JP2019176309A - Duplication module, duplication method, duplication program, and monitoring system - Google Patents
Duplication module, duplication method, duplication program, and monitoring system Download PDFInfo
- Publication number
- JP2019176309A JP2019176309A JP2018062312A JP2018062312A JP2019176309A JP 2019176309 A JP2019176309 A JP 2019176309A JP 2018062312 A JP2018062312 A JP 2018062312A JP 2018062312 A JP2018062312 A JP 2018062312A JP 2019176309 A JP2019176309 A JP 2019176309A
- Authority
- JP
- Japan
- Prior art keywords
- packet data
- transfer
- monitoring device
- circuit
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 19
- 238000000034 method Methods 0.000 title claims description 10
- 238000012546 transfer Methods 0.000 claims abstract description 81
- 238000012806 monitoring device Methods 0.000 claims abstract description 48
- 230000005540 biological transmission Effects 0.000 claims abstract description 33
- 230000010076 replication Effects 0.000 claims description 18
- 238000010586 diagram Methods 0.000 description 14
- 238000005259 measurement Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Abstract
Description
本発明は、複製モジュール、複製方法、複製プログラム及び監視システムに関する。 The present invention relates to a duplication module, a duplication method, a duplication program, and a monitoring system.
現在、モノのインターネット(IoT:Internet of Things)が急速に普及している。このため、インターネットと各機器に搭載されたセンサとの間で送受信されるデータを中継するゲートウェイの数が増加している。ところが、ゲートウェイは、物理的なアクセス又は論理的なアクセスにより乗っ取られ、DDoS攻撃(Distributed Denial of Service attack)の踏み台として利用されてしまうことがある。このため、ゲートウェイのセキュリティの重要性が増加している。ゲートウェイのセキュリティを確保する手段の一つにファイアウォールがある。 Currently, the Internet of Things (IoT) is rapidly spreading. For this reason, the number of gateways that relay data transmitted and received between the Internet and sensors mounted on each device is increasing. However, the gateway may be hijacked by physical access or logical access and used as a platform for a DDoS attack (Distributed Denial of Service attack). For this reason, the importance of gateway security is increasing. One means for securing gateway security is a firewall.
例えば、特許文献1には、ユーザの所持する端末とゲートウェイ装置とのIPSec通信の接続支援を行う接続支援装置であって、前記端末を所持する前記ユーザの認証を行う認証手段と、前記認証の結果に応じて、前記端末と前記ゲートウェイ装置との事前共有鍵を生成する事前共有鍵生成手段と、前記認証の結果に応じて、前記ゲートウェイ装置のファイアウォールを開放するためのファイアウォール開放指示情報を生成するファイアウォール開放指示情報生成手段と、前記端末と前記ゲートウェイ装置とに前記事前共有鍵を送信し、前記ゲートウェイ装置に前記ファイアウォール開放指示情報を送信する送信手段と、を有することを特徴とする接続支援装置が開示されている。
For example,
しかし、上述した接続支援装置は、ファイアウォールの存在を前提としているため、ファイアウォールを導入するコスト及びファイアウォールを運用するコストを無くすことができない。 However, since the connection support apparatus described above is premised on the existence of a firewall, the cost of introducing the firewall and the cost of operating the firewall cannot be eliminated.
そこで、本発明は、コストを削減しつつ、ゲートウェイのセキュリティの状態を監視することができる複製モジュール、複製方法、複製プログラム及び監視システムを提供することを目的とする。 Therefore, an object of the present invention is to provide a duplication module, a duplication method, a duplication program, and a monitoring system that can monitor the security status of a gateway while reducing costs.
本発明の一態様に係る複製モジュールは、ゲートウェイにより送受信される、第1ヘッダを含む原パケットデータを複製する複製回路と、複製した前記原パケットデータに監視装置を示す第2ヘッダを付加した転送パケットデータを生成する生成回路と、前記転送パケットデータを前記監視装置に送信する転送回路と、を備える。 A duplication module according to an aspect of the present invention includes a duplication circuit that duplicates original packet data including a first header transmitted and received by a gateway, and a transfer in which a second header indicating a monitoring device is added to the duplicated original packet data A generation circuit that generates packet data; and a transfer circuit that transmits the transfer packet data to the monitoring device.
本発明の一態様に係る複製方法は、ゲートウェイにより送受信される、第1ヘッダを含む原パケットデータを複製する複製ステップと、複製した前記原パケットデータに監視装置を示す第2ヘッダを付加した転送パケットデータを生成する生成ステップと、前記転送パケットデータを前記監視装置に送信する転送ステップと、を備える。 A duplication method according to an aspect of the present invention includes a duplication step of duplicating original packet data including a first header transmitted and received by a gateway, and a transfer in which a second header indicating a monitoring device is added to the duplicated original packet data A generation step of generating packet data; and a transfer step of transmitting the transfer packet data to the monitoring device.
本発明の一態様に係る複製プログラムは、コンピュータに、ゲートウェイにより送受信される、第1ヘッダを含む原パケットデータを複製する複製機能と、複製した前記原パケットデータに監視装置を示す第2ヘッダを付加した転送パケットデータを生成する生成機能と、前記転送パケットデータを前記監視装置に送信する転送機能と、を実行させる。 A duplication program according to one aspect of the present invention includes a duplication function for duplicating original packet data including a first header transmitted and received by a gateway to a computer, and a second header indicating a monitoring device for the duplicated original packet data. A generation function for generating the added transfer packet data and a transfer function for transmitting the transfer packet data to the monitoring device are executed.
本発明の一態様に係る監視システムは、複製モジュールと、監視装置と、を備え、前記複製モジュールは、ゲートウェイにより送受信される、第1ヘッダを含む原パケットデータを複製する複製回路と、複製した前記原パケットデータに前記監視装置を示す第2ヘッダを付加した転送パケットデータを生成する生成回路と、前記転送パケットデータを前記監視装置に送信する転送回路と、を備え、前記監視装置は、前記転送パケットデータを前記複製モジュールから受信する受信回路と、前記転送パケットデータに含まれている前記第1ヘッダを参照して前記原パケットデータの送信元又は送信先が正当であるか否かを判定する判定回路と、を備える。 A monitoring system according to an aspect of the present invention includes a duplication module and a monitoring device, and the duplication module duplicates an original packet data including a first header transmitted and received by a gateway and duplicated A generation circuit that generates transfer packet data in which a second header indicating the monitoring device is added to the original packet data; and a transfer circuit that transmits the transfer packet data to the monitoring device. A receiving circuit that receives the transfer packet data from the duplication module and a determination as to whether the source or destination of the original packet data is valid with reference to the first header included in the transfer packet data And a determination circuit.
本発明によれば、コストを削減しつつ、ゲートウェイのセキュリティの状態を監視することができる。 According to the present invention, it is possible to monitor the security status of a gateway while reducing costs.
添付図面を参照して、本発明の好適な実施形態について説明する。なお、各図において、同一の符号を付したものは、同一又は同様の構成を有する。 A preferred embodiment of the present invention will be described with reference to the accompanying drawings. In addition, in each figure, what attached | subjected the same code | symbol has the same or similar structure.
[実施形態]
図1から図6を参照しながら、実施形態に係る監視システムについて説明する。図1は、実施形態に係る複製モジュール、ネットワーク、監視装置、ゲートウェイ、センサ、正当なノード及び不正なノードの接続関係の例を示す図である。
[Embodiment]
The monitoring system according to the embodiment will be described with reference to FIGS. 1 to 6. FIG. 1 is a diagram illustrating an example of a connection relationship among a replication module, a network, a monitoring device, a gateway, a sensor, a valid node, and an unauthorized node according to the embodiment.
図1は、IoTの一つの実施形態を示している。図1に示すように、センサ61、センサ62、センサ63…がゲートウェイ5を介してネットワーク2に接続されている。ネットワーク2は、広帯域ネットワーク、例えば、インターネットである。ネットワーク2には、センサ61、センサ62、センサ63…が検出して出力した計測データを表示したり、センサ61、センサ62、センサ63…に対する制御データを送ったりする目的で設けられた正当なノード7が接続されている。ここで、正当なノード7は、例えば、サーバにより実現される。
FIG. 1 illustrates one embodiment of IoT. As shown in FIG. 1,
一方、ネットワーク2には、センサ61、センサ62、センサ63…からの計測データを盗用したり、センサ61、センサ62、センサ63…に対して不正な制御データを送りつけたりする悪意ある不正なノード8も接続されている。不正なノード8は、センサ61、センサ62、センサ63…に不正にアクセスして制御データを書き換え、計測データを不正に自らのアドレスに転送させようとする。ここで、不正なノード8は、例えば、サーバにより実現される。
On the other hand, a malicious unauthorized node that steals measurement data from the
本実施形態では、不正なノード8から不正な制御データが送信されたことや、不正なノード8に対して計測データが不正に転送されることを検出するために、ゲートウェイ5とネットワーク2との間に複製モジュール1を介在させる。そして、ゲートウェイ5で送受信されるパケットデータの一部をネットワーク2に接続される監視装置3に転送するように構成することで、不正なアクセスを検出可能とする。
In the present embodiment, in order to detect that unauthorized control data is transmitted from the
具体的に、図1に示すように、複製モジュール1は、ゲートウェイ5とネットワーク2との間に設けられ、ゲートウェイ5により送受信されるパケットデータを複製して監視装置3に転送可能にネットワーク2に接続されている。複製モジュール1は、監視装置3と組み合わされて監視システム4を構成している。複製モジュール1は、ゲートウェイ5の近傍に配置されることが多い。ゲートウェイ5は、複数の検出機器、例えば、センサ61、センサ62、センサ63…により送受信されるデータの関門として機能するノードであるため、不正なパケットデータを含めて転送する複製モジュール1の接続先として好ましいからである。また、複製モジュール1は、ゲートウェイ5を格納している筐体に格納されていてもよい。
Specifically, as shown in FIG. 1, the
ネットワーク2には、複製モジュール1の他に監視装置3、正当なノード7及び不正なノード8が接続されている。監視装置3及びゲートウェイ5は、所定のIPアドレスが割り当てられており、ネットワーク2を通してパケットデータを送受信することができる。
In addition to the
ゲートウェイ5は、複製モジュール1と相互に通信可能に接続されている。また、ゲートウェイ5は、ネットワーク2とデータの送受信を実行する図示しないネットワーク機器に搭載されているセンサ61、センサ62及びセンサ63と相互に通信可能に接続されている。ゲートウェイ5は、センサ61、センサ62又はセンサ63が検出した計測データをパケットデータとしてネットワーク2に送信する処理及びパケットデータとしてネットワーク2から受信した制御データをセンサ61、センサ62又はセンサ63に送信する処理を実行する。
The
正当なノード7は、ゲートウェイ5との間でパケットデータの送受信が許可されているノードである。一方、不正なノード8は、ゲートウェイ5との間でパケットデータの送受信が許可されておらず、ゲートウェイ5に不正なデータを送信することによりゲートウェイ5の乗っ取りを試みたり、ゲートウェイ5から不正な手段でパケットデータを入手しようとしたりするノードである。
The
図2は、実施形態に係る複製モジュールの構成の例を示す図である。図2に示すように、複製モジュール1は、受信回路11と、複製回路12と、生成回路13と、転送回路14とを備える。受信回路11、複製回路12、生成回路13及び転送回路14は、全てハードウェアで構成されていてもよいし、CPU(Central Processing Unit)を含むコンピュータが本発明に係る複製プログラムを実行することによりこれら回路の一部または全部を機能的に実現するように構成されていてもよい。複製モジュール1をシングルボードコンピュータ、例えば、ラズベリーパイ(Raspberry Pi)により構成して、ラズベリーパイに本実施形態に係る複製プログラムを搭載するようにしてもよい。
FIG. 2 is a diagram illustrating an example of a configuration of a replication module according to the embodiment. As illustrated in FIG. 2, the
図3は、複製モジュールが受信する原パケットデータ及び複製モジュールが複製して送信する転送パケットデータの例を示す図である。本実施形態では、ゲートウェイ5からネットワーク2に向けて送信したパケットデータそのもの、及び、ネットワーク2からゲートウェイ5を送信先として受信したパケットデータそのものを「原パケットデータ」と称する。また、複製モジュール1が監視装置3に転送するために原パケットデータを複製して生成したものを「転送パケットデータ」と称する。
FIG. 3 is a diagram illustrating an example of original packet data received by the duplication module and transfer packet data duplicated and transmitted by the duplication module. In the present embodiment, packet data itself transmitted from the
図3に示すように、原パケットデータXは、第1ヘッダH及びデータDを含む。第1ヘッダHは、送信先アドレスと送信元アドレスとを含んでおり、例えば、IPアドレスで表記される。IPアドレスとは、ノードごとに固有の番号を割り当てるTCP/IPプロトコルに準拠した識別情報である。送信先アドレスは、原パケットデータXの送信先となるノードのIPアドレスである。送信元アドレスは、原パケットデータXの送信元であるノードのIPアドレスである。データDは、原パケットデータXのボディを構成している。 As shown in FIG. 3, the original packet data X includes a first header H and data D. The first header H includes a transmission destination address and a transmission source address, and is represented by an IP address, for example. An IP address is identification information based on the TCP / IP protocol that assigns a unique number to each node. The transmission destination address is an IP address of a node that is a transmission destination of the original packet data X. The source address is the IP address of the node that is the source of the original packet data X. Data D constitutes the body of the original packet data X.
転送パケットデータYは、第2ヘッダB、第1ヘッダH及びデータDを含む。第2ヘッダBは、転送パケットデータYの本来のヘッダであり、送信先アドレスとして監視装置3のIPアドレス、送信元アドレスとして複製モジュール1のIPアドレスを含む。第1ヘッダH及びデータDは、原パケットデータXを複製したもので、転送パケットデータYのボディを構成している。
The transfer packet data Y includes a second header B, a first header H, and data D. The second header B is an original header of the transfer packet data Y, and includes the IP address of the
図4は、ゲートウェイからネットワークに向けて原パケットデータが送信される場合における原パケットデータ及び転送パケットデータの流れを示す図である。図5は、ネットワークからゲートウェイに向けて原パケットデータが送信される場合における原パケットデータ及び転送パケットデータの流れを示す図である。 FIG. 4 is a diagram showing the flow of original packet data and transfer packet data when original packet data is transmitted from the gateway toward the network. FIG. 5 is a diagram showing the flow of original packet data and transfer packet data when original packet data is transmitted from the network to the gateway.
ゲートウェイ5からネットワーク2に向けて原パケットデータXが送信される場合には、図4に示すように、白色の矢印W一つで表された原パケットデータXは、ゲートウェイ5のインターフェース回路91からケーブルを通じて複製モジュール1のインターフェース回路92に送信される。また、ネットワーク2からゲートウェイ5に向けて原パケットデータXが送信される場合には、図5に示すように、白色の矢印W一つで表された原パケットデータXは、ネットワーク2から複製モジュール1のインターフェース回路93を経由して複製モジュール1に到達する。なお、インターフェース回路91、インターフェース回路92及びインターフェース回路93は、所定の通信規格、例えば、イーサネット(登録商標)規格に準拠して構成されている。
When the original packet data X is transmitted from the
また、ゲートウェイ5からネットワーク2に向けて原パケットデータXが送信される場合、図4に示すように、受信回路11は、ゲートウェイ5がネットワーク2に向けて送り出した原パケットデータXを全て一旦受信する。さらに、ネットワーク2からゲートウェイ5に向けて原パケットデータXが送信される場合、図5に示すように、受信回路11は、ゲートウェイ5を送信先としてネットワーク2から送られてきた原パケットデータXをゲートウェイ5に先立って受信する。
When the original packet data X is transmitted from the
複製回路12は、図4及び図5において白色の矢印W一つで表された原パケットデータXの少なくとも一部、例えば、少なくとも図3に示した第1ヘッダHを複製する。
The
生成回路13は、複製した原パケットデータXに監視装置3を示す第2ヘッダBを冒頭に付加した転送パケットデータYを生成して出力する。また、生成回路13は、原パケットデータXもそのまま出力する。
The
転送回路14は、転送パケットデータYをネットワーク2に向けて送信する。併せて、転送回路14は、原パケットデータXもそのまま送信する。
The
具体的には、ゲートウェイ5からネットワーク2に向けて原パケットデータXが送信される場合、図4に示すように、転送回路14は、斜線ハッチングの矢印S一つで表された転送パケットデータYをネットワーク2に向けて送信する。また、これと同時に、転送回路14は、白色の矢印W一つで表された原パケットデータXをネットワーク2に送信する。
Specifically, when the original packet data X is transmitted from the
このとき、転送回路14は、原パケットデータX及び転送パケットデータYを交互に送信する。転送パケットデータYは、監視装置3を送信先アドレスとしているため、監視装置3に転送される。原パケットデータXは、元の送信先アドレスに従ったノードに転送される。すなわち、原パケットデータXが正当なものであれば原パケットデータXの送信先アドレスは正当なノード7に転送される。一方、原パケットデータXが不正なものであれば原パケットデータXの送信先アドレスは不正なノード8に転送される。
At this time, the
ネットワーク2からゲートウェイ5に向けて原パケットデータXが送信される場合、図5に示すように、転送回路14は、斜線ハッチングの矢印S一つで表された転送パケットデータYをネットワーク2に送信する。また、これと同時に、転送回路14は、白色の矢印W一つで表された原パケットデータXをゲートウェイ5に送信する。
When the original packet data X is transmitted from the
図6は、実施形態に係る監視装置の構成の例を示す図である。図6に示すように、監視装置3は、受信回路31と、判定回路32と、出力回路33とを備える。
FIG. 6 is a diagram illustrating an example of the configuration of the monitoring apparatus according to the embodiment. As shown in FIG. 6, the
受信回路31は、転送パケットデータYを複製モジュール1から受信する。
The receiving
判定回路32は、転送パケットデータYに含まれている第1ヘッダHを参照して原パケットデータXの送信元又は送信先が正当であるか否かを判定する。
The
例えば、判定回路32は、ゲートウェイ5からネットワーク2に送信された原パケットデータXに含まれる第1ヘッダHが示す送信先アドレスが図1に示した正当なノード7である場合、原パケットデータXの送信先が正当であると判定する。また、判定回路32は、ネットワーク2から受信された原パケットデータXに含まれる第1ヘッダHが示す送信元が図1に示した正当なノード7である場合、原パケットデータXの送信元が正当であると判定する。
For example, when the destination address indicated by the first header H included in the original packet data X transmitted from the
一方、判定回路32は、ゲートウェイ5からネットワーク2に送信された原パケットデータXに含まれる第1ヘッダHが示す送信先アドレスが図1に示した正当なノード7のIPアドレスではない場合、原パケットデータXの送信先が正当でないと判定する。例えば、不正なノード8からゲートウェイ5に向けて送信された悪意ある原パケットデータXが転送してきた場合に、このような判定が行われる。また、判定回路32は、ネットワーク2から受信された原パケットデータXに含まれる第1ヘッダHが示す送信元アドレスが図1に示した正当なノード7のIPアドレスではない場合、原パケットデータXの送信元が正当でないと判定する。例えば、ゲートウェイ5が不正なノード8が実行した不正アクセスにより乗っ取られ、ゲートウェイ5が原パケットデータXを不正なノード8に送信した場合にこのような判定が行われる。
On the other hand, if the destination address indicated by the first header H included in the original packet data X transmitted from the
原パケットデータXの送信元又は送信先が正当なノード7である場合と、正当なノード7ではない場合、例えば、不正なノード8である場合とで図3に示した第1ヘッダHが異なるため、判定回路32は、このような判定を実行することができる。
The first header H shown in FIG. 3 differs depending on whether the source or destination of the original packet data X is a
出力回路33は、原パケットデータXの送信元又は送信先が正当ではないと判定された場合に原パケットデータXの送信元又は送信先が正当でないことを示す第1注意情報を出力する。また、出力回路33は、転送パケットデータYを所定の時点から計測して所定期間以上新たな転送パケットデータYを受信していない場合にゲートウェイ5が動作していないことを示す第2注意情報を更に出力してもよい。所定の起点は、任意のタイミングでよいが、例えば、転送パケットデータYを前回受信したタイミングとすることができる。
The
図7を参照しながら、実施形態に係る監視システムが行う処理の例を説明する。図7は、実施形態に係る監視システムが行う処理の例を示すシーケンス図である。 An example of processing performed by the monitoring system according to the embodiment will be described with reference to FIG. FIG. 7 is a sequence diagram illustrating an example of processing performed by the monitoring system according to the embodiment.
ステップS1において、受信回路11は、原パケットデータXを受信する。
In step S1, the receiving
ステップS2において、複製回路12は、第1ヘッダHを含む原パケットデータXを複製する。
In step S2, the
ステップS3において、生成回路13は、ステップS2で複製された原パケットデータXに監視装置3を示す第2ヘッダBを付加した転送パケットデータYを生成する。
In step S3, the
ステップS4において、転送回路14は、ステップS1で受信された原パケットデータXをネットワーク2に送信し、ステップS3で生成された転送パケットデータYを監視装置3に送信する。
In step S4, the
ステップS5において、複製モジュール1は、自身が実行する処理をステップS1に戻す。
In step S5, the
ステップS6において、受信回路31は、ステップS4で送信された転送パケットデータYを受信する。
In step S6, the receiving
ステップS7において、判定回路32は、ステップS1で送信された原パケットデータXの送信元又は送信先が正当であるか否かを判定する。判定回路32は、原パケットデータXの送信元又は送信先が正当であると判定した場合(ステップS7:Yes)、処理を終了させ、原パケットデータXの送信元又は送信先が正当でないと判定した場合(ステップS7:No)、処理をステップS8に進める。
In step S7, the
ステップS8において、出力回路33は、ステップS1で送信された原パケットデータXの送信元又は送信先が正当でないことを示す第1注意情報を出力する。
In step S8, the
ステップS9において、監視装置3は、自身が実行する処理を終了させる。
In step S9, the
以上、本発明の一例である実施形態について説明した。実施形態に係る複製モジュール1は、第1ヘッダHを含む原パケットデータXを複製する複製回路12と、複製した原パケットデータXに監視装置3を示す第2ヘッダBを付加した転送パケットデータYを生成する生成回路13と、転送パケットデータYを監視装置3に送信する転送回路14とを備える。また、実施形態に係る監視装置3は、転送パケットデータYに含まれている第1ヘッダHを参照して原パケットデータXの送信元又は送信先が正当であるか否かを判定する。
The embodiment that is an example of the present invention has been described above. The
したがって、監視システム4は、原パケットデータXが正当でない送信先に送信されてしまっていることを検知することができる。また、監視システム4は、原パケットデータXを正当でない送信元から受信してしまっており、ゲートウェイ5が乗っ取られてしまう可能性があることを検知することができる。
Therefore, the monitoring system 4 can detect that the original packet data X has been transmitted to an invalid transmission destination. Further, the monitoring system 4 can detect that the original packet data X has been received from an unauthorized source and the
また、複製モジュール1は、原パケットデータXを複製し、転送パケットデータYを送信するのみであるため、ゲートウェイ5と異なり物理的なアクセス又は論理的なアクセスにより乗っ取られてしまうことがない。さらに、複製モジュール1は、ゲートウェイと容易に組み合わせることができるため、一つの監視装置3のみで多数のゲートウェイを監視することを可能にし得る。
Further, since the
また、監視装置3は、原パケットデータXの送信元又は送信先が正当でないことを示す第1注意情報を出力するため、検知した内容をゲートウェイ5の管理者に報知することができる。さらに、監視装置3は、転送パケットデータYを前回受信してから所定期間以上新たな転送パケットデータYを受信していない場合にゲートウェイ5が動作していないことを示す第2注意情報を出力するため、ゲートウェイ5の死活監視を実行することができる。
In addition, since the
上述した実施形態は、例として提示したものであり、発明の範囲を限定することを意図するものではない。このため、上述した実施形態は、発明の要旨から逸脱しない範囲で種々の省略、置換又は変更が施されてもよい。したがって、上述した実施形態及びその変形例は、発明の範囲や要旨に含まれる。 The above-described embodiments are presented as examples, and are not intended to limit the scope of the invention. For this reason, various omission, substitution, or a change may be given to the embodiment mentioned above in the range which does not deviate from the gist of the invention. Therefore, the above-described embodiments and modifications thereof are included in the scope and gist of the invention.
1…複製モジュール、11…受信回路、12…複製回路、13…生成回路、14…転送回路、2…ネットワーク、3…監視装置、31…受信回路、32…判定回路、33…出力回路、4…監視システム、5…ゲートウェイ、61,62,63…センサ、7…正当なノード、8…不正なノード、91,92,93…インターフェース回路、B…第2ヘッダ、H…第1ヘッダ、D…データ、S,W…矢印、X…原パケットデータ、Y…転送パケットデータ
DESCRIPTION OF
Claims (6)
複製した前記原パケットデータに監視装置を示す第2ヘッダを付加した転送パケットデータを生成する生成回路と、
前記転送パケットデータを前記監視装置に送信する転送回路と、
を備える複製モジュール。 A duplicating circuit for duplicating original packet data including the first header transmitted and received by the gateway;
A generation circuit for generating transfer packet data in which a second header indicating a monitoring device is added to the copied original packet data;
A transfer circuit for transmitting the transfer packet data to the monitoring device;
A replication module comprising:
複製した前記原パケットデータに監視装置を示す第2ヘッダを付加した転送パケットデータを生成する生成ステップと、
前記転送パケットデータを前記監視装置に送信する転送ステップと、
を備える複製方法。 A duplicating step of duplicating original packet data including the first header transmitted and received by the gateway;
A generation step of generating transfer packet data in which a second header indicating a monitoring device is added to the copied original packet data;
A transfer step of transmitting the transfer packet data to the monitoring device;
A replication method comprising:
ゲートウェイにより送受信される、第1ヘッダを含む原パケットデータを複製する複製機能と、
複製した前記原パケットデータに監視装置を示す第2ヘッダを付加した転送パケットデータを生成する生成機能と、
前記転送パケットデータを前記監視装置に送信する転送機能と、
を実行させる、複製プログラム。 On the computer,
A duplication function for duplicating original packet data including the first header transmitted and received by the gateway;
A generation function for generating transfer packet data in which a second header indicating a monitoring device is added to the copied original packet data;
A transfer function for transmitting the transfer packet data to the monitoring device;
A replication program that runs
監視装置と、を備え、
前記複製モジュールは、
ゲートウェイにより送受信される、第1ヘッダを含む原パケットデータを複製する複製回路と、
複製した前記原パケットデータに前記監視装置を示す第2ヘッダを付加した転送パケットデータを生成する生成回路と、
前記転送パケットデータを前記監視装置に送信する転送回路と、
を備え、
前記監視装置は、
前記転送パケットデータを前記複製モジュールから受信する受信回路と、
前記転送パケットデータに含まれている前記第1ヘッダを参照して前記原パケットデータの送信元又は送信先が正当であるか否かを判定する判定回路と、
を備える、
監視システム。 A replication module;
A monitoring device,
The duplication module is
A duplicating circuit for duplicating original packet data including the first header transmitted and received by the gateway;
A generation circuit for generating transfer packet data in which a second header indicating the monitoring device is added to the copied original packet data;
A transfer circuit for transmitting the transfer packet data to the monitoring device;
With
The monitoring device
A receiving circuit for receiving the transfer packet data from the duplication module;
A determination circuit that determines whether or not a transmission source or a transmission destination of the original packet data is valid with reference to the first header included in the transfer packet data;
Comprising
Monitoring system.
前記原パケットデータの送信元又は送信先が正当ではないと判定された場合に前記原パケットデータの送信元又は送信先が正当でないことを示す第1注意情報を出力する出力回路を更に備える、
請求項4に記載の監視システム。 The monitoring device
An output circuit for outputting first caution information indicating that the source or destination of the original packet data is invalid when it is determined that the source or destination of the original packet data is not valid;
The monitoring system according to claim 4.
請求項5に記載の監視システム。 The output circuit further outputs second caution information indicating that the gateway is not operating when the transfer packet data is measured from a predetermined time point and new transfer packet data is not received for a predetermined period or more. ,
The monitoring system according to claim 5.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018062312A JP6869203B2 (en) | 2018-03-28 | 2018-03-28 | Monitoring system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018062312A JP6869203B2 (en) | 2018-03-28 | 2018-03-28 | Monitoring system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019176309A true JP2019176309A (en) | 2019-10-10 |
JP6869203B2 JP6869203B2 (en) | 2021-05-12 |
Family
ID=68167344
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018062312A Active JP6869203B2 (en) | 2018-03-28 | 2018-03-28 | Monitoring system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6869203B2 (en) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006114991A (en) * | 2004-10-12 | 2006-04-27 | Matsushita Electric Ind Co Ltd | Firewall system and firewall control method |
JP2006252109A (en) * | 2005-03-10 | 2006-09-21 | Oki Electric Ind Co Ltd | Network access controller, device for remote operation and system |
WO2015025373A1 (en) * | 2013-08-21 | 2015-02-26 | 株式会社アズジェント | Oa apparatus suitable for providing management security service, and security service provision method using said oa apparatus |
JP2017527216A (en) * | 2014-09-03 | 2017-09-14 | マイクロソフト テクノロジー ライセンシング,エルエルシー | Collect and analyze selected network traffic |
JP2019506102A (en) * | 2016-02-22 | 2019-02-28 | ダイナミック・ネットワーク・サービシーズ・インコーポレイテッドDynamic Network Services, Inc. | Method and apparatus for discovering global routing hijacking |
-
2018
- 2018-03-28 JP JP2018062312A patent/JP6869203B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006114991A (en) * | 2004-10-12 | 2006-04-27 | Matsushita Electric Ind Co Ltd | Firewall system and firewall control method |
JP2006252109A (en) * | 2005-03-10 | 2006-09-21 | Oki Electric Ind Co Ltd | Network access controller, device for remote operation and system |
WO2015025373A1 (en) * | 2013-08-21 | 2015-02-26 | 株式会社アズジェント | Oa apparatus suitable for providing management security service, and security service provision method using said oa apparatus |
JP2017527216A (en) * | 2014-09-03 | 2017-09-14 | マイクロソフト テクノロジー ライセンシング,エルエルシー | Collect and analyze selected network traffic |
JP2019506102A (en) * | 2016-02-22 | 2019-02-28 | ダイナミック・ネットワーク・サービシーズ・インコーポレイテッドDynamic Network Services, Inc. | Method and apparatus for discovering global routing hijacking |
Also Published As
Publication number | Publication date |
---|---|
JP6869203B2 (en) | 2021-05-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6126980B2 (en) | Network device and network system | |
US20190068592A1 (en) | Uncloneable Registration of an Internet of Things (IoT) Device in a Network | |
JP4148526B2 (en) | Apparatus and method for detecting a network address translation device. | |
JP2008177714A (en) | Network system, server, ddns server, and packet relay device | |
JP6888437B2 (en) | In-vehicle communication device, communication control method and communication control program | |
JP2005079706A (en) | System and apparatus for preventing illegal connection to network | |
JP2008153905A (en) | Network relay program, network relay device, communication system and network relay method | |
JP2009503916A (en) | Multi-key encryption generation address | |
JP2020017809A (en) | Communication apparatus and communication system | |
JP2006033334A (en) | Communication system, router device, communication apparatus, communicating method, routing method, communication program, and routing program | |
JP4299621B2 (en) | Service providing method, service providing program, host device, and service providing device | |
WO2015174100A1 (en) | Packet transfer device, packet transfer system, and packet transfer method | |
JP5869552B2 (en) | Method for securing access to data or services accessible through a device performing the method and corresponding device | |
Lu et al. | An SDN-based authentication mechanism for securing neighbor discovery protocol in IPv6 | |
JP2017121091A (en) | Ecu and network device for vehicle | |
US20140359707A1 (en) | Protecting end point devices | |
JP2018182767A (en) | Ecu, network device, and network device for vehicle | |
JP6763605B2 (en) | Data communication system, cache DNS device and communication attack prevention method | |
JP2020028023A (en) | Communication device, control method of the same, and program | |
JP6869203B2 (en) | Monitoring system | |
CN109688104A (en) | It is a kind of to realize the system and method for the hiding host in network | |
JP5267893B2 (en) | Network monitoring system, network monitoring method, and network monitoring program | |
US10079857B2 (en) | Method of slowing down a communication in a network | |
JP2005210451A (en) | Unauthorized access preventing apparatus and program | |
JP2005229436A (en) | Session management apparatus, method, and program for constructing encrypted communication channel between terminals |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180821 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190725 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190729 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190917 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20200123 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200316 |
|
C60 | Trial request (containing other claim documents, opposition documents) |
Free format text: JAPANESE INTERMEDIATE CODE: C60 Effective date: 20200316 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20200323 |
|
C21 | Notice of transfer of a case for reconsideration by examiners before appeal proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C21 Effective date: 20200324 |
|
A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20200515 |
|
C211 | Notice of termination of reconsideration by examiners before appeal proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C211 Effective date: 20200519 |
|
C22 | Notice of designation (change) of administrative judge |
Free format text: JAPANESE INTERMEDIATE CODE: C22 Effective date: 20201111 |
|
C22 | Notice of designation (change) of administrative judge |
Free format text: JAPANESE INTERMEDIATE CODE: C22 Effective date: 20210203 |
|
C23 | Notice of termination of proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C23 Effective date: 20210217 |
|
C03 | Trial/appeal decision taken |
Free format text: JAPANESE INTERMEDIATE CODE: C03 Effective date: 20210317 |
|
C30A | Notification sent |
Free format text: JAPANESE INTERMEDIATE CODE: C3012 Effective date: 20210317 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210413 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6869203 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |