JP3824274B2 - 不正接続検知システム及び不正接続検知方法 - Google Patents
不正接続検知システム及び不正接続検知方法 Download PDFInfo
- Publication number
- JP3824274B2 JP3824274B2 JP2005518106A JP2005518106A JP3824274B2 JP 3824274 B2 JP3824274 B2 JP 3824274B2 JP 2005518106 A JP2005518106 A JP 2005518106A JP 2005518106 A JP2005518106 A JP 2005518106A JP 3824274 B2 JP3824274 B2 JP 3824274B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal device
- network
- terminal
- connection
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000001514 detection method Methods 0.000 title claims description 88
- 238000004891 communication Methods 0.000 claims description 70
- 230000005540 biological transmission Effects 0.000 claims description 20
- 238000012545 processing Methods 0.000 claims description 13
- 230000000903 blocking effect Effects 0.000 claims description 5
- 238000000034 method Methods 0.000 description 19
- 238000012544 monitoring process Methods 0.000 description 19
- 230000004044 response Effects 0.000 description 18
- 238000010586 diagram Methods 0.000 description 12
- 230000008569 process Effects 0.000 description 9
- 230000005856 abnormality Effects 0.000 description 5
- 230000002401 inhibitory effect Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- WBMKMLWMIQUJDP-STHHAXOLSA-N (4R,4aS,7aR,12bS)-4a,9-dihydroxy-3-prop-2-ynyl-2,4,5,6,7a,13-hexahydro-1H-4,12-methanobenzofuro[3,2-e]isoquinolin-7-one hydrochloride Chemical group Cl.Oc1ccc2C[C@H]3N(CC#C)CC[C@@]45[C@@H](Oc1c24)C(=O)CC[C@@]35O WBMKMLWMIQUJDP-STHHAXOLSA-N 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- MMZNUCVCUUYOPO-UHFFFAOYSA-N Dammar-24-ene-3,20,26-triol-(3beta,20S)-form Natural products C12OC2C2(O)CC=CC(=O)C2(C)C(CCC23C)C1C3CCC12OC(C)(C(C)(O)C(O)O2)CC2C1C MMZNUCVCUUYOPO-UHFFFAOYSA-N 0.000 description 1
- UGNWWWXQCONFKB-UHFFFAOYSA-N Nic 11 Natural products CC1C2CC(COC13CCC4C5C6OC6C7(O)CC=CC(=O)C7(C)C5CCC34C)C(C)(O)C(O)O2 UGNWWWXQCONFKB-UHFFFAOYSA-N 0.000 description 1
- CGFWCZMBHASRBJ-UHFFFAOYSA-N Nic-11 Natural products C1CC2OC(C(C)(C)O)CCC2(C)C(C2O)C1(C)OC1=C2C(=O)C=C(C(C)C(OC(C)=O)C(C)=CC)C1=O CGFWCZMBHASRBJ-UHFFFAOYSA-N 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0811—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、接続権限を有さない不正な端末装置によるネットワークへの不正接続を検知するための不正接続検知システム及び不正接続検知方法に関するものである。
社内LAN等のクローズドなネットワークでの重要情報の管理においては、ネットワークの外部からの不正な侵入を防止することとあわせて、ネットワーク内部における不正な操作による情報の持ち出しへの対策が重要な課題となっている。不正な情報の持ち出し等が行われる場合には、ネットワークに正規に接続された端末を用いると不正操作の痕跡を残したり不正操作者が特定されたりする恐れがあるために、不正操作者が自ら所有する端末をネットワークに接続して不正な情報の持ち出し等が行われることがある。
このような不正操作に対応するために、ネットワークに接続された端末を特定するための管理サーバをネットワーク内に設け、管理サーバにはネットワークへの接続が許可された端末の識別情報を記憶させておき、ネットワークに端末が接続されると当該端末の識別情報を取得してネットワークへの接続権限を確認し、接続権限を有していない端末がネットワークに接続された場合に、当該端末に対して不正操作を停止させることが行われている。ネットワークに接続されている端末を特定するための識別情報には、一般に端末に付与されたIPアドレスやMACアドレスが用いられている。
端末に付与されたIPアドレスやMACアドレスを取得して端末が正規なものか否かを判定する方法としては、端末を起動してネットワークへの接続が開始されたときに、端末からIPアドレスやMACアドレスを含むブロードキャスト信号を送信し、これを受信した管理サーバに記憶されたものと照合する方法(例えば、特許文献1参照。)や、IPアドレスをキーにARPを用いてMACアドレスを取得し、IPアドレスとMACアドレスの組合せを管理サーバに記憶されたものと照合する方法(例えば、特許文献2参照。)などが開示されている。
特開平6−334671号 特開2000−201143号
上記の方法により、接続権限を有しない端末がネットワークに接続された場合には、管理サーバが記憶していないIPアドレスやMACアドレスを検出することにより、不正な接続を検知してネットワークからの切断等の対処を行うことができる。しかしながら、この方法が有効なのは、IPアドレスやMACアドレスが個々の端末と紐付けられていることが前提であり、IPアドレスやMACアドレスが書き換えられてしまった場合には、不正な接続であることを検知することができない。
実際に不正接続が行われるケースでは、接続権限を持つ端末をネットワークから切り離し、一方で不正接続を行うために別の端末を持ち込んで、当該端末のIPアドレスやMACアドレスを、接続権限を有する端末のIPアドレスやMACアドレスに書き換えて接続するいわゆる「なりすまし」が行われることがある。なりすましが行われた場合、IPアドレスやMACアドレス自体は接続権限を有する正規のものが用いられるので、不正であることを発見できないという問題がある。
なりすましによる情報の流出を防止するためには、重要情報が存在する端末へのアクセスの認証を強化するなど、他の方法と併用することが考えられるが、何らかの方法で端末へのアクセスを制御したとしても、ネットワーク上に不正な端末が接続された状態を許容してしまうと、パケット盗聴(スニーフィング)が行われた場合にもこれを検知できないという問題が生じる。従って、接続権限を有さない不正な端末がネットワークに接続された場合には、なりすましが行われている場合であってもこれをいち早く検出して対処を行うことが必要である。
本発明は、このような課題に対応するためになされたものであり、接続権限を有さない不正な端末装置がIPアドレスやMACアドレスを書き換えたなりすまし等によりネットワークへの不正接続を行った場合、これを検知して対処するための不正接続検知システム及び不正接続検知方法を提供することを目的とするものである。
以下に説明する本発明においては、いずれもネットワークへの接続権限を有する正規の端末には専用の監視プログラムが格納されており、当該端末のネットワークへの接続時には当該監視プログラムが所定の動作を行ってネットワークを管理する管理サーバに所定の情報を送信するよう構成することにより、当該情報の有無や内容によって、接続権限を有さない不正な端末のネットワークへの接続を検知することができる。
尚、以下の発明において、ネットワークとはLANなどアクセス権限を有するもののみが接続可能なクローズドなネットワークが該当する。端末装置には通常はパーソナルコンピュータなどのコンピュータ機器が該当するが、ネットワークに接続が可能なものであれば、ルータやゲートウェイなどのネットワーク機器、Webサーバ等のサーバ、PDA等のモバイル端末などどのようなものであってもよい。
本願にかかる課題を解決する発明は、接続権限を有さない端末装置のネットワークへの不正接続を検知するための不正接続検知システムであって、前記ネットワークへの接続権限を有する正規の端末装置には、前記端末装置がネットワークに接続されると、ネットワークへの接続が開始されたことを示す接続開始通知を前記不正接続検知システムに送信するとともに、所定の間隔で前記端末装置に関する情報を前記不正接続検知システムに送信する監視プログラムが格納されていて、前記ネットワークに接続されている端末装置を検出する接続端末検出手段と、前記正規の端末装置に格納された監視プログラムから送信された接続開始通知を受信する接続開始通知受信手段と、前記接続端末検出手段が新たに前記ネットワークに接続中であると検出した端末装置について、前記接続開始通知受信手段が前記端末装置からの接続開始通知を受信したかを確認し、前記接続開始通知を受信していない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第1の不正接続判定手段と、前記正規の端末装置に格納された監視プログラムから送信された前記端末装置に関する情報を受信する端末情報受信手段と、前記接続端末検出手段が前記ネットワークに接続中であると検出した端末装置について、前記端末情報受信手段が前記監視プログラムに設定された所定の間隔で前記端末装置に関する情報を受信したかを確認し、前記端末装置に関する情報を前記所定の間隔で受信していない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第2の不正接続判定手段と、前記第1の不正接続判定手段又は前記第2の不正接続判定手段が不正に接続されていると判定した端末装置について、前記端末装置又は前記端末装置の通信対象となっている端末装置に対して通信を阻害するためのパケット、若しくは前記端末装置と前記端末装置の通信対象となっている端末装置の間のセッションを切断するためのパケットを送信するパケット送信手段と、を備えることを特徴とする不正接続検知システムである。
また、本発明は、前記正規の端末装置について、前記端末装置の正規の識別情報又は前記端末装置の前記ネットワークへの正規の接続状態に関する情報の少なくとも一つに関する第1の端末情報を格納する端末情報格納手段と、前記接続開始通知受信手段が受信した接続開始通知から、前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つに関する第2の端末情報を検出する端末情報検出手段と、を備えていて、前記監視プログラムは、前記接続開始通知として前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つについて、前記端末装置の最新の情報を検出して前記不正接続検知システムに送信し、前記第1の不正接続判定手段は、前記端末情報検出手段が検出した第2の端末情報が、前記端末装置に関する前記端末情報格納手段に格納された第1の端末情報と一致しない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定することを特徴とすることもできる。前記正規の端末装置について、前記端末装置の正規の識別情報又は前記端末装置の前記ネットワークへの正規の接続状態に関する情報の少なくとも一つに関する第1の端末情報を格納する端末情報格納手段と、前記端末情報受信手段が受信した端末装置に関する情報から、前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つに関する第2の端末情報を検出する端末情報検出手段と、を備えていて、前記監視プログラムは、前記端末装置に関する情報として前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つについて、前記端末装置の最新の情報を検出して前記不正接続検知システムに送信し、前記第2の不正接続判定手段は、前記端末情報検出手段が検出した第2の端末情報が、前記端末装置に関する前記端末情報格納手段に格納された第1の端末情報と一致しない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定することを特徴としてもよい。
本発明においては、監視プログラムはネットワークへの接続時に接続開始通知を送信するため、IPアドレス等によりネットワークへの接続が確認された端末について管理サーバが接続開始通知を受信しないと、当該端末では本来は存在するべき監視プログラムが動作しておらず、IPアドレス等が書き換えられた不正な端末であると判定することが可能になる。
また、接続権限を有する正規の端末装置についてのIPアドレスやMACアドレス等の端末の識別情報、ゲートウェイやDHCPサーバのIPアドレスなど端末の接続状態に関する情報を予め管理サーバに記憶させておき、接続開始通知として接続時の端末のIPアドレス等の識別情報やゲートウェイのIPアドレス等の接続状態に関する情報を合わせて受信して照合することにより、端末の状態が正常であるか否かを確認して不正な接続でないかを判定するよう構成してもよい。
本発明においては、監視プログラムはネットワークに接続されている間は所定の間隔で端末に関する情報を送信するため、IPアドレス等によりネットワークへの接続が確認された端末について管理サーバが所定の間隔で端末に関する情報を受信しないと、当該端末では本来は存在するべき監視プログラムが動作しておらず、IPアドレス等が書き換えられた不正な端末であると判定することが可能になる。
また、接続権限を有する正規の端末装置についてのIPアドレスやMACアドレス等の端末の識別情報、ゲートウェイやDHCPサーバのIPアドレスなど端末の接続状態に関する情報を予め管理サーバに記憶させておき、端末に関する情報として接続時の端末のIPアドレス等の識別情報やゲートウェイのIPアドレス等の接続状態に関する情報を合わせて受信して照合することにより、端末の状態が正常であるか否かを確認して不正な接続でないかを判定するよう構成してもよい。
本発明は、前記正規の端末装置に格納された監視プログラムは、不正操作と定義された所定のイベントを検知すると前記イベントの発生通知を前記不正接続検知システムに送信し、前記不正接続検知システムは、前記正規の端末装置に格納された監視プログラムから送信された前記イベントの発生通知を受信する発生通知受信手段と、前記接続端末検出手段が前記ネットワークに接続中であると検出した端末装置について、前記発生通知受信手段が発生通知を受信した場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第3の不正接続判定手段と、を備えていて、前記パケット送信手段は、前記第3の不正接続判定手段が不正に接続されていると判定した端末装置について、前記端末装置又は前記端末装置の通信対象となっている端末装置に対して通信を阻害するためのパケット、若しくは前記端末装置と前記端末装置の通信対象となっている端末装置の間のセッションを切断するためのパケットを送信することを特徴とすることもできる。
この構成においては、例えばなりすましのために正規の端末装置のIPアドレスが書き換えられるなど不正操作の可能性がある動作をイベントとして予め設定し、正規の端末装置においてはかかる動作を監視するプログラムを格納することにより、不正操作の可能性がある場合には速やかに管理サーバに通知して、所定の対処を行うことが可能になる。
本発明の他の実施形態は、接続権限を有さない不正な端末装置のネットワークへの接続を検知するための不正接続検知システムであって、前記ネットワークへの接続権限を有する正規の端末装置には、前記不正接続検知システムからのリクエストに対して、所定のレスポンスを返信する監視プログラムが格納されていて、前記ネットワークに接続されている端末装置を検出する接続端末検出手段と、前記接続端末検出手段が前記ネットワークに接続中であると検出した端末装置に対して、前記リクエストを送信するリクエスト送信手段と、前記正規の端末装置に格納された監視プログラムから送信された前記リクエストに対するレスポンスを受信するレスポンス受信手段と、前記リクエスト送信手段がリクエストを送信した端末装置について、前記レスポンス受信手段が前記端末装置から前記リクエストに対するレスポンスを受信しない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第4の不正接続判定手段と、前記第4の不正接続判定手段が不正に接続されていると判定した端末装置について、前記端末装置又は前記端末装置の通信対象となっている端末装置に対して通信を阻害するためのパケット、若しくは前記端末装置と前記端末装置の通信対象となっている端末装置の間のセッションを切断するためのパケットを送信するパケット送信手段と、を備えることを特徴とする不正接続検知システムである。
また、前記実施形態においては、前記正規の端末装置について、前記端末装置の正規の識別情報又は前記端末装置の前記ネットワークへの正規の接続状態に関する情報の少なくとも一つに関する第1の端末情報を格納する端末情報格納手段と、前記レスポンス受信手段が受信したレスポンスから、前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つに関する第2の端末情報を検出する端末情報検出手段と、を備えていて、前記監視プログラムは、前記レスポンスとして前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つについて、前記端末装置の最新の情報を検出して前記不正接続検知システムに送信し、前記第4の不正接続判定手段は、前記端末情報検出手段が検出した第2の端末情報が、前記端末装置に関する前記端末情報格納手段に格納された第1の端末情報と一致しない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定することを特徴とすることもできる。
前記実施形態においては、管理サーバからはIPアドレス等から接続中であると検出した端末装置に対して所定のリクエストを送信し、接続権限を有する正規の端末装置は予め格納された監視プログラムでリクエストに対する所定のレスポンスを応答するが、なりすまし等により不正に接続された端末装置はかかる監視プログラムを備えていないためにレスポンスの応答ができず、レスポンスの有無からIPアドレス等が書き換えられた不正な端末であると判定することが可能になる。
また、接続権限を有する正規の端末装置についてのIPアドレスやMACアドレス等の端末の識別情報、ゲートウェイやDHCPサーバのIPアドレスなど端末の接続状態に関する情報を予め管理サーバに記憶させておき、端末からのレスポンスとして接続時の端末のIPアドレス等の識別情報やゲートウェイのIPアドレス等の接続状態に関する情報を合わせて受信して照合することにより、端末の状態が正常であるか否かを確認して不正な接続でないかを判定するよう構成してもよい。
本発明は、各々の発明にかかる不正接続検知システムに対応して、不正接続検知システムの各々の構成により実施される不正接続検知方法として発明を特定することもできる。
つまり、本発明に対応する不正接続検知方法は、接続権限を有さない端末装置のネットワークへの不正接続を検知するための不正接続検知方法であって、前記ネットワークへの接続権限を有する正規の端末装置が、前記ネットワークへの接続処理を起動するステップと、前記正規の端末装置が、前記ネットワークへの接続を確立すると、前記ネットワークへの接続が開始されたことを示す接続開始通知を前記ネットワークの管理サーバに送信するステップと、前記管理サーバが、前記ネットワークに接続された端末装置を検出する端末検出ステップと、前記管理サーバが、前記端末検出ステップで新たに前記ネットワークに接続中であると検出した端末装置について、前記接続開始通知を受信したかを確認し、前記接続開始通知を受信していない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第1の判定ステップと、前記正規の端末装置が、前記ネットワークへの接続を確立した後に、所定の間隔で前記端末装置に関する情報を前記ネットワークの管理サーバに送信するステップと、前記管理サーバが、前記端末検出ステップで新たに前記ネットワークに接続中であると検出した端末装置について、前記正規の端末装置に設定された所定の間隔で前記端末装置に関する情報を受信したかを確認し、前記端末装置に関する情報を前記所定の間隔で受信していない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第2の判定ステップと、前記第1の判定ステップ又は前記第2の判定ステップで不正に接続されていると判定した端末装置について、前記端末装置又は前記端末装置の通信対象となっている端末装置に対して通信を阻害するためのパケット、若しくは前記端末装置と前記端末装置の通信対象となっている端末装置の間のセッションを切断するためのパケットを送信するステップと、を有することを特徴とする不正接続検知方法である。
前記接続通知を送信するステップにおいて、前記正規の端末装置は、前記接続開始通知として前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つについて、前記正規の端末装置の最新の情報を検出して前記管理サーバに送信し、前記管理サーバが、前記接続開始通知から前記新たな端末装置の識別情報又は前記新たな端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つに関する第2の端末情報を検出するステップと、前記管理サーバが、前記第2の端末情報が、前記正規の端末装置について前記端末装置の正規の識別情報又は前記端末装置の前記ネットワークへの正規の接続状態に関する情報の少なくとも一つに関する第1の端末情報を格納する端末情報格納部に格納された第1の端末情報と一致しない場合は、前記新たな端末装置が前記ネットワークに不正に接続されていると判定する第3の判定ステップと、を有していて、前記パケットを送信するステップにおいては、前記第3の判定ステップにおいて不正に接続されていると判定した端末装置について、前記端末装置又は前記端末装置の通信対象となっている端末装置に対して通信を阻害するためのパケット、若しくは前記端末装置と前記端末装置の通信対象となっている端末装置の間のセッションを切断するためのパケットを送信することを特徴とすることもできる。前記端末装置に関する情報を送信するステップにおいて、前記正規の端末装置は、前記端末装置に関する情報として前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つについて、前記正規の端末装置の最新の情報を検出して前記管理サーバに送信し、前記管理サーバが、前記端末装置に関する情報から前記新たな端末装置の識別情報又は前記新たな端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つに関する第2の端末情報を検出するステップと、前記管理サーバが、前記第2の端末情報が、前記正規の端末装置について前記端末装置の正規の識別情報又は前記端末装置の前記ネットワークへの正規の接続状態に関する情報の少なくとも一つに関する第1の端末情報を格納する端末情報格納部に格納された第1の端末情報と一致しない場合は、前記新たな端末装置が前記ネットワークに不正に接続されていると判定する第4の判定ステップと、を有していて、前記パケットを送信するステップにおいては、前記第4の判定ステップにおいて不正に接続されていると判定した端末装置について、前記端末装置又は前記端末装置の通信対象となっている端末装置に対して通信を阻害するためのパケット、若しくは前記端末装置と前記端末装置の通信対象となっている端末装置の間のセッションを切断するためのパケットを送信することを特徴としてもよい。
前記正規の端末装置が、前記正規の端末装置において不正操作と定義された所定のイベントを検知するステップと、前記正規の端末装置が、前記所定のイベントを検知すると、前記イベントの発生通知を前記管理サーバに送信するステップと、前記管理サーバが、前記端末検出ステップで新たに前記ネットワークに接続中であると検出した端末装置について、前記発生通知を受信した場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第5の判定ステップと、を有していて、前記パケットを送信するステップにおいては、前記第5の判定ステップにおいて不正に接続されていると判定した端末装置について、前記端末装置又は前記端末装置の通信対象となっている端末装置に対して通信を阻害するためのパケット、若しくは前記端末装置と前記端末装置の通信対象となっている端末装置の間のセッションを切断するためのパケットを送信することを特徴としてもよい。
IPアドレスやMACアドレスを書き換えたなりすまし等によって接続権限を有さない不正な端末装置によるネットワークへの不正接続を行われた場合、従来のIPアドレスやMACアドレスをキーに付与された接続権限の確認のみでは対応することができないが、本発明により監視プログラムからの応答の有無により不正を検知して対処することが可能になる。
本発明を実施するための最良の形態について、図面を用いて以下に詳細に説明する。尚、以下では主としてIPアドレスの書き換えによるなりすましに対応する例について説明するが、本発明はかかる実施形態に限定されるものではない。
図1は、本発明にかかる不正接続検知システムの設定の一例を示す図である。図2は、本発明にかかる不正接続検知システムに用いられるネットワーク管理サーバと端末装置の構成を示すブロック図である。図3は、本発明にかかる不正接続検知システムに記録される正規の端末からの通知記録の例を示す図である。図4は、本発明にかかる不正接続検知システムにおいて、接続権限を有する正規の端末装置が接続された場合の管理サーバの動作の例を示す図である。図5は、本発明にかかる不正接続検知システムにおいて、接続権限を有しない不正な端末装置が接続された場合の管理サーバの動作の第1の例を示す図である。図6は、本発明にかかる不正接続検知システムにおいて、接続権限を有しない不正な端末装置が接続された場合の管理サーバの動作の第2の例を示す図である。図7は、本発明にかかる不正接続検知方法における端末の起動時の管理サーバのフローを示すフローチャートである。図8は、本発明にかかる不正接続検知方法における端末からの定時連絡を受ける管理サーバの第1の監視フローを示すフローチャートである。図9は、本発明にかかる不正接続検知方法における端末からの定時連絡を受ける管理サーバの第2の監視フローを示すフローチャートである。図10は、本発明にかかる不正接続検知方法における端末側の監視プログラムの第1のフローを示すフローチャートである。図11は、本発明にかかる不正接続検知方法における端末側の監視プログラムの第2のフローを示すフローチャートである。
図1は、本発明にかかる不正接続検知システムは、ルータ20の内側のクローズドなネットワークを監視するネットワーク管理サーバ10に備えられている。ネットワーク管理サーバ10では、端末情報格納部11においてネットワークへの接続権限が与えられた正規の端末装置30、40についてのIPアドレスやMACアドレス等の識別情報、ゲートウェイやDHCPサーバのIPアドレス等のネットワークへの接続状態に関する情報などの端末情報が格納されている。
尚、ネットワーク管理サーバ10はネットワークに接続された端末装置を所定の間隔で検出し、端末情報格納部11に格納された通常の状態との対比や、端末情報格納部11への接続状態等の履歴情報の書き込みを行うが、かかる機能は本発明にかかる不正接続検知システムとして動作するネットワーク管理サーバ10と物理的に同一のコンピュータが用いられてもよいし、分離された2以上のコンピュータによってこれらの機能を果すものであってもよい。特に前者の機能については、一般に用いられているネットワーク管理用のサーバを用いることが可能である。
また、端末情報格納部11に情報が格納される対象となる端末装置は、通常はネットワークを利用するユーザーが操作するコンピュータが対象となる他、ルータやDHCPサーバ、Webサーバなど、クローズドなネットワーク内に接続されている全てのノードを含むことができる。
ネットワークへの接続権限が与えられた正規の端末装置30、40には、それぞれネットワーク内での不正接続等の監視に用いられる監視プログラム31、41が格納されている。監視プログラム31、41は、コンピュータのオペレーションシステム等に含まれる一般的なネットワーク接続用のプログラムとは別に設けられていて、正規の端末装置30、40にのみインストールされる。従って、なりすましのために不正に持ち込まれたネットワークへの接続権限が与えられていない端末装置50には、監視プログラムは格納されていない。
従って、監視プログラム31、41によって、ネットワークへの接続時にネットワーク管理サーバ10に接続開始通知の送信、ネットワークに接続している間にネットワーク管理サーバに定期的に端末装置内の情報を送信するなどの動作を実行させることにより、ネットワーク管理サーバ10においてネットワークに接続中であると検出された端末装置については、ネットワーク管理サーバ10がかかる通知等を受信することになる。監視プログラム31、41から送信される通知等は、ネットワーク管理サーバ10からのリクエストに対して応答するものであってもよい。ネットワークに接続中でありながらもネットワーク管理サーバ10が通知等を受信しない端末装置については、監視プログラムがインストールされていないと推測されることから、なりすまし等により不正にネットワークに接続された端末装置であると判定することができる。
この構成をさらに具体的に説明すると、ネットワーク管理サーバ10と正規の端末装置30は、図2のように構成されている。図2の例では、ネットワーク管理サーバ10は、端末情報格納部11を備えた1台のコンピュータで構成されている。ネットワーク管理サーバ10の起動時には、ROM103に記憶された入力制御や出力制御などのハードウェア制御のための基本的な各種プログラムを起動するとともに、HDD104からコンピュータのオペレーションシステムを読み出してネットワークの監視を開始する。続いて、HDD104からネットワークへの不正接続を検知するための動作を実行するためのプログラムを読み出して、RAM102をワークエリアとして機能させながら、CPU101が演算処理を行って、ネットワークの監視を実行する。
一方、正規の端末装置30の起動時には、ROM303に記憶された入力制御や出力制御などのハードウェア制御のための基本的な各種プログラムを起動するとともに、HDD304からコンピュータのオペレーションシステムが読み出される。続いて、HDD304からネットワークへの不正接続を検知するために格納された監視プログラム31が読み出されて、RAM302をワークエリアとして機能させながら、CPU301が演算処理を行って、監視プログラム31によって定義された接続開始通知の送信などネットワーク管理サーバ10に対する所定の動作等を実行する。
例えば、監視プログラム31において、ネットワークへの接続時に接続開始通知を送信し、その後に所定の間隔で接続通知を送信するよう設定されている場合は、接続開始時や所定の時間到来時にはRAM302とCPU301で演算処理を行って、NIC(ネットワークインターフェイスカード)305から、LANを経由してネットワーク管理サーバ10に接続開始通知等のデータが送信される。ネットワーク管理サーバ10ではNIC105でこれを受け付けて、RAM102とCPU101で演算処理を行って受け付けたデータを解釈し、接続開始通知等の受信をHDD104の端末情報格納部11に記録する。HDDに監視プログラムが格納されていない場合には、かかるネットワーク管理サーバ10に対するデータの送信が行われないため、ネットワーク管理サーバ10では接続開始通知の不受理等から不正なネットワークへの接続を検知することができる。
図3は、本発明にかかる不正接続検知システムにおいて、ネットワーク管理サーバ10の端末情報格納部11に記録される正規の端末毎に設けられた通知記録を記録するテーブルの一例を示している。図3の例では、ネットワークへの接続権限を有する端末装置それぞれに端末IDを付与し、端末ID毎に設けられたテーブルに、当該端末装置を特定する識別情報であるIPアドレスとMACアドレスが記録されている。また、当該端末装置のネットワークへの接続記録と、当該端末に備えられた監視プログラムからの通知記録が記録されている。
このうち、端末の識別情報であるIPアドレスとMACアドレスについては、ネットワークに接続された端末装置の接続権限を判定するキーとして用いることができる。つまり、ネットワーク管理サーバ10がネットワークに新たな端末装置が接続されたことを検出すると、当該端末装置のIPアドレス又はMACアドレスを取得して、当該アドレスが端末情報格納部11に接続権限を有するとして記録されている正規の端末装置のIPアドレス又はMACアドレスと対比する。同一のIPアドレス又はMACアドレスが存在しない場合は、接続権限のない端末装置である可能性があるので、ネットワーク管理サーバ10はネットワークからの切断させるための何らかの処理を実行する。
尚、上記のIPアドレス又はMACアドレスを用いた判定は、いずれか一方をキーに判定してもよいし、双方の組合せが正規の端末装置と一致することを承認の条件としてもよい。また、このようにネットワークに接続されている端末装置からIPアドレス又はMACアドレスを取得しての接続権限の判定については、ネットワーク管理サーバ10とは別のコンピュータにおいて、オペレーションシステムの機能等を用いて動作させることとしてもよいし、本発明にかかる不正接続検知システムとともにネットワーク管理サーバ10において実行することとしてもよい。
ネットワークへの接続記録については、図3の例では過去のログも含めて記録されているが、かかるログは必須のものではなく、本発明にかかる不正接続検知システムを動作させるためには、少なくとも端末IDやIPアドレス等により特定される端末装置がネットワークに接続中であるか否かを判定できる情報が記録されていればよく、ネットワークに接続中であることを示すフラグ等を用いることとしてもよい。
監視プログラムからの通知記録については、図3の例では過去のログも含めて記録されているが、かかるログは必須のものではなく、例えば直前の通知記録に関する情報のみを記録してそこからの経過時間を測定するなど、ネットワークに接続中の間に所定の間隔で通知記録を受け付けているかどうかを確認できるよう構成されていればよい。また、図3の例では応答時の端末装置のIPアドレスなどの情報が併せて記録されているが、このように端末装置の識別情報や接続状態に関する情報についても記録するよう構成すれば、応答の有無を確認するだけでなく、IPアドレスが書き換えられるなど端末装置に何らかの変化が生じた場合に、これを検出して不正な操作を特定することが可能になる。
次に、図4乃至図6を用いて、本発明にかかる不正接続検知システムにおけるネットワーク管理サーバ10の動作について説明する。図4は、接続権限を有する正規の端末装置が接続された場合の例を、図5と図6は、接続権限を有しない不正な端末装置が接続された場合の例を示している。
図4において、ネットワークへの接続権限を有する正規の端末装置40に電源が入れられると、端末装置40のオペレーティングシステムが起動されてネットワークへの接続処理が行われる。端末装置40にパーソナルコンピュータ等が用いられると、通常はオペレーディングシステムによりルータやゲートウェイ、ファイルサーバなどのネットワーク内のノードに関する情報が集められ、ネットワークへの接続状態を把握する。
一方、ネットワーク管理サーバ10も随時ネットワークに接続されているノードを検出してIPアドレス等の情報を集めており、ネットワークに接続されているノードを把握している。また、ネットワーク管理サーバ10にはネットワークへの接続権限を有する端末装置のIPアドレス等の識別情報が記憶されており、ネットワーク管理サーバ10はネットワークに接続されていることを検出した端末装置のIPアドレス等と接続権限を有する端末装置のIPアドレス等を対比して、接続権限を有していない端末装置がネットワークに接続された場合に、これを検知することができる。
図4においては、ネットワーク管理サーバ10は端末装置40がネットワークに検出されたことを検出し、端末装置40からIPアドレス〔123.456.789.123〕を取得する。一方、ネットワーク管理サーバ10には、端末装置40がネットワークへの接続権限を有する端末装置であって、IPアドレスが〔123.456.789.123〕であることが記憶されており、端末装置40から取得したIPアドレスと一致するため、端末装置40が接続権限を有する端末装置であることが確認できる。
ネットワークへの接続権限を有する端末装置40には、ネットワークへの不正接続を検知するために用いられる専用の監視プログラム41が格納されている。端末装置40の電源が入れられてオペレーティングシステムが起動すると、監視プログラム41も起動されてネットワークへの接続開始を通知する固有の信号をネットワーク管理サーバ10に送信する。つまり、ネットワークへの接続権限を有する正規の端末装置がネットワークに接続された場合には、ネットワーク管理サーバ10は必ず接続開始を通知する監視プログラム固有の信号を受信することになる。図4では、ネットワークへの接続開始が9時であるとすると、監視プログラムからの最初の通知を9時に受信しているので、ネットワークに接続された端末装置は、確かにネットワークへの接続権限を有する端末装置40であると確認することができる。
また、監視プログラム41は、端末装置40がネットワークに接続されている間は、定期的に接続が継続されていることを通知する固有の信号をネットワーク管理サーバ10に送信する。かかる信号の送信は、ネットワーク管理サーバ側から所定の間隔で接続中の端末に監視プログラム41によってのみ応答可能なリクエストを送信し、監視プログラム41からのレスポンスを受け付けることとしてもよい。いずれの方法であっても、ネットワークへの接続権限を有する正規の端末装置がネットワークに接続されている間は、ネットワーク管理サーバ10は必ず接続が継続されていることを通知する監視プログラム固有の信号を受信することになる。図4では、ネットワークへの接続が開始された9時から1時間後の10時に正常に通知を受けたことが記録されており、ネットワークへの接続権限を有する端末装置40が正常な状態でネットワークへの接続を継続していることが確認できる。
尚、上記の接続が継続されていることを示す通知には、端末装置40の最新の状態に関する情報を含むこととして、ネットワーク管理サーバ10に記憶された正常な状態と対比するよう構成してもよい。端末装置40の最新の状態には、IPアドレスやMACアドレス等の端末の識別情報の他に、ゲートウェイやDHCPサーバのIPアドレスなど端末の接続状態に関する情報を用いてもよい。これらの情報が正常な状態と一致しない場合、例えばIPアドレスやMACアドレスが一致しない場合はアドレスが書き換えられた可能性があり、不正な操作が行われたと判定することができる。
図5において、端末装置50はネットワークへの接続権限を有しておらず、IPアドレスを書き換えたなりすましによってネットワークへの接続を試みようとしている。接続権限を有する正規の端末装置40になりすましを行うために、IPアドレスは端末装置40のIPアドレス〔123.456.789.123〕に書き換えられている。尚、端末装置50はネットワークへの接続権限を有する正規の端末装置ではないので、専用の監視プログラムは格納されていない。端末装置50に電源が入れられると、端末装置50のオペレーティングシステムが起動されてネットワークへの接続処理が行われる。
ネットワーク管理サーバ10は端末装置50がネットワークに検出されたことを検出し、端末装置50からIPアドレス〔123.456.789.123〕を取得する。一方、ネットワーク管理サーバ10には、ネットワークへの接続権限を有する端末装置のIPアドレスとして〔123.456.789.123〕が記憶されており、端末装置50から取得したIPアドレスと一致するため、IPアドレスによる判定のみからでは、端末装置50はネットワークへの接続権限を有する正規の端末装置であると誤認されることになってしまう。
一方、端末装置50には専用の監視プログラムが備えられていないため、ネットワークへの接続が開始されたとしても、接続開始を通知する固有の信号は送出されない。従って、ネットワーク管理サーバ10において端末装置40はネットワークに接続中のステータスとなっているものの、接続通知の記録がなされないため、端末装置40以外の接続権限を有していない不正な端末装置が端末装置40になりすましてネットワークに接続されているものと判定することができる。
また、接続が継続されている間についても、専用の監視プログラムが備えられていないため、正規の端末装置からは定期的に送出される接続が継続されていることを通知する固有の信号も送出されない。一方、ネットワーク管理サーバ10において端末装置40はネットワークに接続中のステータスとなっているため、かかる通知が受信されないことからも、接続権限を有していない不正な端末装置が端末装置40になりすましてネットワークに接続されているものと判定することができる。
図6は、図5のケースにおいて、端末装置50が端末装置40になりすますために、端末装置40のIPアドレスを他のIPアドレスに書き換える場合を示している。端末装置40が起動された時点では正常に接続が行われ、監視プログラム41から接続開始通知や接続が継続している間の端末からの情報等が送出される。このような状態であれば、ネットワーク管理サーバ10は接続が正常であると判定するが、端末装置50によるなりすましを行うために、端末装置40のIPアドレスが他の接続権限を有する端末装置30のIPアドレス〔123.456.789.100〕に書き換えられたとする。ここで端末装置50がIPアドレス〔123.456.789.123〕になりすまして接続すると、監視プログラム41から接続が継続している間の端末からの情報等が送出されるため、なりすましが検知されない場合がある。
そこで、監視プログラム41には、IPアドレスやMACアドレスの変更など、なりすましに関連する所定の動作が実行された場合には、ネットワーク管理サーバ10に通知する処理を実行させるよう設定することが好ましい。このように設定すると、端末装置40のIPアドレスが書き換えられると、監視プログラム41がその旨を通知する固有の信号をネットワーク管理サーバ10に送出するため、ネットワーク管理サーバ10では端末装置40に関連して何らかの不正操作が行われた可能性があることを検知することができる。また、監視プログラム41は、ネットワークを使用不可にする等のアクションを端末装置40において実行するよう設定すると、端末装置40側からもネットワークとの遮断操作を実行できるので、尚好ましい。
図5や図6の例の結果、ネットワークに接続されている端末が接続権限を有していない不正な端末装置であると判定されると、ネットワーク管理サーバ10は端末装置50の通信を切断するための処理を実行する。具体的には、例えば端末装置50と通信対象端末の間にTCPセッションが張られている場合であれば、そのセッションに対してリセットパケット又は終了パケットを送信して、セッションを切断することができる。
又は、端末装置50に対して偽装ARPリダイレクトパケットを送信して、端末装置50の送信パケットが通信対象端末に到達することを回避してもよい。端末装置50の通信対象端末に対して偽装ARPリダイレクトパケットを送信して、端末装置50と通信対象端末の間の通信を阻害することとしてもよい。
上記のような通信の切断処理に際しては、ネットワーク管理サーバ10は、管理者に対してメールを送信する、不正操作やそれに対する対処のログを記録するなどその他の動作を行うこととしてもよい。
続いて、図7乃至図11のフローチャートを用いて、本発明にかかる不正接続検知方法のフローについて説明する。図7乃至図9はネットワーク管理サーバ側のフローであって、図7は端末装置の起動時のフローを、図8及び図9は端末装置からの定時連絡を受けるネットワーク管理サーバのフローの2通りのパターンを示している。図10及び図11は端末装置側の監視プログラムのフローの2通りのパターンを示している。
図7を用いて、端末装置が起動してネットワークに接続されたときの、ネットワーク管理サーバ側のフローについて説明する。ある端末装置が起動されてクローズドなネットワークに接続されると、ネットワーク管理サーバは新たな端末装置が接続されたことを検出し(S01)、当該端末装置のIPアドレスを特定する(S02)。ここでネットワークに接続された端末装置を検出してIPアドレスを特定する方法は、ネットワーク管理サーバには予めネットワークへの接続が承認された端末装置についてのIPアドレスが記憶されているため、これらのIPアドレス宛にpingを送信して応答を受けることとすればよいが、その他にネットワーク監視やコンピュータのオペレーションシステムで通常利用される技術を用いればよく、特に限定されるものではない。例えば、ネットワーク上のパケットを盗聴するsnoopingの手段を用いて、全てのネットワーク上に流れるパケットを監視し、受信した各々のパケットについて、送信元IPアドレス、送信先IPアドレス、送信元MACアドレス(同一セグメント内の場合は送信元端末のMACアドレス、セグメントが異なる場合はルータのMACアドレス等)、送信先MACアドレス等の情報を取得することもできる。
新たな端末装置の接続が検出されて承認されたIPアドレス宛にpingを送信した場合、pingに対する応答の有無によって当該端末装置のIPアドレスが予め承認されたものであるか否かを判定する(S03)。つまり、pingに応答があれば承認されたIPアドレスであり、応答がない場合は承認されていないIPアドレスの端末装置が接続されたことになる。IPアドレスが承認されたものでない場合は、偽装ARPリダイレクトパケットの送信など、当該端末装置の通信を中断させるための処理を実行する(S09)。
次に、新たに接続された端末装置のMACアドレスを取得する(S04)。MACアドレスを直接特定できない場合には、IPアドレスからARPを用いて特定することとしてもよい。ネットワーク管理サーバには、予めネットワークへの接続が承認された端末装置についてのMACアドレスが記憶されており、新たに接続された端末装置から取得したMACアドレスが接続権限を有するものであるか否か、承認されたMACアドレスが記憶されたテーブルを参照して確認する(S05)。MACアドレスが承認されたものでない場合は、偽装ARPリダイレクトパケットの送信など、当該端末装置の通信を中断させるための処理を実行する(S09)。
ネットワーク管理サーバには、予めネットワークへの接続が承認された端末装置についてのIPアドレスとMACアドレスの組合せを記憶されておくこともできる。この場合、新たに接続された端末装置から取得したIPアドレスとMACアドレスの組合せが接続権限を有するものであるか否か、承認されたIPアドレスとMACアドレスの組合せが記憶されたテーブルを参照して確認する(S06)。IPアドレスとMACアドレスの組合せが承認されたものでない場合は、偽装ARPリダイレクトパケットの送信など、当該端末装置の通信を中断させるための処理を実行する(S09)。
尚、ここまでのフローは通常のネットワーク監視において用いられているものであるが、本発明においてはネットワークに接続中の端末装置を識別するために、これらのフローによりネットワークに接続中の端末装置がIPアドレス等の識別情報をキーにして特定された状態にあることを前提としている。従って、ネットワークに接続中の端末装置が特定できれば、IPアドレスとMACアドレスのいずれか一方又は双方の組合せ、若しくはその他の端末装置を識別できる識別情報のいずれにより特定するものであってもよい。
続いて、IPアドレスとMACアドレスの組合せの承認まで確認された場合は、当該端末装置から監視プログラムからの接続開始通知を受けたか否かを確認する(S07)。監視プログラムは接続権限を有する正規の端末装置にしか格納されていないので、IPアドレスやMACアドレスが偽装されたものである場合は、接続開始通知を受信することはない。従って、接続開始通知を所定の時間内に受信しない場合には、なりすましの可能性があると判定して、偽装ARPリダイレクトパケットの送信など、当該端末装置の通信を中断させるための処理を実行する(S09)。
一方、接続開始通知を受信した場合は、接続権限を有する正規の端末装置であると判定して、ネットワークへの接続を許容するとともに、当該端末装置がネットワークに接続されている間に不正操作が行われないことを監視するために、端末装置に格納された監視プログラムからの定時連絡についての連絡記録を開始する(S08)。
ネットワーク管理サーバにおける端末装置に格納された監視プログラムからの提示連絡の受信による不正操作の判定は、図8又は図9のように行われる。図8はネットワークに接続されている端末の特定を先に行うパターンで、まずネットワーク内に接続中の端末装置をIPアドレス等を取得して特定し(S10)、各々の端末装置から所定のタイミングで定時連絡を受け付けたか否かを確認する(S11)。
定時連絡は接続権限を有する正規の端末装置にのみ格納された監視プログラムを起動して送信されるので、IPアドレス等からはネットワークに接続中と判定されながら所定のタイミングで定時連絡を受け付けていない場合は、IPアドレス等のなりすましによる不正な接続が行われている可能性がある。従って、所定のタイミングで定時連絡を受け付けていない場合は、なりすましの可能性があると判定して、偽装ARPリダイレクトパケットの送信など、当該端末装置の通信を中断させるための処理を実行する(S13)。
一方、定時連絡を受け付けている場合は、当該定時連絡に含まれる端末装置から送信されたIPアドレスやMACアドレス等の識別情報、ゲートウェイサーバやDHCPサーバのIPアドレス等のネットワークへの接続状態に関する情報などを検出し、これらの最新情報が予めネットワーク管理サーバに記憶された通常の接続情報と異なるものでないか否かを確認する(S12)。接続情報に異常が生じている場合は、当該端末装置の接続状態に何らかの不正操作が行われている可能性があると判定して、偽装ARPリダイレクトパケットの送信など、当該端末装置の通信を中断させるための処理を実行する(S13)。接続情報に異常がない場合は、監視を継続する。
図9は、定時連絡の確認を先に行うパターンである。ネットワーク管理サーバはネットワークに接続中の端末装置から所定のタイミングで送信される定時連絡の受け付けるよう待機し(S14)、所定のタイミングになると定時連絡を受けたか否かを確認する(S15)。尚、このように所定のタイミングで定時連絡を受けるためには、接続権限を有する正規の端末装置にのみ格納された監視プログラムに定時連絡を実行するプログラムを含ませることとしてもよいし、ネットワーク管理サーバから所定のタイミングで監視プログラムのみで応答可能なリクエストを送信し、監視プログラムからのレスポンスとして定時連絡を受け付けることとしてもよい。
定時連絡を受けた場合には、当該定時連絡に含まれる端末装置から送信されたIPアドレスやMACアドレス等の識別情報、ゲートウェイサーバやDHCPサーバのIPアドレス等のネットワークへの接続状態に関する情報などを検出し、これらの最新情報が予めネットワーク管理サーバに記憶された通常の接続情報と異なるものでないか否かを確認する(S16)。接続情報に異常が生じている場合は、当該端末装置の接続状態に何らかの不正操作が行われている可能性があると判定して、偽装ARPリダイレクトパケットの送信など、当該端末装置の通信を中断させるための処理を実行する(S18)。接続情報に異常がない場合は、監視を継続する。
一方、定時連絡を受けなかった場合は、当該端末装置がネットワークに接続中であるか否かを確認する(S17)。接続中か否かの確認は、他のネットワーク監視システムで管理するデータを参照することとしてもよいし、pingの送信等により確認することとしてもよい。端末装置が接続されていない場合は、当該端末装置の電源がオフになるなど既に操作が終了していると判定できるので、監視を中止する。端末装置が接続されている場合は、接続中であるにもかかわらず定時連絡が行われないのは、監視プログラムを備えていない不正な端末装置が接続されている可能性があるため、なりすましの可能性があると判定して、偽装ARPリダイレクトパケットの送信など、当該端末装置の通信を中断させるための処理を実行する(S18)。
図10のフローチャートを用いて、端末装置側の監視プログラムで、ネットワーク管理サーバに対してネットワークへの接続開始時に接続開始通知を送信し、その後に所定のイベントが発生した場合にも通知を送信するフローについて説明する。まず、端末装置を起動してネットワークへの接続処理が実行されると(S21)、ネットワークへの接続権限を有する正規の端末装置にのみ格納された監視プログラムを起動して(S22)、ネットワーク管理サーバに所定の接続開始通知を送信する(S23)。当該接続開始通知はネットワークへの接続権限を有する正規の端末装置にのみ格納された監視プログラムにより生成され、固有のデータ形式の採用、非公開のヘッダーの付与などにより、当該監視プログラムを備えていないと生成できないデータとして送信される。接続開始通知を受信したネットワーク管理サーバは、先に説明したフローにより、当該端末装置の接続の可否についての判定を行う。
ネットワーク管理サーバにおいてネットワークへの接続が許容されると、IPアドレスの変更など、なりすまし等の不正操作の可能性がある所定の操作が実行されることを監視する(S24、S25)。所定の操作が実行されない場合はそのまま監視が継続されるが、所定の操作の実行を検出した場合は、当該端末装置において異常が発生したことの通知をネットワーク管理サーバに送信する(S26)。通知を受けたネットワーク管理サーバは、不正操作の可能性があるとして、当該端末装置のネットワークへの接続を切断する処理等を実行する。尚、所定の操作の実行を検出した場合には、端末装置上においてネットワークを使用不可にする等のアクションを実行することとしてもよい。
図11のフローチャートを用いて、端末装置側の監視プログラムで、ネットワーク管理サーバに対してネットワークへ接続中に定時連絡を送信するフローについて説明する。まず、端末装置を起動してネットワークへの接続処理が実行されると(S31)、ネットワークへの接続権限を有する正規の端末装置にのみ格納された監視プログラムを起動して(S32)、ネットワーク管理サーバに所定の接続開始通知を送信する(S33)。当該接続開始通知はネットワークへの接続権限を有する正規の端末装置にのみ格納された監視プログラムにより生成され、固有のデータ形式の採用、非公開のヘッダーの付与などにより、当該監視プログラムを備えていないと生成できないデータとして送信される。接続開始通知を受信したネットワーク管理サーバは、先に説明したフローにより、当該端末装置の接続の可否についての判定を行う。
当該端末装置では接続開始通知の送信から定時までの所定の時間の経過をカウントし、定時になると当該端末装置の最新のIPアドレス等の接続情報を取得する(S34)。当該接続情報は定時連絡として所定のタイミングでネットワーク管理サーバに送信されるが(S35)、当該定時連絡はネットワークへの接続権限を有する正規の端末装置にのみ格納された監視プログラムにより生成され、固有のデータ形式の採用、非公開のヘッダーの付与などにより、当該監視プログラムを備えていないと生成できないデータとして送信される。定時連絡を受信したネットワーク管理サーバは、先に説明したフローにより、当該端末装置の接続継続の可否についての判定を行う。
当該定時連絡の送信により、ネットワーク管理サーバが当該端末装置の接続継続を不可と判定すると、当該端末装置のネットワークへの切断が切断される。ネットワークへの切断が実行された場合には(S36)、当該端末装置の監視プログラムも停止する(S37)。一方、ネットワーク管理サーバが当該端末装置の接続継続を可と判定すると、ネットワークへの切断は実行されずに(S36)、定時連絡のための待機が継続される。
[図1]本発明にかかる不正接続検知システムの設定の一例を示す図である。
[図2]本発明にかかる不正接続検知システムに用いられるネットワーク管理サーバと端末装置の構成を示すブロック図である。
[図3]本発明にかかる不正接続検知システムに記録される正規の端末からの通知記録の例を示す図である。
[図4]本発明にかかる不正接続検知システムにおいて、接続権限を有する正規の端末装置が接続された場合の管理サーバの動作の例を示す図である。
[図5]本発明にかかる不正接続検知システムにおいて、接続権限を有しない不正な端末装置が接続された場合の管理サーバの動作の第1の例を示す図である。
[図6]本発明にかかる不正接続検知システムにおいて、接続権限を有しない不正な端末装置が接続された場合の管理サーバの動作の第2の例を示す図である。
[図7]本発明にかかる不正接続検知方法における端末の起動時の管理サーバのフローを示すフローチャートである。
[図8]本発明にかかる不正接続検知方法における端末からの定時連絡を受ける管理サーバの第1の監視フローを示すフローチャートである。
[図9]本発明にかかる不正接続検知方法における端末からの定時連絡を受ける管理サーバの第2の監視フローを示すフローチャートである。
[図10]本発明にかかる不正接続検知方法における端末側の監視プログラムの第1のフローを示すフローチャートである。
[図11]本発明にかかる不正接続検知方法における端末側の監視プログラムの第2のフローを示すフローチャートである。
[図2]本発明にかかる不正接続検知システムに用いられるネットワーク管理サーバと端末装置の構成を示すブロック図である。
[図3]本発明にかかる不正接続検知システムに記録される正規の端末からの通知記録の例を示す図である。
[図4]本発明にかかる不正接続検知システムにおいて、接続権限を有する正規の端末装置が接続された場合の管理サーバの動作の例を示す図である。
[図5]本発明にかかる不正接続検知システムにおいて、接続権限を有しない不正な端末装置が接続された場合の管理サーバの動作の第1の例を示す図である。
[図6]本発明にかかる不正接続検知システムにおいて、接続権限を有しない不正な端末装置が接続された場合の管理サーバの動作の第2の例を示す図である。
[図7]本発明にかかる不正接続検知方法における端末の起動時の管理サーバのフローを示すフローチャートである。
[図8]本発明にかかる不正接続検知方法における端末からの定時連絡を受ける管理サーバの第1の監視フローを示すフローチャートである。
[図9]本発明にかかる不正接続検知方法における端末からの定時連絡を受ける管理サーバの第2の監視フローを示すフローチャートである。
[図10]本発明にかかる不正接続検知方法における端末側の監視プログラムの第1のフローを示すフローチャートである。
[図11]本発明にかかる不正接続検知方法における端末側の監視プログラムの第2のフローを示すフローチャートである。
10 ネットワーク管理サーバ
101 CPU
102 RAM
103 ROM
104 HDD
105 NIC
11 端末情報格納部
20 ルータ
30 端末装置
301 CPU
302 RAM
303 ROM
304 HDD
305 NIC
31 監視プログラム
40 端末装置
41 監視プログラム
50 端末装置
101 CPU
102 RAM
103 ROM
104 HDD
105 NIC
11 端末情報格納部
20 ルータ
30 端末装置
301 CPU
302 RAM
303 ROM
304 HDD
305 NIC
31 監視プログラム
40 端末装置
41 監視プログラム
50 端末装置
Claims (8)
- 接続権限を有さない端末装置のネットワークへの不正接続を検知するための不正接続検知システムであって、
前記ネットワークへの接続権限を有する正規の端末装置には、前記端末装置がネットワークに接続されると、ネットワークへの接続が開始されたことを示す接続開始通知を前記不正接続検知システムに送信するとともに、所定の間隔で前記端末装置に関する情報を前記不正接続検知システムに送信する監視プログラムが格納されていて、
前記ネットワークに接続されている端末装置を検出する接続端末検出手段と、
前記正規の端末装置に格納された監視プログラムから送信された接続開始通知を受信する接続開始通知受信手段と、
前記接続端末検出手段が新たに前記ネットワークに接続中であると検出した端末装置について、前記接続開始通知受信手段が前記端末装置からの接続開始通知を受信したかを確認し、前記接続開始通知を受信していない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第1の不正接続判定手段と、
前記正規の端末装置に格納された監視プログラムから送信された前記端末装置に関する情報を受信する端末情報受信手段と、
前記接続端末検出手段が前記ネットワークに接続中であると検出した端末装置について、前記端末情報受信手段が前記監視プログラムに設定された所定の間隔で前記端末装置に関する情報を受信したかを確認し、前記端末装置に関する情報を前記所定の間隔で受信していない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第2の不正接続判定手段と、
前記第1の不正接続判定手段又は前記第2の不正接続判定手段が不正に接続されていると判定した端末装置について、前記端末装置又は前記端末装置の通信対象となっている端末装置に対して通信を阻害するためのパケット、若しくは前記端末装置と前記端末装置の通信対象となっている端末装置の間のセッションを切断するためのパケットを送信するパケット送信手段と、
を備えることを特徴とする不正接続検知システム。 - 前記正規の端末装置について、前記端末装置の正規の識別情報又は前記端末装置の前記ネットワークへの正規の接続状態に関する情報の少なくとも一つに関する第1の端末情報を格納する端末情報格納手段と、
前記接続開始通知受信手段が受信した接続開始通知から、前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つに関する第2の端末情報を検出する端末情報検出手段と、を備えていて、
前記監視プログラムは、前記接続開始通知として前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つについて、前記端末装置の最新の情報を検出して前記不正接続検知システムに送信し、
前記第1の不正接続判定手段は、前記端末情報検出手段が検出した第2の端末情報が、前記端末装置に関する前記端末情報格納手段に格納された第1の端末情報と一致しない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定すること
を特徴とする請求の範囲第1項記載の不正接続検知システム。 - 前記正規の端末装置について、前記端末装置の正規の識別情報又は前記端末装置の前記ネットワークへの正規の接続状態に関する情報の少なくとも一つに関する第1の端末情報を格納する端末情報格納手段と、
前記端末情報受信手段が受信した端末装置に関する情報から、前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つに関する第2の端末情報を検出する端末情報検出手段と、を備えていて、
前記監視プログラムは、前記端末装置に関する情報として前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つについて、前記端末装置の最新の情報を検出して前記不正接続検知システムに送信し、
前記第2の不正接続判定手段は、前記端末情報検出手段が検出した第2の端末情報が、前記端末装置に関する前記端末情報格納手段に格納された第1の端末情報と一致しない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定すること
を特徴とする請求の範囲第1項記載の不正接続検知システム。 - 前記正規の端末装置に格納された監視プログラムは、不正操作と定義された所定のイベントを検知すると前記イベントの発生通知を前記不正接続検知システムに送信し、
前記不正接続検知システムは、前記正規の端末装置に格納された監視プログラムから送信された前記イベントの発生通知を受信する発生通知受信手段と、
前記接続端末検出手段が前記ネットワークに接続中であると検出した端末装置について、前記発生通知受信手段が発生通知を受信した場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第3の不正接続判定手段と、を備えていて、
前記パケット送信手段は、前記第3の不正接続判定手段が不正に接続されていると判定した端末装置について、前記端末装置又は前記端末装置の通信対象となっている端末装置に対して通信を阻害するためのパケット、若しくは前記端末装置と前記端末装置の通信対象となっている端末装置の間のセッションを切断するためのパケットを送信すること
を特徴とする請求の範囲第1項乃至第3項いずれかに記載の不正接続検知システム。 - 接続権限を有さない端末装置のネットワークへの不正接続を検知するための不正接続検知方法であって、
前記ネットワークへの接続権限を有する正規の端末装置が、前記ネットワークへの接続処理を起動するステップと、
前記正規の端末装置が、前記ネットワークへの接続を確立すると、前記ネットワークへの接続が開始されたことを示す接続開始通知を前記ネットワークの管理サーバに送信するステップと、
前記管理サーバが、前記ネットワークに接続された端末装置を検出する端末検出ステップと、
前記管理サーバが、前記端末検出ステップで新たに前記ネットワークに接続中であると検出した端末装置について、前記接続開始通知を受信したかを確認し、前記接続開始通知を受信していない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第1の判定ステップと、
前記正規の端末装置が、前記ネットワークへの接続を確立した後に、所定の間隔で前記端末装置に関する情報を前記ネットワークの管理サーバに送信するステップと、
前記管理サーバが、前記端末検出ステップで新たに前記ネットワークに接続中であると検出した端末装置について、前記正規の端末装置に設定された所定の間隔で前記端末装置に関する情報を受信したかを確認し、前記端末装置に関する情報を前記所定の間隔で受信していない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第2の判定ステップと、
前記第1の判定ステップ又は前記第2の判定ステップで不正に接続されていると判定した端末装置について、前記端末装置又は前記端末装置の通信対象となっている端末装置に対して通信を阻害するためのパケット、若しくは前記端末装置と前記端末装置の通信対象となっている端末装置の間のセッションを切断するためのパケットを送信するステップと、
を有することを特徴とする不正接続検知方法。 - 前記接続通知を送信するステップにおいて、前記正規の端末装置は、前記接続開始通知として前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つについて、前記正規の端末装置の最新の情報を検出して前記管理サーバに送信し、
前記管理サーバが、前記接続開始通知から前記新たな端末装置の識別情報又は前記新たな端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つに関する第2の端末情報を検出するステップと、
前記管理サーバが、前記第2の端末情報が、前記正規の端末装置について前記端末装置の正規の識別情報又は前記端末装置の前記ネットワークへの正規の接続状態に関する情報の少なくとも一つに関する第1の端末情報を格納する端末情報格納部に格納された第1の端末情報と一致しない場合は、前記新たな端末装置が前記ネットワークに不正に接続されていると判定する第3の判定ステップと、を有していて、
前記パケットを送信するステップにおいては、前記第3の判定ステップにおいて不正に接続されていると判定した端末装置について、前記端末装置又は前記端末装置の通信対象となっている端末装置に対して通信を阻害するためのパケット、若しくは前記端末装置と前記端末装置の通信対象となっている端末装置の間のセッションを切断するためのパケットを送信すること
を特徴とする請求の範囲第5項記載の不正接続検知方法。 - 前記端末装置に関する情報を送信するステップにおいて、前記正規の端末装置は、前記端末装置に関する情報として前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つについて、前記正規の端末装置の最新の情報を検出して前記管理サーバに送信し、
前記管理サーバが、前記端末装置に関する情報から前記新たな端末装置の識別情報又は前記新たな端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つに関する第2の端末情報を検出するステップと、
前記管理サーバが、前記第2の端末情報が、前記正規の端末装置について前記端末装置の正規の識別情報又は前記端末装置の前記ネットワークへの正規の接続状態に関する情報の少なくとも一つに関する第1の端末情報を格納する端末情報格納部に格納された第1の端末情報と一致しない場合は、前記新たな端末装置が前記ネットワークに不正に接続されていると判定する第4の判定ステップと、を有していて、
前記パケットを送信するステップにおいては、前記第4の判定ステップにおいて不正に接続されていると判定した端末装置について、前記端末装置又は前記端末装置の通信対象となっている端末装置に対して通信を阻害するためのパケット、若しくは前記端末装置と前記端末装置の通信対象となっている端末装置の間のセッションを切断するためのパケットを送信すること
を特徴とする請求の範囲第5項記載の不正接続検知方法。 - 前記正規の端末装置が、前記正規の端末装置において不正操作と定義された所定のイベントを検知するステップと、
前記正規の端末装置が、前記所定のイベントを検知すると、前記イベントの発生通知を前記管理サーバに送信するステップと、
前記管理サーバが、前記端末検出ステップで新たに前記ネットワークに接続中であると検出した端末装置について、前記発生通知を受信した場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第5の判定ステップと、を有していて、
前記パケットを送信するステップにおいては、前記第5の判定ステップにおいて不正に接続されていると判定した端末装置について、前記端末装置又は前記端末装置の通信対象となっている端末装置に対して通信を阻害するためのパケット、若しくは前記端末装置と前記端末装置の通信対象となっている端末装置の間のセッションを切断するためのパケットを送信すること
を特徴とする請求の範囲第5項乃至第7項いずれかに記載の不正接続検知方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2004/009828 WO2006006217A1 (ja) | 2004-07-09 | 2004-07-09 | 不正接続検知システム及び不正接続検知方法 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005001104A Division JP4002276B2 (ja) | 2005-01-06 | 2005-01-06 | 不正接続検知システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP3824274B2 true JP3824274B2 (ja) | 2006-09-20 |
| JPWO2006006217A1 JPWO2006006217A1 (ja) | 2008-07-31 |
Family
ID=35783583
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005518106A Expired - Lifetime JP3824274B2 (ja) | 2004-07-09 | 2004-07-09 | 不正接続検知システム及び不正接続検知方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20080072289A1 (ja) |
| EP (1) | EP1768031A1 (ja) |
| JP (1) | JP3824274B2 (ja) |
| CN (1) | CN100478936C (ja) |
| HK (1) | HK1102273A1 (ja) |
| WO (1) | WO2006006217A1 (ja) |
Families Citing this family (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007199880A (ja) | 2006-01-25 | 2007-08-09 | Nec Corp | 通信システム、資格審査/設定用ネットワーク、通信機器及びそれらに用いるネットワーク接続方法 |
| US20070291711A1 (en) * | 2006-06-14 | 2007-12-20 | Ibahn General Holdings Corporation | Techniques for wireless deployment |
| JP2009003548A (ja) * | 2007-06-19 | 2009-01-08 | Japan Lucida Co Ltd | 機器管理システム |
| JP2009048251A (ja) * | 2007-08-14 | 2009-03-05 | Japan Lucida Co Ltd | 機器データ管理システム |
| JP5083043B2 (ja) * | 2008-06-02 | 2012-11-28 | 富士通株式会社 | 接続監視方法、接続監視装置、及び接続監視システム |
| US9778953B2 (en) * | 2009-06-16 | 2017-10-03 | International Business Machines Corporation | Process and system for comprehensive IT discovery without credentials |
| DE102009030726A1 (de) * | 2009-06-26 | 2010-12-30 | Repower Systems Ag | Anordnung und Verfahren zum Steuern des Zugriffs auf ein windparkinternes Datennetz |
| US8516236B2 (en) | 2009-09-30 | 2013-08-20 | Imation Corp. | Portable desktop device and method of host computer system hardware recognition and configuration |
| JP2013511078A (ja) * | 2009-11-13 | 2013-03-28 | イメーション コーポレイション | 接続の確認のためのデバイスおよび方法 |
| KR101080734B1 (ko) | 2010-01-14 | 2011-11-07 | 주식회사 안철수연구소 | 스푸핑 방지 방법 및 장치 |
| WO2011130274A2 (en) * | 2010-04-13 | 2011-10-20 | Cornell University | Private overlay for information networks |
| JP5581141B2 (ja) * | 2010-07-29 | 2014-08-27 | 株式会社Pfu | 管理サーバ、通信遮断装置、情報処理システム、方法およびプログラム |
| JP5551061B2 (ja) * | 2010-12-27 | 2014-07-16 | 株式会社Pfu | 情報処理装置、アドレス重複対処方法およびアドレス重複対処用プログラム |
| KR101453521B1 (ko) * | 2011-05-20 | 2014-10-24 | 주식회사 케이티 | 무선 액세스 포인트 장치 및 비인가 무선 랜 노드 탐지 방법 |
| TWI477117B (zh) * | 2011-10-06 | 2015-03-11 | Av Tech Corp | 網路連線狀態檢測系統及其方法 |
| JP5919205B2 (ja) * | 2013-01-28 | 2016-05-18 | 日立オートモティブシステムズ株式会社 | ネットワーク装置およびデータ送受信システム |
| JP2014235448A (ja) * | 2013-05-30 | 2014-12-15 | アズビル株式会社 | 機器管理装置および機器管理方法 |
| US9397989B1 (en) * | 2013-07-03 | 2016-07-19 | Amazon Technologies, Inc. | Bootstrapping user authentication on devices |
| US9336113B2 (en) * | 2013-07-29 | 2016-05-10 | Bose Corporation | Method and device for selecting a networked media device |
| US9916462B1 (en) * | 2013-11-18 | 2018-03-13 | Securus Technologies, Inc. | Interception of unauthorized communications in an controlled-environment facility |
| US10154052B1 (en) * | 2014-05-23 | 2018-12-11 | Amazon Technologies, Inc. | Tracer cookies to detect web session compromise by insiders |
| JP5974050B2 (ja) * | 2014-07-30 | 2016-08-23 | 京セラドキュメントソリューションズ株式会社 | 機器管理装置、機器管理プログラムおよび機器管理方法 |
| CN105635067B (zh) * | 2014-11-04 | 2019-11-15 | 华为技术有限公司 | 报文发送方法及装置 |
| JP6380202B2 (ja) * | 2015-03-31 | 2018-08-29 | ブラザー工業株式会社 | 情報保護装置 |
| US10147984B2 (en) | 2015-07-31 | 2018-12-04 | SynCells, Inc. | Portable and modular energy storage for multiple applications |
| US10594731B2 (en) | 2016-03-24 | 2020-03-17 | Snowflake Inc. | Systems, methods, and devices for securely managing network connections |
| CN106603334B (zh) * | 2016-12-14 | 2019-10-18 | 北京启明星辰信息安全技术有限公司 | 一种ip地址监测方法及装置 |
| JP6539363B2 (ja) | 2017-04-07 | 2019-07-03 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 不正通信検知方法、不正通信検知システム及びプログラム |
| WO2018186053A1 (ja) | 2017-04-07 | 2018-10-11 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 不正通信検知方法、不正通信検知システム及びプログラム |
| US11394573B2 (en) | 2017-06-13 | 2022-07-19 | SynCells, Inc. | Energy virtualization layer with a universal smart gateway |
| US11125461B2 (en) | 2017-06-13 | 2021-09-21 | Gerard O'Hora | Smart vent system with local and central control |
| US11271766B2 (en) * | 2017-06-13 | 2022-03-08 | SynCells, Inc. | Energy virtualization layer with a universal smart gateway |
| US10203738B2 (en) * | 2017-06-13 | 2019-02-12 | SynCells, Inc. | Energy virtualization layer for commercial and residential installations |
| US10850713B2 (en) | 2017-10-20 | 2020-12-01 | SynCells, Inc. | Robotics for rotating energy cells in vehicles |
| WO2019160076A1 (ja) * | 2018-02-19 | 2019-08-22 | フリービット株式会社 | 携帯情報端末のデータ通信や端末機能を制御するためのコンピュータソフトウエアプログラム及びデータ通信制御サーバ |
| US10757117B1 (en) | 2019-05-03 | 2020-08-25 | Greynoise Intelligence Inc. | Contextual analyses of network traffic |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA1287910C (en) * | 1986-09-30 | 1991-08-20 | Salvador Barron | Adjunct processor for providing computer facility access protection via call transfer |
| JPH09204324A (ja) * | 1996-01-26 | 1997-08-05 | Nec Corp | 監視端末のホスト状態表示方式 |
| US7148786B2 (en) * | 1996-09-30 | 2006-12-12 | Terumo Cardiovascular Systems Corporation | Network communication and message protocol for a medical perfusion system |
| CN1149787C (zh) * | 2001-04-29 | 2004-05-12 | 华为技术有限公司 | 在简单网络管理协议上增加用户安全验证的方法 |
| CN1394044A (zh) * | 2001-06-28 | 2003-01-29 | 杨磊 | 因特网ip-用户身份认证机制(方法) |
| CN1204713C (zh) * | 2002-05-01 | 2005-06-01 | 华为技术有限公司 | 宽带网络中用户上网连接管理方法 |
-
2004
- 2004-07-09 CN CNB2004800431045A patent/CN100478936C/zh not_active Expired - Fee Related
- 2004-07-09 JP JP2005518106A patent/JP3824274B2/ja not_active Expired - Lifetime
- 2004-07-09 EP EP04747296A patent/EP1768031A1/en not_active Withdrawn
- 2004-07-09 US US11/632,017 patent/US20080072289A1/en not_active Abandoned
- 2004-07-09 WO PCT/JP2004/009828 patent/WO2006006217A1/ja not_active Application Discontinuation
-
2007
- 2007-09-25 HK HK07110382.8A patent/HK1102273A1/xx not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| CN1954307A (zh) | 2007-04-25 |
| EP1768031A1 (en) | 2007-03-28 |
| CN100478936C (zh) | 2009-04-15 |
| HK1102273A1 (en) | 2007-11-09 |
| WO2006006217A1 (ja) | 2006-01-19 |
| JPWO2006006217A1 (ja) | 2008-07-31 |
| US20080072289A1 (en) | 2008-03-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3824274B2 (ja) | 不正接続検知システム及び不正接続検知方法 | |
| JP4405360B2 (ja) | ファイアウォールシステム及びファイアウォール制御方法 | |
| JP5278272B2 (ja) | ネットワーク通信装置及びその自動再接続方法 | |
| JPWO2007116605A1 (ja) | 通信端末装置、ルール配布装置およびプログラム | |
| WO2008141584A1 (en) | Message processing method, system, and equipment | |
| US9699202B2 (en) | Intrusion detection to prevent impersonation attacks in computer networks | |
| JP6435695B2 (ja) | コントローラ,及びその攻撃者検知方法 | |
| US20040083388A1 (en) | Method and apparatus for monitoring data packets in a packet-switched network | |
| JPWO2007007546A1 (ja) | 端末、セキュリティ設定方法、及びそのプログラム | |
| JP2006287299A (ja) | ネットワーク管理方法および装置並びに管理プログラム | |
| JP2004302538A (ja) | ネットワークセキュリティシステム及びネットワークセキュリティ管理方法 | |
| JP4170301B2 (ja) | DoS攻撃検出方法、DoS攻撃検出システム、およびDoS攻撃検出プログラム | |
| US11689928B2 (en) | Detecting unauthorized access to a wireless network | |
| JP4002276B2 (ja) | 不正接続検知システム | |
| JP4466597B2 (ja) | ネットワークシステム、ネットワーク管理装置、ネットワーク管理方法及びプログラム | |
| JP2001034553A (ja) | ネットワークアクセス制御方法及びその装置 | |
| JP4823728B2 (ja) | フレーム中継装置及びフレーム検査装置 | |
| JP2006320024A (ja) | 不正接続検知システム | |
| JP4655028B2 (ja) | ワームの感染防止システム | |
| JP4922620B2 (ja) | ネットワークシステム | |
| US20100325718A1 (en) | Automatic Firewall Configuration | |
| KR100840862B1 (ko) | 부정 접속 검지 시스템 및 부정 접속 검지 방법 | |
| JP2005056243A (ja) | ワームの感染防止システム | |
| JP2005318037A (ja) | 不正使用監視システム、不正使用監視警報装置、不正使用監視方法 | |
| JP2003186763A (ja) | コンピュータシステムへの不正侵入の検知と防止方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| TRDD | Decision of grant or rejection written | ||
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20060620 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060623 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060623 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 3824274 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100707 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110707 Year of fee payment: 5 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120707 Year of fee payment: 6 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120707 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130707 Year of fee payment: 7 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |