JP2020188303A - Monitoring device and monitoring method - Google Patents

Monitoring device and monitoring method Download PDF

Info

Publication number
JP2020188303A
JP2020188303A JP2019089668A JP2019089668A JP2020188303A JP 2020188303 A JP2020188303 A JP 2020188303A JP 2019089668 A JP2019089668 A JP 2019089668A JP 2019089668 A JP2019089668 A JP 2019089668A JP 2020188303 A JP2020188303 A JP 2020188303A
Authority
JP
Japan
Prior art keywords
terminal
packet
unit
monitoring device
identification information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019089668A
Other languages
Japanese (ja)
Other versions
JP7232121B2 (en
Inventor
貴彦 太田
Takahiko Ota
貴彦 太田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Azbil Corp
Original Assignee
Azbil Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Azbil Corp filed Critical Azbil Corp
Priority to JP2019089668A priority Critical patent/JP7232121B2/en
Priority to CN202010338025.8A priority patent/CN111917703B/en
Priority to KR1020200055059A priority patent/KR102387010B1/en
Publication of JP2020188303A publication Critical patent/JP2020188303A/en
Application granted granted Critical
Publication of JP7232121B2 publication Critical patent/JP7232121B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • H04L12/1863Arrangements for providing special services to substations for broadcast or conference, e.g. multicast comprising mechanisms for improved reliability, e.g. status reports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5069Address allocation for group communication, multicast communication or broadcast communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/659Internet protocol version 6 [IPv6] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Cardiology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

To provide a monitoring technology that can detect an unauthorized terminal in an IPv6 environment while reducing a burden of monitoring an ICMPv6 packet flowing in a network.SOLUTION: A monitoring device 1 includes a generation unit 11 that generates a transmission packet containing a preset invalid header, a transmission/reception unit 10 that performs all-node multicast transmission on a transmission packet via a network NW and receives a reply packet including an error message from a terminal that received the transmission packet via the network NW, an acquisition unit 24 that acquires unique identification information that identifies the terminal which is the source of the reply packet, which is included in the reply packet, a collation unit 14 that collates the acquired identification information with a whitelist of identification information stored in a storage unit 12, and a determination unit 15 that determines whether the terminal that is the source of the reply packet is a terminal that is illegally connected to the network NW on the basis of the collation result of the collation unit 14.SELECTED DRAWING: Figure 2

Description

本発明は、監視装置および監視方法に関し、特にIPv6環境におけるネットワークへの不正接続を監視する技術に関する。 The present invention relates to a monitoring device and a monitoring method, and particularly to a technique for monitoring an unauthorized connection to a network in an IPv6 environment.

近年、Iotの普及により様々な機器がインターネットにつながるようになっている。これにともなって、インターネットにつながる機器の数も爆発的に増え、従来インターネットプロトコルとして用いられてきたIPv4から、新たに128ビットのアドレス長を持つプロトコルとしてIPv6への移行が進んでいる。また、ネットワーク監視装置などの多くのネットワークセキュリティ製品においても、IPv6に対応したものが急速に求められている。 In recent years, with the spread of IoT, various devices have come to be connected to the Internet. Along with this, the number of devices connected to the Internet has increased explosively, and the transition from IPv4, which has been conventionally used as an Internet protocol, to IPv6 as a new protocol having an address length of 128 bits is progressing. In addition, many network security products such as network monitoring devices are also rapidly required to support IPv6.

従来から、ネットワーク内の端末を把握する場合、各端末にエージェント(SW)を入れたり、IPv4において使用される通信プロトコルであるarp(Address Resolution Protocol)などを用いたりしている。 Conventionally, in order to grasp the terminals in the network, an agent (SW) is inserted in each terminal, or arp (Address Resolution Protocol), which is a communication protocol used in IPv4, is used.

しかし、特に組込み機器(例えば、カメラ)にエージェントを入れることは困難であり、様々な機器がネットワークにつながるようになった状況で、ネットワーク上の特定の機器や端末を把握することができない場合もあり得る。また、ネットワークに不正接続する端末の探索においても、arpはIPv4のプロトコルに基づいたものであり、IPv6環境においては不正端末の探索が困難である。 However, it is especially difficult to put an agent in an embedded device (for example, a camera), and in a situation where various devices are connected to the network, it may not be possible to grasp a specific device or terminal on the network. possible. Further, even in the search for a terminal that illegally connects to the network, arp is based on the IPv4 protocol, and it is difficult to search for the unauthorized terminal in the IPv6 environment.

そこで、従来からIPv6環境におけるネットワークへの不正接続を防止する技術が提案されている。例えば、特許文献1は、ネットワークに監視装置を設置し、ネットワーク内に流れるNS(Neighbor Solicitation)パケットを監視して、NSパケットの送信元アドレスやMACアドレスをもとに、ネットワークへの接続が許可されている端末かどうかを判断する。 Therefore, a technique for preventing unauthorized connection to a network in an IPv6 environment has been conventionally proposed. For example, in Patent Document 1, a monitoring device is installed in a network, NS (Neighbor Discovery) packets flowing in the network are monitored, and connection to the network is permitted based on the source address and MAC address of the NS packet. Determine if it is a terminal.

特開2007−104396号公報JP-A-2007-104396

しかし、特許文献1に記載の技術では、盗聴目的でネットワークに不正に接続する端末(以下、「不正端末」という。)がNSパケットなどを自ら送信しないような場合、不正端末を検出することができない。 However, in the technique described in Patent Document 1, when a terminal illegally connected to a network for the purpose of eavesdropping (hereinafter referred to as "illegal terminal") does not transmit an NS packet or the like by itself, the unauthorized terminal can be detected. Can not.

本発明は、上述した課題を解決するためになされたものであり、ネットワーク内を流れるICMPv6パケットの監視負担を軽減しつつ、IPv6環境において不正端末を検知することができる監視技術を提供することを目的とする。 The present invention has been made to solve the above-mentioned problems, and provides a monitoring technique capable of detecting an unauthorized terminal in an IPv6 environment while reducing the monitoring load of ICMPv6 packets flowing in a network. The purpose.

上述した課題を解決するために、本発明に係る監視装置は、予め設定された不正なヘッダを含む送信パケットを生成するように構成された生成部と、前記送信パケットを通信ネットワークを介してオールノードマルチキャスト送信するように構成された送信部と、前記送信パケットを受信した端末からのエラーメッセージを含む返信パケットを前記通信ネットワークを介して受信するように構成された受信部と、前記返信パケットに含まれる、前記返信パケットの送信元である前記端末を識別する固有の識別情報を取得するように構成された取得部と、取得された前記識別情報を、記憶部に記憶されている識別情報のリストと照合するように構成された照合部と、前記照合部の照合結果に基づいて、前記送信元の前記端末が前記通信ネットワークに不正に接続する端末であるか否かを判断するように構成された判断部とを備える。 In order to solve the above-mentioned problems, the monitoring device according to the present invention includes a generation unit configured to generate a transmission packet including a preset invalid header, and all the transmission packets via a communication network. The transmission unit configured for node multicast transmission, the reception unit configured to receive a reply packet including an error message from the terminal receiving the transmission packet via the communication network, and the reply packet. An acquisition unit that is configured to acquire unique identification information that identifies the terminal that is the source of the reply packet, and an identification information that stores the acquired identification information in the storage unit. Based on the collation unit configured to collate with the list and the collation result of the collation unit, it is configured to determine whether or not the terminal of the transmission source is a terminal illegally connected to the communication network. It is equipped with a judgment unit.

また、本発明に係る監視装置において、前記リストは、前記通信ネットワークへの接続が許可されている端末に固有の識別情報を含み、前記判断部は、前記取得部によって取得された前記識別情報が、前記リストに含まれていない場合に、その端末が前記通信ネットワークに不正に接続する端末であると判断してもよい。 Further, in the monitoring device according to the present invention, the list includes identification information unique to the terminal permitted to connect to the communication network, and the determination unit includes the identification information acquired by the acquisition unit. If it is not included in the list, it may be determined that the terminal is a terminal that illegally connects to the communication network.

また、本発明に係る監視装置において、さらに、前記判断部による判断結果を通知するように構成された通知部を備えていてもよい。 Further, the monitoring device according to the present invention may further include a notification unit configured to notify the determination result by the determination unit.

また、本発明に係る監視装置において、前記通信ネットワークは、IPv6に対応した通信ネットワークであり、前記送信パケットは、前記送信パケットを受信した端末が、パケットに問題ありと判断する不正なIPv6ヘッダを含んでいてもよい。 Further, in the monitoring device according to the present invention, the communication network is a communication network corresponding to IPv6, and the transmission packet contains an invalid IPv6 header that the terminal receiving the transmission packet determines that there is a problem with the packet. It may be included.

また、本発明に係る監視装置において、前記返信パケットは、ICMPv6によるパラメータ不正メッセージを含んでいてもよい。 Further, in the monitoring device according to the present invention, the reply packet may include a parameter invalid message by ICMPv6.

また、本発明に係る監視装置において、前記識別情報は、MACアドレスであってもよい。 Further, in the monitoring device according to the present invention, the identification information may be a MAC address.

また、本発明に係る監視装置において、前記取得部は、前記通信ネットワークに接続されている端末を検出し、その端末の情報としてIPアドレスおよびMACアドレスの少なくともいずれかを取得し、前記判断部は、検出された前記端末の情報、および前記照合部の照合結果に基づいて、前記送信元の前記端末が前記通信ネットワークに不正に接続する端末であるか否かを判断してもよい。 Further, in the monitoring device according to the present invention, the acquisition unit detects a terminal connected to the communication network, acquires at least one of an IP address and a MAC address as information on the terminal, and the determination unit , It may be determined whether or not the terminal of the transmission source is a terminal that illegally connects to the communication network based on the detected information of the terminal and the collation result of the collation unit.

上述した課題を解決するために、本発明に係る監視方法は、予め設定された不正なヘッダを含む送信パケットを生成する生成ステップと、前記送信パケットを通信ネットワークを介してオールノードマルチキャスト送信する送信ステップと、前記送信パケットを受信した端末からのエラーメッセージを含む返信パケットを前記通信ネットワークを介して受信する受信ステップと、前記返信パケットに含まれる、前記返信パケットの送信元である前記端末を識別する固有の識別情報を取得する取得ステップと、取得された前記識別情報を、記憶部に記憶されている識別情報のリストと照合する照合ステップと、前記照合ステップでの照合結果に基づいて、前記送信元の前記端末が前記通信ネットワークに不正に接続する端末であるか否かを判断する判断ステップとを備える。 In order to solve the above-mentioned problems, the monitoring method according to the present invention includes a generation step of generating a transmission packet including a preset invalid header, and transmission of the transmission packet by all-node multicast transmission via a communication network. The step, the reception step of receiving the reply packet including the error message from the terminal that received the transmission packet via the communication network, and the terminal that is the source of the reply packet included in the reply packet are identified. Based on the acquisition step of acquiring the unique identification information to be performed, the collation step of collating the acquired identification information with the list of identification information stored in the storage unit, and the collation result in the collation step. It includes a determination step of determining whether or not the source terminal is a terminal that illegally connects to the communication network.

本発明によれば、予め設定された不正なヘッダを含む送信パケットをオールノードマルチキャスト送信し、その送信パケットを受信した端末からのエラーメッセージを含む返信パケットに含まれる端末の識別情報を取得して、識別情報のリストと照合するので、ネットワーク内を流れるICMPv6パケットの監視負担を軽減しつつ、IPv6環境において不正端末を検出することができる。 According to the present invention, a transmission packet including a preset invalid header is transmitted by all-node multicast, and the identification information of the terminal included in the reply packet including the error message from the terminal receiving the transmission packet is acquired. Since it is collated with the list of identification information, it is possible to detect an unauthorized terminal in an IPv6 environment while reducing the monitoring burden of ICMPv6 packets flowing in the network.

図1は、本発明の実施の形態に係る監視装置を含む不正接続監視システムの構成を示すブロック図である。FIG. 1 is a block diagram showing a configuration of an unauthorized connection monitoring system including a monitoring device according to an embodiment of the present invention. 図2は、本実施の形態に係る監視装置の構成を示すブロック図である。FIG. 2 is a block diagram showing a configuration of a monitoring device according to the present embodiment. 図3は、本実施の形態に係る監視装置のハードウェア構成を示すブロック図である。FIG. 3 is a block diagram showing a hardware configuration of the monitoring device according to the present embodiment. 図4は、本実施の形態に係る監視装置の動作を説明するためのフローチャートである。FIG. 4 is a flowchart for explaining the operation of the monitoring device according to the present embodiment. 図5は、本実施の形態に係るホワイトリストのデータ構造の一例を示す図である。FIG. 5 is a diagram showing an example of a whitelist data structure according to the present embodiment.

以下、本発明の好適な実施の形態について、図1から図5を参照して詳細に説明する。
[不正接続監視システムの構成]
本発明の実施の形態に係る不正接続監視システムは、不正アクセスによりネットワークNWに不正に接続する不正端末3を探索する。不正接続監視システムには、図1に示すように、監視装置1、正規端末2、および不正端末3が含まれる。 Hereinafter, preferred embodiments of the present invention will be described in detail with reference to FIGS. 1 to 5.
[Configuration of unauthorized connection monitoring system]
The unauthorized connection monitoring system according to the embodiment of the present invention searches for an unauthorized terminal 3 that illegally connects to the network NW by unauthorized access. As shown in FIG. 1, the unauthorized connection monitoring system includes a monitoring device 1, a regular terminal 2, and an unauthorized terminal 3.

監視装置1、正規端末2、および不正端末3はLANなどのネットワークNWを介して互いに接続可能となっている。図1において、正規端末2は、ネットワークNWへの接続が許可されたIPv6が動作するPCなどの端末である。一方、不正端末3は、ネットワークNWへの接続が許可されていないIPv6が動作するPCなどの端末である。 The monitoring device 1, the legitimate terminal 2, and the unauthorized terminal 3 can be connected to each other via a network NW such as a LAN. In FIG. 1, the legitimate terminal 2 is a terminal such as a PC operating IPv6 that is permitted to connect to the network NW. On the other hand, the unauthorized terminal 3 is a terminal such as a PC operating IPv6, which is not permitted to connect to the network NW.

本実施の形態では、不正接続監視システムは、リンクローカルの同一セグメント上におけるネットワークNWへの不正な接続を行う不正端末3を探索および検出する。図1の例では、3つの正規端末2の各々は、IPv6アドレス「1」,「2」,「3」が割り当てられており、かつ、MACアドレス「A」,「B」,「C」を有する。また、不正端末3は、IPv6アドレス「4」、およびMACアドレス「D」を有する。また、不正接続監視システムにおいてリンクローカルアドレス「a」が割り当てられている。 In the present embodiment, the unauthorized connection monitoring system searches for and detects an unauthorized terminal 3 that makes an unauthorized connection to the network NW on the same segment of the link local. In the example of FIG. 1, each of the three regular terminals 2 is assigned IPv6 addresses "1", "2", and "3", and has MAC addresses "A", "B", and "C". Have. Further, the unauthorized terminal 3 has an IPv6 address “4” and a MAC address “D”. Further, the link local address "a" is assigned in the unauthorized connection monitoring system.

本実施の形態に係る不正接続監視システムは、IPv6におけるインターネット通信メッセージプロトコル(ICMP)の仕様に定められたICMPv6パラメータ不正メッセージ(ICMP Parameter Problem)に関する取り決めを利用して、リンクローカルにおける不正端末3を検出する。 The unauthorized connection monitoring system according to the present embodiment uses the agreement regarding the ICMPv6 parameter invalid message (ICMP Parameter Problem) defined in the specifications of the Internet communication message protocol (ICMP) in IPv6 to display the unauthorized terminal 3 in the link local. To detect.

[監視装置の機能ブロック]
図2に示すように、監視装置1は、送受信部(送信部、受信部)10、生成部11、記憶部12、取得部13、照合部14、判断部15、および通知部16を備える。 [Functional block of monitoring device]
As shown in FIG. 2, the monitoring device 1 includes a transmission / reception unit (transmission unit, reception unit) 10, a generation unit 11, a storage unit 12, an acquisition unit 13, a collation unit 14, a determination unit 15, and a notification unit 16.

送受信部10は、ネットワークNWを介して、正規端末2および不正端末3に対してパケットをオールノードマルチキャスト送信する。また、送受信部10は、正規端末2、および不正端末3からネットワークNWを介して送られてくるパケットを受信する。より詳細には、送受信部10は、後述の不正なIPv6ヘッダを含むマルチキャストパケットをオールノードマルチキャストアドレス宛に送信する。また、送受信部10は、マルチキャストパケットに対する返信として、ネットワークNW内の端末のそれぞれから返信される後述のICMPv6エラーメッセージを受信する。 The transmission / reception unit 10 transmits packets to the legitimate terminal 2 and the unauthorized terminal 3 by all-node multicast via the network NW. Further, the transmission / reception unit 10 receives packets sent from the legitimate terminal 2 and the unauthorized terminal 3 via the network NW. More specifically, the transmission / reception unit 10 transmits a multicast packet including an invalid IPv6 header described later to an all-node multicast address. Further, the transmission / reception unit 10 receives the ICMPv6 error message described later, which is returned from each of the terminals in the network NW, as a reply to the multicast packet.

生成部11は、予め設定された不正なヘッダを含むオールノードマルチキャストアドレス宛てのマルチキャストパケット(送信パケット)を生成する。予め設定された不正なヘッダとは、IPv6ノードである正規端末2および不正端末3によってパケットに問題ありと判断されるIPv6ヘッダや、問題のあるフィールドが拡張ヘッダに含まれるIPv6ヘッダをいう。 The generation unit 11 generates a multicast packet (transmission packet) addressed to an all-node multicast address including a preset invalid header. The preset invalid header refers to an IPv6 header that is determined to have a problem in the packet by the legitimate terminal 2 and the illegal terminal 3 that are IPv6 nodes, and an IPv6 header in which a problematic field is included in the extension header.

ここで、IPv6用のICMPの仕様書(RFC)において以下の取り決めがある。RFCによると、パケットを処理するIPv6ノードが、完全にそのパケットを処理することが不可能であるIPv6ヘッダ、もしくは拡張ヘッダに含まれる問題のあるフィールドを見つけたら、そのパケットは破棄しなければならないとされる。また、IPv6ノードは、パケットの発信元にタイプと問題個所を示したICMPv6パラメータ不正メッセージを送信すべきであるとされている。 Here, there is the following agreement in the ICMP specification (RFC) for IPv6. According to the RFC, if an IPv6 node processing a packet finds an IPv6 header that cannot completely process the packet, or a problematic field contained in an extension header, the packet must be dropped. It is said that. In addition, the IPv6 node should send an ICMPv6 parameter invalid message indicating the type and problem location to the source of the packet.

生成部11は、ネットワークNW上の正規端末2および不正端末3からICMPv6パラメータ不正メッセージ(ICMP Parameter Problem)(以下、「ICMPv6エラーメッセージ」ということがある。)の返信が来るような不正なヘッダを持つマルチキャストパケットを生成する。 The generation unit 11 provides an invalid header such that an ICMPv6 parameter invalid message (ICMP Parameter Problem) (hereinafter, may be referred to as “ICMPv6 error message”) is returned from the legitimate terminal 2 and the unauthorized terminal 3 on the network NW. Generate a multicast packet to have.

例えば、生成部11は、IPv6ヘッダ内のホップバイホップオプション(Hop−by−Hop Option)の値がIPv6ノードによって認識できないIPv6拡張ヘッダのデータであるマルチキャストパケットを生成することができる。なお、生成部11は、予め用意されている不正なヘッダを記憶部12から読み出す構成としてもよい。 For example, the generation unit 11 can generate a multicast packet in which the value of the hop-by-hop option (Hop-by-Hop Option) in the IPv6 header is the data of the IPv6 extension header that cannot be recognized by the IPv6 node. The generation unit 11 may be configured to read an invalid header prepared in advance from the storage unit 12.

記憶部12は、ネットワークNWへの接続を許可する正規端末2に固有の識別情報を記憶している。記憶部12は、例えば、正規端末2のMACアドレスが登録されたホワイトリストを記憶している。 The storage unit 12 stores identification information unique to the legitimate terminal 2 that allows connection to the network NW. The storage unit 12 stores, for example, a white list in which the MAC address of the regular terminal 2 is registered.

取得部13は、送受信部10によって受信されたネットワークNW内の正規端末2および不正端末3からの返信パケットに含まれる送信元を示す固有の識別情報を取得する。取得部13は、例えば、ICMPv6エラーメッセージのパケットにおいて所定の位置にある送信元のMACアドレスを取得することができる。 The acquisition unit 13 acquires unique identification information indicating the source included in the reply packet from the legitimate terminal 2 and the unauthorized terminal 3 in the network NW received by the transmission / reception unit 10. The acquisition unit 13 can acquire the MAC address of the source at a predetermined position in the packet of the ICMPv6 error message, for example.

また、取得部13は、ネットワークNWに接続されている正規端末2、不正端末3を含む機器を検出し、それら機器の情報を取得することができる。例えば、取得部13は、ネットワークNW上の機器のIPアドレスおよびMACアドレスの少なくともいずれか一方を検出することができる。 In addition, the acquisition unit 13 can detect devices including the legitimate terminal 2 and the fraudulent terminal 3 connected to the network NW, and can acquire the information of those devices. For example, the acquisition unit 13 can detect at least one of the IP address and the MAC address of the device on the network NW.

照合部14は、取得部13によって取得されたICMPv6エラーメッセージのパケットに含まれる送信元の識別情報を、記憶部12に予め登録されている正規端末2の識別情報と照合する。より詳細には、照合部14は、ICMPv6エラーメッセージのパケットに含まれるMACアドレスを、ホワイトリストに登録されているMACアドレスと照合する。 The collation unit 14 collates the source identification information included in the ICMPv6 error message packet acquired by the acquisition unit 13 with the identification information of the legitimate terminal 2 registered in advance in the storage unit 12. More specifically, the collation unit 14 collates the MAC address included in the ICMPv6 error message packet with the MAC address registered in the white list.

判断部15は、照合部14の照合結果に基づいて、ICMPv6エラーメッセージの送信元の端末がネットワークNWに不正に接続する端末であるか否かを判断する。具体的には、判断部15は、ICMPv6エラーメッセージのパケットに含まれるMACアドレスのうち、ホワイトリストに登録されているMACアドレスのいずれにも該当しない場合には、そのMACアドレスを有する端末は不正端末3であると判断する。 Based on the collation result of the collation unit 14, the determination unit 15 determines whether or not the terminal of the source of the ICMPv6 error message is a terminal that illegally connects to the network NW. Specifically, if the determination unit 15 does not correspond to any of the MAC addresses registered in the whitelist among the MAC addresses included in the ICMPv6 error message packet, the terminal having that MAC address is invalid. It is determined that it is the terminal 3.

なお、判断部15は、取得部13によって検出され取得されたネットワークNW上の機器の情報および照合部14の照合結果に基づいて上記判断を行ってもよい。 The determination unit 15 may make the above determination based on the information of the device on the network NW detected and acquired by the acquisition unit 13 and the collation result of the collation unit 14.

通知部16は、判断部15による判断結果を出力する。例えば、判断部15によって不正端末3であると判断された端末の識別情報を表示装置107に表示させることができる。また、インターネット等の通信ネットワークを介して接続されている図示されない外部のサーバなどに、不正端末3が検出されたこと及び不正端末3の識別情報を通知することができる。 The notification unit 16 outputs the determination result by the determination unit 15. For example, the display device 107 can display the identification information of the terminal determined to be the fraudulent terminal 3 by the determination unit 15. Further, it is possible to notify the detection of the unauthorized terminal 3 and the identification information of the unauthorized terminal 3 to an external server (not shown) connected via a communication network such as the Internet.

[監視装置のハードウェア構成]
次に上述した機能を有する監視装置1のハードウェア構成の一例について、図3を用いて説明する。 [Hardware configuration of monitoring device]
Next, an example of the hardware configuration of the monitoring device 1 having the above-mentioned functions will be described with reference to FIG.

図3に示すように、監視装置1は、例えば、バス101を介して接続されるプロセッサ102、主記憶装置103、通信インターフェース104、補助記憶装置105、入出力I/O106を備えるコンピュータと、これらのハードウェア資源を制御するプログラムによって実現することができる。 As shown in FIG. 3, the monitoring device 1 includes, for example, a computer including a processor 102, a main storage device 103, a communication interface 104, an auxiliary storage device 105, and an input / output I / O 106 connected via a bus 101. It can be realized by a program that controls the hardware resources of.

主記憶装置103には、プロセッサ102が各種制御や演算を行うためのプログラムが予め格納されている。プロセッサ102と主記憶装置103とによって、図2に示した生成部11、取得部13、照合部14、判断部15など、監視装置1の各機能が実現される。 A program for the processor 102 to perform various controls and calculations is stored in the main storage device 103 in advance. Each function of the monitoring device 1 such as the generation unit 11, the acquisition unit 13, the collation unit 14, and the determination unit 15 shown in FIG. 2 is realized by the processor 102 and the main storage device 103.

通信インターフェース104は、監視装置1と正規端末2および不正端末3、各種外部電子機器との間をネットワーク接続するためのインターフェース回路である。 The communication interface 104 is an interface circuit for connecting the monitoring device 1, the legitimate terminal 2, the fraudulent terminal 3, and various external electronic devices to a network.

補助記憶装置105は、読み書き可能な記憶媒体と、その記憶媒体に対してプログラムやデータなどの各種情報を読み書きするための駆動装置とで構成されている。補助記憶装置105には、記憶媒体としてハードディスクやフラッシュメモリなどの半導体メモリを使用することができる。 The auxiliary storage device 105 is composed of a readable and writable storage medium and a drive device for reading and writing various information such as programs and data to the storage medium. A semiconductor memory such as a hard disk or a flash memory can be used as the storage medium in the auxiliary storage device 105.

補助記憶装置105は、監視装置1が不正端末3の検出処理を実行するためのプログラムを格納するプログラム格納領域を有する。また、補助記憶装置105は、ネットワークNWに接続が許可されている正規端末2のホワイトリストを記憶している。補助記憶装置105によって、図2で説明した記憶部12が実現される。さらには、例えば、上述したデータやプログラムやなどをバックアップするためのバックアップ領域などを有していてもよい。 The auxiliary storage device 105 has a program storage area for storing a program for the monitoring device 1 to execute the detection process of the unauthorized terminal 3. Further, the auxiliary storage device 105 stores the white list of the regular terminal 2 that is permitted to connect to the network NW. The auxiliary storage device 105 realizes the storage unit 12 described with reference to FIG. Further, for example, it may have a backup area for backing up the above-mentioned data, programs, and the like.

入出力I/O106は、外部機器からの信号を入力したり、外部機器へ信号を出力したりするI/O端子により構成される。 The input / output I / O 106 is composed of an I / O terminal that inputs a signal from an external device and outputs a signal to the external device.

表示装置107は、液晶ディスプレイなどによって構成される。表示装置107は、付図2で説明した通知部16を実現する。通知部16による通知は、表示装置107に表示される。 The display device 107 is composed of a liquid crystal display or the like. The display device 107 realizes the notification unit 16 described with reference to FIG. The notification by the notification unit 16 is displayed on the display device 107.

[監視方法]
次に上述した構成を有する監視装置1の動作について図4のフローチャートを参照して説明する。以下前提として、記憶部12には、予めネットワークNWに接続することが許可された端末の識別情報を含むホワイトリストが記憶されているものとする。 [Monitoring method]
Next, the operation of the monitoring device 1 having the above-described configuration will be described with reference to the flowchart of FIG. As a premise below, it is assumed that the storage unit 12 stores a white list including identification information of terminals that are permitted to connect to the network NW in advance.

まず、生成部11は、ネットワークNW上の正規端末2および不正端末3からICMPv6パラメータ不正メッセージ(ICMP Parameter Problem)の返信が来るような不正なヘッダを持つパケットを生成する(ステップS1)。具体的には、生成部11は、IPv6ヘッダ内のホップバイホップオプション(Hop−by−Hop Option)の値がIPv6ノードによって認識できないIPv6拡張ヘッダのデータであるマルチキャストパケットを生成することができる。 First, the generation unit 11 generates a packet having an invalid header such that an ICMPv6 parameter invalid message (ICMP Parameter Problem) is returned from the legitimate terminal 2 and the unauthorized terminal 3 on the network NW (step S1). Specifically, the generation unit 11 can generate a multicast packet in which the value of the hop-by-hop option (Hop-by-Hop Option) in the IPv6 header is the data of the IPv6 extension header that cannot be recognized by the IPv6 node.

次に、送受信部10は、生成された不正なヘッダを持つマルチキャストパケットをオールノードマルチキャスト宛てに送信する(ステップS2)。具体的には、図1に示すように、送受信部10は、ネットワークNWを介して、3つの正規端末2および不正端末3にマルチキャストパケットをオールノードマルチキャスト宛て(例えば、「FE02::1」)に送信する。 Next, the transmission / reception unit 10 transmits the generated multicast packet having an invalid header to the all-node multicast (step S2). Specifically, as shown in FIG. 1, the transmission / reception unit 10 sends a multicast packet to three legitimate terminals 2 and an unauthorized terminal 3 via a network NW to an all-node multicast (for example, "FE02 :: 1"). Send to.

その後、送受信部10は、不正なヘッダを持つマルチキャストパケットを受信した正規端末2および不正端末3から、返信パケットとしてICMPv6エラーメッセージを受信する(ステップS3)。次に、取得部13は、受信したICMPv6エラーメッセージのパケットに含まれる送信元を示す固有の識別情報を取得する(ステップS4)。例えば、取得部13は、固有の識別情報として送信元のMACアドレスを取得することができる。 After that, the transmission / reception unit 10 receives an ICMPv6 error message as a reply packet from the legitimate terminal 2 and the fraudulent terminal 3 that have received the multicast packet having an invalid header (step S3). Next, the acquisition unit 13 acquires unique identification information indicating the source included in the packet of the received ICMPv6 error message (step S4). For example, the acquisition unit 13 can acquire the MAC address of the transmission source as unique identification information.

次に、照合部14は、取得部13が取得した固有の識別情報を、記憶部12に記憶されているホワイトリストと照合する(ステップS5)。具体的には、照合部14は、ICMPv6エラーメッセージのパケットに含まれる送信元のMACアドレスを、ホワイトリストに登録されているMACアドレスと照合する。 Next, the collation unit 14 collates the unique identification information acquired by the acquisition unit 13 with the white list stored in the storage unit 12 (step S5). Specifically, the collation unit 14 collates the MAC address of the source included in the ICMPv6 error message packet with the MAC address registered in the white list.

図5は、記憶部12に記憶されているホワイトリストの一例を示している。予め用意されているホワイトリストには、MACアドレス「A」,「B」,「C」が登録されている。照合部14は、ICMPv6エラーメッセージのパケットに含まれるMACアドレスが「A」,「B」,「C」に一致するか否かを照合結果として出力する。 FIG. 5 shows an example of a white list stored in the storage unit 12. MAC addresses "A", "B", and "C" are registered in the white list prepared in advance. The collation unit 14 outputs as a collation result whether or not the MAC address included in the ICMPv6 error message packet matches "A", "B", and "C".

ICMPv6エラーメッセージのパケットに含まれるMACアドレスがホワイトリストに存在する場合(ステップS6:YES)、取得されたすべてのMACアドレスが、ホワイトリストと照合されるまで(ステップS8:NO)、ステップS3からステップS6を繰り返す。 If the MAC address included in the ICMPv6 error message packet is in the whitelist (step S6: YES), from step S3 until all the acquired MAC addresses are matched against the whitelist (step S8: NO). Step S6 is repeated.

一方、ICMPv6エラーメッセージのパケットに含まれるMACアドレスがホワイトリストに存在しない場合には(ステップS6:NO)、判断部15は、照合したMACアドレスを有する端末は、不正端末3であると判断する(ステップS7)。 On the other hand, if the MAC address included in the ICMPv6 error message packet does not exist in the whitelist (step S6: NO), the determination unit 15 determines that the terminal having the matched MAC address is the unauthorized terminal 3. (Step S7).

その後、通知部16は、不正端末3が存在すること、および不正端末のMACアドレスを通知する(ステップS9)。例えば、通知部16は、表示装置107に不正端末3のMACアドレスなどを表示させることができる。また、通知部16は、不正端末3が検出されなかった場合には、その旨を示す通知を行ってもよい。 After that, the notification unit 16 notifies that the unauthorized terminal 3 exists and the MAC address of the unauthorized terminal (step S9). For example, the notification unit 16 can display the MAC address of the unauthorized terminal 3 on the display device 107. Further, when the unauthorized terminal 3 is not detected, the notification unit 16 may give a notification to that effect.

以上説明したように、本実施の形態に係る監視装置1によれば、不正なヘッダを含むマルチキャストパケットをネットワークNW内の端末にオールノードマルチキャスト送信し、その後端末から返信されるICMPv6エラーメッセージのパケットに含まれる送信元の固有の識別情報を利用して、不正端末3を検出する。そのため、ネットワークNW内の各端末がNSパケットを送信するのを待たずに、IPv6環境においてリンクローカルに接続されている不正端末3を検出することができる。 As described above, according to the monitoring device 1 according to the present embodiment, a multicast packet containing an invalid header is all-node multicast transmitted to a terminal in the network NW, and then an ICMPv6 error message packet returned from the terminal. The unauthorized terminal 3 is detected by using the unique identification information of the sender included in. Therefore, it is possible to detect the unauthorized terminal 3 connected to the link local in the IPv6 environment without waiting for each terminal in the network NW to transmit the NS packet.

また、ICMPv6エラーメッセージのパケットに含まれる情報を用いるので、より少ない量の探索パケットの送信により、より短い時間で不正端末3を検出することができる。 Further, since the information contained in the ICMPv6 error message packet is used, the unauthorized terminal 3 can be detected in a shorter time by transmitting a smaller amount of search packets.

なお、説明した実施の形態では、ネットワークNW内の端末に固有の識別情報としてMACアドレスを用いた場合を例示した。しかし、固有の識別情報として用いる情報は、これに限らない。例えば、IPv6アドレスとMACアドレスとの組み合わせ等を用いてもよい。 In the embodiment described, the case where the MAC address is used as the identification information unique to the terminal in the network NW is illustrated. However, the information used as unique identification information is not limited to this. For example, a combination of an IPv6 address and a MAC address may be used.

以上、本発明の監視装置および監視方法における実施の形態について説明したが、本発明は説明した実施の形態に限定されるものではなく、請求項に記載した発明の範囲において当業者が想定し得る各種の変形を行うことが可能である。 Although the embodiments of the monitoring device and the monitoring method of the present invention have been described above, the present invention is not limited to the described embodiments and can be assumed by those skilled in the art within the scope of the invention described in the claims. It is possible to make various modifications.

1…監視装置、2…正規端末、3…不正端末、10…送受信部、11…生成部、12…記憶部、13…取得部、14…照合部、15…判断部、16…通知部、101…バス、102…プロセッサ、103…主記憶装置、104…通信インターフェース、105…補助記憶装置、106…入出力I/O、107…表示装置、NW…ネットワーク。 1 ... Monitoring device, 2 ... Regular terminal, 3 ... Unauthorized terminal, 10 ... Transmission / reception unit, 11 ... Generation unit, 12 ... Storage unit, 13 ... Acquisition unit, 14 ... Verification unit, 15 ... Judgment unit, 16 ... Notification unit, 101 ... Bus, 102 ... Processor, 103 ... Main storage device, 104 ... Communication interface, 105 ... Auxiliary storage device, 106 ... Input / output I / O, 107 ... Display device, NW ... Network.

Claims (8)

予め設定された不正なヘッダを含む送信パケットを生成するように構成された生成部と、
前記送信パケットを通信ネットワークを介してオールノードマルチキャスト送信するように構成された送信部と、
前記送信パケットを受信した端末からのエラーメッセージを含む返信パケットを前記通信ネットワークを介して受信するように構成された受信部と、
前記返信パケットに含まれる、前記返信パケットの送信元である前記端末を識別する固有の識別情報を取得するように構成された取得部と、
取得された前記識別情報を、記憶部に記憶されている識別情報のリストと照合するように構成された照合部と、
前記照合部の照合結果に基づいて、前記送信元の前記端末が前記通信ネットワークに不正に接続する端末であるか否かを判断するように構成された判断部と
を備える監視装置。 A generator configured to generate a transmit packet containing a preset invalid header,
A transmitter configured to transmit the transmitted packet by all-node multicast over a communication network,
A receiving unit configured to receive a reply packet including an error message from a terminal that has received the transmitted packet via the communication network.
An acquisition unit included in the reply packet and configured to acquire unique identification information for identifying the terminal that is the source of the reply packet.
A collation unit configured to collate the acquired identification information with a list of identification information stored in the storage unit.
A monitoring device including a determination unit configured to determine whether or not the terminal of the transmission source is a terminal illegally connected to the communication network based on the collation result of the collation unit. 請求項1に記載の監視装置において、
前記リストは、前記通信ネットワークへの接続が許可されている端末に固有の識別情報を含み、
前記判断部は、前記取得部によって取得された前記識別情報が、前記リストに含まれていない場合に、その端末が前記通信ネットワークに不正に接続する端末であると判断する
ことを特徴とする監視装置。 In the monitoring device according to claim 1,
The list contains identification information unique to terminals that are allowed to connect to the communication network.
The monitoring unit determines that the terminal is a terminal that illegally connects to the communication network when the identification information acquired by the acquisition unit is not included in the list. apparatus. 請求項1または請求項2に記載の監視装置において、
さらに、前記判断部による判断結果を通知するように構成された通知部を備える
ことを特徴とする監視装置。 In the monitoring device according to claim 1 or 2.
Further, a monitoring device including a notification unit configured to notify the determination result by the determination unit. 請求項1から3のいずれか1項に記載の監視装置において、
前記通信ネットワークは、IPv6に対応した通信ネットワークであり、
前記送信パケットは、前記送信パケットを受信した端末が、パケットに問題ありと判断する不正なIPv6ヘッダを含む
ことを特徴とする監視装置。 In the monitoring device according to any one of claims 1 to 3.
The communication network is a communication network compatible with IPv6.
The transmission packet is a monitoring device characterized in that the terminal receiving the transmission packet includes an invalid IPv6 header that determines that there is a problem with the packet. 請求項1から4のいずれか1項に記載の監視装置において、
前記返信パケットは、ICMPv6によるパラメータ不正メッセージを含む
ことを特徴とする監視装置。 In the monitoring device according to any one of claims 1 to 4.
A monitoring device characterized in that the reply packet includes a parameter invalid message by ICMPv6. 請求項1から5のいずれか1項に記載の監視装置において、
前記識別情報は、MACアドレスである
ことを特徴とする監視装置。 In the monitoring device according to any one of claims 1 to 5,
A monitoring device characterized in that the identification information is a MAC address. 請求項1から6のいずれか1項に記載の監視装置において、
前記取得部は、前記通信ネットワークに接続されている端末を検出し、その端末の情報としてIPアドレスおよびMACアドレスの少なくともいずれかを取得し、
前記判断部は、検出された前記端末の情報、および前記照合部の照合結果に基づいて、前記送信元の前記端末が前記通信ネットワークに不正に接続する端末であるか否かを判断する
ことを特徴とする監視装置。 In the monitoring device according to any one of claims 1 to 6.
The acquisition unit detects a terminal connected to the communication network, acquires at least one of an IP address and a MAC address as information on the terminal, and obtains the terminal.
Based on the detected information of the terminal and the collation result of the collation unit, the determination unit determines whether or not the terminal of the transmission source is a terminal that illegally connects to the communication network. A featured monitoring device. 予め設定された不正なヘッダを含む送信パケットを生成する生成ステップと、
前記送信パケットを通信ネットワークを介してオールノードマルチキャスト送信する送信ステップと、
前記送信パケットを受信した端末からのエラーメッセージを含む返信パケットを前記通信ネットワークを介して受信する受信ステップと、
前記返信パケットに含まれる、前記返信パケットの送信元である前記端末を識別する固有の識別情報を取得する取得ステップと、
取得された前記識別情報を、記憶部に記憶されている識別情報のリストと照合する照合ステップと、
前記照合ステップでの照合結果に基づいて、前記送信元の前記端末が前記通信ネットワークに不正に接続する端末であるか否かを判断する判断ステップと
を備える監視方法。 A generation step that generates an outbound packet containing a preset malformed header,
A transmission step in which the transmission packet is transmitted by all-node multicast via a communication network, and
A receiving step of receiving a reply packet including an error message from a terminal that has received the transmitted packet via the communication network, and a receiving step.
An acquisition step of acquiring unique identification information for identifying the terminal that is the source of the reply packet, which is included in the reply packet.
A collation step of collating the acquired identification information with a list of identification information stored in the storage unit, and
A monitoring method including a determination step of determining whether or not the terminal of the transmission source is a terminal illegally connected to the communication network based on the collation result in the collation step.
JP2019089668A 2019-05-10 2019-05-10 Monitoring device and monitoring method Active JP7232121B2 (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2019089668A JP7232121B2 (en) 2019-05-10 2019-05-10 Monitoring device and monitoring method
CN202010338025.8A CN111917703B (en) 2019-05-10 2020-04-26 Monitoring device and monitoring method
KR1020200055059A KR102387010B1 (en) 2019-05-10 2020-05-08 Monitoring apparatus and monitoring method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019089668A JP7232121B2 (en) 2019-05-10 2019-05-10 Monitoring device and monitoring method

Publications (2)

Publication Number Publication Date
JP2020188303A true JP2020188303A (en) 2020-11-19
JP7232121B2 JP7232121B2 (en) 2023-03-02

Family

ID=73223310

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019089668A Active JP7232121B2 (en) 2019-05-10 2019-05-10 Monitoring device and monitoring method

Country Status (3)

Country Link
JP (1) JP7232121B2 (en)
KR (1) KR102387010B1 (en)
CN (1) CN111917703B (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004241831A (en) * 2003-02-03 2004-08-26 Rbec Corp Network management system
JP2006287299A (en) * 2005-03-31 2006-10-19 Nec Corp Network control method and device, and control program
JP2007104396A (en) * 2005-10-05 2007-04-19 Nippon Telegraph & Telephone East Corp Unjust connection preventing system, method, and program
JP2007221521A (en) * 2006-02-17 2007-08-30 Matsushita Electric Ind Co Ltd Packet transmission method, relay node and receiving node

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4758250B2 (en) * 2006-02-27 2011-08-24 ブラザー工業株式会社 IP address setting device, IP address setting method, and network system
JP4777461B2 (en) * 2007-09-07 2011-09-21 株式会社サイバー・ソリューションズ Network security monitoring device and network security monitoring system
KR100908320B1 (en) * 2009-03-20 2009-07-17 (주)넷맨 Method for protecting and searching host in internet protocol version 6 network
CN102970306B (en) * 2012-12-18 2015-07-15 中国科学院计算机网络信息中心 Intrusion detection system under Internet protocol version 6 (IPv6) network environment
JP2014150504A (en) * 2013-02-04 2014-08-21 Nec Corp Network monitoring device, network monitoring method, and computer program
CN108881211B (en) * 2018-06-11 2021-10-08 杭州盈高科技有限公司 Illegal external connection detection method and device

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004241831A (en) * 2003-02-03 2004-08-26 Rbec Corp Network management system
JP2006287299A (en) * 2005-03-31 2006-10-19 Nec Corp Network control method and device, and control program
JP2007104396A (en) * 2005-10-05 2007-04-19 Nippon Telegraph & Telephone East Corp Unjust connection preventing system, method, and program
JP2007221521A (en) * 2006-02-17 2007-08-30 Matsushita Electric Ind Co Ltd Packet transmission method, relay node and receiving node

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"不正PC監視&強制排除「NX NetMonitor」", HITACHI SOCIAL INNOVATION FORUM 2015, JPN6023000638, 29 October 2015 (2015-10-29), ISSN: 0004970351 *

Also Published As

Publication number Publication date
CN111917703B (en) 2023-05-09
KR102387010B1 (en) 2022-04-18
KR20200130180A (en) 2020-11-18
CN111917703A (en) 2020-11-10
JP7232121B2 (en) 2023-03-02

Similar Documents

Publication Publication Date Title
US7436833B2 (en) Communication system, router, method of communication, method of routing, and computer program product
US20120304294A1 (en) Network Monitoring Apparatus and Network Monitoring Method
JP4179300B2 (en) Network management method and apparatus, and management program
JP2020017809A (en) Communication apparatus and communication system
US10097418B2 (en) Discovering network nodes
US7916733B2 (en) Data communication apparatus, data communication method, program, and storage medium
US7530100B2 (en) Apparatus for limiting use of particular network address
JP7232121B2 (en) Monitoring device and monitoring method
US10015179B2 (en) Interrogating malware
US9912557B2 (en) Node information detection apparatus, node information detection method, and program
JP4484190B2 (en) Router search system, router search method, and router search program
JP2019041176A (en) Unauthorized connection blocking device and unauthorized connection blocking method
CN112565174B (en) Address monitoring device and address monitoring method
CN112565092B (en) Determining apparatus and determining method
CN113037704B (en) Detection device and detection method
JP6954071B2 (en) Network monitoring equipment and methods
KR102425707B1 (en) Fraud detection device and fraud detection method
CN113992583B (en) Table item maintenance method and device
JP3856368B2 (en) Method and apparatus for discovering promiscuous nodes in an IP network, and promiscuous node discovery program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220324

TRDD Decision of grant or rejection written
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230111

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230124

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230217

R150 Certificate of patent or registration of utility model

Ref document number: 7232121

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150