JP4996496B2 - ネットワーク監視システム、および、ネットワーク監視方法 - Google Patents

ネットワーク監視システム、および、ネットワーク監視方法 Download PDF

Info

Publication number
JP4996496B2
JP4996496B2 JP2008030320A JP2008030320A JP4996496B2 JP 4996496 B2 JP4996496 B2 JP 4996496B2 JP 2008030320 A JP2008030320 A JP 2008030320A JP 2008030320 A JP2008030320 A JP 2008030320A JP 4996496 B2 JP4996496 B2 JP 4996496B2
Authority
JP
Japan
Prior art keywords
network
address information
physical address
terminal device
dns request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008030320A
Other languages
English (en)
Other versions
JP2009194433A (ja
Inventor
隆史 酒井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
PFU Ltd
Original Assignee
PFU Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by PFU Ltd filed Critical PFU Ltd
Priority to JP2008030320A priority Critical patent/JP4996496B2/ja
Publication of JP2009194433A publication Critical patent/JP2009194433A/ja
Application granted granted Critical
Publication of JP4996496B2 publication Critical patent/JP4996496B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ネットワーク監視システム、および、ネットワーク監視方法に関する。
従来、社内ローカルネットワーク等のネットワーク内に、どのようなデバイスが接続されているか(例えば、不正なPCが接続されていないか)を把握することは、セキュリティ対策として必要とされている。デバイス数が少ない場合は、システム管理者が手動でチェックして把握することもできるが、企業規模が大きくなる等に従い、デバイスの増減が頻繁に発生するようになると、手動で実施することは現実的ではなくなるため、何らかの自動化できる仕組みが必要となる。
デバイス判定の自動化において、現在最も一般的な方法はMACアドレスを利用する方法であり、MACアドレスを利用した種々のデバイス判定方法が開発されている。例えば、非特許文献1および2に記載の方法は、ネットワーク内に監視サーバを設置し、監視用の通信プロトコルであるSNMP(Simple Network Management Protocol)を用いて、定期的にネットワーク内のスイッチングハブを監視してMACアドレスを取得する方法である。
また、特許文献1に記載の装置は、ネットワークをスキャンしてネットワーク機器を検出し、ネットワーク機器のMACアドレス等の物理アドレスを取得し、インターネット上の詳細情報データベースから物理アドレスを検索して詳細情報を取得する装置である。
また、特許文献2に記載の方法は、ネットワーク上に送出された通信データから、ネットワーク識別子を抽出し、ネットワーク識別子で特定したネットワークデバイスに格納されたMACアドレス等の個体識別情報を取得し、個体識別情報に基づいてネットワークデバイスが監視対象であるか否かを判断し、監視対象である場合に当該ネットワークデバイスから管理情報を取得する方法である。
特開2007−199820号公報 特開2007−299368号公報 富士通株式会社、"Systemwalker Desktop Monitor 機能"、[online]、掲載日不明、富士通株式会社、[平成20年1月23日検索]、インターネット<URL:http://systemwalker.fujitsu.com/jp/desktop_monitor/function/> 株式会社日立製作所、"製品:不正持込みPC監視&強制排除システム NX NetMonitor"、[online]、掲載日不明、株式会社日立製作所、[平成20年1月23日検索]、インターネット<URL:http://www.hitachi.co.jp/Div/omika/prdcts/netmonitor/netmonitor_1.htm>
しかしながら、従来のMACアドレス等を利用したデバイス判定方法においては、定期的にポーリングをする方式のためMACアドレスの検出まで時間がかかる場合があり、特に、この傾向はネットワークの規模が大きくなるほど顕著になるという問題があった。
また、MACアドレスをタイミングによっては検出できない場合があり、例えば、SNMP等を用いたMACアドレスの取得の場合、内部的には取得した時点でルータのARPテーブルに載っているMACアドレスを取得するため、短時間のネットワーク接続の場合や無通信期間が一定時間を超えた場合等にMACアドレスを取得しようとしたときには、ARPテーブルから削除されてしまい検出できないという問題がある。
本発明は、上記に鑑みてなされたもので、物理アドレスを短時間で検出して不正な接続を迅速に検出することができ、端末のネットワーク接続時間が短い等の場合でも、ネットワーク機器のARPテーブル等から削除される前に物理アドレスを取得でき、物理アドレスの検出漏れを防ぐことができる、ネットワーク監視システム、および、ネットワーク監視方法を提供することを目的とする。
このような目的を達成するため、本発明のネットワーク監視システムは、記憶部と制御部を少なくとも備えネットワークに接続された少なくとも端末装置間の通信を中継するネットワーク機器と、記憶部と制御部を少なくとも備え上記ネットワークに接続された接続情報取得装置と、を備えたネットワーク監視システムであって、上記ネットワーク機器の上記制御部は、送信されるデータを中継する場合に、当該データに格納された、上記通信の送信元端末装置に固有の物理アドレス情報と、上記ネットワークに接続された上記送信元端末装置に一意に割り当てられたネットワークアドレス情報と、を対応付けたテーブルを作成し、上記記憶部に格納するテーブル作成格納手段、を備え、上記接続情報取得装置の上記制御部は、上記送信元端末装置から送信されたDNS要求を取得するDNS要求取得手段と、上記DNS要求が取得された場合に、上記DNS要求を解析して送信元の上記ネットワークアドレス情報を取得するネットワークアドレス情報取得手段と、取得された上記ネットワークアドレス情報に基づいて、所定のネットワークプロトコルを用いて、対応する上記ネットワーク機器の上記テーブルに照会し、当該ネットワークアドレス情報に対応付けられた上記物理アドレス情報を取得する物理アドレス情報取得手段と、を備え、上記DNS要求の送信を契機として上記ネットワークに接続された上記送信元端末装置の上記物理アドレスを特定することを特徴とする。
また、本発明のネットワーク監視システムは、記憶部と制御部を少なくとも備えネットワークに接続された少なくとも端末装置間の通信を中継するネットワーク機器と、記憶部と制御部を少なくとも備え上記ネットワークに接続された接続情報取得装置と、を備えたネットワーク監視システムであって、上記接続情報取得装置の上記制御部は、上記通信の送信元端末装置から送信されたDNS要求を取得するDNS要求取得手段と、上記DNS要求が取得された場合に、上記DNS要求を解析して送信元の上記ネットワークアドレス情報を取得するネットワークアドレス情報取得手段と、取得された上記ネットワークアドレス情報に基づいて、上記送信元端末装置に固有の物理アドレス情報を送信するよう上記送信元端末装置を制御する物理アドレス要求を送信することにより、上記物理アドレス情報を取得する物理アドレス情報取得手段と、を備え、上記DNS要求の送信を契機として上記ネットワークに接続された上記送信元端末装置の上記物理アドレスを特定することを特徴とする。
また、本発明のネットワーク監視システムは、上記記載のネットワーク監視システムにおいて、上記接続情報取得装置は、DNSサーバ装置であること、を特徴とする。
また、本発明のネットワーク監視システムは、上記記載のネットワーク監視システムにおいて、DNSサーバ装置が上記ネットワークに更に接続されており、上記DNS要求取得手段は、上記DNSサーバ装置に送信された上記DNS要求をミラーリングによりキャプチャすること、または、上記DNSサーバ装置が受信した上記DNS要求のログを取得すること、を特徴とする。
また、本発明のネットワーク監視システムは、上記記載のネットワーク監視システムにおいて、上記物理アドレス情報取得手段は、上記所定のネットワークプロトコルとして、SNMP、telnet、または、NETCONFを用いること、を特徴とする。
また、本発明のネットワーク監視システムは、上記記載のネットワーク監視システムにおいて、上記接続情報取得装置の上記制御部は、取得された上記ネットワークアドレス情報と上記物理アドレス情報とにより特定される上記送信元端末装置の認証判定を行う認証判定手段、を更に備えたことを特徴とする。
また、本発明のネットワーク監視システムは、上記記載のネットワーク監視システムにおいて、上記認証判定手段は、上記ネットワークアドレス情報および/または上記物理アドレス情報に基づいて、上記送信元端末装置に対しポート監視を行うことにより上記送信元端末装置にインストールされたアプリケーションを判定して、認証を行うこと、を特徴とする。
また、本発明のネットワーク監視システムは、上記記載のネットワーク監視システムにおいて、上記接続情報取得装置の上記制御部は、上記認証判定手段により認証されなかった場合に、対応する上記ネットワーク機器に対し、当該送信元端末装置に対する中継を行わないよう指示する通信遮断指示手段、を更に備えたことを特徴とする。
また、本発明のネットワーク監視方法は、記憶部と制御部を少なくとも備えネットワークに接続された少なくとも端末装置間の通信を中継するネットワーク機器と、記憶部と制御部を少なくとも備え上記ネットワークに接続された接続情報取得装置と、を備えたネットワーク監視システムにおいて実行されるネットワーク管理方法であって、上記ネットワーク機器の上記制御部において実行される、送信されるデータを中継する場合に、当該データに格納された、上記通信の送信元端末装置に固有の物理アドレス情報と、上記ネットワークに接続された上記送信元端末装置に一意に割り当てられたネットワークアドレス情報と、を対応付けたテーブルを作成し、上記記憶部に格納するテーブル作成格納ステップと、上記接続情報取得装置の上記制御部において実行される、上記送信元端末装置から送信されたDNS要求を取得するDNS要求取得ステップと、上記接続情報取得装置の上記制御部において実行される、上記DNS要求が取得された場合に、上記DNS要求を解析して送信元の上記ネットワークアドレス情報を取得するネットワークアドレス情報取得ステップと、上記接続情報取得装置の上記制御部において実行される、取得された上記ネットワークアドレス情報に基づいて、所定のネットワークプロトコルを用いて、対応する上記ネットワーク機器の上記テーブルに照会し、当該ネットワークアドレス情報に対応付けられた上記物理アドレス情報を取得する物理アドレス情報取得ステップと、を含み、上記DNS要求の送信を契機として上記ネットワークに接続された上記送信元端末装置の上記物理アドレスを特定することを特徴とする。
また、本発明のネットワーク監視方法は、記憶部と制御部を少なくとも備えネットワークに接続された少なくとも端末装置間の通信を中継するネットワーク機器と、記憶部と制御部を少なくとも備え上記ネットワークに接続された接続情報取得装置と、を備えたネットワーク監視システムにおいて実行されるネットワーク監視方法であって、上記接続情報取得装置の上記制御部において実行される、上記通信の送信元端末装置から送信されたDNS要求を取得するDNS要求取得ステップと、上記接続情報取得装置の上記制御部において実行される、上記DNS要求が取得された場合に、上記DNS要求を解析して送信元の上記ネットワークアドレス情報を取得するネットワークアドレス情報取得ステップと、上記接続情報取得装置の上記制御部において実行される、取得された上記ネットワークアドレス情報に基づいて、上記送信元端末装置に固有の物理アドレス情報を送信するよう上記送信元端末装置を制御する物理アドレス要求を送信することにより、上記物理アドレス情報を取得する物理アドレス情報取得ステップと、を含み、上記DNS要求の送信を契機として上記ネットワークに接続された上記送信元端末装置の上記物理アドレスを特定することを特徴とする。
また、本発明のネットワーク監視方法は、上記記載のネットワーク監視方法において、上記接続情報取得装置は、DNSサーバ装置であること、を特徴とする。
また、本発明のネットワーク監視方法は、上記記載のネットワーク監視方法において、DNSサーバ装置が上記ネットワークに更に接続されており、上記DNS要求取得ステップは、上記DNSサーバ装置に送信された上記DNS要求をミラーリングによりキャプチャすること、または、上記DNSサーバ装置が受信した上記DNS要求のログを取得すること、を特徴とする。
また、本発明のネットワーク監視方法は、上記記載のネットワーク監視方法において、上記物理アドレス情報取得ステップは、上記所定のネットワークプロトコルとして、SNMP、telnet、または、NETCONFを用いること、を特徴とする。
また、本発明のネットワーク監視方法は、上記記載のネットワーク監視方法において、上記接続情報取得装置の上記制御部において実行される、取得された上記ネットワークアドレス情報と上記物理アドレス情報とにより特定される上記送信元端末装置の認証判定を行う認証判定ステップ、を更に含むことを特徴とする。
また、本発明のネットワーク監視方法は、上記記載のネットワーク監視方法において、上記認証判定ステップは、上記ネットワークアドレス情報および/または上記物理アドレス情報に基づいて、上記送信元端末装置に対しポート監視を行うことにより上記送信元端末装置にインストールされたアプリケーションを判定して、認証を行うこと、を特徴とする。
また、本発明のネットワーク監視方法は、上記記載のネットワーク監視方法において、上記接続情報取得装置の上記制御部において実行される、上記認証判定ステップにて認証されなかった場合に、対応する上記ネットワーク機器に対し、当該送信元端末装置に対する中継を行わないよう指示する通信遮断指示ステップ、を更に含むことを特徴とする。
この発明によれば、DNS要求が送信されたタイミングで、物理アドレスを短時間で検出するので、不正な接続を迅速に検出することができる。また、端末装置のネットワーク接続時間が短い等の場合でも、DNS要求が送信されたタイミングで物理アドレスの取得を行うので、ネットワーク機器のARPテーブル等から削除される前に物理アドレスを取得でき、物理アドレスの検出漏れを防ぐことができる。また、IPアドレス等のネットワークアドレスが動的に割り当てられる場合でも、固有の物理アドレスによりネットワークに接続された端末装置を特定することができる。
以下に、本発明にかかるネットワーク監視システム、および、ネットワーク監視方法の実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。
[本発明の概要]
以下、本発明の概要について説明し、その後、本発明の構成および処理等について詳細に説明する。図1は、本発明の基本原理を示すフローチャートである。
本発明は、概略的に、以下の基本的特徴を有する。すなわち、本発明は、記憶部と制御部を少なくとも備えネットワークに接続された少なくとも端末装置間の通信を中継するネットワーク機器と、記憶部と制御部を少なくとも備えネットワークに接続された接続情報取得装置と、を備えたネットワーク監視システムにおいて実行される。
図1に示すように、まず、ネットワーク機器は、送信されるデータを中継する場合に、当該データに格納された、通信の送信元端末装置に固有の物理アドレス情報と、ネットワークに接続された送信元端末装置に一意に割り当てられたネットワークアドレス情報と、を対応付けたテーブルを作成し、記憶部に格納する(ステップSA−1)。ここで、「テーブル」とは、例えば、ネットワークアドレスから物理アドレスを求めるためにネットワーク機器において作成・更新されるARPテーブルである。
そして、接続情報取得装置は、送信元端末装置から送信されたDNS要求を取得する(ステップSA−2)。ここで、DNS要求の取得は、DNSサーバ装置として構成された接続情報取得装置自身が受信して取得してもよく、DNSサーバ装置とは別筐体で接続情報取得装置が構成される場合は、DNSサーバ装置に送信されたDNS要求をミラーリングによりキャプチャして取得してもよく、また、DNSサーバ装置が受信したDNS要求のログを取ることにより取得してもよい。
そして、接続情報取得装置は、取得したDNS要求を解析して送信元のネットワークアドレス情報を取得する(ステップSA−3)。
そして、接続情報取得装置は、取得したネットワークアドレス情報に基づいて、所定のネットワークプロトコルを用いて、対応するネットワーク機器のテーブルに照会し、当該ネットワークアドレス情報に対応付けられた物理アドレス情報を取得する(ステップSA−4)。ここで、所定のネットワークプロトコルとして、SNMP、telnet、または、NETCONFを用いてもよい。また、ここで、接続情報取得装置は、取得したネットワークアドレス情報に基づいて、物理アドレス情報を送信するよう送信元端末装置を制御する物理アドレス要求を送信することにより、物理アドレス情報を取得してもよい。
以上が本発明による処理の概要である。ここで、上記処理に続いて、接続情報取得装置は、取得したネットワークアドレス情報と物理アドレス情報とにより特定される送信元端末装置の認証判定を行ってもよい。この認証判定は、例えば、ネットワークアドレス情報および/または物理アドレス情報に基づいて、上記送信元端末装置に対しポート監視を行うことにより送信元端末装置にインストールされたアプリケーションを判定し、認証を行ってもよい。
また、接続情報取得装置は、上記認証判定にて認証しなかった場合に、対応するネットワーク機器に対し、当該送信元端末装置に対する中継を行わないよう指示してもよい。以上で、本発明の概要の説明を終える。
[ネットワーク監視システムの構成]
まず、本ネットワーク監視システムの構成について図2を参照して説明する。図2は、本発明が適用されるネットワーク監視システムの構成の一例を示すブロック図であり、該構成のうち本発明に関係する部分のみを概念的に示している。本ネットワーク監視システムは、概略的に、接続情報取得サーバ装置100と、DNSサーバ装置400と、端末装置200とを、ネットワーク300を介して通信可能に接続して構成されている。なお、接続情報取得サーバ装置100は、DNSサーバ装置400と同一筐体として(すなわち、「専用DNSサーバ装置」として)構成されてもよい。
図1において、ネットワーク300は、接続情報取得サーバ装置100とDNSサーバ装置400と端末装置200とを相互に接続する機能を有し、例えば、企業内LAN等である。また、ネットワーク300は、各種のケーブルや、ネットワーク300に接続された少なくとも端末装置200間の通信を中継する記憶部と制御部を少なくとも備えたネットワーク機器等により構成される。ここで、図2に示すように、本実施の形態において、ネットワーク機器は、ルーティング機能等を有するルータ20や、ブリッジ機能やフィルタリング機能等を有するスイッチングハブ10として構成してもよい。また、ネットワーク機器(例えば、ルータ20)の制御部は、送信されるデータを中継する場合に、当該データに格納された、送信元の端末装置(例えば、端末装置200)に固有の物理アドレス情報と、ネットワーク300に接続された送信元の端末装置(例えば、端末装置200)に一意に割り当てられたネットワークアドレス情報と、を対応付けたテーブルを作成し、記憶部に格納するテーブル作成格納手段を備える。このテーブル作成格納手段は、例えばARPテーブル作成更新手段である。ここで、「物理アドレス」は、例えば、各Ethernet(登録商標)カードに固有のID番号であるMACアドレスでもよく、また、「ネットワークアドレス」は、例えば、企業内LAN等のIPネットワークに接続されたコンピュータや通信機器に一意に割り振られた識別番号であるIPアドレスであってもよい。
図2において、端末装置200は、ネットワーク300を介して、接続情報取得サーバ装置100やDNSサーバ装置400等と相互に接続された任意の情報処理装置である。ここで、端末装置200のハードウェア構成は、一般に市販されるパーソナルコンピュータ等の情報処理装置およびその付属装置により構成していてもよい。また、端末装置200の各機能は、端末装置200のハードウェア構成中のCPU、ディスク装置、メモリ装置、入力装置、出力装置、通信制御装置等およびそれらを制御するプログラム等により実現される。なお、端末装置200は、ネットワーク300に動的に複数台接続されてもよい。
図2において、DNSサーバ装置400は、ドメイン名をIPアドレスに変換するサーバ装置である。ここで、DNSサーバ装置400のハードウェア構成は、一般に市販されるワークステーションやパーソナルコンピュータ等の情報処理装置およびその付属装置により構成していてもよい。また、DNSサーバ装置400の各機能は、DNSサーバ装置400のハードウェア構成中のCPU、ディスク装置、メモリ装置、入力装置、出力装置、通信制御装置等およびそれらを制御するプログラム等により実現される。なお、DNSサーバ装置400は、接続情報取得サーバ装置100と同一筐体で構成されてもよい。
図2において接続情報取得サーバ装置100は、概略的に、接続情報取得サーバ装置100の全体を統括的に制御するCPU等の制御部102、通信回線等に接続されるルータ等の通信装置(図示せず)に接続される通信制御インターフェース部104、および、各種のデータベースやテーブルなどを格納する記憶部106を備えて構成されており、これら各部は任意の通信路を介して通信可能に接続されている。更に、この接続情報取得サーバ装置100は、ルータ等の通信装置および専用線等の有線または無線の通信回線を介して、ネットワーク300に通信可能に接続されている。
記憶部106に格納される各種のデータベースやテーブル(対応ルータテーブル106a〜判定アプリケーションリスト106b)は、固定ディスク装置等のストレージ手段であり、各種処理に用いる各種のプログラムやテーブルやファイルやデータベースやウェブページ等を格納する。
これら記憶部106の各構成要素のうち、対応ルータテーブル106aは、ネットワークアドレスに対応するネットワーク機器(ルータ20等)を特定するためのテーブルを記憶する対応ネットワーク機器記憶手段である。
また、判定アプリケーションリスト106bは、アプリケーションを判定するため、ポート番号と対応するアプリケーションリストを記憶する判定アプリケーションリスト記憶手段である。
また、図2において、通信制御インターフェース部104は、接続情報取得サーバ装置100とネットワーク300(またはルータ等の通信装置)との間における通信制御を行う。すなわち、通信制御インターフェース部104は、他の端末と通信回線を介してデータを通信する機能を有する。
また、図2において、制御部102は、OS(Operating System)等の制御プログラム、各種の処理手順等を規定したプログラム、および所要データを格納するための内部メモリを有し、これらのプログラム等により、種々の処理を実行するための情報処理を行う。制御部102は、機能概念的に、DNS要求取得部102a、ネットワークアドレス取得部102b、物理アドレス取得部102c、認証判定部102d、通信遮断指示部102eを備えて構成されている。
このうち、DNS要求取得部102aは、端末装置200から送信されたDNS要求(DNSリクエスト)を取得するDNS要求取得手段である。ここで、DNS要求取得部102aは、接続情報取得サーバ装置100がDNSサーバ装置として構成される場合に、DNS要求を直接受信することにより取得してもよく、接続情報取得サーバ装置100がDNSサーバ装置とは別筐体で構成される場合に、DNSサーバ装置400に送信されたDNS要求をミラーリングによりキャプチャして取得してもよく、DNSサーバ装置400により受信されたDNS要求のログを取得することによりDNS要求を取得してもよい。
また、ネットワークアドレス取得部102bは、DNS要求取得部102aにより取得されたDNS要求を解析して送信元のネットワークアドレス情報を取得するネットワークアドレス情報取得手段である。
また、物理アドレス取得部102cは、ネットワークアドレス取得部102bにより取得されたネットワークアドレス情報に基づいて、所定のネットワークプロトコルを用いて、対応するネットワーク機器のテーブル(例えば、ARPテーブル)に照会し、当該ネットワークアドレス情報に対応付けられた物理アドレス情報を取得する物理アドレス情報取得手段である。ここで、物理アドレス取得部102cは、所定のネットワークプロトコルとして、SNMP、telnet、または、NETCONFを用いてもよい。また、物理アドレス取得部102cは、ネットワークアドレス取得部102bにより取得されたネットワークアドレス情報に基づいて、物理アドレス情報を送信するよう端末装置200を制御する物理アドレス要求を端末装置200に対し送信することにより、物理アドレス情報を取得してもよい。
また、認証判定部102dは、ネットワークアドレス取得部102bにより取得されたネットワークアドレス情報および/または物理アドレス取得部102cにより取得された物理アドレス情報により特定される端末装置200の認証判定を行う認証判定手段である。ここで、認証判定部102dは、ネットワークアドレス情報および/または物理アドレス情報に基づいて、端末装置200に対しポート監視を行うことにより、端末装置200にインストールされたアプリケーションを判定して、認証を行ってもよい。例えば、認証判定部102dは、判定アプリケーションリスト106bを参照して、特定のポートに対してTCP接続を行い、接続が確立した場合は、対応するアプリケーションが起動していると判定し、接続が確立しなかった場合は、当該アプリケーションが起動していないと判定する。そして、認証判定部102dは、判定した起動アプリケーションが、正当なアプリケーション(例えば、業務管理ソフト)である場合は当該端末装置200のネットワーク接続を認証し、不正なアプリケーション(例えば、情報漏洩の可能性があるファイル共有ソフト)である場合は当該端末装置200のネットワーク接続を認証しないよう制御する。ここで、認証判定は、ポート監視に限られず、認証判定部102dは、端末装置200にインストールされているエージェントと直接通信することにより、認証を判定してもよい。
また、通信遮断指示部102eは、端末装置200のネットワーク接続が認証判定部102dにより認証されなかった場合に、対応するネットワーク機器(例えば、スイッチングハブ10)に対し、当該端末装置200に対する中継を行わないよう指示する通信遮断指示手段である。例えば、通信遮断指示部102eは、認証判定部102dにより認証されなかった端末装置200に対応するスイッチングハブ10等のネットワーク機器に対して、ACL(アクセスコントロールリスト)に当該ネットワークアドレスおよび/または当該MACアドレスを加えるよう設定する通信遮断指示情報を送信することにより、端末装置200の通信を遮断する。ここで、ネットワーク機器に対する通信遮断指示方法としては、SNMPやtelnet等を用いてもよい。以上で、本ネットワーク監視システムの構成の説明を終える。
[ネットワーク監視システムの処理]
次に、このように構成された本実施の形態における本システムの処理の一例について、以下に図3〜図7を参照して詳細に説明する。
[基本処理]
まず、本実施の形態におけるネットワーク監視システムの基本処理について図3を参照して説明する。図3は、本実施の形態におけるネットワーク監視システムの基本処理の一例を示すフローチャートである。
図3に示すように、ルータ20は、送信されるデータを中継する場合に、当該データに格納された、送信元の端末装置200の物理アドレス情報とネットワークアドレス情報とを対応付けたテーブル(ARPテーブル等)を作成し、記憶部に格納する(ステップSB−1)。
そして、接続情報取得サーバ装置100は、DNS要求取得部102aの処理により、ネットワーク300を介してDNSサーバ装置400に送信されたDNS要求を取得する(ステップSB−2)。
そして、接続情報取得サーバ装置100は、ネットワークアドレス取得部102bの処理により、DNS要求取得部102aにより取得されたDNS要求を解析して送信元のネットワークアドレス情報を取得する(ステップSB−3)。
そして、接続情報取得サーバ装置100は、物理アドレス取得部102cの処理により、ネットワークアドレス取得部102bにより取得されたネットワークアドレス情報に基づいて、所定のネットワークプロトコル(SNMP、telnet、または、NETCONF等)を用いて、対応するネットワーク機器のテーブルに照会し、当該ネットワークアドレス情報に対応付けられた物理アドレス情報を取得する(ステップSB−4)。ここで、物理アドレス取得部102cは、ネットワークアドレス取得部102bにより取得されたネットワークアドレス情報に基づいて、物理アドレス情報を送信するよう端末装置200を制御する物理アドレス要求を、端末装置200に対し送信することにより、物理アドレス情報を取得してもよい。
そして、接続情報取得サーバ装置100は、認証判定部102dの処理により、ネットワークアドレス取得部102bにより取得されたネットワークアドレス情報および/または物理アドレス取得部102cにより取得された物理アドレス情報により特定される端末装置200の認証判定を行う(ステップSB−5)。例えば、認証判定部102dは、ネットワークアドレス情報および/または物理アドレス情報に基づいて、端末装置200に対しポート監視を行うことにより、端末装置200にインストールされたアプリケーションを判定し、認証するか否か判断してもよい。
そして、接続情報取得サーバ装置100は、通信遮断指示部102eの処理により、認証判定部102dにより認証されなかった端末装置200について、対応するスイッチングハブ10に対し、当該端末装置200に対する中継を行わないよう通信遮断の指示を行う(ステップSB−6)。これにて、本実施の形態における基本処理が終了する。
[実施の形態1(DNS要求キャプチャ型)]
つづいて、実施の形態1(DNS要求キャプチャ型)における処理の詳細について図4を参照して説明する。図4は、本実施の形態1(DNS要求キャプチャ型)におけるネットワーク管理システムの処理の一例を示すデータフロー図である。
(1)図4に示すように、従業員等の利用者が端末装置200をネットワーク300に接続し、Webサイト等にアクセスすると、端末装置200は、ブラウザ等の機能により、当該Webサイトのドメイン名からIPアドレスを求めるため、DNS要求をDNSサーバ装置400に送信する。
(2)接続情報取得サーバ装置100−1は、DNS要求取得部102aの処理により、DNSサーバ装置400に送信されたDNS要求をミラーリングによりキャプチャして取得する。すなわち、DNSサーバ装置400に接続されているスイッチングハブ10−2に対して、DNSサーバ装置400に送信されるデータを別のポートにミラーリングする(同じトラフィックを別のポートに流す)よう設定しておくことにより、DNS要求取得部102aは、DNS要求をキャプチャする。
(3)接続情報取得サーバ装置100−1は、ネットワークアドレス取得部102bの処理により、DNS要求を解析して送信元のネットワークアドレスを取得し、物理アドレス取得部102cの処理により、送信元ネットワークアドレスから対応するルータ20に対して、SNMPリクエストを送信することにより、ルータ20のARPテーブル等から物理アドレスを取得する。ここで、ネットワークアドレス取得部102bは、対応するルータを求めるために、対応ルータテーブル106aを参照してもよい。
(4)物理アドレスを取得すると、接続情報取得サーバ装置100−1は、認証判定部102dの処理により、ネットワークアドレス取得部102bにより取得されたネットワークアドレスおよび/または物理アドレス取得部102cにより取得された物理アドレスに基づいて、特定した端末装置200に対して、正当な情報処理装置であることを認証する判定を行う。例えば、企業内LANにて実施する場合に、認証判定部102dは、企業で購入した情報処理装置に必ずインストールされているアプリケーション(資産管理ソフト等)との通信を行うことができるか確認することにより、認証しうる正当な情報端末装置か、認証できない不正な情報端末装置(自宅からの持込みPC等)かを判定する。ここで、認証判定部102dは、反対に、不正なアプリケーション(例えば、情報漏洩の可能性があるファイル共有ソフト)がインストールされているかを判定してもよい。
(5)認証判定部102dにより端末装置200が認証できない不正な情報処理装置であると判定されると、接続情報取得サーバ装置100−1は、通信遮断指示部102eの処理により、対応するスイッチングハブ10−1に対し、当該端末装置200に対応する物理アドレスによる通信を遮断するよう指示する。これにて、本実施の形態1における処理が終了する。
[実施の形態2(専用DNSサーバ設置型)]
実施の形態2(専用DNSサーバ設置型)における処理の詳細について図5を参照して説明する。図5は、本実施の形態2(専用DNSサーバ設置型)におけるネットワーク管理システムの処理の一例を示すデータフロー図である。なお、本実施の形態2におけるネット管理システムにおいては、接続情報取得サーバ装置100は、DNSサーバ装置DNSサーバ装置400と一体に、「専用DNSサーバ装置100−2」として構成されている。
(1)図5に示すように、従業員等の利用者が端末装置200をネットワーク300に接続し、Webサイト等にアクセスすると、端末装置200は、ブラウザ等の機能により、当該Webサイトのドメイン名からIPアドレスを求めるため、DNS要求を専用DNSサーバ装置100−2に送信する。
(2)専用DNSサーバ装置100−2は、DNS要求取得部102aの処理により、DNS要求を受信する。
(3)専用DNSサーバ装置100−2は、ネットワークアドレス取得部102bの処理により、DNS要求を解析して送信元のネットワークアドレスを取得し、物理アドレス取得部102cの処理により、送信元ネットワークアドレスから対応するルータ20に対して、SNMPリクエストを送信することにより、ルータ20のARPテーブル等から物理アドレスを取得する。ここで、ネットワークアドレス取得部102bは、対応するルータを求めるために、対応ルータテーブル106aを参照してもよい。
以降(4)〜(5)の処理は、上述した実施の形態1(DNS要求キャプチャ型)と同様であるので、説明を省略する。以上で、本実施の形態2(専用DNSサーバ設置型)の処理の説明を終える。
[実施の形態3(DNS要求ログ取得型)]
実施の形態3(DNS要求ログ取得型)における処理の詳細について図6を参照して説明する。図6は、本実施の形態3(DNS要求ログ取得型)におけるネットワーク管理システムの処理の一例を示すデータフロー図である。
(1)図6に示すように、従業員等の利用者が端末装置200をネットワーク300に接続し、Webサイト等にアクセスすると、端末装置200は、ブラウザ等の機能により、当該Webサイトのドメイン名からIPアドレスを求めるため、DNS要求をDNSサーバ装置400に送信する。
(2)DNSサーバ装置400は、ログ収集エージェントの処理により、新規のDNS要求があったことをログを送信することにより接続情報取得サーバ装置100−3に通知し、接続情報取得サーバ装置100−3は、DNS要求取得部102aの処理によりDNS要求のログを取得する。
以降(3)〜(5)の処理は、上述した実施の形態1(DNS要求キャプチャ型)と同様であるので、説明を省略する。以上で、本実施の形態3(DNS要求ログ取得型)の処理の説明を終える。
[物理アドレス取得処理]
次に、上述した本実施の形態における物理アドレス取得処理(上述のステップSB−4に対応)の詳細について説明する。
物理アドレス取得処理の一例として、接続情報取得サーバ装置100は、物理アドレス取得部102cの処理により、ネットワークアドレス取得部102bにより取得されたネットワークアドレス情報に基づいて、所定のネットワークプロトコルを用いて、対応するネットワーク機器のテーブルに照会し、当該ネットワークアドレス情報に対応付けられた物理アドレス情報を取得する。ここで、物理アドレス取得部102cは、所定のネットワークプロトコルとして、SNMP、telnet、または、NETCONFを用いてもよい。また、物理アドレス取得部102cは、ネットワークアドレス取得部102bにより取得されたネットワークアドレス情報に基づいて、物理アドレス情報を送信するよう端末装置200を制御する物理アドレス要求を端末装置200に対し送信することにより、物理アドレス情報を取得してもよい。
例えば、物理アドレスをtelnetを用いて取得する場合、telnetでログイン可能なネットワーク機器に対し、ログインしてCLI(Common Language Infrastructure)上で物理アドレス取得のコマンドを実行することにより、該当するMACアドレスを取得する。
すなわち、接続情報取得サーバ装置100は、予め該当ネットワーク機器のログインアカウントを設定されており、ネットワークアドレス取得部102bの処理により送信元ネットワークアドレスを取得した時に、物理アドレス取得部102cの処理により、当該ネットワークアドレスに対してtelnetを実行する。ここで実行するtelnetは、手動によらず、プログラムにより自動的に実行される。たとえば、expect等のコマンドを利用してもよい。
そして、接続情報取得サーバ装置100は、物理アドレス取得部102cの処理により、ログインした後、該当ネットワーク機器のARP情報表示コマンドを実行する。例えば、ネットワーク機器がCisco(会社名)製ルータの場合、”show ip arp”などを実行する。
そして、接続情報取得サーバ装置100は、ネットワーク機器から出力された結果をパース(解析)することにより、送信元ネットワークアドレスに対応する物理アドレスを取得する。
ここで、物理アドレス取得処理の一例として物理アドレスを直接端末装置200から取得する場合について図7を用いて説明する。図7は、本実施の形態における物理アドレス取得処理の一例を示す図である。
図7に示すように、上述の実施の形態1と同様に(1)〜(2)の処理を行う。
(3)そして、接続情報取得サーバ装置100−4は、物理アドレス取得部102cの処理により、ネットワークアドレス取得部102bにより取得されたネットワークアドレス情報に基づいて、物理アドレス情報を送信するよう端末装置200を制御する物理アドレス要求を端末装置200に対し送信することにより、物理アドレス情報を取得する。
すなわち、端末装置200に予めインストールされた物理アドレスを返すエージェントを利用して(既存のコマンド等が利用できる場合はそれを利用する。)、物理アドレス要求を行い、物理アドレスを取得する。例えば、端末装置200にWindows(登録商標)がインストールされている場合は、nbtstatコマンドやgetmacコマンドで物理アドレスを取得してもよい。
以降の処理は、上述の実施の形態と同様であるので説明を省略する。以上で、物理アドレス取得処理の一例の説明を終える。
[認証判定処理]
本実施の形態における認証判定処理(上述のステップSB−5に対応)の一例について説明する。
認証判定処理の一例として、認証判定部102dは、ネットワークアドレス情報および/または物理アドレス情報に基づいて、端末装置200に対しポート監視を行うことにより、端末装置200にインストールされたアプリケーションを判定して、認証を行う。
すなわち、まず、認証判定部102dは、判定アプリケーションリスト106bを参照して、特定のポートに対してTCP接続を行う。
そして、認証判定部102dは、接続が確立した場合は、対応するアプリケーションが起動していると判定し、接続が確立しなかった場合は、当該アプリケーションが起動していないと判定する。判定の後、認証判定部102dは、TCP接続を切断する。
そして、認証判定部102dは、判定した起動アプリケーションが、正当なアプリケーション(例えば、業務管理ソフト)である場合は当該端末装置200のネットワーク接続を認証し、不正なアプリケーション(例えば、情報漏洩の可能性があるファイル共有ソフト)である場合は当該端末装置200のネットワーク接続を認証しないよう制御する。
以上が、認証判定処理の一例である。ここで、認証判定処理は、ポートと接続することに限られず、認証判定部102dは、アプリケーションと通信する方法がわかっている場合は、アプリケーションとの正常に通信できることができることでアプリケーションの起動を判定する。例えば、そのポートに対してメッセージを送信して、想定した応答があった場合はアプリケーションが動作していると判断する。以上で、本実施の形態における認証判定処理の一例の説明を終える。
[通信遮断処理]
本実施の形態における通信遮断処理(上述のステップSB−6に対応)の一例について説明する。
通信遮断処理の一例として、通信遮断指示部102eは、認証判定部102dにより認証されなかった(不正と判断された)端末装置200に対応するスイッチングハブ10等のネットワーク機器に対して、ACL(アクセスコントロールリスト)に当該ネットワークアドレスおよび/または当該MACアドレスを加えるよう設定する。具体的には、SNMPやtelnet等を用いて、ACL設定指示を行う通信遮断指示情報を送信することにより、端末装置200の通信を遮断する。以上で、本実施の形態における通信遮断処理の一例の説明を終える。
以上が、本実施の形態の説明である。本実施の形態によれば、DNS要求が送信されたタイミングでルータに対して物理アドレス(MACアドレス)を取得するため、検出までの時間が短く、不正な接続を短時間で検出することができる。また、端末装置の接続時間が短い場合でも、上記の通り即座に取得を行えるため、ARPテーブル等から削除される前に物理アドレスを取得でき、検出漏れを防ぐことができる。
[他の実施の形態]
さて、これまで本発明の実施の形態について説明したが、本発明は、上述した実施の形態以外にも、上記特許請求の範囲に記載した技術的思想の範囲内において種々の異なる実施の形態にて実施されてよいものである。
例えば、接続情報取得サーバ装置100がスタンドアローンの形態でネットワークに接続される構成を例に説明したが、接続情報取得サーバ装置100の機能は、ネットワーク内のいずれかの装置に割り当てられてもよく、例えば、ネットワーク機器(例えば、ルータ20やスイッチングハブ10)において上述の処理を行うよう構成してもよい。また、これに限られず、端末装置200に、接続情報取得サーバ装置100の各手段を備えてもよい。
また、実施の形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。
このほか、上記文献中や図面中で示した処理手順、制御手順、具体的名称、各処理の登録データや検索条件等のパラメータを含む情報、画面例、データベース構成については、特記する場合を除いて任意に変更することができる。
また、接続情報取得サーバ装置100に関して、図示の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。
例えば、接続情報取得サーバ装置100の各装置が備える処理機能、特に制御部102にて行われる各処理機能については、その全部または任意の一部を、CPU(Central Processing Unit)および当該CPUにて解釈実行されるプログラムにて実現することができ、あるいは、ワイヤードロジックによるハードウェアとして実現することも可能である。尚、プログラムは、後述する記録媒体に記録されており、必要に応じて接続情報取得サーバ装置100に機械的に読み取られる。すなわち、ROMまたはHDなどの記憶部106などは、OS(Operating System)として協働してCPUに命令を与え、各種処理を行うためのコンピュータプログラムが記録されている。このコンピュータプログラムは、RAMにロードされることによって実行され、CPUと協働して制御部を構成する。
また、このコンピュータプログラムは、接続情報取得サーバ装置100に対して任意のネットワーク300を介して接続されたアプリケーションプログラムサーバに記憶されていてもよく、必要に応じてその全部または一部をダウンロードすることも可能である。
また、本発明に係るプログラムを、コンピュータ読み取り可能な記録媒体に格納することもできる。ここで、この「記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、EPROM、EEPROM、CD−ROM、MO、DVD等の任意の「可搬用の物理媒体」、あるいは、LAN、WAN、インターネットに代表されるネットワークを介してプログラムを送信する場合の通信回線や搬送波のように、短期にプログラムを保持する「通信媒体」を含むものとする。
また、「プログラム」とは、任意の言語や記述方法にて記述されたデータ処理方法であり、ソースコードやバイナリコード等の形式を問わない。なお、「プログラム」は必ずしも単一的に構成されるものに限られず、複数のモジュールやライブラリとして分散構成されるものや、OS(Operating System)に代表される別個のプログラムと協働してその機能を達成するものをも含む。なお、実施の形態に示した各装置において記録媒体を読み取るための具体的な構成、読み取り手順、あるいは、読み取り後のインストール手順等については、周知の構成や手順を用いることができる。
記憶部106に格納される各種のデータベース等(対応ルータテーブル106a〜判定アプリケーションリスト106b)は、RAM、ROM等のメモリ装置、ハードディスク等の固定ディスク装置、フレキシブルディスク、光ディスク等のストレージ手段であり、各種処理やウェブサイト提供に用いる各種のプログラムやテーブルやデータベースやウェブページ用ファイル等を格納する。
また、接続情報取得サーバ装置100は、既知のパーソナルコンピュータ、ワークステーション等の情報処理装置を接続し、該情報処理装置に本発明の方法を実現させるソフトウェア(プログラム、データ等を含む)を実装することにより実現してもよい。
更に、装置の分散・統合の具体的形態は図示するものに限られず、その全部または一部を、各種の付加等に応じて、または、機能負荷に応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。
以上詳述に説明したように、本発明によれば、物理アドレスを短時間で検出して不正な接続を迅速に検出することができ、端末のネットワーク接続時間が短い等の場合でも、ネットワーク機器のARPテーブル等から削除される前に物理アドレスを取得でき、物理アドレスの検出漏れを防ぐことができる、ネットワーク監視システム、および、ネットワーク監視方法を提供することができる。
本発明の基本原理を示すフローチャートである。 本発明が適用されるネットワーク監視システムの構成の一例を示すブロック図である。 本実施の形態におけるネットワーク監視システムの基本処理の一例を示すフローチャートである。 本実施の形態1(DNS要求キャプチャ型)におけるネットワーク管理システムの処理の一例を示すデータフロー図である。 本実施の形態2(専用DNSサーバ設置型)におけるネットワーク管理システムの処理の一例を示すデータフロー図である。 本実施の形態3(DNS要求ログ取得型)におけるネットワーク管理システムの処理の一例を示すデータフロー図である。 本実施の形態における物理アドレス取得処理の一例を示す図である。
符号の説明
100 接続情報取得サーバ装置
102 制御部
102a DNS要求取得部
102b ネットワークアドレス取得部
102c 物理アドレス取得部
102d 認証判定部
102e 通信遮断指示部
104 通信制御インターフェース部
106 記憶部
106a 対応ルータテーブル
106b 判定アプリケーションリスト
200 端末装置
300 ネットワーク
10 スイッチングハブ
20 ルータ
400 DNSサーバ装置

Claims (14)

  1. 記憶部と制御部を少なくとも備えネットワークに接続された少なくとも端末装置間の通信を中継するネットワーク機器と、記憶部と制御部を少なくとも備え上記ネットワークに接続された接続情報取得装置と、を備えたネットワーク監視システムであって、
    上記ネットワーク機器の上記制御部は、
    送信されるデータを中継する場合に、当該データに格納された、上記通信の送信元端末装置に固有の物理アドレス情報と、上記ネットワークに接続された上記送信元端末装置に一意に割り当てられたネットワークアドレス情報と、を対応付けたテーブルを作成し、当該ネットワーク機器の上記記憶部に格納するテーブル作成格納手段、
    を備え、
    上記接続情報取得装置の上記制御部は、
    上記送信元端末装置から送信されたDNS要求を取得するDNS要求取得手段と、
    上記DNS要求が取得された場合に、上記DNS要求を解析して送信元の上記ネットワークアドレス情報を取得するネットワークアドレス情報取得手段と、
    取得された上記ネットワークアドレス情報に基づいて、所定のネットワークプロトコルを用いて、対応する上記ネットワーク機器の上記テーブルに照会し、当該ネットワークアドレス情報に対応付けられた上記物理アドレス情報を取得する物理アドレス情報取得手段と、
    を備え、上記DNS要求の送信を契機として上記ネットワークに接続された上記送信元端末装置の上記物理アドレスを特定することを特徴とするネットワーク監視システム。
  2. 請求項1に記載のネットワーク監視システムにおいて、
    上記接続情報取得装置は、DNSサーバ装置であること、
    を特徴とするネットワーク監視システム。
  3. 請求項1に記載のネットワーク監視システムにおいて、
    DNSサーバ装置が上記ネットワークに更に接続されており、
    上記DNS要求取得手段は、
    上記DNSサーバ装置に送信された上記DNS要求をミラーリングによりキャプチャすること、または、上記DNSサーバ装置が受信した上記DNS要求のログを取得すること、
    を特徴とするネットワーク監視システム。
  4. 請求項1に記載のネットワーク監視システムにおいて、
    上記物理アドレス情報取得手段は、
    上記所定のネットワークプロトコルとして、SNMP、telnet、または、NETCONFを用いること、
    を特徴とするネットワーク監視システム。
  5. 請求項1に記載のネットワーク監視システムにおいて、
    上記接続情報取得装置の上記制御部は、
    取得された上記ネットワークアドレス情報と上記物理アドレス情報とにより特定される上記送信元端末装置の認証判定を行う認証判定手段、
    を更に備えたことを特徴とするネットワーク監視システム。
  6. 請求項5に記載のネットワーク監視システムにおいて、
    上記認証判定手段は、
    上記ネットワークアドレス情報および/または上記物理アドレス情報に基づいて、上記送信元端末装置に対しポート監視を行うことにより上記送信元端末装置にインストールされたアプリケーションを判定して、認証を行うこと、
    を特徴とするネットワーク監視システム。
  7. 請求項5に記載のネットワーク監視システムにおいて、
    上記接続情報取得装置の上記制御部は、
    上記認証判定手段により認証されなかった場合に、対応する上記ネットワーク機器に対し、当該送信元端末装置に対する中継を行わないよう指示する通信遮断指示手段、
    を更に備えたことを特徴とするネットワーク監視システム。
  8. 記憶部と制御部を少なくとも備えネットワークに接続された少なくとも端末装置間の通信を中継するネットワーク機器と、記憶部と制御部を少なくとも備え上記ネットワークに接続された接続情報取得装置と、を備えたネットワーク監視システムにおいて実行されるネットワーク管理方法であって、
    上記ネットワーク機器の上記制御部において実行される、
    送信されるデータを中継する場合に、当該データに格納された、上記通信の送信元端末装置に固有の物理アドレス情報と、上記ネットワークに接続された上記送信元端末装置に一意に割り当てられたネットワークアドレス情報と、を対応付けたテーブルを作成し、当該ネットワーク機器の上記記憶部に格納するテーブル作成格納ステップと、
    上記接続情報取得装置の上記制御部において実行される、
    上記送信元端末装置から送信されたDNS要求を取得するDNS要求取得ステップと、
    上記接続情報取得装置の上記制御部において実行される、
    上記DNS要求が取得された場合に、上記DNS要求を解析して送信元の上記ネットワークアドレス情報を取得するネットワークアドレス情報取得ステップと、
    上記接続情報取得装置の上記制御部において実行される、
    取得された上記ネットワークアドレス情報に基づいて、所定のネットワークプロトコルを用いて、対応する上記ネットワーク機器の上記テーブルに照会し、当該ネットワークアドレス情報に対応付けられた上記物理アドレス情報を取得する物理アドレス情報取得ステップと、
    を含み、上記DNS要求の送信を契機として上記ネットワークに接続された上記送信元端末装置の上記物理アドレスを特定することを特徴とするネットワーク監視方法。
  9. 請求項8に記載のネットワーク監視方法において、
    上記接続情報取得装置は、DNSサーバ装置であること、
    を特徴とするネットワーク監視方法。
  10. 請求項8に記載のネットワーク監視方法において、
    DNSサーバ装置が上記ネットワークに更に接続されており、
    上記DNS要求取得ステップは、
    上記DNSサーバ装置に送信された上記DNS要求をミラーリングによりキャプチャすること、または、上記DNSサーバ装置が受信した上記DNS要求のログを取得すること、
    を特徴とするネットワーク監視方法。
  11. 請求項8に記載のネットワーク監視方法において、
    上記物理アドレス情報取得ステップは、
    上記所定のネットワークプロトコルとして、SNMP、telnet、または、NETCONFを用いること、
    を特徴とするネットワーク監視方法。
  12. 請求項8に記載のネットワーク監視方法において、
    上記接続情報取得装置の上記制御部において実行される、
    取得された上記ネットワークアドレス情報と上記物理アドレス情報とにより特定される上記送信元端末装置の認証判定を行う認証判定ステップ、
    を更に含むことを特徴とするネットワーク監視方法。
  13. 請求項12に記載のネットワーク監視方法において、
    上記認証判定ステップは、
    上記ネットワークアドレス情報および/または上記物理アドレス情報に基づいて、上記送信元端末装置に対しポート監視を行うことにより上記送信元端末装置にインストールされたアプリケーションを判定して、認証を行うこと、
    を特徴とするネットワーク監視方法。
  14. 請求項12に記載のネットワーク監視方法において、
    上記接続情報取得装置の上記制御部において実行される、
    上記認証判定ステップにて認証されなかった場合に、対応する上記ネットワーク機器に対し、当該送信元端末装置に対する中継を行わないよう指示する通信遮断指示ステップ、
    を更に含むことを特徴とするネットワーク監視方法。
JP2008030320A 2008-02-12 2008-02-12 ネットワーク監視システム、および、ネットワーク監視方法 Expired - Fee Related JP4996496B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008030320A JP4996496B2 (ja) 2008-02-12 2008-02-12 ネットワーク監視システム、および、ネットワーク監視方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008030320A JP4996496B2 (ja) 2008-02-12 2008-02-12 ネットワーク監視システム、および、ネットワーク監視方法

Publications (2)

Publication Number Publication Date
JP2009194433A JP2009194433A (ja) 2009-08-27
JP4996496B2 true JP4996496B2 (ja) 2012-08-08

Family

ID=41076105

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008030320A Expired - Fee Related JP4996496B2 (ja) 2008-02-12 2008-02-12 ネットワーク監視システム、および、ネットワーク監視方法

Country Status (1)

Country Link
JP (1) JP4996496B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5868827B2 (ja) * 2012-02-07 2016-02-24 Kddi株式会社 端末のソフトウェア種別情報を推定する端末情報推定装置、dnsサーバ、プログラム及び方法
JP6021552B2 (ja) * 2012-09-27 2016-11-09 株式会社日立システムズ 監視装置、監視システム、プログラム、及び監視方法
JP7227727B2 (ja) * 2018-10-03 2023-02-22 エヌ・ティ・ティ・コミュニケーションズ株式会社 デバイス管理装置、デバイス管理方法及びコンピュータープログラム

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005268870A (ja) * 2004-03-16 2005-09-29 Nomura Research Institute Ltd ネームサーバ、インベントリ情報の収集方法
JP4681472B2 (ja) * 2006-02-24 2011-05-11 富士通株式会社 トポロジ情報収集プログラム、トポロジ情報収集装置およびトポロジ情報収集方法

Also Published As

Publication number Publication date
JP2009194433A (ja) 2009-08-27

Similar Documents

Publication Publication Date Title
KR101999148B1 (ko) 로그 ap 탐지 시스템 및 방법과, 이를 위한 사용자 단말 및 컴퓨터 프로그램
US8601034B2 (en) System and method for real time data awareness
EP3297248B1 (en) System and method for generating rules for attack detection feedback system
US11696110B2 (en) Distributed, crowdsourced internet of things (IoT) discovery and identification using Block Chain
JP2009238065A (ja) 通信検知装置、通信検知方法、及び通信検知プログラム
US20160134650A1 (en) System, method, and appartus for proactive cybersecurity
US11616793B2 (en) System and method for device context and device security
JP6524789B2 (ja) ネットワーク監視方法、ネットワーク監視プログラム及びネットワーク監視装置
JP2007295039A (ja) ネットワークアドレス変換機器を検出する装置および方法。
CN110557358A (zh) 蜜罐服务器通信方法、SSLStrip中间人攻击感知方法及相关装置
US20090122721A1 (en) Hybrid network discovery method for detecting client applications
JP4713186B2 (ja) ネットワーク監視方法及びネットワーク監視システム
JP4996496B2 (ja) ネットワーク監視システム、および、ネットワーク監視方法
US20090019523A1 (en) Controlling network communications
CN102761535A (zh) 病毒监测方法和设备
JP2006203731A (ja) ネットワーク中継装置、ネットワーク接続情報閲覧システム、及びネットワーク接続情報通知方法
Dulik Deploying fake network devices to obtain sensitive user data
US20140122651A1 (en) Network Access Control Based on Risk Factor
Cisco Configuring Sensor Nodes
US10623449B2 (en) Communication mediation system, communication mediation device, communication mediation method, and communication mediation program
CN114629683B (zh) 管理服务器的接入方法、装置、设备及存储介质
EP2993927B1 (en) Recognition method and system using the same
CN112491909B (zh) 基于doh协议的流量标识方法、装置、设备及存储介质
JP5456636B2 (ja) ファイル収集監視方法、ファイル収集監視装置及びファイル収集監視プログラム
JP5800089B2 (ja) 中継装置、情報処理装置、アクセス制御方法およびプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100803

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110909

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110920

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111116

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20111206

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120306

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20120411

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120508

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120511

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150518

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4996496

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees