JP4943929B2 - ネットワークフォレンジックシステム、ネットワーク監視方法及びmacアドレスのサンプリング方法 - Google Patents
ネットワークフォレンジックシステム、ネットワーク監視方法及びmacアドレスのサンプリング方法 Download PDFInfo
- Publication number
- JP4943929B2 JP4943929B2 JP2007114550A JP2007114550A JP4943929B2 JP 4943929 B2 JP4943929 B2 JP 4943929B2 JP 2007114550 A JP2007114550 A JP 2007114550A JP 2007114550 A JP2007114550 A JP 2007114550A JP 4943929 B2 JP4943929 B2 JP 4943929B2
- Authority
- JP
- Japan
- Prior art keywords
- network
- switch
- mac address
- user terminal
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 title claims description 72
- 238000005070 sampling Methods 0.000 title claims description 62
- 238000000034 method Methods 0.000 title claims description 40
- 238000004891 communication Methods 0.000 claims description 51
- 230000005540 biological transmission Effects 0.000 claims description 17
- 230000008859 change Effects 0.000 claims description 14
- 101100048435 Caenorhabditis elegans unc-18 gene Proteins 0.000 description 8
- 230000006870 function Effects 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 101800000851 Tachykinin-associated peptide 4 Proteins 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P20/00—Technologies relating to chemical industry
- Y02P20/50—Improvements relating to the production of bulk chemicals
- Y02P20/52—Improvements relating to the production of bulk chemicals using catalysts, e.g. selective catalysts
Landscapes
- Small-Scale Networks (AREA)
Description
本発明は、ネットワークフォレンジックシステム並びにこれに関連するネットワーク監視方法及びMACアドレスのサンプリング方法に関する。さらに詳しくは、各々がMACアドレスを有する複数の利用者端末と、これら複数の利用者端末を接続する第一ネットワークと、これら利用者端末が利用対象とする第二ネットワークに対する他ネット接続部と、IP情報を元にスイッチングを行うスイッチとを備え、このスイッチを前記他ネット接続部と前記第一ネットワークとの間に配置し、前記他ネット接続部とスイッチとの間の第一通信データを採取すると共に保存する監視サーバーを備えたネットワークフォレンジックシステム、並びに、これに関連するネットワーク監視方法及びMACアドレスのサンプリング方法に関する。
上述の如きネットワークフォレンジックシステムでは、例えば、第一ネットワークであるLANに接続された利用者端末が第二ネットワークであるWANへの接続を行うことで、TCP/IP等による通信がなされる。そして、監視サーバーにより各利用者端末とWANとの通信パケットを監視サーバーは採取・解析・記録・保存する。
一方、上記WAN,LAN環境では、ギガビットネットワークの普及とLANの大規模化に伴い、ルーティングの高速化とサブネット間通信の必要性が高まってきた。そこで、これらの要請に応え、IP情報を元にスイッチングを行うスイッチの一例としてレイヤー3スイッチが導入されている。
ところが、パケットがレイヤー3スイッチを通過する際、パケットに付加されていたMACアドレスの値が変更されてしまうため、送信元である各利用者用端末7のMACアドレスが不明となる。その一方、各利用者用端末のIPアドレスは、DHCP(Dynamic Host Configuration Protocol)によって一時的かつ自動的に割り振られているケースが多い。したがって、IPアドレスのみでは各利用者用端末を識別することができなかった。
ところで、特許文献1でも、このようなDHCPによるデバイスの識別上の問題が指摘されている。同文献ではIPとMACの情報を有するARPテーブルを利用して疑似物理デバイスとIPとを関連づけており、レイヤー3スイッチではMACの情報が欠落するため、「IP情報を元にスイッチングを行うスイッチ」の介在する環境では同技術を利用しても利用者端末を識別することは不可能である。
特開平11−355303号公報
かかる従来の実情に鑑みて、本発明は、「IP情報を元にスイッチングを行うスイッチ」の介在する環境においても利用者端末を識別することの可能なネットワークフォレンジックシステム、ネットワーク監視方法及びMACアドレスのサンプリング方法を提供することを目的とする。
上記目的を達成するため、本発明に係るネットワークフォレンジックシステムの特徴は、各々がMACアドレスを有する複数の利用者端末と、これら複数の利用者端末を接続する第一ネットワークと、これら利用者端末が利用対象とする第二ネットワークに対する他ネット接続部と、IP情報を元にスイッチングを行い、前記利用者端末を送信元とするパケットが通過する際に、パケットに付加されていたMACアドレスの値を変更するスイッチとを備え、このスイッチを前記他ネット接続部と前記第一ネットワークとの間に配置し、前記他ネット接続部とスイッチとの間の第一通信データを採取すると共に保存する監視サーバーを備えた構成において、前記利用者端末と前記スイッチとの間にこれらの間の第二通信データをサンプリングするサンプリング装置を設け、このサンプリング装置によりサンプリングされた第二通信データから前記利用者端末のMACアドレスと当該利用者端末のIPアドレスとの対応関係を求め、この対応関係を前記監視サーバーに送信し、第一通信データのIPアドレスにMACアドレスを関連づけることにある。
また、本発明に係るネットワークフォレンジックシステムの他の特徴は、各々がMACアドレスを有する複数の利用者端末と、これら複数の利用者端末を接続する第一ネットワークと、これら利用者端末が利用対象とする第二ネットワークに対する他ネット接続部と、IP情報を元にスイッチングを行い、前記利用者端末を送信元とするパケットが通過する際に、パケットに付加されていたMACアドレスの値を変更するスイッチとを備え、このスイッチを前記他ネット接続部と前記第一ネットワークとの間に配置し、前記他ネット接続部とスイッチとの間の第一通信データを採取すると共に保存する監視サーバーを備えた構成において、前記利用者端末と前記スイッチとの間に各利用者端末においてARPにより付与されるMACアドレスと当該利用者端末のIPアドレスとの対応関係をサンプリングするサンプリング装置を設け、この対応関係を前記監視サーバーに送信し、第一通信データのIPアドレスにMACアドレスを関連づけることにある。
前記スイッチとしてはレイヤー3スイッチが用いられ、前記サンプリング装置はサブネット毎に設けられる。また、前記監視サーバーは、前記各利用者端末の情報を前記MACアドレスに関連づけて保持すると利用者端末の管理がより容易となる。これらの構成は以下の方法においても実施される。
一方、本発明に係るネットワーク監視方法の特徴は、各々がMACアドレスを有する複数の利用者端末と、これら複数の利用者端末を接続する第一ネットワークと、これら利用者端末が利用対象とする第二ネットワークに対する他ネット接続部と、IP情報を元にスイッチングを行い、前記利用者端末を送信元とするパケットが通過する際に、パケットに付加されていたMACアドレスの値を変更するスイッチとを備え、このスイッチを前記他ネット接続部と前記第一ネットワークとの間に配置したネットワークシステムにおいて、前記他ネット接続部とスイッチとの間の第一通信データを監視サーバーにより採取すると共に保存する方法において、前記利用者端末と前記スイッチとの間にこれらの間の第二通信データをサンプリングするサンプリング装置を設け、このサンプリング装置によりサンプリングされた第二通信データから前記利用者端末のMACアドレスと当該利用者端末のIPアドレスとの対応関係を求め、この対応関係を前記監視サーバーに送信し、第一通信データのIPアドレスにMACアドレスを関連づけることにある。
また、本発明に係るネットワーク監視方法の他の特徴は、各々がMACアドレスを有する複数の利用者端末と、これら複数の利用者端末を接続する第一ネットワークと、これら利用者端末が利用対象とする第二ネットワークに対する他ネット接続部と、IP情報を元にスイッチングを行い、前記利用者端末を送信元とするパケットが通過する際に、パケットに付加されていたMACアドレスの値を変更するスイッチとを備え、このスイッチを前記他ネット接続部と前記第一ネットワークとの間に配置したネットワークシステムにおいて、前記他ネット接続部とスイッチとの間の第一通信データを監視サーバーにより採取すると共に保存する方法において、前記利用者端末と前記スイッチとの間に各利用者端末においてARPにより付与されるMACアドレスと当該利用者端末のIPアドレスとの対応関係をサンプリングするサンプリング装置を設け、この対応関係を前記監視サーバーに送信し、第一通信データのIPアドレスにMACアドレスを関連づけることにある。
一方、本発明に係るMACアドレスのサンプリング方法の特徴は、各々がMACアドレスを有する複数の利用者端末と、これら複数の利用者端末を接続する第一ネットワークと、これら利用者端末が利用対象とする第二ネットワークに対する他ネット接続部と、IP情報を元にスイッチングを行い、前記利用者端末を送信元とするパケットが通過する際に、パケットに付加されていたMACアドレスの値を変更するスイッチとを備え、このスイッチを前記他ネット接続部と前記第一ネットワークとの間に配置し、前記他ネット接続部とスイッチとの間の第一通信データを監視サーバーにより採取すると共に保存するネットワークフォレンジックシステムにおいて、前記利用者端末と前記スイッチとの間にこれらの間の第二通信データをサンプリングするサンプリング装置を設け、このサンプリング装置によりサンプリングされた第二通信データから前記利用者端末のMACアドレスと当該利用者端末のIPアドレスとの対応関係を求め、この対応関係を前記監視サーバーに送信し、第一通信データのIPアドレスにMACアドレスを関連づけることにある。
また、本発明に係るMACアドレスのサンプリング方法の他の特徴は、各々がMACアドレスを有する複数の利用者端末と、これら複数の利用者端末を接続する第一ネットワークと、これら利用者端末が利用対象とする第二ネットワークに対する他ネット接続部と、IP情報を元にスイッチングを行い、前記利用者端末を送信元とするパケットが通過する際に、パケットに付加されていたMACアドレスの値を変更するスイッチとを備え、このスイッチを前記他ネット接続部と前記第一ネットワークとの間に配置し、前記他ネット接続部とスイッチとの間の第一通信データを監視サーバーにより採取すると共に保存するネットワークフォレンジックシステムにおいて、前記利用者端末と前記スイッチとの間に各利用者端末においてARPにより付与されるMACアドレスと当該利用者端末のIPアドレスとの対応関係をサンプリングするサンプリング装置を設け、この対応関係を前記監視サーバーに送信し、第一通信データのIPアドレスにMACアドレスを関連づけることにある。
上記本発明に係るネットワークフォレンジックシステム、ネットワーク監視方法及びMACアドレスのサンプリング方法の特徴によれば、「IP情報を元にスイッチングを行うスイッチ」の介在する環境においても利用者端末を識別することが可能となった。
本発明の他の目的、構成及び効果については、以下の発明の実施の形態の項から明らかになるであろう。
次に、添付図面を適宜参照しながら、本発明に係るネットワークフォレンジックシステム1についてさらに詳しく説明する。
図1に示すように、一般にネットワークフォレンジックシステム1は、第一ネットワークであるローカルエリアネットワーク(以下、LAN)2において,ネットワークタップ(以下、タップ)4、レイヤー2スイッチ6、ネットワーク利用者用端末7(7a〜d)、通信パケットの採取・解析・記録・監視を行う監視サーバ8、監視サーバ8の管理者が使用する管理者用端末9を備えている。
LAN2は、他ネット接続部99においてファイアウォール3を介して、利用者端末7が利用の対象とする第二ネットワークであるワイドエリアネットワーク(以下、WAN)100に接続されている。本実施形態では、LAN2及びWAN100はいずれもインターネットプロトコル(TCP/IP)での通信がなされる。各端末及び監視サーバ8は図示省略するCPU、メモリ及びハードディスク等の記憶装置、データ及びアドレス等のバス並びにマウス、キーボード及びディスプレイ等のインターフェイスを備えている。また、各端末にはウェブブラウザ及びメーラーがインストールされている。
ここで、レイヤー2スイッチ6は、データーリンク層においてMACアドレス情報を基にスイッチングを行うものである。LAN2がある程度の大きさになると、レイヤー2スイッチ6は複数個設けられ、各レイヤー2スイッチ6a,6bはそれぞれが異なるサブネットを構成する。例えば、第一、第二レイヤー2スイッチ6a,6bがそれぞれ第一、第二サブネットS1、S2を構成する場合、これら各レイヤー2スイッチ6a,6bは互いに異なる第一、第二サブネット間のネットワークを接続できないため、これら各レイヤー2スイッチ6a,6b間を高速でハードウエアにより接続するレイヤー3スイッチ5を設けている。
レイヤー3スイッチ5は、レイヤー2スイッチ6の機能を持ちながら、ハードウエア(ASIC)でネットワーク層においてIP情報を基にスイッチングを行うものである。本実施形態では、レイヤー3スイッチはルーティングの機能も有し、LAN2をWAN100に接続している。
LAN2は、4つのエリアに区分され、利用者用端末群7とレイヤー2スイッチ6との間を端末エリアA1、レイヤー2スイッチ6とレイヤー3スイッチ5との間をサンプリングエリアA2、レイヤー3スイッチ5と他ネット接続部99との間を他ネット接続エリアA3、TAP4と監視サーバー8との間をTAPエリアA4とそれぞれ称することとする。また、各エリアを流れるパケットの名称は、第一パケットP1が端末エリアA1を、第二パケットP2がサンプリングエリアA2を、第三パケットP3が他ネット接続エリアA3を、第四パケットP4がTAPエリアA4をそれぞれ流れるものとする。なお、第三、第四パケットP3,P4は共に同じ内容であり、これらを第一通信データと称する。
インターネット等のネットワークの利用に伴い、利用者用端末群7とWAN100との間の通信ネットワークには様々なパケットが流れている。監視サーバ8は、これら通信ネットワークを流れているパケットのすべてを、タップ4を経由することによって採取し、さらに採取したパケットのすべてを解析・記録・保存する。監視サーバ8の管理者は、採取・解析・記録・保存されたパケットのデータを、管理者用端末9において必要に応じて検索・再現し、ディスプレイ等のインターフェイスにおいてその内容を表示し、その内容を確認することができる。
また、インターネット等のネットワークの不適切と判断される利用・通信が発生した場合、監視サーバ8より管理者用端末9に対しリアルタイムに電子メールが送信され、不適切な利用・通信の発生を管理者に対し通知することができる。不適切と判断される利用・通信とは、例えば、組織内部の秘匿情報の電子メールやウェブメールによる漏洩やウェブ上の電子掲示板への組織内部情報の書き込み、通常業務と関連のないウェブ・電子メールの利用あるいは組織によって定められた規則に反するウェブ・電子メールの利用等を指すが、これらに限られるものではない。
本発明に係るネットワークフォレンジックシステムが企業等、様々な組織等に対する監査に利用される場合、監視サーバ8の管理者は監査担当者に相当する。監査における利用に耐え得るように、管理者によるパケットデータの検索・再現等の操作・閲覧履歴を記録・保存することができる。
ここで説明する第一の方式では、パケットサンプリングによって各利用者用端末のMACアドレスを収集し、監視サーバにおいて採取・解析された各利用者用端末のIPアドレスと対応させることにより、各利用者用端末を特定する。
レイヤー2スイッチ6a,6bは、レイヤー2(データリンク層)の情報を使ってネットワークを中継する。つまり、MACアドレスの情報を基にスイッチングを行うため、各利用者用端末7のIPアドレスおよびMACアドレスの情報は第一パケットP1から第二パケットP2へとそのまま通過する。しかし、レイヤー3スイッチはレイヤー3(ネットワーク層)の情報を使ってネットワークを中継する。つまり、IPアドレスを基にスイッチングを行うため、第二パケットP2から第三パケットP3への伝達において、各利用者用端末7のIPアドレスはそのまま通過するが、MACアドレスの値は変更されてしまう。また、一般的に、各利用者用端末7のIPアドレスは、DHCP(Dynamic Host Configuration Protocol)によって一時的かつ自動的に割り振られているケースが多い。この場合、これらのIPアドレスでは、各利用者用端末7の特定要素・特定要因にはならない。
そこで、本第一の方式に係る本システム1では、MACアドレスの値が変更される以前の情報を採取するために、第一、第二レイヤー2スイッチ6a,6bとレイヤー3スイッチ5の間であるサンプリングエリアA2に各サブネットS1,S2に対応させてそれぞれ第一、第二サンプリング装置10a,10bを設けている。そして、サンプリング装置10a,10bにおいて第二パケットP2から採取した各利用者用端末7のIPアドレスとMACアドレスの情報を対応情報信号RSにより監視サーバ8に適宜に送信し、監視サーバ8は第一データベース11aにこれらの情報をIPアドレスとMACアドレスの対応表として常時記録・保存する。
このように、第一データベース11aにおけるIPアドレスとMACアドレスの対応表を常に最新の状態にすることにより、タップ4を経由して監視サーバ8が採取・解析・記録・保存した通信パケットデータのIPアドレスから各利用者用端末7を特定することが可能である。
ここで、以上の構成による本システム1の具体的動作を説明する。利用者端末7a〜7dの添字であるa〜dは、MACアドレスMa〜Md及びIPアドレスIa〜dの添字に該当するものとする。例えば、ある利用者aの利用者用端末7aは、MaなるMACアドレスをネットワークカードが保有し、DHCPによりIaなるIPアドレスが付与されているものとする。
この利用者端末7aの利用に伴い、LAN2の端末エリアA1の経路上を{MAC:[Ma]、IP:[Ia]}なる第一パケットP1が流れる。第一パケットP1は、{MAC:[Ma]、IP:[Ia]}の値を変更することなくレイヤー2スイッチ6を通過して第二パケットP2となる。
本第一方式のサンプリング装置10は、{MAC:[Ma]、IP:[Ia]}なる第二パケットP2を間欠的に採取し、監視サーバ8に{MAC:[Ma]、IP:[Ia]}の情報を保有する対応情報信号RSを送信する。この信号RSの送信は、LAN2上の他ネット接続エリアA3及びTAPエリアA4を経由してもよいが、他のLANを設けて送信してもよい。監視サーバー8は、第一データベース11aにMAC:[Ma]とIP:[Ia]とを対応させたMACアドレスとIPアドレスとの「アドレス対応情報」を格納する。
一方、{MAC:[Ma]、IP:[Ia]}なる第二パケットP2はレイヤー3スイッチ5を通過する際にMACアドレスの値がレイヤー3スイッチ5のMACアドレスMxに変更されるので、他ネット接続エリアA3の第3パケットP3は{MAC:[Mx]、IP:[Ia]}としてその情報内容が変換される。よって、タップ4が補足する利用者用端末7aのMACアドレスおよびIPアドレスは{MAC:[Mx]、IP:[Ia]}になり、監視サーバ8はこれを第四パケットP4として採取・解析・記録・保存する。
監視サーバ8は、この第四パケットP4のIPアドレスIP:[Ia]と、上述の過程により第一データベース11aに格納したアドレス対応情報からMAC:[Ma]及びIP:[Ia]なる対応情報を参照することにより、この時点において採取された第四パケットP4を送信した利用者用端末のMACアドレスは[Maであり、使用されていた利用者用端末はMACアドレスより7aであることを特定することができる。
監視サーバー8では、上記第一データベース11aに加え、さらに第二データベース11bを利用してもよい。この第二データベース11bには、あらかじめ各利用者用端末7a〜dの各MACアドレスと各利用者用端末の情報、例えば使用者名・各利用者用端末番号・認証された使用者かどうか等の情報を内容とする対応表「各利用者用端末のMACアドレス及び各利用者用端末情報」が格納されている。これにより、上記第一データベース11aと同様の過程を経て特定されたMACアドレスから、第二データベース11bにあらかじめ格納されていた「各利用者用端末のMACアドレス及び各利用者用端末情報」の対応表を参照することにより、例えば、使用者名・各利用者用端末番号・認証された使用者かどうか等の情報を特定することができる。
次に、サンプリング装置10における処理手順について説明する。図2に示すように、サンプリング部12は第二通信データである第二パケットP2をサンプリングし、IPアドレスとMACアドレスを収集する。収集されたIPアドレス及びMACアドレスは、比較部14において、アドレスキャッシュ部15にキャッシュされているIPアドレス及びMACアドレスと比較される。比較の結果、新たであるか以前の記録とは異なるIPアドレス及びMACアドレスの対応情報(以下、新規・変更情報)が見出された場合、記録部16にこの新規・変更情報が書き込まれ、同時にアドレスキャッシュ部15にもこの新規・変更情報が書き込まれる。比較の結果、新規・変更情報が見出された場合、さらに送信部17より監視サーバ8に対してこの新規・変更情報を含む対応情報信号RSが送信される。上述の例では、DHCPによるIPアドレスの付与又は変更がなされた時点で新規・変更情報の監視サーバーに対する送信がなされ、当該送信は結果として間欠的なものとなる。
サンプリング装置10から監視サーバー8に新規・変更情報が送信されると、図3に示すように、この情報はアドレス受信部18において受信され、アドレス取得部19において取得される。取得されたIPアドレス及びMACアドレスの対応情報は、第一データベース11aにおいて格納され、同時に監視サーバ8のMACアドレス取得部22にも送られ、取得される。
監視サーバ8は、LAN2の他ネット接続エリアA3に設けたTAP4を解して、第四パケットP4をパケット取得部21に取得する。従来では第四パケットP4が直接パケット記録部23に格納されていた。しかし、本発明においては、例えば利用者端末7aに由来する第四パケットP4は、MACアドレス取得部22を経由することにより、IPアドレスとMACアドレスの対応情報が{MAC:[Ma]、IP:[Ia]}なる第一パケットP1の形に修正された状態でパケット記録部23に記録される。このように、第一データベース11aにおけるIPアドレスとMACアドレスの対応表(テーブル)を常に最新の状態にすることにより、タップ4を経由して監視サーバ8が採取・解析・記録・保存した通信パケットデータのIPアドレスから各利用者用端末7を特定することが可能になった。
次に、本発明の別の実施形態について説明する。なお、上記第一実施形態と同様の実施形態には同一の符号を附してある。
上記第一の方式ではパケットサンプリングによりMACアドレスを収集した。しかし、ARP(アドレス解決プロトコル (Address Resolution Protocol))監視方式によって各利用者用端末のMACアドレスを収集し、監視サーバにおいて採取・解析された各利用者用端末のIPアドレスと対応させることも可能であり、以下この考えに従った第二の方式である第二実施形態について説明する。
図4に示すように、第二の方式では、利用者用端末群の各利用者用端末7a〜dのMACアドレスを採取するために、ARP監視装置としてのサンプリング装置10a,10bが用いられる。本実施形態では、第一、第二サブネットS1,S2をそれぞれ担当する第一、第二サンプリング装置10a,10bが、担当のサブネット内で交信されるARPをサンプリングする。
ARPはデータリンク層(イーサネット(登録商標)環境)において、IPアドレスからMACアドレスを得る際に用いられるプロトコルである。したがって、サンプリングエリアA2にサンプリング装置10を設けても、レーヤー2スイッチ6を経由して各利用者端末7a〜dからMACアドレスを取得することができる。
例えば、レイヤー3スイッチ5と利用者端末7aとの間で通信がなされる場合は、レイヤー3スイッチ5からIPアドレスIaの情報を含むARP要求RQが送信される。これを受信した利用者端末7aは、IaとMACアドレスMaの情報を含むARP返信RPをレイヤー2スイッチ6を超えて返信する。図5に示すサンプリング装置10のサンプリング部13は、この種のブロードキャストされたARP返信RPをサンプリングにより受信し、{MAC:[Ma]、IP:[Ia]}なる情報を比較部14に送る。その他の処理は、先の第一実施形態と同様である。なお、ARPの情報は各端末であるキャッシュ時間の後適宜更新される。サンプリング部13はARP返信RPを受信する替わりに各端末やサーバー等が保有するARPテーブルを参照してもよい。
上記実施形態では、IP情報を元にスイッチングを行うスイッチとしてレイヤー3スイッチを用いた。しかし、レイヤー3スイッチ以外のものも使用可能であり、ルーター機能は別に設けてもよい。
上記各実施形態において、第一ネットワークとしてLANを、第二ネットワークとしてWANを用いており、ネットワークフォレンジックシステムの通常の使用形態である。しかし、第一ネットワークとしてWANを、第二ネットワークとしてLANを用いてもよい。さらに、第一、第二ネットワークとして双方ともLANを用いたり、又は双方ともWANを用いてもよい。
本発明は、ネットワークフォレンジックシステム並びにこれに関連するネットワーク監視方法及びMACアドレスのサンプリング方法として利用することができる。
1:ネットワークフォレンジックシステム、2:第一ネットワーク、ローカルエリアネットワーク(LAN)、3:ファイアウォール、4:ネットワークタップ、5:レイヤー3スイッチ、6(6a,6b):レイヤー2スイッチ、7:利用者用端末群、7a〜d:利用者用端末、8:監視サーバ、9:管理者用端末、10(10a,10b):サンプリング装置、11(11a,11b):データベース、12、13:サンプリング部、14:比較部、15:アドレスキャッシュ部、16:記録部、17:送信部、18:アドレス受信部、19:アドレス取得部、20:データベース、21:パケット取得部、22:MACアドレス取得部、23:パケット記録部、24:監視サーバ、99:他ネット接続部、100:第二ネットワーク、ワイドエリアネットワーク(WAN)、A1:端末エリア、A2:サンプリングエリア、A3:他ネット接続エリア、A4:TAPエリア、P1〜P4:第一〜第四パケット、RS:対応情報信号、RQ:ARP要求、RP:ARP返信
Claims (12)
- 各々がMACアドレスを有する複数の利用者端末と、これら複数の利用者端末を接続する第一ネットワークと、これら利用者端末が利用対象とする第二ネットワークに対する他ネット接続部と、IP情報を元にスイッチングを行い、前記利用者端末を送信元とするパケットが通過する際に、パケットに付加されていたMACアドレスの値を変更するスイッチとを備え、このスイッチを前記他ネット接続部と前記第一ネットワークとの間に配置し、前記他ネット接続部とスイッチとの間の第一通信データを採取すると共に保存する監視サーバーを備えたネットワークフォレンジックシステムであって、前記利用者端末と前記スイッチとの間にこれらの間の第二通信データをサンプリングするサンプリング装置を設け、このサンプリング装置によりサンプリングされた第二通信データから前記利用者端末のMACアドレスと当該利用者端末のIPアドレスとの対応関係を求め、この対応関係を前記監視サーバーに送信し、第一通信データのIPアドレスにMACアドレスを関連づけることを特徴とするネットワークフォレンジックシステム。
- 各々がMACアドレスを有する複数の利用者端末と、これら複数の利用者端末を接続する第一ネットワークと、これら利用者端末が利用対象とする第二ネットワークに対する他ネット接続部と、IP情報を元にスイッチングを行い、前記利用者端末を送信元とするパケットが通過する際に、パケットに付加されていたMACアドレスの値を変更するスイッチとを備え、このスイッチを前記他ネット接続部と前記第一ネットワークとの間に配置し、前記他ネット接続部とスイッチとの間の第一通信データを採取すると共に保存する監視サーバーを備えたネットワークフォレンジックシステムであって、前記利用者端末と前記スイッチとの間に各利用者端末においてARPにより付与されるMACアドレスと当該利用者端末のIPアドレスとの対応関係をサンプリングするサンプリング装置を設け、この対応関係を前記監視サーバーに送信し、第一通信データのIPアドレスにMACアドレスを関連づけることを特徴とするネットワークフォレンジックシステム。
- 前記スイッチがレイヤー3スイッチであり、前記サンプリング装置がサブネット毎に設けられていることを特徴とする請求項1又は2記載のネットワークフォレンジックシステム。
- 前記監視サーバーが前記各利用者端末の情報を前記MACアドレスに関連づけて保持することを特徴とする請求項1〜3のいずれかに記載のネットワークフォレンジックシステム。
- 各々がMACアドレスを有する複数の利用者端末と、これら複数の利用者端末を接続する第一ネットワークと、これら利用者端末が利用対象とする第二ネットワークに対する他ネット接続部と、IP情報を元にスイッチングを行い、前記利用者端末を送信元とするパケットが通過する際に、パケットに付加されていたMACアドレスの値を変更するスイッチとを備え、このスイッチを前記他ネット接続部と前記第一ネットワークとの間に配置したネットワークシステムにおいて、前記他ネット接続部とスイッチとの間の第一通信データを監視サーバーにより採取すると共に保存するネットワーク監視方法であって、前記利用者端末と前記スイッチとの間にこれらの間の第二通信データをサンプリングするサンプリング装置を設け、このサンプリング装置によりサンプリングされた第二通信データから前記利用者端末のMACアドレスと当該利用者端末のIPアドレスとの対応関係を求め、この対応関係を前記監視サーバーに送信し、第一通信データのIPアドレスにMACアドレスを関連づけることを特徴とするネットワーク監視方法。
- 各々がMACアドレスを有する複数の利用者端末と、これら複数の利用者端末を接続する第一ネットワークと、これら利用者端末が利用対象とする第二ネットワークに対する他ネット接続部と、IP情報を元にスイッチングを行い、前記利用者端末を送信元とするパケットが通過する際に、パケットに付加されていたMACアドレスの値を変更するスイッチとを備え、このスイッチを前記他ネット接続部と前記第一ネットワークとの間に配置したネットワークシステムにおいて、前記他ネット接続部とスイッチとの間の第一通信データを監視サーバーにより採取すると共に保存するネットワーク監視方法であって、前記利用者端末と前記スイッチとの間に各利用者端末においてARPにより付与されるMACアドレスと当該利用者端末のIPアドレスとの対応関係をサンプリングするサンプリング装置を設け、この対応関係を前記監視サーバーに送信し、第一通信データのIPアドレスにMACアドレスを関連づけることを特徴とするネットワーク監視方法。
- 前記スイッチがレイヤー3スイッチであり、前記サンプリング装置がサブネット毎に設けられていることを特徴とする請求項5又は6記載のネットワーク監視方法。
- 前記監視サーバーが前記各利用者端末の情報を前記MACアドレスに関連づけて保持することを特徴とする請求項5〜7のいずれかに記載のネットワーク監視方法。
- 各々がMACアドレスを有する複数の利用者端末と、これら複数の利用者端末を接続する第一ネットワークと、これら利用者端末が利用対象とする第二ネットワークに対する他ネット接続部と、IP情報を元にスイッチングを行い、前記利用者端末を送信元とするパケットが通過する際に、パケットに付加されていたMACアドレスの値を変更するスイッチとを備え、このスイッチを前記他ネット接続部と前記第一ネットワークとの間に配置し、前記他ネット接続部とスイッチとの間の第一通信データを監視サーバーにより採取すると共に保存するネットワークフォレンジックシステムにおいて、前記利用者端末と前記スイッチとの間にこれらの間の第二通信データをサンプリングするサンプリング装置を設け、このサンプリング装置によりサンプリングされた第二通信データから前記利用者端末のMACアドレスと当該利用者端末のIPアドレスとの対応関係を求め、この対応関係を前記監視サーバーに送信し、第一通信データのIPアドレスにMACアドレスを関連づけることを特徴とするMACアドレスのサンプリング方法。
- 各々がMACアドレスを有する複数の利用者端末と、これら複数の利用者端末を接続する第一ネットワークと、これら利用者端末が利用対象とする第二ネットワークに対する他ネット接続部と、IP情報を元にスイッチングを行い、前記利用者端末を送信元とするパケットが通過する際に、パケットに付加されていたMACアドレスの値を変更するスイッチとを備え、このスイッチを前記他ネット接続部と前記第一ネットワークとの間に配置し、前記他ネット接続部とスイッチとの間の第一通信データを監視サーバーにより採取すると共に保存するネットワークフォレンジックシステムにおいて、前記利用者端末と前記スイッチとの間に各利用者端末においてARPにより付与されるMACアドレスと当該利用者端末のIPアドレスとの対応関係をサンプリングするサンプリング装置を設け、この対応関係を前記監視サーバーに送信し、第一通信データのIPアドレスにMACアドレスを関連づけることを特徴とするMACアドレスのサンプリング方法。
- 前記スイッチがレイヤー3スイッチであり、前記サンプリング装置がサブネット毎に設けられていることを特徴とする請求項9又は10記載のMACアドレスのサンプリング方法。
- 前記監視サーバーが前記各利用者端末の情報を前記MACアドレスに関連づけて保持することを特徴とする請求項9〜11のいずれかに記載のMACアドレスのサンプリング方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007114550A JP4943929B2 (ja) | 2007-04-24 | 2007-04-24 | ネットワークフォレンジックシステム、ネットワーク監視方法及びmacアドレスのサンプリング方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007114550A JP4943929B2 (ja) | 2007-04-24 | 2007-04-24 | ネットワークフォレンジックシステム、ネットワーク監視方法及びmacアドレスのサンプリング方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008271416A JP2008271416A (ja) | 2008-11-06 |
| JP4943929B2 true JP4943929B2 (ja) | 2012-05-30 |
Family
ID=40050300
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007114550A Active JP4943929B2 (ja) | 2007-04-24 | 2007-04-24 | ネットワークフォレンジックシステム、ネットワーク監視方法及びmacアドレスのサンプリング方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4943929B2 (ja) |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0832607A (ja) * | 1994-07-13 | 1996-02-02 | Hitachi Cable Ltd | ネットワーク構成管理方法 |
| IL136324A0 (en) * | 2000-05-24 | 2001-05-20 | Softcom Computers Ltd | Method of surveilling internet communication |
| JP2001356972A (ja) * | 2000-06-15 | 2001-12-26 | Fast Net Kk | ネットワーク監視システム及びネットワーク監視方法 |
| JP3604644B2 (ja) * | 2001-04-10 | 2004-12-22 | アライドテレシスホールディングス株式会社 | ネットワーク検出方法、ネットワーク検出装置、ネットワーク検出プログラム、及びコンピュータネットワークシステム |
| JP2002325077A (ja) * | 2001-04-25 | 2002-11-08 | Hitachi Software Eng Co Ltd | ネットワーク管理方法及びネットワーク管理装置 |
| JP4351517B2 (ja) * | 2003-11-14 | 2009-10-28 | 株式会社日立製作所 | データセンタの装置管理方法、装置管理サーバ、データセンタの装置管理システム並びにプログラム |
| JP4081042B2 (ja) * | 2004-05-18 | 2008-04-23 | 株式会社エヌ・ティ・ティ・データ | 不正通信監視装置、及び不正通信監視プログラム |
| JP2007028124A (ja) * | 2005-07-15 | 2007-02-01 | Sony Corp | 中継装置 |
-
2007
- 2007-04-24 JP JP2007114550A patent/JP4943929B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2008271416A (ja) | 2008-11-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101827040B (zh) | 信息转换装置、信息转换方法、信息转换程序及中继装置 | |
| TWI246285B (en) | Gateway apparatus and its controlling method | |
| KR100369486B1 (ko) | 통합 인터넷 프로토콜 전송망 | |
| JP4008432B2 (ja) | ネットワーク機器のトポロジを探索する装置および方法 | |
| JP5237034B2 (ja) | イベント情報取得外のit装置を対象とする根本原因解析方法、装置、プログラム。 | |
| CN101155072B (zh) | 用于检测第2层循环的方法、装置和系统 | |
| Cai et al. | Understanding block-level address usage in the visible internet | |
| EP2451125B1 (en) | Method and system for realizing network topology discovery | |
| JP2005051736A (ja) | 統計収集装置を備えたパケット転送装置および統計収集方法 | |
| WO2001014988B1 (en) | Technique for automatic remote media access control (mac) layer address resolution | |
| CN102457588A (zh) | 一种实现反向域名解析的方法及装置 | |
| US11283757B2 (en) | Mapping internet routing with anycast and utilizing such maps for deploying and operating anycast points of presence (PoPs) | |
| US7907543B2 (en) | Apparatus and method for classifying network packet data | |
| US20080267193A1 (en) | Technique for enabling network statistics on software partitions | |
| US20070214242A1 (en) | Network configuration change evaluation program, network configuration change evaluation device, and network configuration change evaluation method | |
| JP4943929B2 (ja) | ネットワークフォレンジックシステム、ネットワーク監視方法及びmacアドレスのサンプリング方法 | |
| CN107070908A (zh) | 一种自动检测假冒网关arp欺骗的方法 | |
| JP4106632B2 (ja) | 通信装置及び通信制御方法 | |
| CN114285718B (zh) | 一种拓扑生成方法、装置、电子设备及存储介质 | |
| JP2010183214A (ja) | パケット解析装置、パケット解析方法およびパケット解析プログラム | |
| JP4147495B2 (ja) | 通信装置 | |
| KR100761984B1 (ko) | 자국어 인터넷주소의 처리방법 및 이를 실행시키기 위한프로그램을 기록한 기록매체 | |
| CN111953807B (zh) | 一种报文标识处理方法、装置及存储介质 | |
| Hsieh et al. | Topology discovery for coexisting IPv6 and IPv4 networks | |
| JP4342527B2 (ja) | パケット中継装置および方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100406 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20100616 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20100616 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111018 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111219 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120207 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120301 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4943929 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150309 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |