JP4491489B2 - ネットワーク監視装置,ネットワーク監視システム及びネットワーク監視方法 - Google Patents

ネットワーク監視装置,ネットワーク監視システム及びネットワーク監視方法 Download PDF

Info

Publication number
JP4491489B2
JP4491489B2 JP2008130278A JP2008130278A JP4491489B2 JP 4491489 B2 JP4491489 B2 JP 4491489B2 JP 2008130278 A JP2008130278 A JP 2008130278A JP 2008130278 A JP2008130278 A JP 2008130278A JP 4491489 B2 JP4491489 B2 JP 4491489B2
Authority
JP
Japan
Prior art keywords
network
address
terminal
information
frame
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008130278A
Other languages
English (en)
Other versions
JP2008252924A (ja
Inventor
芳昭 足達
秀樹 外岡
弘司 鴨志田
良光 浪岡
貴之 亀田
久雄 菊池
浩二 武富
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Hitachi Information and Control Solutions Ltd
Original Assignee
Hitachi Ltd
Hitachi Information and Control Solutions Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd, Hitachi Information and Control Solutions Ltd filed Critical Hitachi Ltd
Priority to JP2008130278A priority Critical patent/JP4491489B2/ja
Publication of JP2008252924A publication Critical patent/JP2008252924A/ja
Application granted granted Critical
Publication of JP4491489B2 publication Critical patent/JP4491489B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Description

本発明は、ネットワーク監視装置,ネットワーク監視方法,ネットワーク監視用プログラム及びネットワーク監視用プログラムが格納された記録媒体に関する。
許可されていない不正な端末がネットワークに接続されることを防止するために、不正端末の存在を検出し、さらにその不正端末がネットワーク上の他の装置と通信できなくなるようなネットワークシステムを実現することが求められている。IP(Internet Protocol)プロトコルを使用したネットワークにおいて、不正な端末の存在を監視するために、IETF(Internet Engineering Task Force) から発行されているRFC(RequestFor Comments) 2131に示されるDHCP(Dynamic Host Configuration Protocol) を応用した方式がある。この種の方式として、特開平8−186569号公報(特許文献1)に記載の技術では、アドレス管理装置がDHCPを使って割り当てたアドレス情報とネットワーク上を伝送されるパケットから抽出したアドレス情報を使って、アドレス管理装置がネットワーク内の不正な端末の存在を監視する。一方、特開2002−158701号公報(特許文献2)に記載の技術は、ケーブルモデム装置において、DHCPで割り当てたIPアドレスを管理しておき、割り当てたIPアドレス以外を使用したパケットがネットワークから入り込んできた場合に不正利用と判断し、そのパケットをケーブルモデム装置で廃棄する。
また、OSI(Open Systems Intetconnection)参照モデルにおける物理層のアドレス情報(IPアドレスなど)やデータリンク層のアドレス情報を使用せずに、監視装置とネットワークに接続された端末それぞれに予め専用ソフトウェアをインストールしておき、監視装置側の専用ソフトウェアと端末側の専用ソフトウェアが連携して、端末内の情報を取り出すことにより、監視装置が該当端末の状態を把握するシステムなどが知られている。
特開平8−186569号公報 特開2002−158701号公報
上記の従来の技術では、DHCPで割り当てたアドレス情報をもとに、ネットワーク上の不正な装置の存在を検出するものであるが、一般のネットワーク環境においてはDHCPでアドレスを割り当てる環境だけでなく、装置に固定的に割り付けたアドレスを使用するネットワーク環境も存在するのが一般的である。
また、中継装置をネットワークの中に入れて、この中継装置で特定のフレームを常に廃棄することで、他の装置と通信をできなくする方式もあるが、このような中継装置を使うことによる、中継装置自体の障害時の考慮や、ネットワーク性能が中継性能に依存すること、あるいは、この不正な装置から送信されるフレームによるネットワークトラフィックなどについても考慮が必要となる。
また、ネットワークに接続される装置の数が多くなると、ネットワークの管理や維持に関わる作業やそれに伴う費用、あるいはネットワーク管理者の負担が大きくなるが、これらを軽減することについては考慮されていない。
本発明の目的は、システム構成に大きく影響を受けずに、ネットワークを監視することが可能なものを提供することにある。DHCPでアドレスを割り当てる環境に限定せずに、装置に固定的に割り付けたアドレスを使用するネットワーク環境においても、許可されていない装置の存在を検出することである。その場合、許可されていない装置がネットワークへ接続されたタイミングでその存在を検出することである。さらに、許可されていない装置の存在を検出するのみでなく、許可されていない装置自体がネットワークを使って他の装置と通信をできないようにさせること(以下、これを切り離しと呼ぶ)である。また、許可されていない装置と判断される装置を含めてネットワーク上に接続する装置に本発明に関わる専用ソフトウェアを予め入れておく必要が無いことによりネットワークセキュリティを強化することを目的とする。
また、本発明は、許可されていない端末の存在を判断する際に使用するアドレス管理情報をネットワークのフレーム内の情報あるいはフレームの送信元アドレス情報から生成することにより、ネットワークの管理や維持に関わる作業やそれに伴う費用、あるいはネットワーク管理者の負担を軽減すること目的とする。
また、本発明は、許可されていない装置として、一旦切り離した装置を管理者等の判断で、外部から指示することにより、ネットワーク上の他の装置の使用者に影響を与えることなく、一旦切り離した装置を使用できるようにすることである。また、同様に、接続されている装置を管理者等の判断で、外部からの指示することにより、ネットワーク上の他の装置の使用者に影響を与えることなく、接続されている装置を使用できなくなるように切り離すことである。これにより、ネットワークの管理や維持に関わる作業やそれに伴う費用、あるいはネットワーク管理者の負担を軽減すること目的とする。
上記目的の少なくとも1を達成するため、本発明では、送信元ネットワークアドレス領域,送信元物理アドレス領域,送信先ネットワークアドレス領域及び送信先物理アドレス領域を含んだ情報をフレームとして授受するローカルネットワークについて監視を行うものにおいて、前記ローカルネットワークに接続する端末は、前記ローカルネットワークに自端末と同じネットワークアドレスをもった他端末が存在すると判断すると、自律的に前記ローカルネットワークから離脱するものとなして、前記ローカルネットワークに流れるフレームを前記端末から受信する受信手段と、前記フレームを送信した端末が許可端末に相当するかを判断する判断手段と、前記許可端末に相当しないと判断された場合に、フレームの送信元ネットワークアドレス領域に、前記許可端末に相当しないと判断された端末の送信元ネットワークアドレスの情報を格納し、フレームの送信元物理アドレス領域に、予め定められた所定の物理アドレスを格納し、さらに、前記許可端末に相当しないと判断された端末の送信元ネットワークアドレスが前記ローカルネットワークで保護すべき端末によって用いられている場合は、前記予め定められた所定の物理アドレスを、前記保護すべき端末の物理アドレスの情報として、前記送信元ネットワークアドレスの情報及び前記送信元物理アドレスが格納されたフレームを前記受信したフレームに対する応答フレームとして生成して、該生成したフレームを送信する送信手段を有するように構成した。より具体的或いは代替的には、ネットワークに流れる情報を受信する受信手段と、ネットワーク接続のために送信された情報に基づいて予め定められた許可端末に相当する情報か判断する判断手段と、許可端末に相当しないと判断された場合に前記情報を送信した端末を特定するアドレスがネットワークで用いられていることを示す情報をネットワークに流す送信手段を有することを特徴とするネットワーク監視装置、ネットワークに接続された端末の切り離し指示あるいは接続指示を外部端末から受け付ける手段と、受け付けた指示が切り離し指示の場合には、該当端末を切り離すために、ネットワークにネットワークアドレスの重複状態を発生させるための情報を生成する手段を有することを特徴とするネットワーク監視装置、ネットワークに流れる情報を受信する受信手段と、ネットワークアドレスに対となる該ネットワークアドレスより物理層側のアドレスを得るために送信された情報に基づいて、予め定められた許可端末に相当する情報か判断する判断手段と、許可端末に相当しないと判断された場合に、該ネットワークアドレス相当とは異なる物理層側アドレスを示す情報をネットワークに流す送信手段を有することを特徴とするネットワーク監視装置、ネットワークに流れる情報を受信する受信手段と、複数の端末に順に情報が受信されるように、アドレスを含んだ情報を返信するよう要求する情報を送信し、返信された情報に基づいて、予め定められた許可端末に相当する情報か判断する判断手段と、許可端末に相当しないと判断された場合に、該ネットワークアドレス相当とは異なる該ネットワークアドレスより物理層側のアドレスを示す情報をネットワークに流す送信手段を有することを特徴とするネットワーク監視装置あるいはネットワークに流れる情報を受信する受信手段と、ネットワーク接続のために送信された情報に基づいて予め定められた許可端末に相当する情報か判断する判断手段と、許可端末に相当しないと判断された場合に前記情報を送信した端末を特定するアドレスについて重複状態を発生させるための情報をネットワークに流す送信手段を有することを特徴とするネットワーク監視装置と構成し、また、接続を許可しない装置がネットワークに接続されたタイミングで、許可されていない装置の存在を検出し、さらに、ネットワークからこの許可されていない装置を切り離すことである。このとき、接続を行う装置側には本システム専用の処理を予め組み込んでおく必要が無いことを特徴とする。


すなわち、具体的には、ネットワークに接続された複数の装置やネットワークの状態を監視する監視システムにおいて、監視システム宛フレームとネットワーク上のすべての装置宛のブロードキャストフレームを受信する手段またはネットワークを流れる全てのフレームを受信する手段と、装置に対するネットワークへの接続可否情報を登録する手段と、この登録された接続可否情報と前記フレームデータ内容を比較して接続可否を判断する手段と、接続を許可しないと判断した場合には該当装置を切り離すために、ネットワーク内にIPアドレスの重複状態を発生させるフレームを生成する手段と、監視システムからこのフレームをネットワークに送出し、ネットワーク内にIPアドレスの重複状態を発生させることにより該当装置をネットワークから切り離す手段を設けること、一方、切り離される該当装置には切り離しを行うための本システム専用処理を予め組み込んでおくことが不要であること、としたことを特徴とする。
これにより、例えば、接続が許可されていない、個人の持ち込みPC(Personal Computer)がウイルスに汚染されていた場合においても、本監視システムはPCがネットワークに接続したことを検出し、物理層のレベルで該当PCを切り離す。これにより、汚染されたフレームはネットワークに送出されなくなり、ネットワーク上の他の装置に対するウイルス汚染の拡散防止に有効となる。一方、予め組み込まれた専用ソフトウェアと連携して、通信をさせないようにする方式では、この専用ソフトウェアが組み込まれていない許可されていないPCを接続された場合には効果が期待できない。しかし、本発明では許可されていないPCと判断される装置を含めてネットワーク上に接続する装置には本発明に関わる専用ソフトウェアを予め組み込んでおく必要が無いことから、予め組み込まれた専用ソフトウェアと連携して、通信をさせないようにする方式に比べて、ネットワークセキュリティを強化できる。
さらに、上記目的を達成するための本発明の特徴はネットワーク監視システムがネットワークを監視することによって、ネットワークに接続された装置がもつアドレス情報を収集し、順次アドレス情報を順次作り上げていき、これをネットワークへの接続可否情報として使用することができるようにすることを特徴としている。
具体的には、ネットワークに接続された複数の装置やネットワークの状態を監視する監視システムにおいて、監視システム宛フレームとネットワーク上のすべての装置宛のブロードキャストフレームを受信する手段またはネットワークを流れる全てのフレームを受信する手段と、装置に対するネットワークへの接続可否情報を登録する手段と、この登録された接続可否情報と前記フレームデータ内容を比較して接続可否を判断する手段と、接続を許可しないと判断した場合には該当装置を切り離すために、ネットワーク内にIPアドレスの重複状態を発生させるフレームを生成する手段と、監視システムからこのフレームをネットワークに送出し、ネットワーク内にIPアドレスの重複状態を発生させることにより該当装置をネットワークから切り離す手段を設けること、一方、切り離される該当装置には切り離しを行うための本システム専用処理を予め組み込んでおくことが不要であること、さらに、監視システムはネットワーク上の全ての装置または指定された1つ以上の装置に対してARPフレームの発行を誘発するフレームを発行する手段と各装置から発行されたARPフレームからIPアドレスとMACアドレス情報を抽出する手段、のうち少なくとも一つの手段を設け、さらに、この抽出したIPアドレスとMACアドレスを組み合わせて、ネットワークに接続された装置のアドレス情報を一意的に生成する手段と、生成された一意的なアドレス情報の要素分類をキーにして外部から昇順もしくは降順に並べ替える手段と、生成された一意的なアドレス情報の個々の要素に対して外部から有効あるいは無効の設定を可能とする手段を設け、これらの手段により装置アドレス情報を生成し、装置に対するネットワークへの接続可否情報としてこの装置アドレス情報を使用することを特徴とする。
これにより、ネットワークに接続される多くの装置のアドレス情報の作成において、例えば、別の手段により、接続許可申請書に記載されたアドレス情報をもとにネットワーク管理者が装置に対するネットワークへの接続可否情報を作成する場合に対して、ネットワーク管理者や装置所有者の申請処理等に関わる負担軽減に有効となる。
また、上記目的を達成するための本発明の特徴は、許可されていない装置として、一旦切り離した装置を管理者等の判断で、監視システムから指示することにより、ネットワーク上の他の装置の使用者に影響を与えることなく、該当装置を使用できるようにすること、また、逆に、接続されている装置を使用できなくなるように切り離すことである。
すなわち、具体的には、監視システム宛フレームとネットワーク上のすべての装置宛のブロードキャストフレームを受信する手段またはネットワークを流れる全てのフレームを受信する手段と、装置に対するネットワークへの接続可否情報を登録する手段と、この登録された接続可否情報と前記フレームデータ内容を比較して接続可否を判断する手段と、接続を許可しないと判断した場合には、該当装置を切り離すために、ネットワーク内にIPアドレスの重複状態を発生させるフレームを生成する手段と、監視システムからこのフレームをネットワークに送出し、ネットワーク内にIPアドレスの重複状態を発生させることにより該当装置をネットワークから切り離す手段と、一旦切り離された装置を許可された装置に外部から変更するための手段と、一旦切り離された装置が他の装置と通信できるようにするための接続フレームを生成する手段と、監視システムからこの接続フレームをネットワーク上に接続されている全ての装置に対して送出することによって、一旦切り離された装置が他の装置と通信できるようにする手段と、接続されている装置を切り離すために外部から変更するための手段を備えたことであり、一方、切り離される該当装置には切り離しや接続を行うための本システム専用処理を予め組み込んでおくことが不要であることを特徴とする。
これにより、例えば、接続が許可されていないために切り離したPCに対して、所定の手続きが行われた後に、ネットワーク管理者が該当装置を許可する場合において、他の装置の使用者にも負担をかけること無く、該当PCをネットワークに組み入れて使用できる環境を提供できることになり、ネットワーク管理者の負担軽減にも有効となる。
上記した本発明の特徴および上記した以外の発明の特徴は、以下の記載によりさらに明確とされる。
本発明では、ネットワーク監視システムはネットワーク内を流れるフレームデータのうち、ネットワークに接続した装置が発行するARPフレームを監視し、このARPフレームからARPフレームを送出した装置のIPアドレスとMACアドレスを抽出する手段を使用する。また、装置に対するネットワークへの接続可否情報として、外部から、ネットワークへの接続を許可する装置のIPアドレスあるいはMACアドレスのうち少なくとも1つのアドレス情報が監視システムに登録されている。この登録手段により登録されたアドレス情報とARPフレームから抽出したアドレス情報を比較して、一致しない場合には、許可しない装置であるとみなし、該当装置を切り離す手段を実行する。該当装置を切り離すために、IPアドレスの重複状態を発生させるフレームを生成する手段を使用して、前記ARPフレームから抽出した該当装置のIPアドレスとネットワーク監視システムのMACアドレスを組み合わせてフレームを生成する。その後、監視システムからこのフレームをネットワークに送出し、ネットワーク内にIPアドレスの重複状態を発生させる。本フレームを受け取った該当装置はIPアドレスの重複状態が発生したことを検知して、自律的にネットワークから離脱する。これにより、許可されていない該当装置がネットワークから切り離されることになる。
さらに、本発明では、ネットワーク監視システムはネットワーク内を流れるフレームデータのうち、ネットワークに接続された装置が自発的に発行するARPフレームを監視し、このARPフレームからARPフレームを送出した装置のIPアドレスとMACアドレスを抽出する手段を使用する。これにより、ネットワークに接続された装置のアドレス情報が順次作り上げられていく。一方、ネットワーク上の全ての装置または指定された1つ以上の装置に対してARPフレームの発行を誘発するフレームを発行することにより、各装置から発行されたARPフレームに対しても同様の処理を行い、ネットワークに接続された装置のアドレス情報を順次作り上げていく。また、この順次作り上げられたアドレス情報をもとに一意的に生成する手段を使って、一意的なアドレス情報を生成する。さらに、この生成された一意的なアドレス情報の要素分類をキーにした外部から昇順もしくは降順に並べ替える手段と、生成された一意的なアドレス情報の個々の要素に対して外部から有効あるいは無効の設定を可能とする手段を提供する。この提供された手段を使用して生成された、装置アドレス情報のIPアドレスあるいはMACアドレスのうち少なくとも1つのアドレス情報を装置に対するネットワークへの接続可否情報として使用する。
さらに、本発明では、許可されない装置として切り離された装置を許可された装置にするために、外部からの変更指示にもとづき、この切り離された装置が他の装置と通信できるようにするための接続フレームを生成する手段を使用する。このとき、この許可されていない装置が発行したARPフレームから抽出したIPアドレスとMACアドレスを、装置に対するネットワークへの接続可否情報として新たに登録すると同時に、これらのアドレスを組み合わせたフレームを生成する。その後、監視システムからこのフレームをネットワークに接続されている全ての装置宛てに送出し、各装置が通信を行うために持っているIPアドレスとMACアドレスの対応表を更新させる。これにより、一旦切り離された装置はネットワーク上の他の装置と通信ができる環境が整うことになる。また、接続されている装置を切り離するために、外部からの変更指示にもとづき、接続されている装置が他の装置と通信できないようにするためのIPアドレス重複状態発生フレームを生成する手段を使用する。その後、監視システムからこのフレームをネットワークに接続されている全ての装置宛てに送出する。これにより、これまで接続されていた装置をネットワーク上の他の装置と通信ができなくさせることができる。
また、ネットワークに流れる情報を受信する受信手段と、ネットワーク接続のために送信された情報に基づいて予め定められた許可端末に相当する情報か判断する判断手段と、許可端末に相当しないと判断された場合に前記情報を送信した端末を特定するアドレスがネットワークで用いられていることを示す情報をネットワークに流す送信手段を有することを特徴とするネットワーク監視装置を構成する(構成1)。
構成1において、端末に対応してネットワークへの接続可或は否に関する情報を登録する手段と、この登録された接続可或は否に関する情報と受信情報を比較することで、許可の可否を判断することを特徴とするネットワーク監視装置を構成する(構成2)。
構成2において、前記受信手段宛の情報とネットワークの複数端末宛のブロードキャスト情報あるいはマルチキャスト情報を受信、またはネットワークを流れる実質的に全ての情報を受信することを特徴とするネットワーク監視装置を構成する(構成3)。
構成3において、該許可されないと判断された端末に切り離し専用手段が設置されるか否かにかからわらず、該端末がネットワークから切り離されるよう構成されることを特徴とするネットワーク監視装置を構成する(構成4)。
構成1において、接続を許可しない端末がネットワークに存在することを検出したことを、または、接続を許可しない端末をネットワークから切り離したことを、外部端末に通知する手段と、ネットワークに接続された端末の切り離し指示あるいは接続指示のうち少なくとも一つを外部端末から受け付ける手段と、受け付けた指示が切り離し指示の場合には、ネットワークアドレスの重複状態を発生させるための情報を生成する手段を有することを特徴とするネットワーク監視装置を構成する(構成5)。
構成5において、受け付けた指示が接続指示の場合には、ネットワーク内にネットワークアドレスの重複状態を解消させるための情報を生成する手段を有することを特徴とするネットワーク監視装置を構成する(構成6)。
また、ネットワークに接続された端末の切り離し指示あるいは接続指示を外部端末から受け付ける手段と、受け付けた指示が切り離し指示の場合には、該当端末を切り離すために、ネットワークにネットワークアドレスの重複状態を発生させるための情報を生成する手段を有することを特徴とするネットワーク監視装置を構成する(構成7)。
構成7において、受け付けた指示が接続指示の場合には、ネットワーク内にネットワークアドレスの重複状態を解消させるための情報を生成する手段を有することを特徴とするネットワーク監視装置を構成する(構成8)。
構成1乃至8において、ネットワークの端末から発行されるアドレス要求情報を監視し、このアドレス要求情報からネットワークアドレスと物理層側アドレス情報を抽出する手段と、ネットワーク上の全ての端末または指定された1つ以上の端末に対してアドレス要求情報の発行を誘発する情報を発行する手段と、各端末から発行されたアドレス要求情報からネットワークアドレスと物理層側アドレス情報を抽出する手段、のうち少なくとも一つの手段を設け、さらに、この抽出したネットワークアドレスと物理層側アドレスを組み合わせて、ネットワークに接続された端末のアドレス情報を一意的に生成する手段と、生成された一意的なアドレス情報の要素分類に応じて外部から昇順もしくは降順に並べ替える手段と、生成された一意的なアドレス情報の個々の要素に対して外部から有効あるいは無効の設定を可能とする手段を設け、これらの手段により端末アドレス情報を生成し、端末に対するネットワークへの接続可否情報としてこの端末アドレス情報を使用することを特徴とするネットワーク監視装置を構成する(構成9)。
構成1乃至8において、切り離し手段として、許可されない端末がネットワークアドレスの重複状態を検出するために発行するアドレス要求情報に対して、特定の物理層側アドレスを設定したアドレス要求応答情報を生成する手段を有することを特徴とするネットワーク監視装置を構成する(構成10)。
構成1乃至8において、切り離し手段として、許可されない端末がアドレス解決のために発行するアドレス要求情報に対して、特定の物理層側アドレスを設定したアドレス要求応答情報を生成する手段を有することを特徴とするネットワーク監視装置を構成する(構成11)。
構成1乃至8において、該当端末をネットワークに接続する手段として、アドレス要求情報から得られた該当特定端末の物理層側アドレスと該当端末のネットワークアドレスとを使用して、アドレス要求応答情報を生成する手段を設け、このアドレス要求応答情報をネットワーク内の各端末に向けることを特徴とするネットワーク監視装置を構成する(構成12)。
構成10または11において、特定の物理層側アドレスを設定したアドレス要求応答情報を生成する手段として、許可されない端末のネットワークアドレスがネットワーク内の他の端末で現在使用されているか否かを判断する手段を設け、このネットワークアドレスがすでに他の端末で使用されている場合にはアドレス要求応答情報内の送信元物理層側アドレスを端末同一ネットワークアドレスを使用している他の端末の物理層側アドレスとし、このネットワークアドレスが他の端末で使用されていない場合にはアドレス要求応答情報内の送信元物理層側アドレスを監視装置の物理層側アドレスもしくはネットワーク上に存在しえない物理層側アドレスを設定したアドレス要求応答情報を生成する手段を設け、このアドレス要求応答情報をネットワークに送出させることにより、許可されない端末にネットワークアドレス重複状態が発生したことを認識させ、許可されない端末がネットワーク上の許可されない端末以外の端末と通信ができない状態にするのと同時に、同一ネットワークアドレスをすでに使用していた端末とネットワーク上の許可されない端末以外の端末との通信が継続できることを特徴とするネットワーク監視装置を構成する(構成13)。
構成1乃至8において、該当ネットワークのネットワークアドレス体系のホスト番号部がとりうる最小値から最大値までの全てのホスト番号のうち、接続可否のチェックを行う端末のホスト番号の範囲とチェックを行うタイミング情報を設定する手段と、この範囲のホスト番号を使ったチェック用ネットワークアドレスを生成する手段と、このチェック用ネットワークアドレスを使って、相手端末からの応答を期待できる要求情報を生成する手段と、この要求情報を前記設定されたタイミング情報にもとづいたタイミングで監視装置から送出し、その応答の情報の存在またはその情報内容と、端末に対するネットワークへの接続可否情報とを比較して接続可否を判断することを特徴とするネットワーク監視装置を構成する(構成14)。
構成14において、相手端末からの応答を期待できる要求情報を生成する手段として、ICMP要求情報あるいはアドレス要求情報を生成することを特徴とするネットワーク監視装置を構成する(構成15)。
構成1乃至8において、端末に対するネットワークへの接続可否情報として、端末のネットワークアドレスおよび物理層側アドレスのうち少なくとも1つを、あるいは、接続許可時間帯および接続不許可時間帯のうち少なくとも1つを、あるいは前回接続した時刻からある閾値以上の経過時間がたった場合にはその接続を拒否するために使用される時刻情報を、あるいは、前回接続した時刻からある閾値以上の経過時間がたった場合には現在接続されている端末を切り離すために使用される時刻情報を、あるいは、これまでに接続を許可されなかった回数、あるいは、許容されるネットワークトラフィックの閾値、あるいは端末のネットワークへの接続許可台数、あるいは端末の所有者情報、あるいはこれらの少なくとも1つ以上を組み合わせたものを、使用することを特徴とするネットワーク監視装置を構成する(構成16)。
また、ネットワークに流れる情報を受信する受信手段と、ネットワークアドレスに対となる該ネットワークアドレスより物理層側のアドレスを得るために送信された情報に基づいて、予め定められた許可端末に相当する情報か判断する判断手段と、許可端末に相当しないと判断された場合に、該ネットワークアドレス相当とは異なる物理層側アドレスを示す情報をネットワークに流す送信手段を有することを特徴とするネットワーク監視装置を構成する(構成17)。
また、ネットワークに流れる情報を受信する受信手段と、複数の端末に順に情報が受信されるように、アドレスを含んだ情報を返信するよう要求する情報を送信し、返信された情報に基づいて、予め定められた許可端末に相当する情報か判断する判断手段と、許可端末に相当しないと判断された場合に、該ネットワークアドレス相当とは異なる該ネットワークアドレスより物理層側のアドレスを示す情報をネットワークに流す送信手段を有することを特徴とするネットワーク監視装置を構成する(構成18)。
また、ネットワークに流れる情報を受信する受信手段と、ネットワーク接続のために送信された情報に基づいて予め定められた許可端末に相当する情報か判断する判断手段と、許可端末に相当しないと判断された場合に前記情報を送信した端末を特定するアドレスについて重複状態を発生させるための情報をネットワークに流す送信手段を有することを特徴とするネットワーク監視装置を構成する(構成19)。
また、ネットワークに流れる情報を受信し、ネットワーク接続のために送信された情報に基づいて予め定められた許可端末に相当する情報か判断し、許可端末に相当しないと判断された場合に前記情報を送信した端末を特定するアドレスがネットワークで用いられていること示す情報をネットワークに流すネットワーク監視方法を構成する(構成20)。
また、ネットワークに流れる情報を受信し、ネットワーク接続のために送信された情報に基づいて予め定められた許可端末に相当する情報か判断し、許可端末に相当しないと判断された場合に前記情報を送信した端末を特定するアドレスがネットワークで用いられていること示す情報をネットワークに流すことを電子計算機になさしめるプログラムを構成する(構成21)。
また、ネットワークに流れる情報を受信し、ネットワーク接続のために送信された情報に基づいて予め定められた許可端末に相当する情報か判断し、許可端末に相当しないと判断された場合に前記情報を送信した端末を特定するアドレスがネットワークで用いられていること示す情報をネットワークに流すことを電子計算機になさしめるプログラムを格納した記録媒体を構成する(構成22)。
本発明では、システム構成に大きく影響を受けずに、ネットワークを監視することが可能となる。
以下、本発明の一実施例を図を用いて詳細に説明する。なお、以下、通信プロトコルはIPプロトコル(TCP/IPなど)、ネットワークはオフィス等で多く用いられているLANを使用するシステムを用いて説明する。
<システムの全体構成>
はじめに、本発明が対象とするネットワーク監視システムの全体構成を図2に示す。複数の装置201〜203が標準的なLAN210に接続されている。PCなどの各装置には業界標準的なOS(Operating System)が搭載されており、このOSのなかには業界標準の通信プロトコル(IPプロトコルなど)が実装されており、このプロトコルに対応したネットワーク層のアドレス(IPアドレス)や物理層のアドレス(MACアドレス)が割り当てられている。各装置に搭載された業務プログラムはそれぞれの装置の業務プログラムと通信を行いながら、全体の業務を進める。一方、ネットワーク監視システム200はこのLANに許可されていない装置が接続された場合、これを検出し、さらに、この装置をLANから切り離すために監視をしている。なお、「物理層側」とは対象層(例えばネットワーク層)、に対して物理層の側であることを示す。
装置が他の装置と通信を行うためには図3にあるようなIPフレーム300を使ってLAN上にデータを送出するが、相手先にデータを到達させるためには宛先MACアドレス301とIPヘッダ302に含まれる宛先IPアドレス303の2つのアドレスが必要である。
一般に、ネットワークに接続された装置が立ち上がった段階では、該当装置においては宛先の装置のIPアドレスはわかっているものの、宛先装置のMACアドレスを所持していない。このため、この宛先装置のMACアドレスを取得するために、RFC826で規定されたARP(Address Resolution Protocol)プロトコルを用いる。図4にこのARPプロトコルフレーム400のフォーマットを示す。
ARPフレームのフレームデータ401において、アドレス情報関連部は送信元MACアドレス402,送信元IPアドレス403,探索MACアドレス404および探索IPアドレス405で構成される。また、OP(オペレーションフィールド)において、ARPの種別(ARP要求あるいはARP応答)が区別される。
一方、このARPプロトコルを用いて宛先装置のMACアドレスを得るための典型的な通信例を図5に示す。ここでは装置d504において、装置b502宛にデータを送るイベント505が発生した場合、装置d504は宛先装置b502のMACアドレスを取得する必要がある。そのため、装置d504は宛先IPアドレスが装置b502のIPアドレスIPbを含むARP要求フレーム506をネットワーク上の全ての装置宛にブローキャスト方式で送信する。それを受信した各装置はARPフレーム内のIPアドレスIPbが自分自身に対する要求であると認識した場合には、自装置のMACアドレスを設定したARP応答フレームを装置d504に送り返す。本例では、装置b502はARPフレーム内のIPアドレスIPbをみて、これが自分自身に対する要求であると認識し、自装置のMACアドレスを設定したARP応答フレーム507を装置d504に送り返す。これにより、装置d504は宛先である装置b502のMACアドレス(MACb)を取得することができたので、このIPアドレス(IPb)とMACアドレス(MACb)を使ってデータ通信508を行う。
<構成>
以下、第1の実施例について説明する。
本発明のネットワーク監視システムの構成を図1に示す。ネットワーク監視システム200はネットワーク120からフレームを受信するフレーム受信処理部102,ネットワークに接続される装置に対する接続可否情報を管理する接続可否情報管理処理部104,接続された装置が許可されている装置であるか否かを判断する接続可否判断処理部106,該当装置をネットワークから切り離すためのIPアドレス重複状態発生フレーム生成処理部105,生成されたフレームをネットワークへ送信するフレーム送信処理部101,フレームの送信タイミングを制御するタイミング情報管理処理部108,接続を許可されない装置を検出したことや該当装置を切り離したことを外部に通知するための外部通知処理部107,外部からの装置の切り離し指示や装置の接続指示等を受け付ける外部指示受付処理部109,いったん切り離された装置を接続するためのフレームを生成する接続用フレーム生成処理部110,装置に対する接続可否チェック用IPアドレスを生成するための接続可否チェック用IPアドレス生成処理部112,そのIPアドレス生成のために予め登録されたアドレス管理情報113,生成された接続可否チェック用IPアドレスのフレームを生成するためのチェック用フレーム生成処理部111,ネットワークから受信したフレーム内容からネットワークに接続されている装置のアドレス情報を生成するための装置アドレス情報生成処理部103,外部から指示を行う外部装置114からなる。ここで、IPアドレス重複状態とは、ネットワークに接続された複数の装置が同一のIPアドレスを誤って使用している状態を指している。
<許可されていない装置の切り離し処理>
図1を用いて、許可されていない装置の切り離し処理を説明する。
ネットワーク監視システムはブロードキャスト方式を使ってネットワーク120上のすべての装置宛に送られるARP要求フレームをフレーム受信処理部102で受信する。そして、ARP要求フレームを発行した装置を特定するために、このフレームから該当装置のアドレス情報であるIPアドレスとMACアドレスを抽出する。一方、このネットワークに接続することを許可されている装置のアドレス情報は接続可否情報管理処理部104に予め格納されているので、接続可否判断処理部106において前記ARPフレームから抽出したアドレス情報が、接続可否情報として登録されているか否かのチェックが行われる。もし、登録されていない場合には許可されていない装置が接続されたと判断し、該当装置をネットワークから切り離す処理を実行する。本処理を実行するために、IPアドレス重複状態発生フレーム生成処理部105において、該当装置と同じIPアドレスをもった装置を論理的にネットワーク内に生成するためのフレームをつくり、フレーム送信処理部101を経由して、このフレームをネットワーク120内の全装置宛に送信し、ネットワーク内をIPアドレス重複状態とする。このとき、ネットワークへの送信タイミングはタイミング情報管理処理部108に従い送信される。このフレームを受信した該当装置(前記ARP要求フレームを発行した装置)はネットワーク内に自装置と同じIPアドレスをもった他装置が存在する(IPアドレス重複状態)と判断し、自律的にネットワークから離脱する。
これにより、許可されていない装置をネットワークから切り離すことができる。
<許可された装置の外部からの切り離し処理>
一方、前記切り離し処理は接続可否判断処理部106から実行されたが、この切り離し処理は外部装置114からの指示を受けて実行されることもある。これについては実施例3で説明する。
以上、切り離し処理について述べたが、フレーム受信処理においては監視システム宛フレームもしくはネットワーク上のすべての装置宛のブロードキャストフレームのみを受信しているが、ネットワーク上を流れるすべてのフレームを受信して、その後、本発明で必要なフレームを抽出してもよい。
<構成処理部>
以下、許可されていない装置の切り離し処理に関する構成処理部について詳細に説明する。
接続可否情報管理処理部104で管理される情報を図6に示す。接続可否情報600はネットワークへの接続を許可する装置のMACアドレス601と接続を許可する装置のIPアドレス602の組み合わせで構成されており、ネットワークに装置が接続された場合、接続可否判断処理部106において、接続されたこの装置のIPアドレスとMACアドレスと、接続可否情報の内容とが比較されることにより、該当装置の接続可否判断がなされる。この接続可否情報はあらかじめ外部から登録されたものを使用してもよいし、監視システムが動作中に外部から更新されたものでもよい。また、装置アドレス情報生成処理部103から生成された情報も接続可否情報として使用できる。
図6ではMACアドレスとIPアドレスの1対1の組み合わせであるが、図7に示すように接続可否情報700としてMACアドレス(MAC1)とIPアドレス(IP1)の組み合わせ701,IPアドレス(IP2)のみの場合702,MACアドレス(MAC3)のみの場合703、あるいはIPアドレスの範囲指定(IP4〜IP5)の場合704などとすることができる。これらはネットワークのセキュリティポリシーやネットワーク環境あるいは、運用方針などに従って使い分けられることになる。
また、図8に示すように、接続可否情報800として、装置毎にネットワークへの接続許可時間帯801,接続不許可時間帯802および所有者情報803を使用することもできる。例えば、ネットワークへの接続が許可されている装置1の場合804では、時刻aから時刻bの間だけは接続を許可するが、これ以外の時間帯は許可をしない。逆に、装置3の場合805では時刻eから時刻fの間はネットワークへの接続を許可しない場合などである。なお、図8では装置毎に時間帯を設定しているが、これらは装置毎でなくても、例えばネットワーク全体で決めてもよい。所有者情報803は装置の使用者を特定し、例えば、その使用者権限によりネットワークへの接続を許可したり、許可しなかったりする場合の判断材料に使用するものである。これらの、所有者権限については、例えば、ディレクトリシステムと連携することで、さらにきめ細かな接続可否判断が可能となる。
また、図9に示すように、接続可否情報900は装置毎に、前回の接続時刻901と、前回接続した時刻からある閾値以上の経過時間がたった場合には新たな接続を拒否するために使用される接続拒否用経過時間902と、前回接続した時刻からある閾値以上の経過時間がたった場合には現在接続されている装置を切り離すために使用される接続中断用経過時間903と、接続を許可されなかった回数904などをもつこともできる。これはたとえ、許可されているPCなどの装置であっても、一定期間以上、ネットワークに接続されていない装置は、例えば、ウイルスチェックパターンが最新のものに更新されていないため、最近のウイルスに汚染されている場合も想定される。そのような場合において、前回接続してからの経過時間が接続拒否用経過時間902を超えている場合には、ネットワークへの接続を許可しないことにより、ネットワークへの悪影響を及ぼす可能性を下げるうえで有効である。同様に、たとえ、許可されている装置であっても、例えば、サービス運用に合わせて、連続して接続をした状態を維持する時間に制限をつけたい場合がある。そのような場合において、今回接続した時刻からの経過時間が接続中断用経過時間903を超えた場合には該当装置を切り離すことにより、きめこまかなネットワーク運用が可能となる。例えば、装置1の場合905においては、接続拒否用経過時間(時間1)以上たった後は装置1をネットワークに接続しようとしてもできないし、一方、装置1をネットワークに接続した後、接続中断用経過時間(時間a)がたつとネットワークから切り離されることになる。
なお、接続可否情報900においては接続拒否用経過時間902および接続中断用経過時間903を装置毎にもっているがそれぞれをシステム全体でもってもかまわない。
また、図では示していないが、ネットワークへ接続される装置の全台数を一定以下に抑えることで、ネットワークトラフィックを一定以下に抑えることを目的に、接続可否情報として、装置のネットワークへの接続許可台数やネットワークトラフィック状態も利用することができる。
タイミング情報管理処理部108はネットワークに送出するフレームの送出タイミングを制御するものである。図10に示すように、タイミング情報1000はフレーム種別毎に送信タイミング1001,1002,1003,1004とフレームの送出繰り返し回数1005のうち少なくとも1つ以上を組み合わせた形で使用されている。
例えば、IPアドレス重複状態発生用フレーム1010の場合には、フレーム送出要求があると、即時にネットワークへ送出される。アドレス収集用フレーム1040の場合には、T5秒のインターバル1とT6秒インターバル2従って、ネットワークへ送出される。
どの送信タイミングでネットワークへ送出されるかはセキュリティ管理やネットワークシステムの運用方針等で決まるものである。これにより、ネットワークの負荷状態や装置の使用状況に応じたきめこまかな制御が可能となる。なお、このタイミング情報はあらかじめ外部から登録されたものを使用してもよいし、監視システムが動作中に外部から更新されたものであってもよい。
IPアドレス重複状態発生フレーム生成処理部105はネットワーク上にIPアドレスが重複した状態、すなわち、同一IPアドレスを複数の装置が使用している状態を作るために、該当フレームを作成するものである。
例えば、PCをネットワークに接続して、該当PCを立ち上げると、該当PCのIPアドレスが他の装置に使用されていないことを該当PCのOS(Operating System)がチェック処理(IPアドレスの重複チェック処理)を行う。
このとき、図11に示すようなARP要求フレーム1100が該当PCからネットワークに対してブロードキャストされる。このとき、送信元アドレス1101のIPアドレスは該当PCのIPアドレス(IP1)1112を、MACアドレスは該当PCのMACアドレス(MAC1)1111である。一方、探索アドレス1102のIPアドレスは該当PCのIPアドレス(IP1)1114を、MACアドレス1113は0が設定される。監視システムでは受信したこのARP要求フレーム1100を利用して、図12に示すようにIPアドレス重複状態発生フレーム−a1200もしくは、IPアドレス重複状態発生フレーム−b1250を生成する。具体的に以下に詳細に説明する。ここでのポイントは許可されていないPC(装置)がネットワークに接続したときのネットワーク内の他の装置への影響、つまり、他の装置間の通信への影響を見極めることである。許可されていないPCがどのようなIPアドレスを使ってネットワークに接続してくるかによってその影響が決まる。例えば、許可されていないPCがネットワーク内の他の装置が使用しているIPアドレスを使用していた場合には、ネットワーク内の他の装置が通信時に使用している各装置内のARP管理テーブル内の情報が破壊され、通信ができなくなる。そのため、該当PCをネットワークから切り離すだけでなく、同時に、各装置がもつ破壊されたARP管理テーブルを修復し、他の装置間の通信が継続できるようにすることがポイントである。すなわち、許可されていないPCがネットワーク内の他の装置が使用しているIPアドレスを使用していなかった場合にはIPアドレス重複状態発生フレーム−a1200を生成する。具体的には、このとき、送信元アドレス1201のIPアドレスは該当PCのIPアドレス(IP1)1212を、MACアドレスは監視システムのMACアドレス(MACx)1211とする。一方、探索アドレス1202のIPアドレスは該当PCのIPアドレス(IP1)1214を、MACアドレスは該当PCのMACアドレス(MAC1)1213を設定する。なお、ここでは送信元アドレス1201のMACアドレスとして監視システムのMACアドレス(MACx)1211を使用したが、このMACアドレスはネットワーク内の他の装置が使用しないMACアドレスのビットパターンであってもよい。
一方、許可されていないPCがネットワーク内の他の装置が使用しているIPアドレスを使用していた場合にはIPアドレス重複状態発生フレーム−bを生成する。具体的には、このとき、送信元アドレス1251のIPアドレスは該当PCのIPアドレス(IP1)1262を、MACアドレスは同一IPアドレスを使っていた他の装置のMACアドレス(MACy)1261とする。一方、探索アドレス1252のIPアドレスは該当PCのIPアドレス(IP1)1264を、MACアドレスは該当PCのMACアドレス(MAC1)1263を設定する。
このように設定したフレームをネットワーク内の全装置宛に送出することにより、ネットワーク内にIPアドレス重複状態を発生させる。ネットワークから本フレームを受信した該当PCは自分が使用したIPアドレスは重複状態であることを認識(自装置以外の装置が同一のIPアドレスを使用していることを認識)し、ネットワークから自律的に離脱する。また、同時に、破壊された各装置がもつARP管理テーブルを修復し、他の装置間の通信が継続できるようにする。
なお、本処理部は接続可否判断処理部106で接続を許可しないと判断された場合、あるいは、外部装置114から特定の装置を切り離す要求指示を外部指示受付処理部109で受け付けた場合にも実行される。
図13に許可されていない装置の切り離し処理の一例をフローチャートに示す。この例では処理1300で受信したフレームを特定するためにフレームヘッダ内のプロトコル種別をチェックし、プロトコルがARP以外の場合には処理を終了する。なお、このプロトコル種別は図3のIPフレーム300内のタイプ304で識別することができる。ARPの場合には処理1310において監視システム自身が発行したARPについては処理対象外として処理を終了する。処理1320において、受信したARPの種別がARP要求フレームであるか、ARP応答フレームであるかを判断し、ARP要求フレームのみを以降の処理対象とする。処理1330において該当ARPフレーム1100から送信元のIPアドレスと送信元のMACアドレスを抽出し、処理1340において該当アドレスが接続可否情報テーブル900に登録されているか、さらに、処理1350において接続可否情報テーブル900の許可条件を満足しているか否かをチェックして、登録されていない場合、あるいは満足していない場合には該当装置を切り離し対象として選択する。
処理1360において、許可されていない装置のIPアドレスがネットワーク内の他の装置で現在使用しているかどうかをチェックし、他の装置で使用されていない場合には処理1370において、ネットワーク内にIPアドレス重複状態を発生させるためにIPアドレス重複状態発生フレーム−aを生成する。このとき、送信元MACアドレスを監視システムのMACアドレスとする。許可されていない装置のIPアドレスがネットワーク内の他の装置で現在使用されている場合には処理1380において、ネットワーク内にIPアドレス重複状態を発生させるためにIPアドレス重複状態発生フレーム−b1250を生成する。このとき送信元MACアドレスを、同一IPアドレスを現在使用している他の装置のMACアドレスとする。処理1390においてタイミング管理情報テーブル1000からフレーム送信タイミング情報を抽出し、このタイミング情報を使用して処理1400において上記で生成したIPアドレス重複状態発生フレーム(IPアドレス重複状態発生フレーム−aもしくはIPアドレス重複状態発生フレーム−b1250を)をネットワークへ送信する。ここで、処理1340において接続可否情報テーブル900の代わりに接続可否情報テーブル600,700,800を用いてもよい。
接続可否チェック用IPアドレス生成処理部112について説明する。
これまでの説明ではブロードキャスト方式を使ってネットワーク120上のすべての装置宛に送られてくるARP要求フレームに対する処理の流れを説明したが、この処理を補完するために下記処理を行う。これは例えば、監視システムを何らかの理由で一度停止し、再度立ち上げた場合を想定すると、監視システムが停止中に許可されていない装置がネットワークに接続された場合にはこの許可されていない装置の存在を検出することが遅れることがある。図1を使って以下説明する。監視システムが許可されていない装置の存在を能動的に検出するために、ネットワーク上の全ての装置または指定された1つ以上の装置に対してARPフレームの発行を誘発するためのフレームを発行する。そのために、発行対象となる装置の決定はアドレス管理情報113にあらかじめ登録されているものを使用する。ここには、例えば、対象となる装置のIPアドレスの範囲指定やチェック用フレーム送出のタイミング情報が登録されている。また、IPアドレスの範囲指定がされていない場合には該当ネットワークのアドレス体系およびネットマスク情報をもとにネットワーク上のすべてのホストのIPアドレスを生成して発行することになる。例えば、図18に示すような該当ネットワークのIPアドレスやネットマスク情報をもとにネットワーク上のすべてのホストのIPアドレスを生成して発行することになる。図18においては、IPアドレス1800は172.20.100.52、サブネットマスク1801は255.255.255.192であるため、ネットワークアドレス部は26ビット、ホスト部は6ビットである。次に、アドレス管理情報113をもとに接続可否チェック用IPアドレス生成処理部112で順次、IPドレスを生成し、そのIPアドレスを使って、チェック用フレーム生成処理部111でチェック用フレームを生成する。このとき、図22に示すように、RFC792で規定されたICMPプロトコル2200を使用する。ここで、タイプ2201が8であるICMPエコー要求フレームを生成した後、フレーム送信処理部101を使ってこのフレームをネットワークへ送信する。これをアドレス管理情報113の内容に従い繰り返す。このとき、ネットワークのトラフィック負荷を上昇させないようにアドレス管理情報113に登録された送信間隔でフレームをネットワークへ送信する。ネットワークに接続された装置はこのICMPエコー要求フレームに対する応答をICMPエコー応答フレームで本監視システム宛に返してくるので、この情報をフレーム受信処理部102で受信する。その後、この応答フレームの送信元装置のIPアドレスとMACアドレスを組み合わせたアドレス情報を使って、接続可否判断が行われる。その後の接続可否判断処理以降の処理は前記処理と同じである。
なお、ここではチェック用にICMPエコー要求フレームを使った例を示したが、ICMPエコー要求フレームでなくても、接続可否チェックをされる装置から応答が返えされるフレームであればよい。たとえば、図22に示すICMPタイムスタンプ要求やICMPアドレスマスク要求、あるいは、ARP要求フレームなどであってもよい。
次に、図23に接続可否チェック処理のための一例をフローチャートに示す。
図23の処理は一度起動されると動き続ける例を示している。処理2301〜2303は初期化処理である。まず、処理2301ではアドレス管理情報113から接続可否チェック用に使用する装置のIPアドレスの範囲情報(例えば、IPxからIPyの範囲のアドレス情報を収集する場合にはその範囲)および、フレーム送信タイミングを読み込む。フレーム送信タイミングについてはタイミング管理情報1000に設定される。また、監視システムが接続されているネットワークのアドレス体系情報を把握するためのIPアドレスとサブネットマスク情報を読み込む。次に、処理2303において、フレームを出すタイミングを規定したタイミング管理情報テーブル1000から、チェック用1030の送信タイミングb(インターバル1)T3および送信タイミングc(インターバル2)T4を取り込む。処理2304において、処理2305〜2309の処理で使用するインデックスを初期化する。すなわち、ホスト番号を1つずつ更新するためのホスト番号管理用インデックス、および、範囲指定されたIPアドレスを1つずつ更新するためのアドレス範囲管理用インデックスを初期化する。処理2305においては、処理2301で読み込んだ情報にしたがい、接続可否チェック用IPアドレスが範囲指定されていた場合には処理2308で該当IPアドレスを選択し、処理2309において次回の選択用にインデックスを更新する。接続可否チェック用IPアドレスが範囲指定されていない場合には処理
2306でサブネットマスクに従いホスト番号部を抽出し、ホスト番号を生成する。処理2307において次回のホスト番号を生成するためにインデックスを更新する。処理2310ではIPアドレスを生成し、処理2311ではこのIPアドレスを使用したICMPエコー要求フレームを生成し、処理2312ではこのフレームを送信する。処理2313では指定された全てのホスト(装置)に対してアドレス収集用のICMPエコー要求フレームを発行したかを判断し、全てが完了した場合には処理2114でインターバル2の間休止し、以後処理を続行する。一方、全てが完了していない場合にはインターバル1の間休止し、次のホスト(装置)に対する処理を続行する。
本実施例によればネットワークに接続を許可される装置情報を予め登録しておくことにより、ネットワークへの接続を許可されていない装置がネットワークに接続されたタイミングで、監視システムはその存在を検出し、さらに、許可されていない装置自体が他の装置と通信をできなくするように、許可されていない装置をネットワークから切り離すことができる。また、許可されていない装置を切り離す際には、許可されていない装置が使用したIPアドレスのネットワーク内での使用状況により、許可されていない装置の切り離し方法を変え、これにより、ネットワーク内の他の装置間の通信を継続できるようにしていることである。また、許可されていない装置がネットワークに接続された後に、監視システムを起動させた場合においても、該当装置の存在を検知し、さらに、該当装置をネットワークから切り離すことができる。また、許可されていない装置と判断される装置を含めてネットワーク上に接続される装置には本発明に関わる専用ソフトウェアを予め入れておく必要が無いことからネットワークセキュリティを強化することができる。
以下、実施例2について説明する。
<構成>
本発明のネットワーク監視システムの構成のうち、特徴部を図15に示す。なお、その他の部分は概略、図1と同じである。図15において、ネットワーク監視システム200はネットワーク120からフレームを受信するフレーム受信処理部102,受信したフレームのうち、ネットワーク上の各装置から自発的あるいは誘発的に発行されたARPフレームからIPアドレスとMACアドレス情報を抽出するARPフレームのアドレス情報抽出処理部1501,この抽出したIPアドレスとMACアドレスを組み合わせて、ネットワークに接続された装置のアドレス情報を一意的に生成するアドレス情報生成処理部1502,生成された一意的なアドレス情報の要素分類をキーにして外部から昇順もしくは降順に並べ替えを行い、さらに、このアドレス情報の個々の要素に対して、外部から有効あるいは無効の設定を行うための外部装置114、その設定結果に従って生成される、ネットワークに接続された装置の装置アドレス情報生成処理部103,ネットワーク上の全ての装置または指定された1つ以上の装置に対して、ARPフレームの発行を誘発するフレームを発行するためのアドレス情報収集用IPアドレス生成処理部1505,そのIPアドレス生成のために予め登録されたアドレス管理情報113,アドレス情報収集用フレーム生成処理部1504,生成されたフレームをネットワークへ送信するフレーム送信処理部101からなる。なお、接続可否情報管理処理部104および本図に記載されていない他の処理部は図1と同様である。
<装置アドレス情報生成処理>
図15を用いて、装置アドレス情報生成処理を説明する。
ネットワーク監視システム200はブロードキャスト方式を使ってネットワーク120上のすべての装置宛に送られてくるARP要求フレームを受信処理部102で受信する。そして、ARP要求フレームを発行した装置を特定するために、ARPフレームのアドレス情報抽出処理部1501において、受信したARPフレームから該当装置のアドレス情報であるIPアドレスとMACアドレスを抽出する。アドレス情報生成処理部1502においては抽出したアドレス情報がすでに登録されていないかをチェックし、登録されていない場合のみ、今回受信したアドレス情報を登録する。この結果、本処理部1502を処理することで、ネットワークに接続された装置のアドレス情報が一意的に作成される。ここで、以上の処理が一定時間実施された場合にはアドレス生成情報として、図16に示すアドレス情報1600ができる。いずれも、アドレス情報としてIPアドレスとMACアドレスの組み合わせを基本に、さらに、時刻情報をもつこともある。ここで、この情報をそのまま接続可否情報管理処理部104で用いるのではなく、ネットワークシステムの運用等に照らし合わせて、装置アドレス情報生成処理部103で処理を行う。例えば、DHCPサーバ環境の場合、時間の経過とともに同一IPアドレスが複数の装置に割り当てられるので、IPアドレスとMACアドレスを1対1に対応付けることはできない。そのような場合には図17に示す装置アドレス情報1700における装置3のようにMACアドレス(MAC3)のみを登録1703する。また、装置によってはLANアダプタの故障等によるLANアダプタの交換でMACアドレスが変更になる場合を考慮して、装置2のようにIPアドレス(IP2)みを登録1702することもある。
このようなネットワークシステムの運用等に照らし合わせた設定が必要となることから
、外部装置114に対しては、生成された一意的なアドレス情報の要素分類をキーにして
、外部から昇順もしくは降順に並べ替えを行うことができるインタフェースおよび、一意的なアドレス情報の個々の要素に対する有効あるいは無効の設定を行うためのインタフェースが提供されている。
したがって、外部装置114からこのインタフェースを使用して図17に示すような装置アドレス情報1700を生成する。例えば、図16を例に説明する。要素分類としてIPアドレス1601をキーに、昇順に並べ替え、要素としてMAC2を無効とする。図17における、装置2の情報1702はこのケースを示している。MAC2を無効としたため、MAC部は空白となっている。ここで生成された情報は接続可否情報として接続可否情報管理処理部104で使用できることになる。接続可否情報管理処理部104以降の処理の流れは図1と同じである。
図19にアドレス情報を受動的に収集して、アドレス情報を生成する一例をフローチャートに示す。本処理は装置アドレス情報生成処理を行うための前処理である、アドレス情報生成の一例である。この例では処理1901において停止要求があるまでネットワークからアドレス情報を収集している。処理1902では受信したフレームのプロトコル種別を調べて、それがARPフレームの場合のみを以降の処理対象としている。処理1903は監視システムが発行したARPフレームは処理対象外とするものである。処理1904において、受信したARPフレームからIPアドレスとMACアドレスを抽出し、処理1905においてこのアドレス情報がすでに登録されているか否かをチェックし、未登録のアドレス情報のみを図16のアドレス情報テーブル1600に登録することにより一意的なアドレス情報を生成する。
次に、図20において外部からの指示に従って、図17の装置アドレス情報1700を生成するための一例をフローチャートに示す。ここでは前記の処理で生成されたアドレス情報1600をもとに装置アドレス情報1700を生成する。処理2010では、アドレス情報1600を編集するために、外部から、アドレス部であるMACアドレスやIPアドレスをキーにした並べ替えを行う指示があるか否かを判断する。並べ替えを行う指示がある場合には、処理2011において、IPアドレスやMACアドレスをキーにした昇順あるいは降順の並べ替えを行う。処理2012においては、各アドレス部に対する有効、あるいは無効の指示を取り込み、その指示に従ってアドレス情報1600をもとに装置アドレス情報1700を生成するための判断を行う。処理2013はMACアドレスのみを有効とした装置アドレス情報1700を作成する。処理2014はIPアドレスのみを有効とした装置アドレス情報1700を作成する。また、処理2015はMACアドレスとIPアドレスの双方を有効とした装置アドレス情報1700を作成する。処理2016において、全ての装置に対する編集が終われば処理を終了する。
一方、前記はブロードキャスト方式を使ってネットワーク120上のすべての装置宛に送られてくるARP要求フレームに対する処理の流れを説明したが、この処理を補完するために下記処理を行う。これは例えば、監視システムを何らかの理由で一度停止し、再度立ち上げた場合には、その時点ですでにネットワークに接続された全ての装置のアドレス情報を生成することが困難となる場合を想定したものである。
図15を使って以下説明する。監視システムがアドレス情報を能動的に生成するために、ネットワーク上の全ての装置または指定された1つ以上の装置に対してARPフレームの発行を誘発するためのフレームを発行する。そのために、発行対象となる装置の決定はアドレス管理情報113にあらかじめ登録されているものを使用する。ここには、例えば、対象となるIPアドレスの範囲指定や個別指定されたIPアドレスリストがある。また、アドレス指定されていない場合には、例えば、図18に示すような該当ネットワークのIPアドレスやネットマスク情報をもとにネットワーク上のすべてのホストのIPアドレスを生成して発行することになる。図18においては、IPアドレス1800は172.20.100.52、サブネットマスク1801は255.255.255.192であるため、ネットワークアドレス部は26ビット、ホスト部は6ビットである。アドレス管理情報113をもとにアドレス情報収集用IPアドレス生成処理部で順次、IPアドレスを生成し、そのIPアドレスを使って、アドレス情報収集用フレーム生成処理部1504で生成されたARP要求フレームをフレーム送信処理部101からネットワークへ送信する。これをアドレス管理情報113の内容に従い繰り返す。ネットワークに接続された装置はこのARP要求フレームに対する応答をARP応答フレームとして本監視システム宛に返してくるので、この情報をフレーム受信処理部102で受信する。その後の処理は前記処理と同じである。図21にアドレス情報を能動的に収集して、アドレス情報を生成する一例をフローチャートに示す。図21の処理は一度起動されると動き続ける例を示している。処理2101〜2103は初期化処理である。まず、処理2101ではアドレス管理情報113からアドレス収集用に使用する装置のIPアドレスの範囲情報(例えば、IPxからIPyの範囲のアドレス情報を収集する場合にはその範囲)および、フレーム送信タイミングを読み込む。フレーム送信タイミングについてはタイミング管理情報1000に設定される。また、監視システムが接続されているネットワークのアドレス体系情報を把握するためのIPアドレスとサブネットマスク情報を読み込む。次に、処理2103において、フレームを出すタイミングを規定したタイミング情報管理テーブル1000から、アドレス収集用1040の送信タイミングb(インターバル1)T5および送信タイミングc(インターバル2)T6を取り込む。処理2104において、処理2105〜2109の処理で使用するインデックスを初期化する。すなわち、ホスト番号を1つずつ更新するためのホスト番号管理用インデックス、および、範囲指定されたIPアドレスを1つずつ更新するためのアドレス範囲管理用インデックスを初期化する。処理2105においては、処理2101で読み込んだ情報にしたがい、アドレス情報収集用IPアドレスが範囲指定されていた場合には処理2108で該当IPアドレスを選択し、処理2109において次回の選択用にインデックスを更新する。アドレス情報収集用IPアドレスが範囲指定されていない場合には処理2106でサブネットマスクに従いホスト番号部を抽出し、ホスト番号を生成する。処理2107において次回のホスト番号を生成するためにインデックスを更新する。処理2110ではIPアドレスを生成し、処理2111ではこのIPアドレスを使用したARP要求フレームを生成し、処理2112ではこのフレームを送信する。処理2113では指定された全てのホスト(装置)に対してアドレス収集用のARP要求フレームを発行したかを判断し、全てが完了した場合には処理2114でインターバル2の間休止し、以後処理を続行する。一方、全てが完了していない場合にはインターバル1の間休止し、次のホスト(装置)に対する処理を続行する。
本実施例によれば、ネットワークに接続されている装置が自発的にネットワークに送出するアドレス情報を含んだフレームを監視することにより、ネットワークに接続されている装置のアドレス情報を生成する(受動的)ことに加えて、さらに、接続された装置にアドレス情報の送出を誘発させるフレームをネットワーク内の装置に送出することによりアドレス情報を生成する(能動的)。この2つの方式により生成されたアドレス情報をもとにして、ネットワークシステムの運用方針等に従ったきめ細かな管理情報を生成することができ、これを、許可されていない端末の存在を判断する際に使用するアドレス管理情報とすることができる。これにより、これら多数の装置の管理情報を、例えば、手作業で作成しなくてもよく、ネットワークの管理や維持に関わる作業やそれに伴う費用、あるいはネットワーク管理者の負担を軽減することができる。
以下、実施例3について説明する。
<構成>
本発明のネットワーク監視システムの構成を図1に示す。
ネットワークに接続された装置の接続状態を管理し、一旦切り離された装置を許可された装置に外部から変更するための手段および、許可された装置を切り離すために外部から変更するための手段を提供する接続情報管理処理部115,この処理部で管理される接続状態情報に対して、装置の接続状態情報やアドレス情報の要素分類をキーにして外部から昇順もしくは降順に並べ替えを行い、さらに、この接続状態に対して、外部から「接続」あるいは「切り離し」の設定を行うための外部装置114,この設定指示を受け付ける外部指示受付処理部109,一旦切り離された装置を他の装置と通信できるようにするための接続フレームを生成する接続用フレーム生成処理部110,許可された装置を切り離すためのフレームを生成するためのIPアドレス重複状態発生フレーム生成処理部105,生成されたフレームをネットワークへ送信するフレーム送信処理部101からなる。
図1および図24を用いて、一旦切り離された装置に対する接続処理および、許可されていた装置の切り離し処理を説明する。
接続情報管理処理部115ではネットワークに接続された装置の接続状態を管理している。外部から、一旦切り離された装置を許可された装置に変更する場合、あるいはその逆に、許可されていた装置を切り離す装置に変更する場合には、外部装置114から接続あるいは切り離し指示が行われる。
この接続指示あるいは切り離し指示は外部指示受付処理部109で受け付けられ、接続可否情報700と接続可否判断処理部106の結果に従った接続状態情報2400がまず作成される。次に、この指示内容にしたがい接続情報管理処理部115で管理される接続状態情報2400が変更される。外部装置114に対しては、接続状態およびアドレス情報の要素分類をキーにして、外部から昇順もしくは降順に並べ替えを行うことができるインタフェースおよび、この接続情報に対応した装置に対して、接続あるいは切り離しの設定を行うためのインタフェースが提供されており、このインタフェースを使用して外部から該当装置の接続あるいは切り離し指示を行う。例えば、要素分類として接続状態情報2401をキーに、昇順に並べ替え、切り離された複数の装置、または接続状態の装置を抽出する。この複数の装置から接続を行う装置あるいは切り離しを行う装置を選択して、該当装置を接続状態あるいは切り離し状態とする指示を行う。
<一旦切り離された装置に対する外部からの接続処理>
図24に接続情報管理処理部115で管理される接続状態情報2400を示す。接続状態情報2400は装置ごとに現在の接続状態2401,MACアドレス2402,IPアドレス2403をもっている。たとえば、装置1 2404は「接続」状態を、装置2 2405は「停止」中の状態を、装置3 2406は「切り離し」状態を示している。
一旦切り離された装置に対する外部からの接続処理一例を図25のフローチャートに示す。処理2501では外部装置114からの指示を取り込むものである。処理2502において、切り離し指示を外部指示受付処理部109で受け付けた後、接続可否情報700と接続可否判断処理部106の結果に従った接続状態情報2400を作成する。処理2503においては、要素分類として接続状態情報2401をキーに昇順あるいは降順に並べ替え要求があれば、処理2504でその処理を行い、切り離された複数の装置を抽出し、この複数の装置から接続を行う装置選択する。
この後、処理2505において、選択された装置の接続状態情報2400が「切り離し」状態から「接続」状態に設定変更されると、処理2506において該当装置のアドレス情報を生成する。処理2507において接続用フレームを全装置宛に送る接続用フレーム1400(ARP応答フレーム)を生成する。処理2508において、全装置宛にフレームをネットワークへ送信する。
ここで、図1において接続用フレーム生成処理部110の処理について詳細に説明する。本処理部は一旦、切り離された特定の装置を再度、ネットワークに接続するために、該当接続フレームを作成するものである。
このときのポイントは接続フレームを該当装置のみに送信するだけでは不十分である。つまり、ネットワークに接続されているすべての装置が個々に管理しているIPアドレスとMACアドレスの対応表のうち、今回接続を許可する装置のIPアドレスとMACアドレスの対応関係を正しく直さなければならない。
そのために、図14に示す接続用フレーム1400を作成する。具体的には、送信元アドレス1401のIPアドレスは接続しようとする該当装置のIPアドレス(IP1)1412とし、MACアドレスは該当装置のMACアドレス(MAC1)1411とする。一方、探索アドレス1402のIPアドレスは監視システムのIPアドレス(IPx)1414を、MACアドレスは監視システムのMACアドレス(MACx)1413を設定する。これを該当装置宛ではなく、ネットワークに接続されているすべての装置に対して送出し、各装置が持っているARP管理テーブル内のIPアドレスとMACアドレスの対応関係も正しくなるように更新する。これにより、切り離されていた装置は他の装置と通信を行うことができるようになる。
以上は、接続情報管理処理部115で管理される接続状態情報2400を外部から変更することで、切り離された装置の接続処理について述べたが、この接続処理は外部装置114からの直接の指示を受けて実行されることもある。そのときは、接続状態情報を使用せずに、外部装置114から接続対象装置のIPアドレスを直接指定する。
外部指示受付処理部ではこのIPアドレスに対応したこの装置のMACアドレスを接続可否情報700から取り出し、このIPアドレスとMACアドレスを組み合わせた接続用フレームの生成を接続用フレームの生成処理部110に依頼する。以後の処理は前記接続処理と同じである。これにより、外部から指定された装置をネットワークに接続することができる。
<接続されている装置に対する外部からの切り離し処理>
一方、外部装置から、許可されている装置を切り離すための指示が行われた場合には、同様に外部指示受付処理部109を介して、接続状態情報が変更され、切り離し処理が実行される。このとき、実施例1で説明した切り離し処理が行われる。
以上は、接続情報管理処理部115で管理される接続状態情報を外部から変更することで、接続されている装置を切り離す処理であるが、この切り離し処理は外部装置114からの直接の指示を受けて実行されることもある。そのときは、接続状態情報を使用せずに、外部装置114から切り離し対象装置のIPアドレスを直接指定する。
外部指示受付処理部ではこのIPアドレスに対応したこの装置のMACアドレスを接続可否情報700から取り出し、このIPアドレスとMACアドレスを組み合わせたIPアドレス重複状態発生フレームの生成をIPアドレス重複状態発生フレーム生成処理部105に依頼する。以後の処理は実施例1と同じである。これにより、外部から、指定された装置を切り離すことができる。
例えば、ネットワーク内のウイルス攻撃などを監視しているセキュリティ装置が、攻撃を検知した後、攻撃をしているネットワーク内の装置の切り離しや、あるいは、攻撃を受けているサーバを守るために、このサーバを切り離す場合などにも使用される。
なお、本実施例では外部装置114とネットワーク監視システム200が直接接続されている図1の構成を使って説明したが、外部装置と監視システムがネットワークを介して接続されている場合であってもよい。
本実施例によれば、許可されていない装置として一旦切り離した装置を、管理者等の判断で、ネットワーク上の他の装置の使用者に影響を与えることなく、外部から指示することにより、再度、使用できるようにすることができる。また、接続されている装置の切り離しについても、管理者等の判断で、ネットワーク上の他の装置の使用者に影響を与えることなく、外部から指示することにより、接続されている装置を切り離すことができるようになる。これにより、ネットワークの管理や維持に関わる作業やそれに伴う費用、あるいはネットワーク管理者の負担を軽減することができる。
以上のように、DHCPでアドレスを割り当てる環境に限定せずに、装置に固定的に割り付けたアドレスを使用するネットワーク環境においても、ネットワークへの接続を許可されていない装置がネットワークに接続されたタイミングで、監視システムはその存在を検出し、さらに、許可されていない装置自体が他の装置と通信をできなくするように、許可されていない装置をネットワークから切り離すことができる。また、許可されていない装置を切り離す際には、許可されていない装置が使用したIPアドレスのネットワーク内での使用状況により、許可されていない装置の切り離し方法を変え、これにより、ネットワーク内の他の装置間の通信を継続できるようにしていることである。また、許可されていない装置がネットワークに接続された後に、監視システムを起動させた場合においても、該当装置の存在を検知し、さらに、該当装置をネットワークから切り離すことができる。また、許可されていない装置と判断される装置を含めてネットワーク上に接続される装置には本発明に関わる専用ソフトウェアを予め入れておく必要が無いことからネットワークセキュリティを強化することができる。
また、ネットワークに接続されている装置が自発的にネットワークに送出するアドレス情報を含んだフレームを監視することにより、ネットワークに接続されている装置のアドレス情報を生成する(受動的)ことに加えて、さらに、接続された装置にアドレス情報の送出を誘発させるフレームをネットワーク内の装置に送出することによりアドレス情報を生成する(能動的)。この2つの方式により生成されたアドレス情報をもとにして、ネットワークシステムの運用方針等に従ったきめ細かな管理情報を生成することができ、これを、許可されていない端末の存在を判断する際に使用するアドレス管理情報とすることができる。これにより、これら多数の装置の管理情報を、例えば、手作業で作成しなくてもよく、ネットワークの管理や維持に関わる作業やそれに伴う費用、あるいはネットワーク管理者の負担を軽減することができる。
また、許可されていない装置として、一旦切り離した装置を管理者等の判断で、外部から指示することにより、ネットワーク上の他の装置の使用者に影響を与えることなく、一旦切り離した装置を使用できるようにすることができる。また、接続されている装置の切り離しについても、管理者等の判断で、外部から指示することにより、ネットワーク上の他の装置の使用者に影響を与えることなく、接続されている装置を切り離すことができる。これにより、ネットワークの管理や維持に関わる作業やそれに伴う費用、あるいはネットワーク管理者の負担を軽減することができる。
ネットワーク監視システムの構成図。 ネットワーク監視システムの全体構成図。 IPフレームのフォーマット。 ARPプロトコルのフォーマット。 ARPプロトコルによるアドレス解決の通信例。 実施例1の接続可否情報を示す図(1)。 実施例1の接続可否情報を示す図(2)。 実施例1の接続可否情報を示す図(3)。 実施例1の接続可否情報を示す図(4)。 実施例1のフレーム送出タイミング管理情報。 実施例1のARP要求フレームフォーマット。 実施例1のIPアドレス重複状態発生フレームフォーマット。 実施例1の装置の切り離し処理のフローチャート。 実施例3の接続用フレームフォーマット。 実施例2のネットワーク監視システムの構成図(装置アドレス情報生成)。 実施例2のアドレス情報を示す図。 実施例2の装置アドレス情報を示す図。 実施例1,2のアドレス体系を示す図。 実施例2の受動的なアドレス情報生成処理のフローチャート。 実施例2の装置アドレス情報生成処理のフローチャート。 実施例2の能動的なアドレス情報生成処理のフローチャート。 実施例1のICMPプロトコルのフレームフォーマット。 実施例1の接続可否チェック処理のフローチャート。 実施例3の切り離された装置を外部から接続,切り離す場合に使用する接続状態情報の図。 実施例3の切り離された装置を外部から接続する処理のフローチャート。
符号の説明
101…フレーム送信処理部、102…フレーム受信処理部、103…装置アドレス情報生成処理部、104…接続可否情報管理処理部、105…IPアドレス重複状態発生フレーム生成処理部、106…接続可否判断処理部、107…外部通知処理部、108…タイミング情報管理処理部、109…外部指示受付処理部、110…接続用フレーム生成処理部、111…チェック用フレーム生成処理部、112…接続可否チェック用IPアドレス生成処理部、113…アドレス管理情報、114…外部装置、115…接続情報管理処理部、120…ネットワーク、200…ネットワーク監視システム。

Claims (3)

  1. 送信元ネットワークアドレス領域,送信元物理アドレス領域,送信先ネットワークアドレス領域及び送信先物理アドレス領域を含んだ情報をフレームとして授受するローカルネットワークについて監視を行うネットワーク監視装置において、
    前記ローカルネットワークに接続する端末は、前記ローカルネットワークに自端末と同じネットワークアドレスをもった他端末が存在すると判断すると、自律的に前記ローカルネットワークから離脱するものとなして、
    前記ローカルネットワークに流れるフレームを前記端末から受信する受信手段と、
    前記フレームを送信した端末が許可端末に相当するかを判断する判断手段と、
    前記許可端末に相当しないと判断された場合に、フレームの送信元ネットワークアドレス領域に、前記許可端末に相当しないと判断された端末の送信元ネットワークアドレスの情報を格納し、フレームの送信元物理アドレス領域に、予め定められた所定の物理アドレスを格納し、さらに、前記許可端末に相当しないと判断された端末の送信元ネットワークアドレスが前記ローカルネットワークで保護すべき端末によって用いられている場合は、前記予め定められた所定の物理アドレスを、前記保護すべき端末の物理アドレスの情報として、前記送信元ネットワークアドレスの情報及び前記送信元物理アドレスが格納されたフレームを前記受信したフレームに対する応答フレームとして生成して、該生成したフレームを送信する送信手段を有することを特徴とするネットワーク監視装置。
  2. 送信元ネットワークアドレス領域,送信元物理アドレス領域,送信先ネットワークアドレス領域及び送信先物理アドレス領域を含んだ情報をフレームとして授受するローカルネットワークについて監視を行うネットワーク監視システムにおいて、
    前記ローカルネットワークに接続する端末は、前記ローカルネットワークに自端末と同じネットワークアドレスをもった他端末が存在すると判断すると、自律的に前記ローカルネットワークから離脱するものとなして、
    前記ローカルネットワークに流れるフレームを前記端末から受信する受信手段と、
    前記フレームを送信した端末が許可端末に相当するかを判断する判断手段と、
    前記許可端末に相当しないと判断された場合に、フレームの送信元ネットワークアドレス領域に、前記許可端末に相当しないと判断された端末の送信元ネットワークアドレスの情報を格納し、フレームの送信元物理アドレス領域に、予め定められた所定の物理アドレスを格納し、さらに、前記許可端末に相当しないと判断された端末の送信元ネットワークアドレスが前記ローカルネットワークで保護すべき端末によって用いられている場合は、前記予め定められた所定の物理アドレスを、前記保護すべき端末の物理アドレスの情報として、前記送信元ネットワークアドレスの情報及び前記送信元物理アドレスが格納されたフレームを前記受信したフレームに対する応答フレームとして生成して、該生成したフレームを送信する送信手段を有することを特徴とするネットワーク監視システム。
  3. 送信元ネットワークアドレス領域,送信元物理アドレス領域,送信先ネットワークアドレス領域及び送信先物理アドレス領域を含んだ情報をフレームとして授受するローカルネットワークについて監視を行うネットワーク監視方法において、
    前記ローカルネットワークに接続する端末は、前記ローカルネットワークに自端末と同じネットワークアドレスをもった他端末が存在すると判断すると、自律的に前記ローカルネットワークから離脱するものとなして、
    前記ローカルネットワークに流れるフレームを前記端末から受信し、
    前記フレームを送信した端末が許可端末に相当するかを判断し、
    前記許可端末に相当しないと判断された場合に、フレームの送信元ネットワークアドレス領域に、前記許可端末に相当しないと判断された端末の送信元ネットワークアドレスの情報を格納し、フレームの送信元物理アドレス領域に、予め定められた所定の物理アドレスを格納し、さらに、前記許可端末に相当しないと判断された端末の送信元ネットワークアドレスが前記ローカルネットワークで保護すべき端末によって用いられている場合は、前記予め定められた所定の物理アドレスを、前記保護すべき端末の物理アドレスの情報として、前記送信元ネットワークアドレスの情報及び前記送信元物理アドレスが格納されたフレームを前記受信したフレームに対する応答フレームとして生成して、該生成したフレームを送信するネットワーク監視方法。
JP2008130278A 2008-05-19 2008-05-19 ネットワーク監視装置,ネットワーク監視システム及びネットワーク監視方法 Expired - Fee Related JP4491489B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008130278A JP4491489B2 (ja) 2008-05-19 2008-05-19 ネットワーク監視装置,ネットワーク監視システム及びネットワーク監視方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008130278A JP4491489B2 (ja) 2008-05-19 2008-05-19 ネットワーク監視装置,ネットワーク監視システム及びネットワーク監視方法

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2004069937A Division JP2005260615A (ja) 2004-03-12 2004-03-12 ネットワーク監視装置,ネットワーク監視方法,ネットワーク監視用プログラム及びネットワーク監視用プログラムが格納された記録媒体

Publications (2)

Publication Number Publication Date
JP2008252924A JP2008252924A (ja) 2008-10-16
JP4491489B2 true JP4491489B2 (ja) 2010-06-30

Family

ID=39977246

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008130278A Expired - Fee Related JP4491489B2 (ja) 2008-05-19 2008-05-19 ネットワーク監視装置,ネットワーク監視システム及びネットワーク監視方法

Country Status (1)

Country Link
JP (1) JP4491489B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5278358B2 (ja) * 2010-03-15 2013-09-04 三菱電機株式会社 ネットワ−ク接続装置
JP6625077B2 (ja) * 2017-01-30 2019-12-25 株式会社日立製作所 Usb中継装置を用いたウイルス検出システム及びウイルス検出方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005198090A (ja) * 2004-01-08 2005-07-21 Fujitsu Ltd ネットワーク不正接続防止方法及び装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2593191B2 (ja) * 1988-06-22 1997-03-26 三菱電機株式会社 端末制御監視装置
JP3499621B2 (ja) * 1994-12-27 2004-02-23 株式会社東芝 アドレス管理装置およびアドレス管理方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005198090A (ja) * 2004-01-08 2005-07-21 Fujitsu Ltd ネットワーク不正接続防止方法及び装置

Also Published As

Publication number Publication date
JP2008252924A (ja) 2008-10-16

Similar Documents

Publication Publication Date Title
JP5790827B2 (ja) 制御装置、制御方法、及び通信システム
EP0943202B1 (en) Method and apparatus for assignment of ip addresses
JP5826920B2 (ja) 遮断サーバを用いたスプーフィング攻撃に対する防御方法
US6907470B2 (en) Communication apparatus for routing or discarding a packet sent from a user terminal
JP4664143B2 (ja) パケット転送装置、通信網及びパケット転送方法
US8369346B2 (en) Method and system for restricting a node from communicating with other nodes in a broadcast domain of an IP (internet protocol) network
JP2005197823A (ja) ファイアウォールとルータ間での不正アクセス制御装置
KR20160002058A (ko) 모드버스 통신 패턴 학습에 기반한 비정상 트래픽 탐지 장치 및 방법
JP2020017809A (ja) 通信装置及び通信システム
CN105959282A (zh) Dhcp攻击的防护方法及装置
JP2004302538A (ja) ネットワークセキュリティシステム及びネットワークセキュリティ管理方法
JP6117050B2 (ja) ネットワーク制御装置
US7551559B1 (en) System and method for performing security actions for inter-layer binding protocol traffic
JP4384236B2 (ja) ネットワーク監視装置,ネットワーク監視方法,ネットワーク監視用プログラム及びネットワーク監視用プログラムが格納された記録媒体
KR20040109985A (ko) Dhcp 패킷을 이용한 동적 ip 주소할당 환경에서의arp/ip 스푸핑 자동 방지 방법
JP4491489B2 (ja) ネットワーク監視装置,ネットワーク監視システム及びネットワーク監視方法
Bi et al. Source address validation improvement (SAVI) solution for DHCP
CN106953830B (zh) Dns安全防护方法、装置及dns
JP2005260615A (ja) ネットワーク監視装置,ネットワーク監視方法,ネットワーク監視用プログラム及びネットワーク監視用プログラムが格納された記録媒体
JP3790486B2 (ja) パケット中継装置、パケット中継システムおよびオトリ誘導システム
JP2008154012A (ja) ネットワーク監視装置,ネットワーク監視方法,ネットワーク通信方法,ネットワーク検疫システム
KR100765340B1 (ko) 가상의 인라인 네트워크 보안방법
JP4767683B2 (ja) 中継装置、不正アクセス防止装置、およびアクセス制御プログラム
CN106685861A (zh) 一种软件定义网络系统及其报文转发控制方法
JP2009278293A (ja) パケット送信元特定システム、パケット送信元特定方法、およびパケット送信元特定プログラム

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090519

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090715

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090915

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091113

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100323

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100405

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130409

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4491489

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130409

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140409

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees