JP4126697B2 - 接続監視システム - Google Patents

接続監視システム Download PDF

Info

Publication number
JP4126697B2
JP4126697B2 JP2003282533A JP2003282533A JP4126697B2 JP 4126697 B2 JP4126697 B2 JP 4126697B2 JP 2003282533 A JP2003282533 A JP 2003282533A JP 2003282533 A JP2003282533 A JP 2003282533A JP 4126697 B2 JP4126697 B2 JP 4126697B2
Authority
JP
Japan
Prior art keywords
connection
address
network configuration
configuration information
mac address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2003282533A
Other languages
English (en)
Other versions
JP2005051579A (ja
Inventor
典忠 瀧上
昌広 吉田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Software Engineering Co Ltd
Original Assignee
Hitachi Software Engineering Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Software Engineering Co Ltd filed Critical Hitachi Software Engineering Co Ltd
Priority to JP2003282533A priority Critical patent/JP4126697B2/ja
Publication of JP2005051579A publication Critical patent/JP2005051579A/ja
Application granted granted Critical
Publication of JP4126697B2 publication Critical patent/JP4126697B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、ネットワークへの不正侵入による情報漏洩や改竄を防止するための不正接続監視システムに関するものである。
従来、TCP/IPのネットワーク環境において不正接続監視を行うには、ネットワークに流れている全パケットを解析して不正接続を監視する方法や、ハブなどのハードウェアからARP情報やForwarding情報等を取得し、不正接続を監視する方法などが存在する(例えば、特許文献1参照)。
また、このような不正接続監視システムでは、不正接続の情報をグラフィカルに表示して利用者へ示すものや、メール等を使用して通知するものがある。
特開2002-325077号公報(第2−6頁、第4図、第5図)
しかし、パケット解析を行う方法や、ハブ等のハードウェアからARP情報等を取得して不正接続を監視する方法には、次のような問題がある。
一つ目は、パケット解析により不正接続の監視を行う場合、全てのパケットが通るネットワーク位置に解析を行うプログラムを置く必要がある。また、スイッチングハブで構成したネットワークでは、不正接続機器の送受信パケットが一部ルートにしか流れないため、ネットワーク上のいたる所にパケット解析装置を設置する必要がある。この場合、通信が一箇所に集約されるため、通信のボトルネックとなりやすく、また、パケット解析装置を多数設置する必要があるため、コストもかかってしまう。
二つ目は、不正接続を検知しても不正接続をしている機器の場所を特定することが難しいことである。この場合、不正接続を検知したとしても、不正接続機器の接続場所が分からないため、監視システムとしての意味をなさない。
また、上記特許文献1に記載の技術では、pingによる機器の応答確認を前提としているため、pingを受け付けない機器は発見できない。また、上記特許文献1に記載の技術を使用した場合、大規模ネットワークでは、監視対象全てのIPアドレスに対してpingによる機器の応答確認を行うだけでも処理に時間がかかってしまい、不正接続は発見できても、対処することが出来ない場合が多い。
本発明の目的は、今までLAN内部の不正接続機器の発見に時間がかかってしまっていた点を改善すると共に、LAN内部の不正接続機器の接続先位置をも表示できる機能を提供し、不正接続機器発見後の対処を容易にすることにある。
上記目的を達成するため、本発明では、SNMPトラップを用いて新たな機器の接続を検知し、現状のネットワーク構成情報と比較することにより、発見された機器が不正な機器であるか否かを判断する。SNMPトラップを用いるので瞬時に不正接続機器を発見可能である。pingコマンドによる応答確認にて機器を発見する方法と組み合わせることも可能である。また、ルータやハブ等から取得したARP情報およびForwarding情報等をもとに、機器同士の接続構成を解析し、不正接続機器の接続位置を取得して表示する。このような解析・表示機能を持つネットワーク監視システムにより、上述した課題を解決する。
本発明によれば、専用ハードウェアを必要とせず、かつ、パケット解析を行わないため、特定の位置にプログラムを置く必要もなく、ネットワーク上の不正接続監視を行うことができる。SNMPトラップを用いるので、処理時間もかからないためボトルネックとならない。また、SNMPトラップを用いることにより、瞬時に不正接続を発見できる。ネットワーク内における不正接続機器の接続位置を検出して表示するので、不正接続機器の位置を容易に把握することが出来る。
以下、本発明を実施する場合の一形態について、図面を参照して具体的に説明する。
図1は、本実施形態の不正接続監視システム1の構成を示す。不正接続監視システム1は、不正接続情報取得部2、不正接続情報解析部3、不正接続機器表示処理部4、ディスプレイ装置5、ネットワーク構成情報データベース部6、および不正接続情報データベース部7を備えている。ネットワーク構成情報データベース部6は、ネットワーク構成情報データ6Aを格納する。不正接続情報データベース部7は、不正接続データ7Aを格納する。
不正接続情報取得部2は、ポーリング部2AやSNMPトラップ部2Bを用いて、ネットワークから接続情報を収集する。ポーリング部2Aは、pingを発行することにより接続情報を収集する。SNMPトラップ部2Bは、SNMPトラップを利用して接続情報を収集する。不正接続情報取得部2は、収集した接続情報を不正接続情報解析部3に渡す。不正接続情報解析部3は、ネットワーク構成情報データベース部6内にあるネットワーク構成情報データ6Aを取得し、前記収集した接続情報と比較することにより、不正接続機器を検出する。不正接続情報解析部3は、検出した不正接続情報を、不正接続情報データベース部7に不正接続データ7Aとして格納する。不正接続機器表示処理部4は、ネットワーク構成情報データベース部6からネットワーク構成情報データ6Aを取得してディスプレイ装置5に表示する。このとき、不正接続機器を表示するには、不正接続情報データベース部7より不正接続データ7Aを取得し、表示する。
図2は、図1の不正接続監視システム1で監視する対象のネットワーク構成例を示す。ルータRに、インテリジェントハブIH(8)と、ノンインテリジェントハブNHが接続されている。インテリジェントハブIHは、SNMPトラップ機能を利用できる(何れかのポートに何らかの機器が接続されたとき、予め決められたノードにその情報を送信できる)ハブである。ノンインテリジェントハブNHは、SNMPトラップ機能を利用できないハブである。
図1の不正接続監視システム1は、図2のような監視対象のネットワーク中のどこに構成してもよい。本例では、ノードAに、図1の不正接続監視システム1が組み込まれているものとする。また、網掛けノード9,10は不正接続を行っているノードとする。以下では、図1の不正接続監視システム1により、図2に示したネットワーク構成例の網掛けノード9,10のような不正接続ノードを検出する例について説明する。
図3および図4は、図1の不正接続データ7Aの例を示す。なお、不正接続データ7Aは、図3の表の右端と図4の表の左端がつながっている1つの表形式データであるとする。不正接続データ7Aは、ノード識別子11、IPアドレス12、MACアドレス13、不正接続状況14、IFNO19、接続先ノード識別子20、および接続先IFNO21を備える。ここでIFNO19、接続先IFNO21は、それぞれ接続元ノード識別子11、接続先ノード識別子20に対応するポート番号を表している(以下同じ)。
図5は、図1のネットワーク構成情報データ6Aの例を示す。なお、ネットワーク構成情報データ6Aは、図5の上段の表の右端と下段の表の左端がつながっている1つの表形式データであるとする。ネットワーク構成情報データ6Aは、ノード識別子22、クラス(機器の種類)23、IFNO25、MACアドレス26、IPアドレス27、接続先ノード識別子28、および接続先IFNO29を有し、現在のネットワーク構成が瞬時に分かるような構成で格納されている。
次に、接続情報の収集方法について説明する。不正接続情報取得部2にて、接続情報を収集する場合、ポーリング部2Aによる方法とSNMPトラップ部2Bによる方法の2通りの方法がある。
まず、ポーリング部2Aを用いる方法を説明する。ポーリング部2Aにより、監視対象となるIPアドレスにpingを順次発行し、機器の応答確認を行う。不正接続情報取得部2は、pingに応答があったIPアドレスの機器情報がネットワーク構成情報データベース部6に存在するか確認し、存在している場合はそのネットワーク構成情報データ6Aを取得する。
次に、SNMPトラップ部2Bを用いる方法を説明する。ここでのSNMPトラップはLink Upトラップを使用する。Link UPトラップは、ネットワーク機器と該ネットワーク機器のポートに接続されたネットワーク機器やPCとの通信がLink UPされた場合に発行される。不正接続情報取得部2は、このトラップを受信することで、ネットワーク機器にPC等が接続されたことを即時に発見することが出来る。例えば、不正接続監視システム1が、図2のインテリジェントハブ8からLink UPトラップを取得した場合、まず、SNMPトラップ部2Bからインテリジェントハブ8の対象ポートに対してSNMPメッセージを発行し、接続先のノード情報(例えば、図2のノード9が接続されたのであれば、そのMACアドレス)を取得する。また、ARP情報も同時に取得し、MACアドレスと対になるIPアドレスを取得する。
次に、不正接続情報取得部2にてポーリング部2AやSNMPトラップ部2Bを利用して取得した接続情報から不正接続機器の判定を行う方法について説明する。図7に、SNMPトラップにより取得した接続情報から不正接続機器の判定を行う手順を示す。図8に、pingにより取得した接続情報から不正接続機器の判定を行う手順を示す。
まず、図7を参照して、SNMPトラップにより取得したARP情報等から不正接続機器の判定を行う手順を説明する。トラップからの判定の場合、発行元機器のポートからForwarding情報を取得する(ステップ31)。該Forwarding情報中のMACアドレスを、ネットワーク構成情報データベース部6のMACアドレスと照合し(ステップ32)、データベース6に存在しないMACアドレスがある場合(32A)は、SNMPトラップにより取得したARP情報を参照して当該MACアドレスに対応するIPアドレスが存在しているか判定する(ステップ33)。IPアドレスが存在しない場合(33A)、新規のMACアドレスからの接続と判定する(ステップ34)。この判定結果は不正接続情報データベース部7に格納される。例えば、図3の不正接続データ7Aの行レコード16が、新規のMACアドレスによる不正接続と判定されて格納されたものである。ステップ34の後、位置情報検出処理(ステップ40)を行い、終了する。
Forwarding情報中のMACアドレスがネットワーク構成情報データベース部6にすべて存在した場合(32B)は、それらのMACアドレスに対応するIPアドレスが前記ARP情報内にすべて存在しているか判定する(ステップ35)。存在していたら(35A)、それらのIPアドレスとMACアドレスの組み合わせを、ネットワーク構成情報データベース部6に格納されているIPアドレスとMACアドレスの組み合わせと照合する(ステップ36)。組み合わせ照合の結果、マッチングしない情報がある場合(36A)は、ネットワーク構成情報データベース部6中にMACアドレスは有るがそれに対応するIPアドレスが異なるということであるから、IPアドレスとMACアドレスの組み合わせ違いによる接続と判定する(ステップ37)。例えば、図3の不正接続データ7Aの行レコード18が、この場合に格納されるデータである。ステップ37の後、ステップ40に進む。組み合わせ照合が全てマッチングしていた場合(36B)は、ネットワーク構成情報データベース部6中にMACアドレスとIPアドレスが対応して存在したということであるから、認証機器と判定する(ステップ38)。認証機器と判定された場合は、不正接続情報データベース部7には情報を格納しない。ステップ37の後、処理を終了する。
次に、Forwarding情報中のMACアドレスがネットワーク機器情報データベース部6にすべて存在する場合(32B)で、かつ、対応するIPアドレスが判明していないものがある場合(35B)は、それらについてはIPアドレスが不明な機器からの接続と判定する(ステップ39)。例えば、図3の不正接続データ7Aの行レコード16が、この場合に格納されるデータである。ステップ39の後、ステップ40に進む。
Forwarding情報中のMACアドレスのうちネットワーク機器情報データベース部6に存在しないものがある場合(32A)で、かつ、取得したARP情報内に当該MACアドレスに対応するIPアドレスが判明している場合(33B)は、そのIPアドレスがネットワーク構成情報データベース部6に存在するかどうか判定する(ステップ71)。IPアドレスがネットワーク構成情報データベース部6に存在しない場合(71A)、新規ノードによる接続と判定する(ステップ72)。他方、IPアドレスがネットワーク構成情報データベース部6に存在する場合(71B)、当該IPアドレスは有るがそれに対応するMACアドレス存在しないことになるから、IPアドレスとMACアドレスの組み合わせ違いによる接続と判定する(ステップ37)。IPアドレスとMACアドレスの組み合わせ違いと判定された場合は、不正接続データ7Aとしては、図3の行データ18のように格納される。
次に、図8を参照して、ping応答からの判定の場合について説明する。まず、ping発行元機器(図2では、不正接続監視システム1が組み込まれているノードA)のポートからARP情報およびForwarding情報を取得する(ステップ41)。また、取得したARP情報およびForwarding情報に基づいて、ネットワーク構成情報データベース部6からルータやスイッチングハブのIPアドレスを取得し、取得したIPアドレスにpingを発行し、応答があったルータやスイッチングハブからARP情報およびForwarding情報を取得し、さらに該取得した情報から該ルータやスイッチングハブに接続されている機器のIPアドレスを取得し、取得したIPアドレスにpingを発行して応答があることを確認する(ステップ42)。ARP情報およびForwarding情報から、該ping発行先IPアドレスに対応するMACアドレスが存在するか否か判定し(ステップ43)、存在する場合(43A)は、ネットワーク構成データベース部6に、該ping発行先IPアドレスと同一のIPアドレスが登録されているか否かを判定する(ステップ44)。登録されていなかった場合(44A)は、新規ノードによる接続と判定する(ステップ46)。この場合、図3の不正接続データ7Aには行データ15のように格納される。ステップ46の後、位置情報検出処理を行って(ステップ52)、終了する。
ネットワーク構成データベース部6に、前記ping発行先IPアドレスと同一のIPアドレスが登録されていた場合(44B)は、前記MACアドレス(ステップ43で存在が確認されたMACアドレス)が、そのIPアドレスに対応するネットワーク構成情報データベース部6中のMACアドレスと同じか否か判定する(ステップ47)。異なる場合(47A)は、IPアドレスとMACアドレスの組み違いによる接続と判定する(ステップ50)。図3の不正接続データ7Aには、行データ18のように格納される。ステップ50の後、位置情報検出処理を行って(ステップ52)、終了する。ネットワーク構成情報データベース部6上のIPアドレスとMACアドレスの組み合わせが同じ場合(47B)は、認証機器と判定する(ステップ51)。
前記ping発行先IPアドレスに対応するMACアドレスが存在しない場合(43B)で、ネットワーク構成データベース部6に当該IPアドレスに対応するMACアドレスが存在する場合(45A)、MACアドレスが不明な機器からの接続と判定する(ステップ49)。図3の不正接続データ7Aには、行データ18のように格納される。ステップ49の後、位置情報検出処理を行って(ステップ52)、終了する。ネットワーク構成データベース部6に当該IPアドレスに対応するMACアドレスが存在しない場合(45B)は、新規IPアドレスによる接続と判定する(ステップ48)。図3の不正接続情報データベース部7には、行データ17のように格納される。ステップ48の後、位置情報検出処理を行って(ステップ52)、終了する。
次に、不正接続機器の接続位置を解析する方法について説明する。図9に、ping応答により不正接続機器を検出した場合の不正接続機器の接続位置を解析する手順を示す。図9の処理は、図8のステップ52で実行されるものである。
ping応答により不正接続機器を検出した場合、まず、該当する不正接続機器からForwarding情報を取得する(ステップ53)。次にネットワーク構成情報データベース部6より、前記不正接続機器と同一セグメント内にあるルータまたはハブを検出する(ステップ54)。検出できた場合(54A)、当該ルータまたはハブからARP情報とForwarding情報を取得する(ステップ55)。取得したARP情報とForwarding情報をネットワーク構成情報データベース部6の情報とマージする(ステップ56)。これにより、現状のネットワークの接続構成がデータベース6に反映されたことになる。
次に、マージした結果から、前記不正接続機器のMACアドレスに対するForwarding情報がネットワーク構成データベース部6に存在するかを確認する(ステップ59)。Forwarding情報が存在しない場合(59C)は、接続位置の特定が出来ないと判定し(ステップ60)、不正接続データ7Aには位置情報を追加格納しない。Forwarding情報が1つ存在する場合(59A)は、そのForwarding情報を取得した機器のポートが接続先になる(ステップ61)。この場合、その結果を、不正接続データベース部7の不正接続データ7Aに追加格納する。格納されるデータは、図3,4において、IFNO19(インタフェース番号)、接続先ノード識別子20、および接続先IFNO21(接続先インタフェース番号)である。
前記不正接続機器に対するForwarding情報が複数存在した場合(59B)は、取得した複数のForwarding情報と、ネットワーク構成データベース部6の情報より、次のハブへのForwarding情報のない末端にあるハブを検出する(ステップ62)。末端のハブを検出出来た場合(63A)、検索結果のハブのポートを前記不正接続機器の接続位置と判定し(ステップ64)、不正接続データベース部7の該当不正接続データ7Aに追加格納する。末端のハブを特定できない場合(63B)は、接続先の特定が出来ないと判定し(ステップ65)、不正接続データ7Aには追加格納しない。
ネットワーク構成情報データベース部6から前記不正接続機器が存在するセグメント内のルータやハブを取得できなかった場合(54B)で、かつ、前記不正接続機器のIPアドレスやMACアドレスがネットワーク構成情報データベース部6に全く存在しなかった場合(57B)、接続先の特定は出来ないため(ステップ58)、不正接続データ7Aには追加格納しない。前記不正接続機器のIPアドレスやMACアドレスがネットワーク構成情報データベース部6に存在する場合(57A)は、当該不正接続機器に対するForwarding情報が存在する可能性があるから、ステップ59に進む。
次に、SNMPトラップにより不正接続情報を取得した場合の位置検出について説明する。この場合は、SNMPトラップの発行元機器のポートが不正接続機器が接続されている場所であるため、SNMPトラップ発行元機器のノードIDとIFNOをネットワーク構成情報データベース部6より取得し、不正接続データベース部7の該当不正接続データ7Aに追加格納する。
次に、不正接続機器の位置表示方法について説明する。まず、位置表示を行いたい不正接続機器のデータを不正接続情報データベース部7(図3,4)から取得する。取得した不正接続データ内にある位置情報データをもとに、ネットワーク構成情報データベース部6(図5)にあるデータを検索し、該当する接続先を検出する。接続先が検出できた場合、検出した機器の接続されているポートを点滅表示させる。図6に、不正接続機器の位置表示例を示す。例えば、30が不正接続されているノードを示す。この方法により、不正接続機器を瞬時に発見できるととともに、接続先の機器も解析可能であるため、不正接続機器の位置を表示することが出来る。
本発明を実施する一形態の不正接続監視システムの構成を示す図である。 ネットワークの構成例を示す図である。 データベースに格納された不正接続情報を説明する図である。 データベースに格納された不正接続機器の接続位置情報を説明する図である。 データベースに格納されたネットワーク構成情報を説明する図である。 ツリー表示方法で不正接続機器の存在を表現を説明する図である。 SNMPトラップを取得した際に収集した情報と、データベース内のネットワーク構成情報から不正接続機器を検出する手順を示したフローチャートである。 ping応答をを取得した際に収集した情報と、データベース内のネットワーク構成情報から不正接続機器を検出する手順を示したフローチャートである。 発見した不正接続の情報と、データベース内のネットワーク構成情報から、不正接続機器の接続位置を検出する手順を示したフローチャートである。
符号の説明
1・・・ネットワーク監視システム、2・・・不正接続情報取得部、2A・・・ポーリング部、2B・・・SNMPトラップ部、3・・・不正接続情報解析部、4・・・不正接続機器表示処理部、5・・・ディスプレイ部、6・・・ネットワーク構成情報データベース部、6A・・・ネットワーク構成情報データ、7・・・不正接続情報データベース部、7A・・・不正接続データ、15・・・新規ノードによる接続、16・・・新規MACアドレスを持つ機器による接続、17・・・新規IPアドレスを持つ機器による接続、18・・・IPアドレスとMACアドレスの組み違いによる接続。

Claims (4)

  1. ネットワークの不正接続監視を行う接続監視システムにおいて、
    現状のネットワーク構成情報を格納したネットワーク構成情報データベースと、
    検出した不正接続情報を格納する不正接続情報データベースと、
    ネットワーク中の所定の機器からSNMPトラップを用いて新たな機器の接続を検知する手段と、
    前記ネットワーク構成情報データベースに格納されている現状のネットワーク構成情報を参照して、新たに接続が検知された機器が、予めネットワークへの接続が認められている機器であるか否か判定する手段と、
    ネットワークへの接続が認められている機器でなかったとき、前記新たに接続が検知された機器に関する接続情報を不正接続情報として前記不正接続情報データベースに格納する手段と
    を備えるとともに、
    前記ネットワークへの接続が認められている機器であるか否か判定する手段は、
    前記新たな機器の接続を検知してSNMPトラップによるSNMPメッセージを発行した機器のポートから、ARP情報およびForwarding情報を、取得する手段と、
    取得したForwarding情報中のMACアドレスが、前記ネットワーク構成情報データベース中に格納されているか否か判定する手段と、
    前記MACアドレスが前記ネットワーク構成情報データベース中に格納されていない場合、前記取得したARP情報を参照して、前記MACアドレスに対応するIPアドレスが存在しているか否か判定する手段と、
    前記MACアドレスに対応するIPアドレスが存在していなかった場合は、ネットワークへの接続が認められていない機器からの接続のうち、新規MACアドレスからの接続と判定する手段と、
    前記MACアドレスに対応するIPアドレスが存在していた場合、そのIPアドレスが、前記ネットワーク構成情報データベース中に格納されているか否か判定する手段と、
    前記IPアドレスが前記ネットワーク構成情報データベース中に格納されていない場合は、ネットワークへの接続が認められていない機器からの接続のうち、新規ノードからの接続と判定する手段と、
    前記IPアドレスが前記ネットワーク構成情報データベース中に格納されていた場合は、ネットワークへの接続が認められていない機器からの接続のうち、MACアドレスとIPアドレスの組み合わせ違いによる接続と判定する手段と、
    前記取得したForwarding情報中のMACアドレスが前記ネットワーク構成情報データベース中に格納されていた場合、前記MACアドレスに対応するIPアドレスが前記取得したARP情報内に存在しているか否か判定する手段と、
    前記IPアドレスが前記取得したARP情報内に存在している場合、そのIPアドレスとMACアドレスの組み合わせが、前記ネットワーク構成情報データベース中に格納されているか否か判定する手段と、
    前記IPアドレスとMACアドレスの組み合わせが前記ネットワーク構成情報データベース中に格納されていない場合は、ネットワークへの接続が認められていない機器からの接続のうち、MACアドレスとIPアドレスの組み合わせ違いによる接続と判定する手段と、
    前記IPアドレスとMACアドレスの組み合わせが前記ネットワーク構成情報データベース中に格納されている場合は、認証されている機器と判定する手段と、
    前記IPアドレスが前記取得したARP情報内に存在していなかった場合は、ネットワークへの接続が認められていない機器からの接続のうち、IPアドレスが不明な機器からの接続と判定する手段と
    を備えることを特徴とする接続監視システム。
  2. ネットワークの不正接続監視を行う接続監視システムにおいて、
    現状のネットワーク構成情報を格納したネットワーク構成情報データベースと、
    検出した不正接続情報を格納する不正接続情報データベースと、
    ネットワーク中の所定の機器にpingを発行し、応答があった機器から、さらにARP情報およびForwarding情報を取得する手段と、
    取得したARP情報およびForwarding情報から、該応答があった機器に対応するMACアドレスが存在するか否か判定する手段と、
    応答があった機器に対応するMACアドレスが存在する場合、該応答があった機器のIPアドレスが前記ネットワーク構成情報データベース中に存在するか否か判定する手段と、
    該IPアドレスが前記ネットワーク構成情報データベース中に存在しなかった場合は、新規ノードによる接続と判定する手段と、
    該IPアドレスが前記ネットワーク構成情報データベース中に存在した場合、前記MACアドレスが、そのIPアドレスに対応する前記ネットワーク構成情報データベース中のMACアドレスと同じか否か判定する手段と、
    異なる場合は、MACアドレスとIPアドレスの組み合わせ違いによる接続と判定する手段と、
    同じ場合は、認証されている機器と判定する手段と、
    前記応答があった機器に対応するMACアドレスが存在しない場合、前記IPアドレスに対応するMACアドレスが前記ネットワーク構成情報データベース中に存在するか否か判定する手段と、
    存在する場合は、MACアドレスが不明な機器からの接続と判定する手段と、
    存在しない場合は、新規IPアドレスによる接続と判定する手段と
    を備えることを特徴とする接続監視システム。
  3. ネットワークの接続監視を行う接続監視システムにおいて、
    ネットワークに新たに接続された機器を検知する手段と、
    前記新たに接続された機器の接続位置を解析する手段と
    を備えるとともに、
    前記新たに接続された機器の接続位置を解析する手段は、
    前記新たに接続された機器のForwarding情報を取得する手段と、
    取得したForwarding情報と現状のネットワーク構成情報とから、前記新たに接続された機器が接続されているルータまたはハブを検出する手段と、
    検出したルータまたはハブからARP情報およびForwarding情報を取得する手段と、
    取得したARP情報およびForwarding情報を現状のネットワーク構成情報にマージする手段と、
    マージした結果から、前記新たに接続された機器のMACアドレスに対応するForwarding情報が現状のネットワーク構成情報中に存在するか否か判定する手段と、
    存在しない場合は、前記新たに接続された機器の接続先を特定できないと判定する手段と、
    1つ存在する場合は、そのForwarding情報を取得した機器のポートが接続先であると判定する手段と、
    複数存在する場合は、取得したForwarding情報と現状のネットワーク構成情報とから、末端のハブを検出し、該末端のハブが検出できたときは、そのハブのポートを前記新たに接続された機器の接続位置と判定し、末端のハブを検出できなかったときは、接続先を特定できないと判定する手段と
    を備えることを特徴とする接続監視システム。
  4. 請求項1から3に記載の接続監視システムにおいて、
    前記新たに接続された機器の、前記ネットワーク中での接続位置を、表示する手段を、さらに備えることを特徴とする接続監視システム。
JP2003282533A 2003-07-30 2003-07-30 接続監視システム Expired - Lifetime JP4126697B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003282533A JP4126697B2 (ja) 2003-07-30 2003-07-30 接続監視システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003282533A JP4126697B2 (ja) 2003-07-30 2003-07-30 接続監視システム

Publications (2)

Publication Number Publication Date
JP2005051579A JP2005051579A (ja) 2005-02-24
JP4126697B2 true JP4126697B2 (ja) 2008-07-30

Family

ID=34267719

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003282533A Expired - Lifetime JP4126697B2 (ja) 2003-07-30 2003-07-30 接続監視システム

Country Status (1)

Country Link
JP (1) JP4126697B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4207065B2 (ja) * 2006-07-26 2009-01-14 日本電気株式会社 資産管理システム、資産管理方法、情報処理装置およびプログラム
JP5439852B2 (ja) * 2009-02-23 2014-03-12 株式会社リコー 機器管理装置、機器管理システム、機器管理方法、機器管理プログラム、及びそのプログラムを記録した記録媒体
JP2014235448A (ja) * 2013-05-30 2014-12-15 アズビル株式会社 機器管理装置および機器管理方法
JP2018106565A (ja) * 2016-12-27 2018-07-05 パナソニックIpマネジメント株式会社 表示方法、表示プログラム、表示システム

Also Published As

Publication number Publication date
JP2005051579A (ja) 2005-02-24

Similar Documents

Publication Publication Date Title
CN110113345B (zh) 一种基于物联网流量的资产自动发现的方法
US6415321B1 (en) Domain mapping method and system
CN103442008B (zh) 一种路由安全检测系统及检测方法
JP4981974B2 (ja) 管理システム及び情報処理システム
JP4523444B2 (ja) 通信ネットワークにおける障害の原因を特定する障害管理装置および方法
US8281397B2 (en) Method and apparatus for detecting spoofed network traffic
CN101803305B (zh) 网络监视装置、网络监视方法
CN112260861A (zh) 一种基于流量感知的网络资产拓扑识别方法
WO2009014283A1 (en) Log-based traceback system and method using centroid decomposition technique
US20120023552A1 (en) Method for detection of a rogue wireless access point
US20070297349A1 (en) Method and System for Collecting Information Relating to a Communication Network
US20090180393A1 (en) Sampling apparatus distinguishing a failure in a network even by using a single sampling and a method therefor
US7607049B2 (en) Apparatus and method for detecting network failure location
JP4345987B2 (ja) 通信ネットワークにおける障害発生箇所を特定する装置および方法
US20060224886A1 (en) System for finding potential origins of spoofed internet protocol attack traffic
EP2372954B1 (en) Method and system for collecting information relating to a communication network
US11140059B1 (en) Active path detection for on-demand network links in a software-defined wide area network (SDWAN)
CN104113443A (zh) 一种网络设备检测方法、装置及云检测系统
JP2015171052A (ja) 識別装置、識別プログラム、及び識別方法
Edeline et al. A first look at the prevalence and persistence of middleboxes in the wild
US7599365B1 (en) System and method for detecting a network packet handling device
JP4126697B2 (ja) 接続監視システム
CN111953810B (zh) 识别代理互联网协议地址的方法、装置及存储介质
US10187414B2 (en) Differential malware detection using network and endpoint sensors
US20040233849A1 (en) Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060106

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20071218

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080212

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080414

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080502

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080502

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110523

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4126697

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110523

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140523

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term