターフェース側のMACアドレスである。また、無線LANアクセスポイントの「有線側MACアドレス」とは、無線LANアクセスポイントが、他装置とIEEE802.3準拠の有線LAN通信を行う際の有線通信インターフェース側のMACアドレスである。 The “wireless MAC (Media Access Control) address” of the wireless LAN access point is a MAC address on the wireless communication interface side when the wireless LAN access point performs wireless LAN communication conforming to IEEE 802.11 with other devices. is there. The “wired MAC address” of the wireless LAN access point is a MAC address on the wired communication interface side when the wireless LAN access point performs wired LAN communication conforming to IEEE 802.3 with another device.
また、「上り」とは、マネージドネットワークにおいて、マネージドネットワークの末端ノードであって、無線LANアクセスポイント等の外部装置との接続に用いられる接続装置であるエッジへ、外部装置に接続される装置から外部装置を経由して向かうデータ流通方向をいう。また、「下り」とは、マネージドネットワークにおいて、エッジから、外部装置を経由して外部装置に接続される装置へ向かうデータ流通方向をいう。 In addition, “uplink” is a terminal node of the managed network in the managed network, and from an apparatus connected to the external apparatus to an edge that is a connection apparatus used for connection with an external apparatus such as a wireless LAN access point. Data distribution direction that goes through an external device. Further, “downlink” refers to a data distribution direction from an edge to a device connected to the external device via the external device in the managed network.
[実施形態1]
(実施形態1に係るマネージドネットワークの構成)
以下に、本願が開示する実施形態1を説明する。図1は、実施形態1に係る不正アクセスポイント検出装置を含むマネージドネットワークの構成の一例を示す図である。実施形態1に係るマネージドネットワーク1は、スイッチ2a〜2d、スイッチ2dに接続された正規アクセスポイント3、不正アクセスポイント検出装置10を有する。スイッチ2a〜2dは、他のネットワーク装置が有線接続される、OSI(Open Systems Interconnection)参照モデルのレイヤ2又はレイヤ3に該当するスイッチである。
[Embodiment 1]
(Configuration of Managed Network According to Embodiment 1)
The first embodiment disclosed in the present application will be described below. FIG. 1 is a diagram illustrating an example of a configuration of a managed network including an unauthorized access point detection device according to the first embodiment. The managed
マネージドネットワーク1は、スイッチ2bを介して、非正規アクセスポイント51が接続される。非正規アクセスポイント51は、無線LAN接続機能を有するPC(Personal Computer)53aが接続される。非正規アクセスポイント51は、PC53aが接続されることにより、不正アクセスポイントになりうる。
In the managed
また、マネージドネットワーク1は、スイッチ2cを介して、非正規アクセスポイントとなりうる、ソフトウェアの動作により無線LANアクセスポイントの機能を発揮するPC52aが接続される。PC52aは、無線LAN接続機能を有するPC53bが接続される。PC52aは、PC53bが接続されることにより、不正アクセスポイントになりうる。
In addition, the managed
また、マネージドネットワーク1は、正規アクセスポイント3を介して、非正規アクセスポイントとなりうる、ソフトウェアの動作により無線LANアクセスポイントの機能を発揮するPC52bが接続される。PC52bは、無線LAN接続機能を有するPC53cが接続される。PC52bは、PC53bが接続されることにより、不正アクセスポイントになりうる。
In addition, the managed
不正アクセスポイント検出装置10は、例えば、スイッチ2bに有線接続され、スイッチ2bの近傍、すなわちスイッチ2bに接続された非正規アクセスポイント51の無線LAN通信を傍受可能な範囲に設置される。なお、不正アクセスポイント検出装置10は、不正アクセスポイント検出対象装置であるスイッチ2b、2c及び正規アクセスポイント3のいずれかに有線接続され、スイッチ2b、2c及び正規アクセスポイント3それぞれの近傍に設置される。不正アクセスポイント検出対象装置は、無線LAN通信機能を有する装置が有線接続可能なマネージドネットワーク1におけるノードであり、図1におけるスイッチ2b、2c、及び正規アクセスポイント3が該当する。
The unauthorized access
(実施形態1に係る不正アクセスポイント検出装置の構成)
図2は、実施形態1に係る不正アクセスポイント検出装置の構成の一例を示す図である。また、図3は、実施形態1に係る正規アクセスポイントリストの一例を示す図である。実施形態1に係る不正アクセスポイント検出装置10は、正規アクセスポイントリスト11aを有する記憶部11、非正規アクセスポイント検出部12、無線側トラヒック測定部13、有線側トラヒック測定部14、トラヒック量照合部15、アンテナ16を有する。
(Configuration of Unauthorized Access Point Detection Device According to Embodiment 1)
FIG. 2 is a diagram illustrating an example of the configuration of the unauthorized access point detection device according to the first embodiment. FIG. 3 is a diagram illustrating an example of a regular access point list according to the first embodiment. The unauthorized access
正規アクセスポイントリスト11aは、不正アクセスポイント検出装置が接続された正規アクセスポイントの無線LAN側の識別情報等、例えば無線側MACアドレスを列挙するリストである。非正規アクセスポイント検出部12は、アンテナ16を介して、不正アクセスポイント検出装置10が接続される不正アクセスポイント検出対象装置の近傍で検知される無線フレームが含むアクセスポイントの無線側MACアドレスが、正規アクセスポイントリスト11aに登録されているか否かを判定する。
The regular
そして、非正規アクセスポイント検出部12は、当該アクセスポイントの無線側MACアドレスが正規アクセスポイントリスト11aに登録されている場合、当該無線フレームを送受信するアクセスポイントを正規アクセスポイントと判定する。また、非正規アクセスポイント検出部12は、当該アクセスポイントの無線側MACアドレスが正規アクセスポイントリスト11aに登録されていない場合、当該無線フレームを送受信するアクセスポイントを非正規アクセスポイントと判定する。
Then, when the wireless MAC address of the access point is registered in the regular
無線側トラヒック測定部13は、非正規アクセスポイント検出部12が検出した無線フレームが含む非正規アクセスポイントの無線側MACアドレスに着目する。そして、無線側トラヒック測定部13は、当該無線側MACアドレスが送信先MACアドレスとして格納される無線フレームのトラヒック量を上りのトラヒック量とし、当該無線側MACアドレスが送信元MACアドレスとして格納される無線フレームのトラヒック量を下りのトラヒック量として、無線フレームのトラヒック量を上り及び下りごとに順次測定する。無線側トラヒック測定部13は、コントロールフレーム、マネジメントフレーム等を除外したデータフレームのペイロードについて、無線フレームのトラヒック量を測定する。
The radio side
無線側トラヒック測定部13は、無線フレームのトラヒック量を測定する際に、所定長のタイムスロット単位で測定する。ここでの上りとは、非正規アクセスポイントへの無線フレーム送信方向である。また、ここでの下りとは、非正規アクセスポイントからの無線フレーム送信方向である。なお、無線側トラヒック測定部13は、モニタツール、キャプチャツール等の既存技術を用いて無線フレームのトラヒック量を測定する。
The radio side
なお、無線側トラヒック測定部13は、非正規アクセスポイント検出部12が検出した非正規アクセスポイントの無線側MACアドレスを含む無線フレームが検出できない場合、無線フレームのトラヒック測定は行わない。
Note that the radio side
有線側トラヒック測定部14は、非正規アクセスポイントの無線側MACアドレスが送信元MACアドレスとして格納される有線フレームのトラヒック量を上りのトラヒック量とし、当該無線側MACアドレスが送信先MACアドレスとして格納される有線フレームのトラヒック量を下りのトラヒック量として、当該不正アクセスポイント検出対象装置において、有線フレームのトラヒック量を上り及び下りごとに順次測定する。有線側トラヒック測定部14は、有線フレームのペイロードについて、トラヒック量を測定する。 The wired-side traffic measurement unit 14 sets the traffic amount of the wired frame in which the wireless MAC address of the non-regular access point is stored as the transmission source MAC address as the upstream traffic amount, and stores the wireless MAC address as the transmission destination MAC address. The traffic amount of the wired frame is determined as the downstream traffic amount, and the traffic amount of the wired frame is sequentially measured for each uplink and downlink in the unauthorized access point detection target device. The wired side traffic measurement unit 14 measures the traffic amount for the payload of the wired frame.
有線側トラヒック測定部14は、有線フレームのトラヒック量を測定する際に、無線側トラヒック測定部13が無線フレームのトラヒック量を測定する際の所定長のタイムスロットとタイミング及び長さが同一のタイムスロット単位で測定する。ここでの上りとは、非正規アクセスポイントから当該不正アクセスポイント検出対象装置へのフレーム送信方向である。また、ここでの下りとは、非正規アクセスポイントへの当該不正アクセスポイント検出対象装置からのフレーム送信方向である。なお、有線側トラヒック測定部14は、モニタツール、キャプチャツール等の既存技術を用いて有線フレームのトラヒック量を測定する。
When the wired-side traffic measurement unit 14 measures the traffic amount of the wired frame, the wired-side traffic measurement unit 14 has the same timing and length as the predetermined time slot when the wireless-side
トラヒック量照合部15は、無線側トラヒック測定部13及び有線側トラヒック測定部14により順次測定された、連続するk(k≧1)個の同一タイムスロットについて、上り及び下りごとに、各トラヒックの加重和を算出する。なお、以下では、i,j:タイムスロットを示すインデックス、n:不正アクセスポイント検出処理に用いるタイムスロットの総数、k:トラヒック量の加重和の算出に用いるタイムスロットの数、とする。
The traffic
図4は、実施形態1に係るトラヒック量の加重和算出の一例を示す図である。図4に示すタイムスロット[ti,ti+1](i=1,2,・・・,n)において測定した、有線フレームのトラヒックの総量をai、無線フレームのトラヒックの総量をbiとする。 FIG. 4 is a diagram illustrating an example of calculating a weighted sum of traffic amounts according to the first embodiment. Time slots shown in FIG. 4 [t i, t i + 1] (i = 1,2, ···, n) was measured in the total amount of a i of traffic wired frame, and the total amount of traffic of a radio frame b i To do.
図4の例において、グラフg1は、有線フレームのトラヒックの総量aiの経時的変化を示す。また、図4の例において、グラフg2は、無線フレームのトラヒックの総量biの経時的変化を示す。タイムスロット[t1,t2]における有線フレームのトラヒックの総量はa1、無線フレームのトラヒックの総量はb1である。また、タイムスロット[t2,t3]における有線フレームのトラヒックの総量はa2、無線フレームのトラヒックの総量はb2である。また、タイムスロット[t3,t4]における有線フレームのトラヒックの総量はa3、無線フレームのトラヒックの総量はb3である。また、タイムスロット[t4,t5]における有線フレームのトラヒックの総量はa4、無線フレームのトラヒックの総量はb4である。 In the example of FIG. 4, a graph g1 shows a change with time of the total traffic amount a i of the wired frame. Further, in the example of FIG. 4, the graph g2 illustrates the changes over time of the total amount b i of the traffic of the radio frame. The total amount of wired frame traffic in the time slot [t 1 , t 2 ] is a 1 , and the total amount of wireless frame traffic is b 1 . The total amount of wired frame traffic in the time slot [t 2 , t 3 ] is a 2 , and the total amount of wireless frame traffic is b 2 . The total amount of wired frame traffic in the time slot [t 3 , t 4 ] is a 3 , and the total amount of wireless frame traffic is b 3 . The total amount of wired frame traffic in the time slot [t 4 , t 5 ] is a 4 , and the total amount of wireless frame traffic is b 4 .
有線フレーム及び無線フレームの単位時間あたりのトラヒック量ai及びbiは、同一通信によるフレームであれば、概ね一致する(ai≒biとなる)。しかし、実際にはスイッチや無線LANアクセスポイントでの処理遅延、転送遅延、伝播遅延等があるため、有線フレーム及び無線フレームの単位時間あたりのトラヒック量は、必ずしも一致しない。そこで、実施形態は、連続するk個(k≧1)の同一タイムスロットでの有線フレームのトラヒック量Ai及び無線フレームのトラヒック量Biを照合する。具体的には、トラヒック量照合部15は、トラヒック量の照合に、以下の(1)式、(2)式のような加重和を用いる。
The traffic amounts a i and b i per unit time of the wired frame and the wireless frame are substantially the same (a i ≈b i ) if the frames are based on the same communication. However, since there are actually processing delays, transfer delays, propagation delays, etc. at the switch and wireless LAN access point, the traffic volume per unit time of the wired frame and the wireless frame does not always match. Therefore, in the embodiment, the traffic amount A i of the wired frame and the traffic amount B i of the wireless frame in the same k consecutive time slots (k ≧ 1) are collated. Specifically, the traffic
そして、トラヒック量照合部15は、タイムスロット[ti,ti+k](i=1,2,・・・,n−k+1)における有線フレームのトラヒック量Ai及び無線フレームのトラヒック量Biの相関を判定する。
Then, the traffic
例えば、トラヒック量照合部15は、以下の(3)式のような有線フレームのトラヒック量Ai及び無線フレームのトラヒック量Biの相関係数ρ(Ai,Bi)を算出する。そして、トラヒック量照合部15は、相関係数ρ(Ai,Bi)が所定閾値以上である場合、当該非正規アクセスポイントは、不正アクセスポイントであると判定する。そして、トラヒック量照合部15は、不正アクセスポイントであると判定した場合、アラートを図示しない出力部から出力する。一方、トラヒック量照合部15は、ρ(Ai,Bi)が所定閾値未満である場合、当該非正規アクセスポイントは、不正アクセスポイントではないと判定する。
For example, the traffic
または、トラヒック量照合部15は、以下の(4)式のような有線フレームのトラヒック量Ai及び無線フレームのトラヒック量Biの相関値I(Ai,Bi)を算出し、上述の相関係数ρ(Ai,Bi)に代えて、有線フレームのトラヒック量Ai及び無線フレームのトラヒック量Biの相関を判定してもよい。なお、(4)式において、Ai及びBiを入れ替えたものを相関値I(Ai,Bi)としてもよい。
Alternatively, the traffic
(実施形態1に係る不正アクセスポイント検出処理)
図5は、実施形態1に係る不正アクセスポイント検出処理の一例を示すフローチャートである。実施形態1に係る不正アクセスポイント検出処理は、不正アクセスポイント検出処理を行う都度実行されてもよいし、常時実行されてもよい。
(Unauthorized Access Point Detection Processing According to Embodiment 1)
FIG. 5 is a flowchart illustrating an example of unauthorized access point detection processing according to the first embodiment. The unauthorized access point detection process according to the first embodiment may be executed every time the unauthorized access point detection process is performed, or may be always performed.
先ず、不正アクセスポイント検出装置10の非正規アクセスポイント検出部12は、非正規アクセスポイントが検出されたか否かを判定する(ステップS11)。そして、無線側トラヒック測定部13は、非正規アクセスポイント検出部12により非正規アクセスポイントが検出された場合(ステップS11Yes)、検出された非正規アクセスポイントについて、タイムスロットごとに無線側の上下トラヒック量を測定する(ステップS12)。一方、非正規アクセスポイント検出部12は、非正規アクセスポイントが検出されなかった場合(ステップS11No)、不正アクセスポイント検出処理を終了する。
First, the unauthorized access
ステップS12に続いて、有線側トラヒック測定部14は、不正アクセスポイントの候補となる機器について、タイムスロットごと、MACアドレスごとに、有線側の上下トラヒック量を測定する(ステップS13)。次に、トラヒック量照合部15は、連続するk個(k≧1)のタイムスロットについて、上り下りごと、有線側無線側ごとに無線フレーム及び有線フレームの各トラヒック量の加重和を算出する(ステップS14)。
Subsequent to step S12, the wired-side traffic measurement unit 14 measures the amount of traffic on the wired side for each time slot and MAC address for a device that is a candidate for an unauthorized access point (step S13). Next, the traffic
次に、トラヒック量照合部15は、上り下りごとに、有線側無線側の各トラヒック量の加重和を比較する(ステップS15)。次に、トラヒック量照合部15は、無線側有線側の各トラヒック量の加重和の相関が閾値以上である否かを判定する(ステップS16)。トラヒック量照合部15は、無線側有線側の各トラヒック量の加重和の相関が閾値以上であると判定した場合(ステップS16Yes)、非正規アクセスポイントが不正アクセスポイントであると判定し、出力部からアラート出力する(ステップS17)。非正規アクセスポイント検出部12は、ステップS17の処理が終了すると、ステップS18へ処理を移す。
Next, the traffic
一方、トラヒック量照合部15は、無線側有線側の各トラヒック量の加重和の相関が閾値未満であると判定した場合(ステップS16No)、非正規アクセスポイントは不正アクセスポイントでないと判定し、ステップS18へ処理を移す。
On the other hand, when it is determined that the correlation between the weighted sums of the respective traffic amounts on the wireless side wired side is less than the threshold (No in step S16), the traffic
ステップS18では、非正規アクセスポイント検出部12は、他に非正規アクセスポイントが検出できるか否かを判定する。非正規アクセスポイント検出部12は、他に非正規アクセスポイントが検出できると判定した場合(ステップS18Yes)、ステップS11へ処理を移す。一方、非正規アクセスポイント検出部12は、他に非正規アクセスポイントが検出できないと判定した場合(ステップS18No)、不正アクセスポイント検出処理を終了する。
In step S18, the irregular
なお、上述の実施形態1に係る不正アクセスポイント検出処理では、非正規アクセスポイントを1つ検出するごとに、検出した非正規アクセスポイントについて無線側有線側の各トラヒック量を測定し、照合する。しかし、これに限らず、実施形態1は、非正規アクセスポイントを複数同時に検出し、検出した複数の非正規アクセスポイントについて無線側有線側の各トラヒック量を測定し、照合する処理を並行して行ってもよい。 In the unauthorized access point detection process according to the first embodiment described above, each time one non-regular access point is detected, each traffic amount on the wireless side wired side is measured and collated with respect to the detected unauthorized access point. However, the present invention is not limited to this, and the first embodiment simultaneously detects a plurality of non-regular access points, measures each traffic amount on the wireless-side wired side for the detected plurality of non-regular access points, and performs a collation process in parallel. You may go.
(実施形態1による効果)
従来技術は、不正アクセスポイントが、有線側のMACアドレスについて、正規アクセスポイントのMACアドレスを詐称していれば検出できない。また、従来技術は、正規アクセスポイントに接続したPC上で不正アクセスポイントが動作している場合、マネージドネットワークに有線で接続した正規PC上で不正アクセスポイントが動作している場合に、ルータ、スイッチが、正規デバイスが接続していると判定してしまうため、不正アクセスポイントを検出できない。
(Effect by Embodiment 1)
The prior art cannot be detected if the unauthorized access point spoofs the MAC address of the regular access point for the wired MAC address. Further, in the conventional technology, when an unauthorized access point is operating on a PC connected to the authorized access point, or when an unauthorized access point is operating on an authorized PC connected to the managed network by wire, However, since it is determined that a legitimate device is connected, an unauthorized access point cannot be detected.
また、従来技術は、無線LANの通信速度が有線LANの通信速度よりも小さいことを前提としているが、近年は無線LANが高速化しており、無線LANの通信速度が有線LANの通信速度よりも大きい場合、有線LANの送信遅延が支配的となり、無線LANのフレーム到着間隔の特徴を検出できない。また、従来技術は、TCP ACKがないUDPによる通信の場合は、不正アクセスポイントを検出できない。 The prior art assumes that the wireless LAN communication speed is lower than the wired LAN communication speed. However, in recent years, the wireless LAN has become faster, and the wireless LAN communication speed is higher than the wired LAN communication speed. If it is large, the transmission delay of the wired LAN becomes dominant, and the feature of the wireless LAN frame arrival interval cannot be detected. Further, the conventional technology cannot detect an unauthorized access point in the case of UDP communication without TCP ACK.
一方、実施形態1は、アクセスポイントの無線側MACアドレスをもとに、非正規アクセスポイントを検出するので、不正アクセスポイントが有線側のMACアドレスについて正規アクセスポイントのMACアドレスを詐称していても、不正アクセスポイントを検出できる。また、実施形態1は、アクセスポイントの無線側MACアドレスをもとに、非正規アクセスポイントを検出するので、ペイロードが暗号化された無線LANフレームであっても、暗号化されていないヘッダ情報のMACアドレスをもとに、不正アクセスポイントを検出できる。また、実施形態1は、正規アクセスポイントに接続したPC上で不正アクセスポイントが動作している場合、マネージドネットワークに有線で接続した正規PC上で不正アクセスポイントが動作している場合でも、アクセスポイントの無線側MACアドレスをもとに非正規アクセスポイントを検出するので、不正アクセスポイントを検出できる。
On the other hand, in the first embodiment, since the unauthorized access point is detected based on the wireless MAC address of the access point, even if the unauthorized access point spoofs the MAC address of the authorized access point for the wired MAC address. , Rogue access points can be detected. In addition, since
また、実施形態1は、無線フレームと有線フレームとを、単位時間あたりのトラヒック量で照合するため、到着間隔等のフレーム個々の特徴に依存せず、不正アクセスポイントを検出できる。また、実施形態1は、MACアドレスをもとに不正アクセスポイントを検出するので、OSI参照モデルのレイヤ3以上の通信プロトコルに依存せず、不正アクセスポイントを検出できる。 Further, in the first embodiment, since a wireless frame and a wired frame are collated with a traffic amount per unit time, an unauthorized access point can be detected without depending on individual frame characteristics such as an arrival interval. Further, in the first embodiment, since the unauthorized access point is detected based on the MAC address, the unauthorized access point can be detected without depending on the communication protocol of layer 3 or higher of the OSI reference model.
すなわち、実施形態1は、マネージドネットワークへのアクセスポイントの接続形態、無線LANでの暗号化の有無、無線LANと有線LANの通信速度の大小関係、レイヤ3以上の上位プロトコル、正規アクセスポイントの有線側MACアドレス詐称に依存せず、不正アクセスポイントを検出できる。 That is, the first embodiment has a connection form of an access point to a managed network, presence / absence of encryption in a wireless LAN, magnitude relationship between communication speeds of a wireless LAN and a wired LAN, a higher layer protocol of layer 3 or higher, and wired connection of a regular access point. An unauthorized access point can be detected without depending on the side MAC address spoofing.
[実施形態2]
以下に、本願が開示する実施形態2を説明する。実施形態2の説明において、実施形態1と同一の構成要素及び処理機能については同一の符号を付して説明を省略し、差分についてのみ説明する。実施形態2は、不正アクセスポイント検出装置が、各不正アクセスポイント検出対象装置の近傍に設置されたアンテナを介して検出した各無線LAN通信について、不正アクセスポイント検出処理を集中制御して実行する点で、実施形態1と異なる。
[Embodiment 2]
The second embodiment disclosed in the present application will be described below. In the description of the second embodiment, the same components and processing functions as those of the first embodiment are denoted by the same reference numerals, description thereof is omitted, and only differences are described. In the second embodiment, a rogue access point detection apparatus centrally controls and executes rogue access point detection processing for each wireless LAN communication detected via an antenna installed in the vicinity of each rogue access point detection target apparatus. Thus, it is different from the first embodiment.
(実施形態2に係るマネージドネットワークの構成)
図6は、実施形態2に係る不正アクセスポイント検出装置を含むマネージドネットワークの構成の一例を示す図である。実施形態2に係るマネージドネットワーク1−1は、実施形態に係るマネージドネットワーク1と比較して、不正アクセスポイント検出装置10に代えて、不正アクセスポイント検出装置10−1を有する。
(Configuration of Managed Network According to Embodiment 2)
FIG. 6 is a diagram illustrating an example of a configuration of a managed network including an unauthorized access point detection device according to the second embodiment. The managed network 1-1 according to the second embodiment includes an unauthorized access point detection device 10-1 instead of the unauthorized access
実施形態2に係る不正アクセスポイント検出装置10−1は、スイッチ2b、2c及び正規アクセスポイント3それぞれの近傍に設置されるアンテナ16a、16b及び16cから、各装置が行う無線LAN通信の無線フレームを受信し、そのトラヒック量を測定する。また、不正アクセスポイント検出装置10−1は、スイッチ2b、2c及び正規アクセスポイント3の全てに有線接続され、アンテナ16a、16b及び16cを介して受信した無線フレームに該当する有線フレームのトラヒック量を、スイッチ2b、2c及び正規アクセスポイント3において測定する。
The unauthorized access point detection device 10-1 according to the second embodiment transmits a wireless frame of wireless LAN communication performed by each device from the
(実施形態2に係る不正アクセスポイント検出装置の構成)
図7は、実施形態2に係る不正アクセスポイント検出装置の構成の一例を示す図である。実施形態2に係る不正アクセスポイント検出装置10−1は、正規アクセスポイントリスト11aを有する記憶部11、非正規アクセスポイント検出部12−1、無線側トラヒック測定部13−1、有線側トラヒック測定部14−1、トラヒック量照合部15−1、アンテナ16a、16b及び16cを有する。
(Configuration of Unauthorized Access Point Detection Device According to Embodiment 2)
FIG. 7 is a diagram illustrating an example of the configuration of the unauthorized access point detection device according to the second embodiment. The unauthorized access point detection device 10-1 according to the second embodiment includes a storage unit 11 having a regular
非正規アクセスポイント検出部12−1は、アンテナ16a、16b及び16cを介して、各アンテナが近傍に配置される不正アクセスポイント検出対象装置の近傍で検知される無線フレームが含むアクセスポイントのMACアドレスが、正規アクセスポイントリスト11aに登録されているか否かを判定する。
The non-regular access point detection unit 12-1 receives the MAC address of the access point included in the radio frame detected in the vicinity of the unauthorized access point detection target device in which each antenna is arranged in the vicinity via the
そして、非正規アクセスポイント検出部12−1は、当該アクセスポイントの無線側MACアドレスが正規アクセスポイントリスト11aに登録されている場合、当該無線フレームを送受信するアクセスポイントを正規アクセスポイントと判定する。また、非正規アクセスポイント検出部12−1は、当該アクセスポイントの無線側MACアドレスが正規アクセスポイントリスト11aに登録されていない場合、当該無線フレームを送受信するアクセスポイントを非正規アクセスポイントと判定する。
Then, when the wireless MAC address of the access point is registered in the regular
無線側トラヒック測定部13−1は、非正規アクセスポイント検出部12−1が検出した無線フレームが含む非正規アクセスポイントの無線側MACアドレスに着目する。そして、無線側トラヒック測定部13−1は、非正規アクセスポイントの無線側MACアドレスが送信元MACアドレスとして格納される無線フレームのトラヒック量を上りのトラヒック量とし、当該無線側MACアドレスが送信先MACアドレスとして格納される無線フレームのトラヒック量を下りのトラヒック量として、無線フレームのトラヒック量を上り及び下りごとに順次測定する。 The wireless-side traffic measurement unit 13-1 pays attention to the wireless-side MAC address of the unauthorized access point included in the wireless frame detected by the unauthorized access point detection unit 12-1. Then, the radio side traffic measurement unit 13-1 sets the traffic amount of the radio frame in which the radio side MAC address of the unauthorized access point is stored as the source MAC address as the uplink traffic amount, and the radio side MAC address is the destination. The traffic volume of the radio frame stored as the MAC address is set as the downlink traffic volume, and the traffic volume of the radio frame is sequentially measured for each uplink and downlink.
有線側トラヒック測定部14−1は、不正アクセスポイントの候補となる機器のMACアドレスが送信元MACアドレスとして格納される有線フレームのトラヒック量を上りのトラヒック量とし、当該MACアドレスが送信先MACアドレスとして格納される有線フレームのトラヒック量を下りのトラヒック量として、当該不正アクセスポイント検出対象装置において、有線フレームのトラヒック量を上り及び下りごとに順次測定する。 The wired-side traffic measurement unit 14-1 uses the traffic amount of the wired frame in which the MAC address of the device that is a candidate for the unauthorized access point is stored as the source MAC address as the upstream traffic amount, and the MAC address is the destination MAC address. As the traffic volume of the wired frame stored as the downlink traffic volume, the unauthorized access point detection target device sequentially measures the traffic volume of the wired frame for each uplink and downlink.
トラヒック量照合部15−1は、無線側トラヒック測定部13−1及び有線側トラヒック測定部14−1により順次測定された、連続するk(k≧1)個の同一タイムスロットについて、上り及び下りごとに、各トラヒックの加重和を算出する。そして、トラヒック量照合部15−1は、トラヒックごとに、有線側トラヒック量と、無線側トラヒック量との所定相関値を求め、所定相関値が所定閾値以上である場合、当該非正規アクセスポイントは、不正アクセスポイントであると判定する。 The traffic amount matching unit 15-1 performs uplink and downlink operations for consecutive k (k ≧ 1) identical time slots sequentially measured by the wireless-side traffic measurement unit 13-1 and the wired-side traffic measurement unit 14-1. Every time, the weighted sum of each traffic is calculated. Then, the traffic amount matching unit 15-1 obtains a predetermined correlation value between the wired side traffic amount and the wireless side traffic amount for each traffic, and when the predetermined correlation value is equal to or larger than a predetermined threshold, the non-regular access point is It is determined that the access point is an unauthorized access point.
(変形例)
実施形態1及び2では、連続するk(k≧1)個のタイムスロットについて、有線側トラヒック量及び無線側トラヒック量の加重和を算出し、有線側トラヒック及び無線側トラヒックの相関を判定する。しかし、これに限らず、連続するk(k≧1)個のタイムスロットを1つのタイムスロットと見なし、1つのタイムスロットにおける有線側トラヒック総量及び無線側トラヒック総量の差が所定閾値以下である場合、有線側トラヒック及び無線側トラヒック間に相関があると判定してもよい。
(Modification)
In the first and second embodiments, the weighted sum of the wired-side traffic amount and the wireless-side traffic amount is calculated for k consecutive time slots (k ≧ 1), and the correlation between the wired-side traffic and the wireless-side traffic is determined. However, the present invention is not limited thereto, and k (k ≧ 1) consecutive time slots are regarded as one time slot, and the difference between the total amount of wired traffic and the total amount of wireless traffic in one time slot is equal to or less than a predetermined threshold. It may be determined that there is a correlation between the wired side traffic and the wireless side traffic.
また、実施形態1及び2では、上り及び下りの別で、有線側トラヒック量及び無線側トラヒック量を測定するが、これに限らず、上りのみ又は下りのみのいずれかの別で、有線側トラヒック量及び無線側トラヒック量を測定してもよい。 In the first and second embodiments, the wired-side traffic amount and the wireless-side traffic amount are measured separately for uplink and downlink. However, the present invention is not limited to this, and the wired-side traffic is determined for either uplink or downlink only. And the traffic volume on the wireless side may be measured.
実施形態1及び2において、(1)式、(2)式におけるk(k≧1)個の加重係数{αj}、{βj}(j=1,2,・・・,k)は、マネージドネットワーク1、1−1の設計段階で、ネットワーク構成、各ネットワークノードの処理性能等に応じて予め決定した値であってもよい。または、加重係数{αj}、{βj}(j=1,2,・・・,k)は、有線側トラヒック量及び無線側トラヒック量の加重和を算出し、有線側トラヒック及び無線側トラヒックの相関を判定する都度、相関を示す値が最小値となるように、最適化されてもよい。
In the first and second embodiments, k (k ≧ 1) weighting coefficients {α j }, {β j } (j = 1, 2,..., K) in the equations (1) and (2) are Alternatively, it may be a value determined in advance according to the network configuration, the processing performance of each network node, and the like at the design stage of the managed
実施形態1及び2では、有線側トラヒック量及び無線側トラヒック量を測定する際に、有線フレーム及び無線フレームのOH(Over Head)を除外したペイロードのみで測定するとしたが、これに限らず、OHを含めた有線フレーム及び無線フレームで有線側トラヒック量及び無線側トラヒック量を測定してもよい。OHを含めた有線フレーム及び無線フレームで有線側トラヒック量及び無線側トラヒック量を測定する場合、有線側トラヒック及び無線側トラヒックの相関を判定する閾値は、OHを除外する場合と比べ、OHを考慮して、より低い値としてもよい。 In the first and second embodiments, when measuring the traffic on the wired side and the traffic on the wireless side, the measurement is performed only with the payload excluding OH (Over Head) of the wired frame and the wireless frame. The wired-side traffic volume and the wireless-side traffic volume may be measured using a wired frame and a wireless frame including When measuring wired-side traffic volume and wireless-side traffic volume with wired frames and wireless frames including OH, the threshold for determining the correlation between wired-side traffic and wireless-side traffic is considered OH compared to when OH is excluded. Thus, a lower value may be used.
また、実施形態では、マネージドネットワーク1、1−1内及びマネージドネットワーク1、1−1に接続された各装置間を流通するデータは、フレームであるとしたが、これに限らず、パケット、セル、セグメント、データグラム、メッセージ等であってもよい。
In the embodiment, the data distributed in the managed
(実施形態2による効果)
実施形態2によれば、各不正アクセスポイント検出対象装置に接続された非正規アクセスポイントの検出、及び非正規アクセスポイントのうちの不正アクセスポイントの検出を、集中して実行するので、マネージドネットワーク1−1全体について、不正アクセスポイントの存在を、一元的に把握することができる。
(Effect by Embodiment 2)
According to the second embodiment, the detection of the unauthorized access point connected to each unauthorized access point detection target device and the detection of the unauthorized access point among the unauthorized access points are performed in a concentrated manner. -1 as a whole, the existence of an unauthorized access point can be grasped centrally.
(実施形態のシステム及び装置構成について)
図1及び図6に示すマネージドネットワーク1及び1−1、図2及び図7に示す不正アクセスポイント検出装置10及び10−1の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、マネージドネットワーク1及び1−1、不正アクセスポイント検出装置10及び10−1の機能の分散および統合の具体的形態は図示のものに限られず、全部又は一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的又は物理的に分散又は統合して構成することができる。
(System and apparatus configuration of the embodiment)
The components of the managed
また、不正アクセスポイント検出装置10及び10−1において行われる各処理は、全部又は任意の一部が、CPU(Central Processing Unit)により解析実行されるプログラムにて実現されてもよい。また、不正アクセスポイント検出装置10及び10−1において行われる各処理は、ワイヤードロジックによるハードウェアとして実現されてもよい。
Moreover, each process performed in the unauthorized access
また、実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともできる。若しくは、実施形態において説明した各処理のうち、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上述及び図示の処理手順、制御手順、具体的名称、各種のデータやパラメタを含む情報については、特記する場合を除いて適宜変更することができる。 In addition, among the processes described in the embodiment, all or a part of the processes described as being automatically performed can be manually performed. Alternatively, among the processes described in the embodiments, all or a part of the processes described as being performed manually can be automatically performed by a known method. In addition, the above-described and illustrated processing procedures, control procedures, specific names, and information including various data and parameters can be changed as appropriate unless otherwise specified.
(プログラムについて)
図8は、プログラムが実行されることにより、実施形態1及び実施形態2に係る不正アクセスポイント検出装置が実現されるコンピュータの一例を示す図である。すなわち、図8は、不正アクセスポイント検出装置10及び10−1における各処理がコンピュータを用いて具体的に実現されることを示す図である。図8に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。
(About the program)
FIG. 8 is a diagram illustrating an example of a computer in which the unauthorized access point detection apparatus according to the first and second embodiments is realized by executing a program. That is, FIG. 8 is a diagram showing that each process in the unauthorized access
メモリ1010は、ROM(Read Only Memory)1011及びRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1041に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1041に挿入される。シリアルポートインタフェース1050は、例えばマウス1051、キーボード1052に接続される。ビデオアダプタ1060は、例えばディスプレイ1061に接続される。
The
ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、不正アクセスポイント検出装置10及び10−1の各処理を規定するプログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1093として、例えばハードディスクドライブ1031に記憶される。例えば、不正アクセスポイント検出装置10及び10−1における機能構成と同様の情報処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1031に記憶される。
The hard disk drive 1031 stores, for example, an
また、上述した実施形態での処理で用いられる各種データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1031に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
Various data used in the processing in the above-described embodiment is stored as
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031、SSD(Solid State Drive)等の外部記憶装置に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1041等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
The
以上の実施形態並びにその変形例は、本願が開示する技術に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。 The above embodiments and modifications thereof are included in the invention disclosed in the claims and equivalents thereof as well as included in the technology disclosed in the present application.
10、10−1 不正アクセスポイント検出装置
11 記憶部
11a 正規アクセスポイントリスト
12、12−1 非正規アクセスポイント検出部
13、13−1 無線側トラヒック測定部
14、14−1 有線側トラヒック測定部
15、15−1 トラヒック量照合部
10, 10-1 Unauthorized access point detection device 11
Claims (8)
前記管理ネットワークに接続許可されない非正規無線LANアクセスポイントを検出する検出部と、
前記検出部により検出された非正規無線LANアクセスポイントが送受信する無線通信のトラヒックを測定する無線側トラヒック測定部と、
不正アクセスポイントの候補となる機器が送受信する有線通信のトラヒックを測定する有線側トラヒック測定部と、
前記無線通信のトラヒックと、前記有線通信のトラヒックとを照合し、所定以上の相関があるか否かを判定し、所定以上の相関がある前記非正規無線LANアクセスポイントが不正アクセスポイントであると判定する照合部と
を備えることを特徴とするアクセスポイント検出装置。 An access point detection device for detecting a wireless LAN (Local Area Network) access point connected to a management network,
A detection unit for detecting an unauthorized wireless LAN access point that is not permitted to connect to the management network;
A wireless-side traffic measurement unit that measures traffic of wireless communication transmitted and received by the non-regular wireless LAN access point detected by the detection unit;
A wired-side traffic measurement unit that measures traffic of wired communication transmitted and received by a device that is a candidate for an unauthorized access point;
The wireless communication traffic and the wired communication traffic are collated to determine whether or not there is a predetermined correlation, and the non-regular wireless LAN access point having a predetermined correlation or more is an unauthorized access point. An access point detection apparatus comprising: a collation unit for judging.
前記照合部は、前記無線側トラヒック測定部により測定された前記タイムスロットごとの前記無線通信のトラヒックそれぞれに加重係数を乗じて前記所定数だけ連続するタイムスロットにわたって加算した前記無線通信のトラヒックの加重和と、前記有線側トラヒック測定部により測定された前記タイムスロットごとの前記有線通信のトラヒックそれぞれに加重係数を乗じて前記所定数だけ連続するタイムスロットにわたって加算した前記有線通信のトラヒックの加重和とを照合する
ことを特徴とする請求項1に記載のアクセスポイント検出装置。 The wireless side traffic measurement unit and the wired side traffic measurement unit measure the wireless communication traffic and the wired communication traffic for each predetermined time slot at a predetermined time interval,
The verification unit weights the traffic of the wireless communication obtained by multiplying each of the traffic of the wireless communication for each time slot measured by the wireless-side traffic measuring unit by a weighting factor and adding the weight over a predetermined number of consecutive time slots. And a weighted sum of the traffic of the wired communication obtained by multiplying each of the traffic of the wired communication for each time slot measured by the wired-side traffic measurement unit by a weighting factor and adding the same over the predetermined number of time slots. The access point detection apparatus according to claim 1, wherein:
ことを特徴とする請求項1又は2に記載のアクセスポイント検出装置。 The access point according to claim 1 or 2, wherein the wired-side traffic measurement unit and the wired-side traffic measurement unit measure the wireless communication traffic and the wired communication traffic for each uplink and downlink. Detection device.
ことを特徴とする請求項1、2又は3に記載のアクセスポイント検出装置。 The wireless side traffic measurement unit and the wired side traffic measurement unit respectively measure the wireless communication traffic and the wired communication traffic based on a payload of a frame. The access point detection device according to 1.
前記管理ネットワークに接続許可されない非正規無線LANアクセスポイントを検出する検出ステップと、
前記検出ステップにより検出された非正規無線LANアクセスポイントが送受信する無線通信のトラヒックを測定する無線側トラヒック測定ステップと、
不正アクセスポイントの候補となる機器が送受信する有線通信のトラヒックを測定する有線側トラヒック測定ステップと、
前記無線通信のトラヒックと、前記有線通信のトラヒックとを照合し、所定以上の相関があるか否かを判定し、所定以上の相関がある前記非正規無線LANアクセスポイントが不正アクセスポイントであると判定する照合ステップと
を含むことを特徴とするアクセスポイント検出方法。 An access point detection method executed by an access point detection device that detects a wireless LAN (Local Area Network) access point connected to a management network,
A detection step of detecting an unauthorized wireless LAN access point that is not permitted to connect to the management network;
A wireless traffic measurement step for measuring traffic of wireless communication transmitted and received by the non-regular wireless LAN access point detected by the detection step;
Wired side traffic measurement step for measuring traffic of wired communication transmitted / received by a device that is a candidate for an unauthorized access point;
The wireless communication traffic and the wired communication traffic are collated to determine whether or not there is a predetermined correlation, and the non-regular wireless LAN access point having a predetermined correlation or more is an unauthorized access point. An access point detection method comprising: a verification step for determining.
前記照合ステップは、前記無線側トラヒック測定ステップにより測定された前記タイムスロットごとの前記無線通信のトラヒックそれぞれに加重係数を乗じて前記所定数だけ連続するタイムスロットにわたって加算した前記無線通信のトラヒックの加重和と、前記有線側トラヒック測定ステップにより測定された前記タイムスロットごとの前記有線通信のトラヒックそれぞれに加重係数を乗じて前記所定数だけ連続するタイムスロットにわたって加算した前記有線通信のトラヒックの加重和とを照合する
ことを特徴とする請求項5に記載のアクセスポイント検出方法。 The wireless-side traffic measurement step and the wired-side traffic measurement step include predetermined time intervals and a predetermined number of consecutive time slots, and the wireless communication traffic and the wired communication traffic for each uplink and downlink. Measure each
The collating step weights the wireless communication traffic obtained by multiplying each of the wireless communication traffic for each time slot measured in the wireless side traffic measuring step by a weighting factor and adding the weighted coefficient over the predetermined number of consecutive time slots. And a weighted sum of the traffic of the wired communication obtained by multiplying each of the traffic of the wired communication for each time slot measured by the wired-side traffic measurement step by a weighting factor and adding the same over the predetermined number of time slots. The access point detection method according to claim 5, wherein:
ことを特徴とする請求項5又は6に記載のアクセスポイント検出方法。 The wireless side traffic measurement step and the wired side traffic measurement step respectively measure the wireless communication traffic and the wired communication traffic based on a payload of a frame, respectively. Access point detection method.
ためのアクセスポイント検出プログラム。 The access point detection program for functioning a computer as an access point detection apparatus of any one of Claims 1-4.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014178442A JP2016054346A (en) | 2014-09-02 | 2014-09-02 | Access point detection device, access point detection method, and access point detection program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014178442A JP2016054346A (en) | 2014-09-02 | 2014-09-02 | Access point detection device, access point detection method, and access point detection program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2016054346A true JP2016054346A (en) | 2016-04-14 |
Family
ID=55744297
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014178442A Pending JP2016054346A (en) | 2014-09-02 | 2014-09-02 | Access point detection device, access point detection method, and access point detection program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2016054346A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019132156A1 (en) * | 2017-12-27 | 2019-07-04 | 경희대학교 산학협력단 | Method for determining access point in sdn-based communication network |
-
2014
- 2014-09-02 JP JP2014178442A patent/JP2016054346A/en active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019132156A1 (en) * | 2017-12-27 | 2019-07-04 | 경희대학교 산학협력단 | Method for determining access point in sdn-based communication network |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9848006B2 (en) | Detecting past intrusions and attacks based on historical network traffic information | |
EP3176981B1 (en) | Method and device for detecting the type of a network data flow | |
Ha et al. | Suspicious traffic sampling for intrusion detection in software-defined networks | |
US10284580B2 (en) | Multiple detector methods and systems for defeating low and slow application DDoS attacks | |
RU2538292C1 (en) | Method of detecting computer attacks to networked computer system | |
EP1964366B1 (en) | Methods and devices for defending a 3g wireless network against malicious attacks | |
US10425443B2 (en) | Detecting volumetric attacks | |
CN107968791B (en) | Attack message detection method and device | |
US20150332054A1 (en) | Probabilistic cyber threat recognition and prediction | |
US20160087898A1 (en) | Congestion management for datacenter network | |
Sundaresan et al. | Home network or access link? locating last-mile downstream throughput bottlenecks | |
WO2016175131A1 (en) | Connection control device, connection control method and connection control program | |
Kim et al. | Online detection of fake access points using received signal strengths | |
JP6470201B2 (en) | Attack detection device, attack detection system, and attack detection method | |
US8966638B2 (en) | System, method, and computer program product for selecting a wireless network based on security information | |
Zhang et al. | A prediction-based detection algorithm against distributed denial-of-service attacks | |
US11895146B2 (en) | Infection-spreading attack detection system and method, and program | |
KR101587571B1 (en) | protection system and method for distributed Denial of Service using learning technique | |
JP2016054346A (en) | Access point detection device, access point detection method, and access point detection program | |
Kim et al. | A novel approach to detection of mobile rogue access points | |
JP6740264B2 (en) | Monitoring system, monitoring method, and monitoring program | |
Nguyen et al. | Suspicious traffic detection based on edge gateway sampling method | |
Obert et al. | Proactively applied encryption in multipath networks | |
JP4777366B2 (en) | Worm countermeasure program, worm countermeasure device, worm countermeasure method | |
Thite et al. | A novel approach for fake access point detection and prevention in wireless network |