JP4002276B2 - 不正接続検知システム - Google Patents

不正接続検知システム Download PDF

Info

Publication number
JP4002276B2
JP4002276B2 JP2005001104A JP2005001104A JP4002276B2 JP 4002276 B2 JP4002276 B2 JP 4002276B2 JP 2005001104 A JP2005001104 A JP 2005001104A JP 2005001104 A JP2005001104 A JP 2005001104A JP 4002276 B2 JP4002276 B2 JP 4002276B2
Authority
JP
Japan
Prior art keywords
terminal device
network
connection
terminal
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2005001104A
Other languages
English (en)
Other versions
JP2006190057A (ja
Inventor
修 青木
裕晃 河野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intelligent Wave Inc
Original Assignee
Intelligent Wave Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intelligent Wave Inc filed Critical Intelligent Wave Inc
Priority to JP2005001104A priority Critical patent/JP4002276B2/ja
Publication of JP2006190057A publication Critical patent/JP2006190057A/ja
Application granted granted Critical
Publication of JP4002276B2 publication Critical patent/JP4002276B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、接続権限を有さない不正な端末装置によるネットワークへの不正接続を検知するための不正接続検知システムに関するものである。
社内LAN等のクローズドなネットワークでの重要情報の管理においては、ネットワークの外部からの不正な侵入を防止することとあわせて、ネットワーク内部における不正な操作による情報の持ち出しへの対策が重要な課題となっている。不正な情報の持ち出し等が行われる場合には、ネットワークに正規に接続された端末を用いると不正操作の痕跡を残したり不正操作者が特定されたりする恐れがあるために、不正操作者が自ら所有する端末をネットワークに接続して不正な情報の持ち出し等が行われることがある。
このような不正操作に対応するために、ネットワークに接続された端末を特定するための管理サーバをネットワーク内に設け、管理サーバにはネットワークへの接続が許可された端末の識別情報を記憶させておき、ネットワークに端末が接続されると当該端末の識別情報を取得してネットワークへの接続権限を確認し、接続権限を有していない端末がネットワークに接続された場合に、当該端末に対して不正操作を停止させることが行われている。ネットワークに接続されている端末を特定するための識別情報には、一般に端末に付与されたIPアドレスやMACアドレスが用いられている。
端末に付与されたIPアドレスやMACアドレスを取得して端末が正規なものか否かを判定する方法としては、端末を起動してネットワークへの接続が開始されたときに、端末からIPアドレスやMACアドレスを含むブロードキャスト信号を送信し、これを受信した管理サーバに記憶されたものと照合する方法(例えば、特許文献1参照。)や、IPアドレスをキーにARPを用いてMACアドレスを取得し、IPアドレスとMACアドレスの組合せを管理サーバに記憶されたものと照合する方法(例えば、特許文献2参照。)などが開示されている。
特開平6−334671号 特開2000−201143号
上記の方法により、接続権限を有しない端末がネットワークに接続された場合には、管理サーバが記憶していないIPアドレスやMACアドレスを検出することにより、不正な接続を検知してネットワークからの切断等の対処を行うことができる。しかしながら、この方法が有効なのは、IPアドレスやMACアドレスが個々の端末と紐付けられていることが前提であり、IPアドレスやMACアドレスが書き換えられてしまった場合には、不正な接続であることを検知することができない。
実際に不正接続が行われるケースでは、接続権限を持つ端末をネットワークから切り離し、一方で不正接続を行うために別の端末を持ち込んで、当該端末のIPアドレスやMACアドレスを、接続権限を有する端末のIPアドレスやMACアドレスに書き換えて接続するいわゆる「なりすまし」が行われることがある。なりすましが行われた場合、IPアドレスやMACアドレス自体は接続権限を有する正規のものが用いられるので、不正であることを発見できないという問題がある。
なりすましによる情報の流出を防止するためには、重要情報が存在する端末へのアクセスの認証を強化するなど、他の方法と併用することが考えられるが、何らかの方法で端末へのアクセスを制御したとしても、ネットワーク上に不正な端末が接続された状態を許容してしまうと、パケット盗聴(スニーフィング)が行われた場合にもこれを検知できないという問題が生じる。従って、接続権限を有さない不正な端末がネットワークに接続された場合には、なりすましが行われている場合であってもこれをいち早く検出して対処を行うことが必要である。
本発明は、このような課題に対応するためになされたものであり、接続権限を有さない不正な端末装置がIPアドレスやMACアドレスを書き換えたなりすまし等によりネットワークへの不正接続を行った場合、これを検知して対処するための不正接続検知システムを提供することを目的とするものである。
以下に説明する本発明においては、いずれもネットワークへの接続権限を有する正規の端末には専用の監視プログラムが格納されており、当該端末のネットワークへの接続時には当該監視プログラムが所定の動作を行ってネットワークを管理する管理サーバに所定の情報を送信するよう構成することにより、当該情報の有無や内容によって、接続権限を有さない不正な端末のネットワークへの接続を検知することができる。
尚、以下の発明において、ネットワークとはLANなどアクセス権限を有するもののみが接続可能なクローズドなネットワークが該当する。端末装置には通常はパーソナルコンピュータなどのコンピュータ機器が該当するが、ネットワークに接続が可能なものであれば、ルータやゲートウェイなどのネットワーク機器、Webサーバ等のサーバ、PDA等のモバイル端末などどのようなものであってもよい。
前述の課題を解決する本発明は、接続権限を有さない端末装置のネットワークへの不正接続を検知するための、前記端末装置に格納された監視プログラムと前記ネットワークへの接続を管理する管理サーバからなる不正接続検知システムであって、前記監視プログラムは、前記ネットワークへの接続権限を有する正規の端末装置のみに格納され、前記端末装置がネットワークに接続されると、ネットワークへの接続が開始されたことを示す接続開始通知を前記管理サーバに送信するとともに、不正操作と定義された所定のイベントを検知すると前記イベントの発生通知を前記管理サーバに送信し前記管理サーバには、前記ネットワークに接続されている端末装置を検出する接続端末検出手段と、前記正規の端末装置に格納された監視プログラムから送信された接続開始通知を受信する接続開始通知受信手段と、前記正規の端末装置に格納された監視プログラムから送信された前記イベントの発生通知を受信する発生通知受信手段と、前記接続端末検出手段が新たに前記ネットワークに接続中であると検出した端末装置について、前記接続開始通知受信手段が前記端末装置からの接続開始通知を受信したかを確認し、前記接続開始通知を受信していない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第1の不正接続判定手段と、前記接続端末検出手段が前記ネットワークに接続中であると検出した端末装置について、前記発生通知受信手段が発生通知を受信した場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第2の不正接続判定手段と、前記第1の不正接続判定手段又は前記第2の不正接続判定手段が不正に接続されていると判定した端末装置について、前記端末装置又は前記端末装置の通信対象となっている端末装置に対して通信を阻害するためのパケット、若しくは前記端末装置と前記端末装置の通信対象となっている端末装置の間のセッションを切断するためのパケットを送信するパケット送信手段と、が備えられていることを特徴とする不正接続検知システムである。
また、本発明は、前記管理サーバには、前記正規の端末装置について、前記端末装置の正規の識別情報又は前記端末装置の前記ネットワークへの正規の接続状態に関する情報の少なくとも一つに関する第1の端末情報を格納する端末情報格納手段と、前記接続開始通知受信手段が受信した接続開始通知から、前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つに関する第2の端末情報を検出する端末情報検出手段と、が備えられていて、前記監視プログラムは、前記接続開始通知として前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つについて、前記端末装置の最新の情報を検出して前記不正接続検知システムに送信し、前記第1の不正接続判定手段は、前記端末情報検出手段が検出した第2の端末情報が、前記端末装置に関する前記端末情報格納手段に格納された第1の端末情報と一致しない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定することを特徴とすることもできる。
本発明においては、監視プログラムはネットワークへの接続時に接続開始通知を送信するため、IPアドレス等によりネットワークへの接続が確認された端末について管理サーバが接続開始通知を受信しないと、当該端末では本来は存在するべき監視プログラムが動作しておらず、IPアドレス等が書き換えられた不正な端末であると判定することが可能になる。
また、例えばなりすましのために正規の端末装置のIPアドレスが書き換えられるなど不正操作の可能性がある動作をイベントとして予め設定し、正規の端末装置においてはかかる動作を監視するプログラムを格納することにより、不正操作の可能性がある場合には速やかに管理サーバに通知して、所定の対処を行うことが可能になる。
さらに、接続権限を有する正規の端末装置についてのIPアドレスやMACアドレス等の端末の識別情報、ゲートウェイやDHCPサーバのIPアドレスなど端末の接続状態に関する情報を予め管理サーバに記憶させておき、接続開始通知として接続時の端末のIPアドレス等の識別情報やゲートウェイのIPアドレス等の接続状態に関する情報を合わせて受信して照合することにより、端末の状態が正常であるか否かを確認して不正な接続でないかを判定するよう構成してもよい。
また、本発明の他の実施形態は、接続権限を有さない端末装置のネットワークへの不正接続を検知するための不正接続検知システムであって、前記ネットワークへの接続権限を有する正規の端末装置には、前記端末装置がネットワークに接続されると、ネットワークへの接続が開始されたことを示す接続開始通知を前記不正接続検知システムに送信するとともに、所定の間隔で前記端末装置に関する情報を前記不正接続検知システムに送信する監視プログラムが格納されていて、前記ネットワークに接続されている端末装置を検出する接続端末検出手段と、前記正規の端末装置に格納された監視プログラムから送信された接続開始通知を受信する接続開始通知受信手段と、前記接続端末検出手段が新たに前記ネットワークに接続中であると検出した端末装置について、前記接続開始通知受信手段が前記端末装置からの接続開始通知を受信したかを確認し、前記接続開始通知を受信していない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第1の不正接続判定手段と、前記正規の端末装置に格納された監視プログラムから送信された前記端末装置に関する情報を受信する端末情報受信手段と、前記接続端末検出手段が前記ネットワークに接続中であると検出した端末装置について、前記端末情報受信手段が前記監視プログラムに設定された所定の間隔で前記端末装置に関する情報を受信したかを確認し、前記端末装置に関する情報を前記所定の間隔で受信していない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第3の不正接続判定手段と、前記第1の不正接続判定手段又は前記第3の不正接続判定手段が不正に接続されていると判定した端末装置について、前記端末装置又は前記端末装置の通信対象となっている端末装置に対して通信を阻害するためのパケット、若しくは前記端末装置と前記端末装置の通信対象となっている端末装置の間のセッションを切断するためのパケットを送信するパケット送信手段と、を備えることを特徴とする不正接続検知システムである。
前記実施形態においては、前記正規の端末装置について、前記端末装置の正規の識別情報又は前記端末装置の前記ネットワークへの正規の接続状態に関する情報の少なくとも一つに関する第1の端末情報を格納する端末情報格納手段と、前記端末情報受信手段が受信した端末装置に関する情報から、前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つに関する第2の端末情報を検出する端末情報検出手段と、を備えていて、前記監視プログラムは、前記端末装置に関する情報として前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つについて、前記端末装置の最新の情報を検出して前記不正接続検知システムに送信し、前記第3の不正接続判定手段は、前記端末情報検出手段が検出した第2の端末情報が、前記端末装置に関する前記端末情報格納手段に格納された第1の端末情報と一致しない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定することを特徴としてもよい。
前記実施形態では、監視プログラムはネットワークに接続されている間は所定の間隔で端末に関する情報を送信するため、IPアドレス等によりネットワークへの接続が確認された端末について管理サーバが所定の間隔で端末に関する情報を受信しないと、当該端末では本来は存在するべき監視プログラムが動作しておらず、IPアドレス等が書き換えられた不正な端末であると判定することが可能になる。
また、接続権限を有する正規の端末装置についてのIPアドレスやMACアドレス等の端末の識別情報、ゲートウェイやDHCPサーバのIPアドレスなど端末の接続状態に関する情報を予め管理サーバに記憶させておき、端末に関する情報として接続時の端末のIPアドレス等の識別情報やゲートウェイのIPアドレス等の接続状態に関する情報を合わせて受信して照合することにより、端末の状態が正常であるか否かを確認して不正な接続でないかを判定するよう構成してもよい。
この実施形態においても、例えばなりすましのために正規の端末装置のIPアドレスが書き換えられるなど不正操作の可能性がある動作をイベントとして予め設定し、正規の端末装置においてはかかる動作を監視するプログラムを格納することにより、不正操作の可能性がある場合には速やかに管理サーバに通知して、所定の対処を行うことが可能になる。
さらに、本発明の他の実施形態は、接続権限を有さない不正な端末装置のネットワークへの接続を検知するための不正接続検知システムであって、前記ネットワークへの接続権限を有する正規の端末装置には、前記不正接続検知システムからのリクエストに対して、所定のレスポンスを返信する監視プログラムが格納されていて、前記ネットワークに接続されている端末装置を検出する接続端末検出手段と、前記接続端末検出手段が前記ネットワークに接続中であると検出した端末装置に対して、前記リクエストを送信するリクエスト送信手段と、前記正規の端末装置に格納された監視プログラムから送信された前記リクエストに対するレスポンスを受信するレスポンス受信手段と、前記リクエスト送信手段がリクエストを送信した端末装置について、前記レスポンス受信手段が前記端末装置から前記リクエストに対するレスポンスを受信しない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第4の不正接続判定手段と、前記第4の不正接続判定手段が不正に接続されていると判定した端末装置について、前記端末装置又は前記端末装置の通信対象となっている端末装置に対して通信を阻害するためのパケット、若しくは前記端末装置と前記端末装置の通信対象となっている端末装置の間のセッションを切断するためのパケットを送信するパケット送信手段と、を備えることを特徴とする不正接続検知システムである。
前記実施形態においては、前記正規の端末装置について、前記端末装置の正規の識別情報又は前記端末装置の前記ネットワークへの正規の接続状態に関する情報の少なくとも一つに関する第1の端末情報を格納する端末情報格納手段と、前記レスポンス受信手段が受信したレスポンスから、前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つに関する第2の端末情報を検出する端末情報検出手段と、を備えていて、前記監視プログラムは、前記レスポンスとして前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つについて、前記端末装置の最新の情報を検出して前記不正接続検知システムに送信し、前記第4の不正接続判定手段は、前記端末情報検出手段が検出した第2の端末情報が、前記端末装置に関する前記端末情報格納手段に格納された第1の端末情報と一致しない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定することを特徴とすることもできる。
前記実施形態では、管理サーバからはIPアドレス等から接続中であると検出した端末装置に対して所定のリクエストを送信し、接続権限を有する正規の端末装置は予め格納された監視プログラムでリクエストに対する所定のレスポンスを応答するが、なりすまし等により不正に接続された端末装置はかかる監視プログラムを備えていないためにレスポンスの応答ができず、レスポンスの有無からIPアドレス等が書き換えられた不正な端末であると判定することが可能になる。
また、接続権限を有する正規の端末装置についてのIPアドレスやMACアドレス等の端末の識別情報、ゲートウェイやDHCPサーバのIPアドレスなど端末の接続状態に関する情報を予め管理サーバに記憶させておき、端末からのレスポンスとして接続時の端末のIPアドレス等の識別情報やゲートウェイのIPアドレス等の接続状態に関する情報を合わせて受信して照合することにより、端末の状態が正常であるか否かを確認して不正な接続でないかを判定するよう構成してもよい。
本発明は、本発明にかかる不正接続検知システムに対応して、不正接続検知システムの各々の構成により実施される不正接続検知方法として発明を特定することもできる。
つまり、本発明に対応する不正接続検知方法は、接続権限を有さない端末装置のネットワークへの不正接続を検知するために、監視プログラムが格納された端末装置と、前記ネットワークへの接続を管理する管理サーバによって実行される不正接続検知方法であって、前記監視プログラムは、前記ネットワークへの接続権限を有する正規の端末装置のみに格納されていて、前記ネットワークへの接続権限を有する正規の端末装置が、前記ネットワークへの接続処理を起動するステップと、前記正規の端末装置が、前記ネットワークへの接続を確立すると、前記監視プログラムによって、前記ネットワークへの接続が開始されたことを示す接続開始通知を前記管理サーバに送信する接続開始通知送信ステップと、前記管理サーバが、前記ネットワークに接続された端末装置を検出する端末検出ステップと、前記管理サーバが、前記端末検出ステップで新たに前記ネットワークに接続中であると検出した端末装置について、前記接続開始通知を受信したかを確認し、前記接続開始通知を受信していない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第1の判定ステップと、前記正規の端末装置が、前記監視プログラムによって、前記正規の端末装置において不正操作と定義された所定のイベントを検知するステップと、前記正規の端末装置が、前記所定のイベントを検知すると、前記監視プログラムによって、前記イベントの発生通知を前記管理サーバに送信するステップと、前記管理サーバが、前記端末検出ステップで新たに前記ネットワークに接続中であると検出した端末装置について、前記発生通知を受信した場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第2の判定ステップと、前記第1の判定ステップ又は前記第2の判定ステップで不正に接続されていると判定した端末装置について、前記端末装置又は前記端末装置の通信対象となっている端末装置に対して通信を阻害するためのパケット、若しくは前記端末装置と前記端末装置の通信対象となっている端末装置の間のセッションを切断するためのパケットを送信するステップと、を有することを特徴とする不正接続検知方法である。
本発明に対応する不正接続検知方法は、前記接続開始通知送信ステップにおいて、前記正規の端末装置は、前記監視プログラムによって、前記接続開始通知として前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つについて、前記正規の端末装置の最新の情報を検出して前記管理サーバに送信し、前記管理サーバが、前記接続開始通知から前記新たな端末装置の識別情報又は前記新たな端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つに関する第2の端末情報を検出するステップと、前記管理サーバが、前記第2の端末情報が、前記正規の端末装置について前記端末装置の正規の識別情報又は前記端末装置の前記ネットワークへの正規の接続状態に関する情報の少なくとも一つに関する第1の端末情報を格納する端末情報格納部に格納された第1の端末情報と一致しない場合は、前記新たな端末装置が前記ネットワークに不正に接続されていると判定する第3の判定ステップと、を有していて、前記パケットを送信するステップにおいては、前記第3の判定ステップにおいて不正に接続されていると判定した端末装置について、前記端末装置又は前記端末装置の通信対象となっている端末装置に対して通信を阻害するためのパケット、若しくは前記端末装置と前記端末装置の通信対象となっている端末装置の間のセッションを切断するためのパケットを送信することを特徴とすることもできる。
この他にも、本発明は、本発明にかかる不正接続検知システムの他の実施形態に対応して、不正接続検知システムの各々の実施形態により実施される不正接続検知方法として発明を特定することもできる。
IPアドレスやMACアドレスを書き換えたなりすまし等によって接続権限を有さない不正な端末装置によるネットワークへの不正接続を行われた場合、従来のIPアドレスやMACアドレスをキーに付与された接続権限の確認のみでは対応することができないが、本発明により監視プログラムからの応答の有無により不正を検知して対処することが可能になる。
本発明を実施するための最良の形態について、図面を用いて以下に詳細に説明する。尚、以下では主としてIPアドレスの書き換えによるなりすましに対応する例について説明するが、本発明はかかる実施形態に限定されるものではない。
図1は、本発明にかかる不正接続検知システムの設定の一例を示す図である。図2は、本発明にかかる不正接続検知システムに用いられるネットワーク管理サーバと端末装置の構成を示すブロック図である。図3は、本発明にかかる不正接続検知システムに記録される正規の端末からの通知記録の例を示す図である。図4は、本発明にかかる不正接続検知システムにおいて、接続権限を有する正規の端末装置が接続された場合の管理サーバの動作の例を示す図である。図5は、本発明にかかる不正接続検知システムにおいて、接続権限を有しない不正な端末装置が接続された場合の管理サーバの動作の第1の例を示す図である。図6は、本発明にかかる不正接続検知システムにおいて、接続権限を有しない不正な端末装置が接続された場合の管理サーバの動作の第2の例を示す図である。図7は、本発明にかかる不正接続検知システムにおける端末の起動時の管理サーバのフローを示すフローチャートである。図8は、本発明にかかる不正接続検知システムにおける端末からの定時連絡を受ける管理サーバの第1の監視フローを示すフローチャートである。図9は、本発明にかかる不正接続検知システムにおける端末からの定時連絡を受ける管理サーバの第2の監視フローを示すフローチャートである。図10は、本発明にかかる不正接続検知システムにおける端末側の監視プログラムの第1のフローを示すフローチャートである。図11は、本発明にかかる不正接続検知システムにおける端末側の監視プログラムの第2のフローを示すフローチャートである。
図1の例では、本発明にかかる不正接続検知システムは、ルータ20の内側のクローズドなネットワークを監視するネットワーク管理サーバ10に備えられている。ネットワーク管理サーバ10では、端末情報格納部11においてネットワークへの接続権限が与えられた正規の端末装置30、40についてのIPアドレスやMACアドレス等の識別情報、ゲートウェイやDHCPサーバのIPアドレス等のネットワークへの接続状態に関する情報などの端末情報が格納されている。
尚、ネットワーク管理サーバ10はネットワークに接続された端末装置を所定の間隔で検出し、端末情報格納部11に格納された通常の状態との対比や、端末情報格納部11への接続状態等の履歴情報の書き込みを行うが、かかる機能は本発明にかかる不正接続検知システムとして動作するネットワーク管理サーバ10と物理的に同一のコンピュータが用いられてもよいし、分離された2以上のコンピュータによってこれらの機能を果すものであってもよい。特に前者の機能については、一般に用いられているネットワーク管理用のサーバを用いることが可能である。
また、端末情報格納部11に情報が格納される対象となる端末装置は、通常はネットワークを利用するユーザーが操作するコンピュータが対象となる他、ルータやDHCPサーバ、Webサーバなど、クローズドなネットワーク内に接続されている全てのノードを含むことができる。
ネットワークへの接続権限が与えられた正規の端末装置30、40には、それぞれネットワーク内での不正接続等の監視に用いられる監視プログラム31、41が格納されている。監視プログラム31、41は、コンピュータのオペレーションシステム等に含まれる一般的なネットワーク接続用のプログラムとは別に設けられていて、正規の端末装置30、40にのみインストールされる。従って、なりすましのために不正に持ち込まれたネットワークへの接続権限が与えられていない端末装置50には、監視プログラムは格納されていない。
従って、監視プログラム31、41によって、ネットワークへの接続時にネットワーク管理サーバ10に接続開始通知の送信、ネットワークに接続している間にネットワーク管理サーバに定期的に端末装置内の情報を送信するなどの動作を実行させることにより、ネットワーク管理サーバ10においてネットワークに接続中であると検出された端末装置については、ネットワーク管理サーバ10がかかる通知等を受信することになる。監視プログラム31、41から送信される通知等は、ネットワーク管理サーバ10からのリクエストに対して応答するものであってもよい。ネットワークに接続中でありながらもネットワーク管理サーバ10が通知等を受信しない端末装置については、監視プログラムがインストールされていないと推測されることから、なりすまし等により不正にネットワークに接続された端末装置であると判定することができる。
この構成をさらに具体的に説明すると、ネットワーク管理サーバ10と正規の端末装置30は、図2のように構成されている。図2の例では、ネットワーク管理サーバ10は、端末情報格納部11を備えた1台のコンピュータで構成されている。ネットワーク管理サーバ10の起動時には、ROM103に記憶された入力制御や出力制御などのハードウェア制御のための基本的な各種プログラムを起動するとともに、HDD104からコンピュータのオペレーションシステムを読み出してネットワークの監視を開始する。続いて、HDD104からネットワークへの不正接続を検知するための動作を実行するためのプログラムを読み出して、RAM102をワークエリアとして機能させながら、CPU101が演算処理を行って、ネットワークの監視を実行する。
一方、正規の端末装置30の起動時には、ROM303に記憶された入力制御や出力制御などのハードウェア制御のための基本的な各種プログラムを起動するとともに、HDD304からコンピュータのオペレーションシステムが読み出される。続いて、HDD304からネットワークへの不正接続を検知するために格納された監視プログラム31が読み出されて、RAM302をワークエリアとして機能させながら、CPU301が演算処理を行って、監視プログラム31によって定義された接続開始通知の送信などネットワーク管理サーバ10に対する所定の動作等を実行する。
例えば、監視プログラム31において、ネットワークへの接続時に接続開始通知を送信し、その後に所定の間隔で接続通知を送信するよう設定されている場合は、接続開始時や所定の時間到来時にはRAM302とCPU301で演算処理を行って、NIC(ネットワークインターフェイスカード)305から、LANを経由してネットワーク管理サーバ10に接続開始通知等のデータが送信される。ネットワーク管理サーバ10ではNIC105でこれを受け付けて、RAM102とCPU101で演算処理を行って受け付けたデータを解釈し、接続開始通知等の受信をHDD104の端末情報格納部11に記録する。HDDに監視プログラムが格納されていない場合には、かかるネットワーク管理サーバ10に対するデータの送信が行われないため、ネットワーク管理サーバ10では接続開始通知の不受理等から不正なネットワークへの接続を検知することができる。
図3は、本発明にかかる不正接続検知システムにおいて、ネットワーク管理サーバ10の端末情報格納部11に記録される正規の端末毎に設けられた通知記録を記録するテーブルの一例を示している。図3の例では、ネットワークへの接続権限を有する端末装置それぞれに端末IDを付与し、端末ID毎に設けられたテーブルに、当該端末装置を特定する識別情報であるIPアドレスとMACアドレスが記録されている。また、当該端末装置のネットワークへの接続記録と、当該端末に備えられた監視プログラムからの通知記録が記録されている。
このうち、端末の識別情報であるIPアドレスとMACアドレスについては、ネットワークに接続された端末装置の接続権限を判定するキーとして用いることができる。つまり、ネットワーク管理サーバ10がネットワークに新たな端末装置が接続されたことを検出すると、当該端末装置のIPアドレス又はMACアドレスを取得して、当該アドレスが端末情報格納部11に接続権限を有するとして記録されている正規の端末装置のIPアドレス又はMACアドレスと対比する。同一のIPアドレス又はMACアドレスが存在しない場合は、接続権限のない端末装置である可能性があるので、ネットワーク管理サーバ10はネットワークからの切断させるための何らかの処理を実行する。
尚、上記のIPアドレス又はMACアドレスを用いた判定は、いずれか一方をキーに判定してもよいし、双方の組合せが正規の端末装置と一致することを承認の条件としてもよい。また、このようにネットワークに接続されている端末装置からIPアドレス又はMACアドレスを取得しての接続権限の判定については、ネットワーク管理サーバ10とは別のコンピュータにおいて、オペレーションシステムの機能等を用いて動作させることとしてもよいし、本発明にかかる不正接続検知システムとともにネットワーク管理サーバ10において実行することとしてもよい。
ネットワークへの接続記録については、図3の例では過去のログも含めて記録されているが、かかるログは必須のものではなく、本発明にかかる不正接続検知システムを動作させるためには、少なくとも端末IDやIPアドレス等により特定される端末装置がネットワークに接続中であるか否かを判定できる情報が記録されていればよく、ネットワークに接続中であることを示すフラグ等を用いることとしてもよい。
監視プログラムからの通知記録については、図3の例では過去のログも含めて記録されているが、かかるログは必須のものではなく、例えば直前の通知記録に関する情報のみを記録してそこからの経過時間を測定するなど、ネットワークに接続中の間に所定の間隔で通知記録を受け付けているかどうかを確認できるよう構成されていればよい。また、図3の例では応答時の端末装置のIPアドレスなどの情報が併せて記録されているが、このように端末装置の識別情報や接続状態に関する情報についても記録するよう構成すれば、応答の有無を確認するだけでなく、IPアドレスが書き換えられるなど端末装置に何らかの変化が生じた場合に、これを検出して不正な操作を特定することが可能になる。
次に、図4乃至図6を用いて、本発明にかかる不正接続検知システムにおけるネットワーク管理サーバ10の動作について説明する。図4は、接続権限を有する正規の端末装置が接続された場合の例を、図5と図6は、接続権限を有しない不正な端末装置が接続された場合の例を示している。
図4において、ネットワークへの接続権限を有する正規の端末装置40に電源が入れられると、端末装置40のオペレーティングシステムが起動されてネットワークへの接続処理が行われる。端末装置40にパーソナルコンピュータ等が用いられると、通常はオペレーディングシステムによりルータやゲートウェイ、ファイルサーバなどのネットワーク内のノードに関する情報が集められ、ネットワークへの接続状態を把握する。
一方、ネットワーク管理サーバ10も随時ネットワークに接続されているノードを検出してIPアドレス等の情報を集めており、ネットワークに接続されているノードを把握している。また、ネットワーク管理サーバ10にはネットワークへの接続権限を有する端末装置のIPアドレス等の識別情報が記憶されており、ネットワーク管理サーバ10はネットワークに接続されていることを検出した端末装置のIPアドレス等と接続権限を有する端末装置のIPアドレス等を対比して、接続権限を有していない端末装置がネットワークに接続された場合に、これを検知することができる。
図4においては、ネットワーク管理サーバ10は端末装置40がネットワークに検出されたことを検出し、端末装置40からIPアドレス〔123.456.789.123〕を取得する。一方、ネットワーク管理サーバ10には、端末装置40がネットワークへの接続権限を有する端末装置であって、IPアドレスが〔123.456.789.123〕であることが記憶されており、端末装置40から取得したIPアドレスと一致するため、端末装置40が接続権限を有する端末装置であることが確認できる。
ネットワークへの接続権限を有する端末装置40には、ネットワークへの不正接続を検知するために用いられる専用の監視プログラム41が格納されている。端末装置40の電源が入れられてオペレーティングシステムが起動すると、監視プログラム41も起動されてネットワークへの接続開始を通知する固有の信号をネットワーク管理サーバ10に送信する。つまり、ネットワークへの接続権限を有する正規の端末装置がネットワークに接続された場合には、ネットワーク管理サーバ10は必ず接続開始を通知する監視プログラム固有の信号を受信することになる。図4では、ネットワークへの接続開始が9時であるとすると、監視プログラムからの最初の通知を9時に受信しているので、ネットワークに接続された端末装置は、確かにネットワークへの接続権限を有する端末装置40であると確認することができる。
また、監視プログラム41は、端末装置40がネットワークに接続されている間は、定期的に接続が継続されていることを通知する固有の信号をネットワーク管理サーバ10に送信する。かかる信号の送信は、ネットワーク管理サーバ側から所定の間隔で接続中の端末に監視プログラム41によってのみ応答可能なリクエストを送信し、監視プログラム41からのレスポンスを受け付けることとしてもよい。いずれの方法であっても、ネットワークへの接続権限を有する正規の端末装置がネットワークに接続されている間は、ネットワーク管理サーバ10は必ず接続が継続されていることを通知する監視プログラム固有の信号を受信することになる。図4では、ネットワークへの接続が開始された9時から1時間後の10時に正常に通知を受けたことが記録されており、ネットワークへの接続権限を有する端末装置40が正常な状態でネットワークへの接続を継続していることが確認できる。
尚、上記の接続が継続されていることを示す通知には、端末装置40の最新の状態に関する情報を含むこととして、ネットワーク管理サーバ10に記憶された正常な状態と対比するよう構成してもよい。端末装置40の最新の状態には、IPアドレスやMACアドレス等の端末の識別情報の他に、ゲートウェイやDHCPサーバのIPアドレスなど端末の接続状態に関する情報を用いてもよい。これらの情報が正常な状態と一致しない場合、例えばIPアドレスやMACアドレスが一致しない場合はアドレスが書き換えられた可能性があり、不正な操作が行われたと判定することができる。
図5において、端末装置50はネットワークへの接続権限を有しておらず、IPアドレスを書き換えたなりすましによってネットワークへの接続を試みようとしている。接続権限を有する正規の端末装置40になりすましを行うために、IPアドレスは端末装置40のIPアドレス〔123.456.789.123〕に書き換えられている。尚、端末装置50はネットワークへの接続権限を有する正規の端末装置ではないので、専用の監視プログラムは格納されていない。端末装置50に電源が入れられると、端末装置50のオペレーティングシステムが起動されてネットワークへの接続処理が行われる。
ネットワーク管理サーバ10は端末装置50がネットワークに検出されたことを検出し、端末装置50からIPアドレス〔123.456.789.123〕を取得する。一方、ネットワーク管理サーバ10には、ネットワークへの接続権限を有する端末装置のIPアドレスとして〔123.456.789.123〕が記憶されており、端末装置50から取得したIPアドレスと一致するため、IPアドレスによる判定のみからでは、端末装置50はネットワークへの接続権限を有する正規の端末装置であると誤認されることになってしまう。
一方、端末装置50には専用の監視プログラムが備えられていないため、ネットワークへの接続が開始されたとしても、接続開始を通知する固有の信号は送出されない。従って、ネットワーク管理サーバ10において端末装置40はネットワークに接続中のステータスとなっているものの、接続通知の記録がなされないため、端末装置40以外の接続権限を有していない不正な端末装置が端末装置40になりすましてネットワークに接続されているものと判定することができる。
また、接続が継続されている間についても、専用の監視プログラムが備えられていないため、正規の端末装置からは定期的に送出される接続が継続されていることを通知する固有の信号も送出されない。一方、ネットワーク管理サーバ10において端末装置40はネットワークに接続中のステータスとなっているため、かかる通知が受信されないことからも、接続権限を有していない不正な端末装置が端末装置40になりすましてネットワークに接続されているものと判定することができる。
図6は、図5のケースにおいて、端末装置50が端末装置40になりすますために、端末装置40のIPアドレスを他のIPアドレスに書き換える場合を示している。端末装置40が起動された時点では正常に接続が行われ、監視プログラム41から接続開始通知や接続が継続している間の端末からの情報等が送出される。このような状態であれば、ネットワーク管理サーバ10は接続が正常であると判定するが、端末装置50によるなりすましを行うために、端末装置40のIPアドレスが他の接続権限を有する端末装置30のIPアドレス〔123.456.789.100〕に書き換えられたとする。ここで端末装置50がIPアドレス〔123.456.789.123〕になりすまして接続すると、監視プログラム41から接続が継続している間の端末からの情報等が送出されるため、なりすましが検知されない場合がある。
そこで、監視プログラム41には、IPアドレスやMACアドレスの変更など、なりすましに関連する所定の動作が実行された場合には、ネットワーク管理サーバ10に通知する処理を実行させるよう設定することが好ましい。このように設定すると、端末装置40のIPアドレスが書き換えられると、監視プログラム41がその旨を通知する固有の信号をネットワーク管理サーバ10に送出するため、ネットワーク管理サーバ10では端末装置40に関連して何らかの不正操作が行われた可能性があることを検知することができる。また、監視プログラム41は、ネットワークを使用不可にする等のアクションを端末装置40において実行するよう設定すると、端末装置40側からもネットワークとの遮断操作を実行できるので、尚好ましい。
図5や図6の例の結果、ネットワークに接続されている端末が接続権限を有していない不正な端末装置であると判定されると、ネットワーク管理サーバ10は端末装置50の通信を切断するための処理を実行する。具体的には、例えば端末装置50と通信対象端末の間にTCPセッションが張られている場合であれば、そのセッションに対してリセットパケット又は終了パケットを送信して、セッションを切断することができる。
又は、端末装置50に対して偽装ARPリダイレクトパケットを送信して、端末装置50の送信パケットが通信対象端末に到達することを回避してもよい。端末装置50の通信対象端末に対して偽装ARPリダイレクトパケットを送信して、端末装置50と通信対象端末の間の通信を阻害することとしてもよい。
上記のような通信の切断処理に際しては、ネットワーク管理サーバ10は、管理者に対してメールを送信する、不正操作やそれに対する対処のログを記録するなどその他の動作を行うこととしてもよい。
続いて、図7乃至図11のフローチャートを用いて、本発明にかかる不正接続検知システムのフローについて説明する。図7乃至図9はネットワーク管理サーバ側のフローであって、図7は端末装置の起動時のフローを、図8及び図9は端末装置からの定時連絡を受けるネットワーク管理サーバのフローの2通りのパターンを示している。図10及び図11は端末装置側の監視プログラムのフローの2通りのパターンを示している。
図7を用いて、端末装置が起動してネットワークに接続されたときの、ネットワーク管理サーバ側のフローについて説明する。ある端末装置が起動されてクローズドなネットワークに接続されると、ネットワーク管理サーバは新たな端末装置が接続されたことを検出し(S01)、当該端末装置のIPアドレスを特定する(S02)。ここでネットワークに接続された端末装置を検出してIPアドレスを特定する方法は、ネットワーク管理サーバには予めネットワークへの接続が承認された端末装置についてのIPアドレスが記憶されているため、これらのIPアドレス宛にpingを送信して応答を受けることとすればよいが、その他にネットワーク監視やコンピュータのオペレーションシステムで通常利用される技術を用いればよく、特に限定されるものではない。例えば、ネットワーク上のパケットを盗聴するsnoopingの手段を用いて、全てのネットワーク上に流れるパケットを監視し、受信した各々のパケットについて、送信元IPアドレス、送信先IPアドレス、送信元MACアドレス(同一セグメント内の場合は送信元端末のMACアドレス、セグメントが異なる場合はルータのMACアドレス等)、送信先MACアドレス等の情報を取得することもできる。
新たな端末装置の接続が検出されて承認されたIPアドレス宛にpingを送信した場合、pingに対する応答の有無によって当該端末装置のIPアドレスが予め承認されたものであるか否かを判定する(S03)。つまり、pingに応答があれば承認されたIPアドレスであり、応答がない場合は承認されていないIPアドレスの端末装置が接続されたことになる。IPアドレスが承認されたものでない場合は、偽装ARPリダイレクトパケットの送信など、当該端末装置の通信を中断させるための処理を実行する(S09)。
次に、新たに接続された端末装置のMACアドレスを取得する(S04)。MACアドレスを直接特定できない場合には、IPアドレスからARPを用いて特定することとしてもよい。ネットワーク管理サーバには、予めネットワークへの接続が承認された端末装置についてのMACアドレスが記憶されており、新たに接続された端末装置から取得したMACアドレスが接続権限を有するものであるか否か、承認されたMACアドレスが記憶されたテーブルを参照して確認する(S05)。MACアドレスが承認されたものでない場合は、偽装ARPリダイレクトパケットの送信など、当該端末装置の通信を中断させるための処理を実行する(S09)。
ネットワーク管理サーバには、予めネットワークへの接続が承認された端末装置についてのIPアドレスとMACアドレスの組合せを記憶されておくこともできる。この場合、新たに接続された端末装置から取得したIPアドレスとMACアドレスの組合せが接続権限を有するものであるか否か、承認されたIPアドレスとMACアドレスの組合せが記憶されたテーブルを参照して確認する(S06)。IPアドレスとMACアドレスの組合せが承認されたものでない場合は、偽装ARPリダイレクトパケットの送信など、当該端末装置の通信を中断させるための処理を実行する(S09)。
尚、ここまでのフローは通常のネットワーク監視において用いられているものであるが、本発明においてはネットワークに接続中の端末装置を識別するために、これらのフローによりネットワークに接続中の端末装置がIPアドレス等の識別情報をキーにして特定された状態にあることを前提としている。従って、ネットワークに接続中の端末装置が特定できれば、IPアドレスとMACアドレスのいずれか一方又は双方の組合せ、若しくはその他の端末装置を識別できる識別情報のいずれにより特定するものであってもよい。
続いて、IPアドレスとMACアドレスの組合せの承認まで確認された場合は、当該端末装置から監視プログラムからの接続開始通知を受けたか否かを確認する(S07)。監視プログラムは接続権限を有する正規の端末装置にしか格納されていないので、IPアドレスやMACアドレスが偽装されたものである場合は、接続開始通知を受信することはない。従って、接続開始通知を所定の時間内に受信しない場合には、なりすましの可能性があると判定して、偽装ARPリダイレクトパケットの送信など、当該端末装置の通信を中断させるための処理を実行する(S09)。
一方、接続開始通知を受信した場合は、接続権限を有する正規の端末装置であると判定して、ネットワークへの接続を許容するとともに、当該端末装置がネットワークに接続されている間に不正操作が行われないことを監視するために、端末装置に格納された監視プログラムからの定時連絡についての連絡記録を開始する(S08)。
ネットワーク管理サーバにおける端末装置に格納された監視プログラムからの提示連絡の受信による不正操作の判定は、図8又は図9のように行われる。図8はネットワークに接続されている端末の特定を先に行うパターンで、まずネットワーク内に接続中の端末装置をIPアドレス等を取得して特定し(S10)、各々の端末装置から所定のタイミングで定時連絡を受け付けたか否かを確認する(S11)。
定時連絡は接続権限を有する正規の端末装置にのみ格納された監視プログラムを起動して送信されるので、IPアドレス等からはネットワークに接続中と判定されながら所定のタイミングで定時連絡を受け付けていない場合は、IPアドレス等のなりすましによる不正な接続が行われている可能性がある。従って、所定のタイミングで定時連絡を受け付けていない場合は、なりすましの可能性があると判定して、偽装ARPリダイレクトパケットの送信など、当該端末装置の通信を中断させるための処理を実行する(S13)。
一方、定時連絡を受け付けている場合は、当該定時連絡に含まれる端末装置から送信されたIPアドレスやMACアドレス等の識別情報、ゲートウェイサーバやDHCPサーバのIPアドレス等のネットワークへの接続状態に関する情報などを検出し、これらの最新情報が予めネットワーク管理サーバに記憶された通常の接続情報と異なるものでないか否かを確認する(S12)。接続情報に異常が生じている場合は、当該端末装置の接続状態に何らかの不正操作が行われている可能性があると判定して、偽装ARPリダイレクトパケットの送信など、当該端末装置の通信を中断させるための処理を実行する(S13)。接続情報に異常がない場合は、監視を継続する。
図9は、定時連絡の確認を先に行うパターンである。ネットワーク管理サーバはネットワークに接続中の端末装置から所定のタイミングで送信される定時連絡の受け付けるよう待機し(S14)、所定のタイミングになると定時連絡を受けたか否かを確認する(S15)。尚、このように所定のタイミングで定時連絡を受けるためには、接続権限を有する正規の端末装置にのみ格納された監視プログラムに定時連絡を実行するプログラムを含ませることとしてもよいし、ネットワーク管理サーバから所定のタイミングで監視プログラムのみで応答可能なリクエストを送信し、監視プログラムからのレスポンスとして定時連絡を受け付けることとしてもよい。
定時連絡を受けた場合には、当該定時連絡に含まれる端末装置から送信されたIPアドレスやMACアドレス等の識別情報、ゲートウェイサーバやDHCPサーバのIPアドレス等のネットワークへの接続状態に関する情報などを検出し、これらの最新情報が予めネットワーク管理サーバに記憶された通常の接続情報と異なるものでないか否かを確認する(S16)。接続情報に異常が生じている場合は、当該端末装置の接続状態に何らかの不正操作が行われている可能性があると判定して、偽装ARPリダイレクトパケットの送信など、当該端末装置の通信を中断させるための処理を実行する(S18)。接続情報に異常がない場合は、監視を継続する。
一方、定時連絡を受けなかった場合は、当該端末装置がネットワークに接続中であるか否かを確認する(S17)。接続中か否かの確認は、他のネットワーク監視システムで管理するデータを参照することとしてもよいし、pingの送信等により確認することとしてもよい。端末装置が接続されていない場合は、当該端末装置の電源がオフになるなど既に操作が終了していると判定できるので、監視を中止する。端末装置が接続されている場合は、接続中であるにもかかわらず定時連絡が行われないのは、監視プログラムを備えていない不正な端末装置が接続されている可能性があるため、なりすましの可能性があると判定して、偽装ARPリダイレクトパケットの送信など、当該端末装置の通信を中断させるための処理を実行する(S18)。
図10のフローチャートを用いて、端末装置側の監視プログラムで、ネットワーク管理サーバに対してネットワークへの接続開始時に接続開始通知を送信し、その後に所定のイベントが発生した場合にも通知を送信するフローについて説明する。まず、端末装置を起動してネットワークへの接続処理が実行されると(S21)、ネットワークへの接続権限を有する正規の端末装置にのみ格納された監視プログラムを起動して(S22)、ネットワーク管理サーバに所定の接続開始通知を送信する(S23)。当該接続開始通知はネットワークへの接続権限を有する正規の端末装置にのみ格納された監視プログラムにより生成され、固有のデータ形式の採用、非公開のヘッダーの付与などにより、当該監視プログラムを備えていないと生成できないデータとして送信される。接続開始通知を受信したネットワーク管理サーバは、先に説明したフローにより、当該端末装置の接続の可否についての判定を行う。
ネットワーク管理サーバにおいてネットワークへの接続が許容されると、IPアドレスの変更など、なりすまし等の不正操作の可能性がある所定の操作が実行されることを監視する(S24、S25)。所定の操作が実行されない場合はそのまま監視が継続されるが、所定の操作の実行を検出した場合は、当該端末装置において異常が発生したことの通知をネットワーク管理サーバに送信する(S26)。通知を受けたネットワーク管理サーバは、不正操作の可能性があるとして、当該端末装置のネットワークへの接続を切断する処理等を実行する。尚、所定の操作の実行を検出した場合には、端末装置上においてネットワークを使用不可にする等のアクションを実行することとしてもよい。
図11のフローチャートを用いて、端末装置側の監視プログラムで、ネットワーク管理サーバに対してネットワークへ接続中に定時連絡を送信するフローについて説明する。まず、端末装置を起動してネットワークへの接続処理が実行されると(S31)、ネットワークへの接続権限を有する正規の端末装置にのみ格納された監視プログラムを起動して(S32)、ネットワーク管理サーバに所定の接続開始通知を送信する(S33)。当該接続開始通知はネットワークへの接続権限を有する正規の端末装置にのみ格納された監視プログラムにより生成され、固有のデータ形式の採用、非公開のヘッダーの付与などにより、当該監視プログラムを備えていないと生成できないデータとして送信される。接続開始通知を受信したネットワーク管理サーバは、先に説明したフローにより、当該端末装置の接続の可否についての判定を行う。
当該端末装置では接続開始通知の送信から定時までの所定の時間の経過をカウントし、定時になると当該端末装置の最新のIPアドレス等の接続情報を取得する(S34)。当該接続情報は定時連絡として所定のタイミングでネットワーク管理サーバに送信されるが(S35)、当該定時連絡はネットワークへの接続権限を有する正規の端末装置にのみ格納された監視プログラムにより生成され、固有のデータ形式の採用、非公開のヘッダーの付与などにより、当該監視プログラムを備えていないと生成できないデータとして送信される。定時連絡を受信したネットワーク管理サーバは、先に説明したフローにより、当該端末装置の接続継続の可否についての判定を行う。
当該定時連絡の送信により、ネットワーク管理サーバが当該端末装置の接続継続を不可と判定すると、当該端末装置のネットワークへの切断が切断される。ネットワークへの切断が実行された場合には(S36)、当該端末装置の監視プログラムも停止する(S37)。一方、ネットワーク管理サーバが当該端末装置の接続継続を可と判定すると、ネットワークへの切断は実行されずに(S36)、定時連絡のための待機が継続される。
本発明にかかる不正接続検知システムの設定の一例を示す図である。 本発明にかかる不正接続検知システムに用いられるネットワーク管理サーバと端末装置の構成を示すブロック図である。 本発明にかかる不正接続検知システムに記録される正規の端末からの通知記録の例を示す図である。 本発明にかかる不正接続検知システムにおいて、接続権限を有する正規の端末装置が接続された場合の管理サーバの動作の例を示す図である。 本発明にかかる不正接続検知システムにおいて、接続権限を有しない不正な端末装置が接続された場合の管理サーバの動作の第1の例を示す図である。 本発明にかかる不正接続検知システムにおいて、接続権限を有しない不正な端末装置が接続された場合の管理サーバの動作の第2の例を示す図である。 本発明にかかる不正接続検知システムにおける端末の起動時の管理サーバのフローを示すフローチャートである。 本発明にかかる不正接続検知システムにおける端末からの定時連絡を受ける管理サーバの第1の監視フローを示すフローチャートである。 本発明にかかる不正接続検知システムにおける端末からの定時連絡を受ける管理サーバの第2の監視フローを示すフローチャートである。 本発明にかかる不正接続検知システムにおける端末側の監視プログラムの第1のフローを示すフローチャートである。 本発明にかかる不正接続検知システムにおける端末側の監視プログラムの第2のフローを示すフローチャートである。
符号の説明
10 ネットワーク管理サーバ
11 端末情報格納部
20 ルータ
30 端末装置
31 監視プログラム
40 端末装置
41 監視プログラム
50 端末装置

Claims (4)

  1. 接続権限を有さない端末装置のネットワークへの不正接続を検知するための、前記端末装置に格納された監視プログラムと前記ネットワークへの接続を管理する管理サーバからなる不正接続検知システムであって、
    前記監視プログラムは、前記ネットワークへの接続権限を有する正規の端末装置のみに格納され、前記端末装置がネットワークに接続されると、ネットワークへの接続が開始されたことを示す接続開始通知を前記管理サーバに送信するとともに、不正操作と定義された所定のイベントを検知すると前記イベントの発生通知を前記管理サーバに送信し
    前記管理サーバには、
    前記ネットワークに接続されている端末装置を検出する接続端末検出手段と、
    前記正規の端末装置に格納された監視プログラムから送信された接続開始通知を受信する接続開始通知受信手段と、
    前記正規の端末装置に格納された監視プログラムから送信された前記イベントの発生通知を受信する発生通知受信手段と、
    前記接続端末検出手段が新たに前記ネットワークに接続中であると検出した端末装置について、前記接続開始通知受信手段が前記端末装置からの接続開始通知を受信したかを確認し、前記接続開始通知を受信していない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第1の不正接続判定手段と、
    前記接続端末検出手段が前記ネットワークに接続中であると検出した端末装置について、前記発生通知受信手段が発生通知を受信した場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第2の不正接続判定手段と、
    前記第1の不正接続判定手段又は前記第2の不正接続判定手段が不正に接続されていると判定した端末装置について、前記端末装置又は前記端末装置の通信対象となっている端末装置に対して通信を阻害するためのパケット、若しくは前記端末装置と前記端末装置の通信対象となっている端末装置の間のセッションを切断するためのパケットを送信するパケット送信手段と、
    が備えられていること
    を特徴とする不正接続検知システム。
  2. 前記管理サーバには、
    前記正規の端末装置について、前記端末装置の正規の識別情報又は前記端末装置の前記ネットワークへの正規の接続状態に関する情報の少なくとも一つに関する第1の端末情報を格納する端末情報格納手段と、
    前記接続開始通知受信手段が受信した接続開始通知から、前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つに関する第2の端末情報を検出する端末情報検出手段と、
    が備えられていて、
    前記監視プログラムは、前記接続開始通知として前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つについて、前記端末装置の最新の情報を検出して前記不正接続検知システムに送信し、
    前記第1の不正接続判定手段は、前記端末情報検出手段が検出した第2の端末情報が、前記端末装置に関する前記端末情報格納手段に格納された第1の端末情報と一致しない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定すること
    を特徴とする請求項1記載の不正接続検知システム。
  3. 接続権限を有さない端末装置のネットワークへの不正接続を検知するために、監視プログラムが格納された端末装置と、前記ネットワークへの接続を管理する管理サーバによって実行される不正接続検知方法であって、
    前記監視プログラムは、前記ネットワークへの接続権限を有する正規の端末装置のみに格納されていて
    前記ネットワークへの接続権限を有する正規の端末装置が、前記ネットワークへの接続処理を起動するステップと、
    前記正規の端末装置が、前記ネットワークへの接続を確立すると、前記監視プログラムによって、前記ネットワークへの接続が開始されたことを示す接続開始通知を前記管理サーバに送信する接続開始通知送信ステップと、
    前記管理サーバが、前記ネットワークに接続された端末装置を検出する端末検出ステップと、
    前記管理サーバが、前記端末検出ステップで新たに前記ネットワークに接続中であると検出した端末装置について、前記接続開始通知を受信したかを確認し、前記接続開始通知を受信していない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第1の判定ステップと、
    前記正規の端末装置が、前記監視プログラムによって、前記正規の端末装置において不正操作と定義された所定のイベントを検知するステップと、
    前記正規の端末装置が、前記所定のイベントを検知すると、前記監視プログラムによって、前記イベントの発生通知を前記管理サーバに送信するステップと、
    前記管理サーバが、前記端末検出ステップで新たに前記ネットワークに接続中であると検出した端末装置について、前記発生通知を受信した場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第2の判定ステップと、
    前記第1の判定ステップ又は前記第2の判定ステップで不正に接続されていると判定した端末装置について、前記端末装置又は前記端末装置の通信対象となっている端末装置に対して通信を阻害するためのパケット、若しくは前記端末装置と前記端末装置の通信対象となっている端末装置の間のセッションを切断するためのパケットを送信するステップと、
    を有することを特徴とする不正接続検知方法。
  4. 前記接続開始通知送信ステップにおいて、前記正規の端末装置は、前記監視プログラムによって、前記接続開始通知として前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つについて、前記正規の端末装置の最新の情報を検出して前記管理サーバに送信し、
    前記管理サーバが、前記接続開始通知から前記新たな端末装置の識別情報又は前記新たな端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つに関する第2の端末情報を検出するステップと、
    前記管理サーバが、前記第2の端末情報が、前記正規の端末装置について前記端末装置の正規の識別情報又は前記端末装置の前記ネットワークへの正規の接続状態に関する情報の少なくとも一つに関する第1の端末情報を格納する端末情報格納部に格納された第1の端末情報と一致しない場合は、前記新たな端末装置が前記ネットワークに不正に接続されていると判定する第3の判定ステップと、を有していて、
    前記パケットを送信するステップにおいては、前記第3の判定ステップにおいて不正に接続されていると判定した端末装置について、前記端末装置又は前記端末装置の通信対象となっている端末装置に対して通信を阻害するためのパケット、若しくは前記端末装置と前記端末装置の通信対象となっている端末装置の間のセッションを切断するためのパケットを送信すること
    を特徴とする請求項3記載の不正接続検知方法。
JP2005001104A 2005-01-06 2005-01-06 不正接続検知システム Active JP4002276B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005001104A JP4002276B2 (ja) 2005-01-06 2005-01-06 不正接続検知システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005001104A JP4002276B2 (ja) 2005-01-06 2005-01-06 不正接続検知システム

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2005518106A Division JP3824274B2 (ja) 2004-07-09 2004-07-09 不正接続検知システム及び不正接続検知方法

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2006222091A Division JP2006320024A (ja) 2006-08-16 2006-08-16 不正接続検知システム

Publications (2)

Publication Number Publication Date
JP2006190057A JP2006190057A (ja) 2006-07-20
JP4002276B2 true JP4002276B2 (ja) 2007-10-31

Family

ID=36797203

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005001104A Active JP4002276B2 (ja) 2005-01-06 2005-01-06 不正接続検知システム

Country Status (1)

Country Link
JP (1) JP4002276B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10033734B2 (en) 2013-07-17 2018-07-24 Nec Corporation Apparatus management system, apparatus management method, and program

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4823813B2 (ja) * 2006-08-28 2011-11-24 Kddi株式会社 異常検知装置、異常検知プログラム、および記録媒体
JP6225426B2 (ja) * 2013-01-16 2017-11-08 富士通株式会社 情報資源保護プログラム、及び情報資源保護方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10033734B2 (en) 2013-07-17 2018-07-24 Nec Corporation Apparatus management system, apparatus management method, and program

Also Published As

Publication number Publication date
JP2006190057A (ja) 2006-07-20

Similar Documents

Publication Publication Date Title
JP3824274B2 (ja) 不正接続検知システム及び不正接続検知方法
WO2018080976A1 (en) Detection of vulnerable devices in wireless networks
JP5278272B2 (ja) ネットワーク通信装置及びその自動再接続方法
JPWO2007116605A1 (ja) 通信端末装置、ルール配布装置およびプログラム
JP2011030145A (ja) 情報処理装置
JP2007531398A (ja) プロトコル変則分析に基づく無線lan侵入検知方法
JP2006114991A (ja) ファイアウォールシステム及びファイアウォール制御方法
JP6435695B2 (ja) コントローラ,及びその攻撃者検知方法
WO2008141584A1 (en) Message processing method, system, and equipment
US20040083388A1 (en) Method and apparatus for monitoring data packets in a packet-switched network
JP2012034129A (ja) 管理サーバ、通信遮断装置、情報処理システム、方法およびプログラム
JP2006243878A (ja) 不正アクセス検知システム
JP2006287299A (ja) ネットワーク管理方法および装置並びに管理プログラム
CN112073381B (zh) 一种连接互联网设备接入内网检测方法
US11689928B2 (en) Detecting unauthorized access to a wireless network
JP4002276B2 (ja) 不正接続検知システム
JP2001034553A (ja) ネットワークアクセス制御方法及びその装置
CN109040137B (zh) 用于检测中间人攻击的方法、装置以及电子设备
JP4922620B2 (ja) ネットワークシステム
JP4655028B2 (ja) ワームの感染防止システム
JP2006320024A (ja) 不正接続検知システム
KR100840862B1 (ko) 부정 접속 검지 시스템 및 부정 접속 검지 방법
JP2005318037A (ja) 不正使用監視システム、不正使用監視警報装置、不正使用監視方法
WO2007125402A2 (en) A method for protecting local servers from denial-of-service attacks
JP2003186763A (ja) コンピュータシステムへの不正侵入の検知と防止方法

Legal Events

Date Code Title Description
A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20060620

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060623

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060816

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070814

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070816

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100824

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4002276

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100824

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110824

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120824

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120824

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130824

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250