JP6517729B2 - Monitoring device, monitoring method, and monitoring program - Google Patents
Monitoring device, monitoring method, and monitoring program Download PDFInfo
- Publication number
- JP6517729B2 JP6517729B2 JP2016098397A JP2016098397A JP6517729B2 JP 6517729 B2 JP6517729 B2 JP 6517729B2 JP 2016098397 A JP2016098397 A JP 2016098397A JP 2016098397 A JP2016098397 A JP 2016098397A JP 6517729 B2 JP6517729 B2 JP 6517729B2
- Authority
- JP
- Japan
- Prior art keywords
- beacon frame
- access point
- wireless access
- deviation
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Description
本発明は、無線アクセスポイントの監視装置、監視方法、および、監視プログラムに関する。 The present invention relates to a wireless access point monitoring device, a monitoring method, and a monitoring program.
従来、公衆無線LAN等の無線アクセスポイント(以下、適宜「アクセスポイント」と略す)において、ファームウェアが不正なファームウェアに書き換えられたり、当該アクセスポイントが偽装アクセスポイントとして利用されたりすることがある。 Conventionally, in a wireless access point such as a public wireless LAN (hereinafter appropriately referred to as an “access point”), the firmware may be rewritten to unauthorized firmware, or the access point may be used as a spoofed access point.
このような問題に対処するため、無線アクセスポイント内の耐ダンパモジュールを信頼の基点として、ファームウェアが正規の状態にあることを確認する技術(技術1)がある。また、アクセスポイントにおいて、認証局の発行する証明書等による認証により、接続元の端末が正規の通信相手であることを確認する技術(技術2)もある。さらに、正規の通信相手の情報(SSID(Service Set IDentifier)、通信に用いるチャネル、周波数の変動波形等の情報)を登録したデータベースを参照して、接続元の端末が正規の通信相手であることを確認する技術(技術3)もある。 In order to cope with such a problem, there is a technique (technique 1) for confirming that the firmware is in a normal state, using the damper resistant module in the wireless access point as a starting point of trust. In addition, there is also a technique (technique 2) of confirming that the terminal of the connection source is a legitimate communication counterpart by authentication with a certificate or the like issued by a certificate authority at the access point. Further, referring to the database in which the information of the legitimate communication partner (SSID (Service Set IDentifier), channel used for communication, information of fluctuation waveform of frequency, etc.) is registered, the terminal of the connection source is the legitimate communication partner There is also a technology (technique 3) to confirm the
しかし、前記した技術のうち、技術1の場合、MAC層以上のプロトコルを用いる必要があり、技術2の場合、認証局の発行する証明書が必要である。また、技術3の場合、データベースに登録される情報(SSID、通信に用いるチャネル、周波数の変動波形等の情報)だけでは、正規の通信相手であることを確認できない場合もある。そこで本発明は無線アクセスポイントに異常が発生したことを容易に、かつ、精度よく検知することを課題とする。
However, among the above-described techniques, in the case of
前記した課題を解決するため、本発明は、無線アクセスポイントから送信されるビーコンフレームを取得するビーコンフレーム取得部と、前記ビーコンフレームの前記無線アクセスポイントからの送信時刻を示すタイムスタンプの値と、前記ビーコンフレーム取得部が当該ビーコンフレームを取得した時刻とのずれを、前記無線アクセスポイントの特徴データとして記憶部に蓄積する特徴データ蓄積処理部と、前記記憶部に蓄積される前記無線アクセスポイントの特徴データから、当該無線アクセスポイントから送信されるビーコンフレームのタイムスタンプの値と、前記ビーコンフレーム取得部が当該ビーコンフレームを取得する時刻とのずれである第1のずれを予測する予測部と、前記ビーコンフレーム取得部が前記ビーコンフレームを取得したとき、当該ビーコンフレームのタイムスタンプの値と、実際に前記ビーコンフレーム取得部がビーコンフレームを取得した時刻とのずれである第2のずれを測定する測定部と、予測された前記第1のずれと、測定された前記第2のずれとの差分が所定の閾値以上の場合、前記無線アクセスポイントに異常が発生したと判定する判定部と、を備えることを特徴とする。 In order to solve the problems described above, the present invention provides a beacon frame acquisition unit that acquires a beacon frame transmitted from a wireless access point, and a value of a time stamp indicating a transmission time of the beacon frame from the wireless access point; A feature data storage processing unit that stores the difference from the time when the beacon frame acquisition unit acquires the beacon frame in the storage unit as the feature data of the wireless access point, and the wireless access point stored in the storage unit A prediction unit that predicts, from the feature data, a first deviation that is a deviation between a value of a time stamp of a beacon frame transmitted from the wireless access point and a time when the beacon frame acquisition unit acquires the beacon frame; The beacon frame acquisition unit A measurement unit configured to measure a second deviation that is a deviation between a value of a time stamp of the beacon frame and a time when the beacon frame acquisition unit actually acquires the beacon frame when acquired; And a determination unit that determines that an abnormality has occurred in the wireless access point when a difference between the second deviation and the second deviation is measured.
本発明によれば、無線アクセスポイントに異常が発生したことを容易に、かつ、精度よく検知することができる。 According to the present invention, occurrence of an abnormality in a wireless access point can be easily and accurately detected.
以下、図面を参照しながら、本発明を実施するための形態(実施形態)について説明する。本発明は本実施形態に限定されない。 Hereinafter, embodiments (embodiments) for carrying out the present invention will be described with reference to the drawings. The present invention is not limited to this embodiment.
まず、図1を用いて本実施形態の監視装置を含む監視システムの構成例を説明する。監視システムは、無線アクセスポイント(AP)20と、AP20の状態を監視する監視装置10と、データベース30とを備える。AP20、監視装置10およびデータベース30の数は、図1に示す数に限定されない。
First, a configuration example of a monitoring system including the monitoring device of the present embodiment will be described using FIG. 1. The monitoring system includes a wireless access point (AP) 20, a
AP20(20A,20B)は、PC等の無線通信端末からの通信を中継する。例えば、AP20は、PCからの無線通信を受信すると、この無線通信をスイッチ経由でイントラネット等に転送する。このAP20は、所定期間ごとに、当該AP20の管理フレームであるビーコンフレームを送信する。
The AP 20 (20A, 20B) relays communication from a wireless communication terminal such as a PC. For example, upon receiving wireless communication from a PC, the AP 20 transfers the wireless communication to an intranet or the like via a switch. The
監視装置10は、AP20の送信するビーコンフレームを取得し、そのビーコンフレームのタイムスタンプの値(当該AP20からの送信時刻を示す値)により当該AP20の状態を監視する。
The
具体的には、監視装置10は、AP20の送信するビーコンフレームを取得する((1):ビーコンフレームの取得)。そして、監視装置10は、取得したビーコンフレームのタイムスタンプの示す時刻と、監視装置10が当該ビーコンフレームを取得した時刻とのずれを当該AP20の特徴データとしてデータベース30に保存する((2):特徴データ保存)。監視装置10がこのような処理を繰り返すことで、データベース30には、時系列でのAP20と監視装置10との間の時計のずれを示すデータ(特徴データ)が蓄積される。
Specifically, the
そして、監視装置10は、データベース30に蓄積された特徴データから予測したAP20と監視装置10との間の時刻のずれ(第1のずれ)と、実際に当該AP20から取得したビーコンフレームのタイムスタンプの示す時刻と監視装置10が当該ビーコンフレームを取得した時刻とのずれ(第2のずれ)とを比較する((3):予測した時刻のずれと実際に測定した時刻のずれとを比較)。そして、監視装置10は、比較の結果、事前に設定した閾値以上の時刻のずれが検出された場合、当該AP20に異常が発生したと判定する。
Then, the
データベース30は、各AP20の特徴データを保存する。このデータベース30は、例えば、WIPS(無線侵入防止システム)で用いられるデータベースを利用する。なお、データベース30は、監視装置10内に装備されていてもよい。
The
次に、図2を用いて、監視装置10の構成を説明する。監視装置10は、入出力部11と、制御部12と、外気温測定部13とを備える。
Next, the configuration of the
入出力部11は、外部装置(例えば、AP20やデータベース30等)との間のデータの入出力を司るインタフェースである。この入出力部11は、例えば、外部装置との間で無線通信を行うための通信インタフェースにより実現される。
The input / output unit 11 is an interface that controls input and output of data with an external device (for example, the AP 20, the
制御部12は、監視装置10全体の制御を司り、ここでは主に、AP20から取得したビーコンフレームのタイムスタンプの値に基づく当該AP20の異常の検知を行う。
The control unit 12 controls the
外気温測定部13は、監視装置10の外気温を測定する。この外気温は、AP20と監視装置10との間の時計のずれを予測する際に用いられる。
The outside air temperature measurement unit 13 measures the outside air temperature of the
制御部12は、ビーコンフレーム取得部121と、特徴データ蓄積処理部122と、予測部123と、測定部124と、判定部125とを備える。破線で示すAP負荷情報取得部126は装備される場合とされない場合とがあり、装備される場合については後記する。
The control unit 12 includes a beacon frame acquisition unit 121, a feature data storage processing unit 122, a prediction unit 123, a measurement unit 124, and a
ビーコンフレーム取得部121は、AP20の送信するビーコンフレームを取得する。例えば、ビーコンフレーム取得部121は、無線通信に用いられる各チャネルを順に監視し、周囲のAP20から送信されるビーコンフレームをプロミスキャスモードで取得する。
The beacon frame acquisition part 121 acquires the beacon frame which AP20 transmits. For example, the beacon frame acquisition unit 121 sequentially monitors each channel used for wireless communication, and acquires beacon frames transmitted from the surrounding
特徴データ蓄積処理部122は、AP20の特徴データを作成し、データベース30に蓄積する。例えば、特徴データ蓄積処理部122は、ビーコンフレーム取得部121でビーコンフレームを取得すると、当該ビーコンフレームの送信元のAP20の識別情報(例えば、MACアドレス)と、当該AP20が付加したビーコンフレームのタイムスタンプの値と、ビーコンフレーム取得部121が当該ビーコンフレームを取得した時刻と、外気温測定部13で測定された当該ビーコンフレーム取得時における外気温とを対応付けた特徴データを作成する。そして、特徴データ蓄積処理部122は、作成した特徴データをデータベース30へ送信する。
The feature data storage processing unit 122 creates feature data of the AP 20 and stores the feature data in the
予測部123は、データベース30に蓄積されるAP20の特徴データに基づき、当該AP20の送信するビーコンフレームに付加されるタイムスタンプの値と、ビーコンフレーム取得部121が当該ビーコンフレームを取得する時刻とのずれ(第1のずれ)を予測する。
The prediction unit 123 determines the value of the time stamp added to the beacon frame transmitted by the AP 20 based on the feature data of the
一般的に、AP20がビーコンフレームに付加するタイムスタンプの値と、監視装置10が当該ビーコンフレームを取得した時刻の値との間にはずれがある。つまり、AP20と監視装置10それぞれの時計にはずれがある。そして、このずれは、時間の経過とともに大きくなる。そこで、予測部123はこのような性質を利用し、データベース30に蓄積されるAP20の特徴データに基づき、当該AP20の送信するビーコンフレームのタイムスタンプの値が示す時刻と、監視装置10が当該ビーコンフレームを受信(取得)する時刻とのずれを予測する。
Generally, there is a gap between the value of the time stamp that the AP 20 adds to the beacon frame and the value of the time when the
ここで、AP20と監視装置10それぞれの時計がずれる原因としては、それぞれの装置の個体差に加えて、外気温等の環境要因も影響する。そのため、予測部123は、外気温測定部13で測定された監視装置10の外気温等の環境要因の情報も考慮して、上記の時計のずれを予測する。このようにすることで、予測部123は、AP20と監視装置10それぞれの時計のずれの予測精度を向上させることができる。
Here, in addition to the individual difference of each apparatus, environmental factors, such as external temperature, also influence as a cause by which each timepiece of AP20 and the
なお、監視装置10が取得するビーコンフレームは、監視装置10の近傍(所定距離以内)のAP20から送信されたものであるので、外気温測定部13で測定される外気温と、当該AP20の外気温との間に大きな違いはないと考えられる。
Since the beacon frame acquired by the
測定部124は、実際にビーコンフレーム取得部121がビーコンフレームを取得した時刻と、AP20が当該ビーコンフレームを取得した時刻とのずれ(第2のずれ)を測定する。 The measurement unit 124 measures a deviation (second deviation) between the time when the beacon frame acquisition unit 121 actually acquires the beacon frame and the time when the AP 20 acquires the beacon frame.
判定部125は、予測部123で予測した第1のずれと、測定部124で測定した第2のずれとの差分が所定の閾値以上か否かを判断し、当該差分が所定の閾値以上である場合、当該AP20に異常が発生したと判定する。つまり、判定部125は、AP20と監視装置10との時計のずれが、今まで蓄積された当該AP20に関する特徴データから予測されるずれとは異なる場合、当該AP20に何らかの異常が発生したと判定する。
The
このことを、図3を参照しながら説明する。図3は、AP20で用いられるファームウェアの種類ごとの時計のずれを示すグラフである。
This will be described with reference to FIG. FIG. 3 is a graph showing a clock shift for each type of firmware used in the
図3に示すグラフにおいて、横軸はフレーム(ビーコンフレーム)の受信側デバイス(ここではPC)における時間の経過を示し、縦軸はそのデバイスの時計に対しAP20のタイムスタンプの値(つまりAP20の時計)が何ミリ秒早く進んでいるかを示す。ここでは、AP20に、純正ファームウェアを用いた場合と、オープンソースファームウェアであるdd-wrtを用いた場合それぞれのPCの時計とのずれを測定した。なお、いずれの場合も用いたAP20の機種は同一である。
In the graph shown in FIG. 3, the horizontal axis shows the passage of time in the receiving device (PC in this case) of the frame (beacon frame), and the vertical axis shows the value of the timestamp of AP20 with respect to the clock of that device (that is, Indicates how many milliseconds the clock is advancing. Here, the difference between the case where pure firmware is used for
図3に示すように、純正ファームウェアを用いたAP20も、オープンソースファームウェアを用いたAP20も、時間の経過とともに、PCの時計とのずれが大きくなる。しかし、AP20の用いるファームウェアの種類により、時間の経過に伴うずれの増加率(傾き)は異なる。例えば、図3に示すように、AP20が純正ファームウェアを用いた場合およびオープンソースファームウェアを用いた場合それぞれについて、測定開始から100秒におけるPCの時計とのずれを比較すると、両者の間には約250マイクロ秒の差が生じた。
As shown in FIG. 3, the difference between the
このように、フレームの送信側デバイス(例えば、AP20)と受信側デバイス(例えば、監視装置10)との間の時計のずれは、送信側デバイスの用いるファームウェア等により固有の値となる。そこで、判定部125は、データベース30に蓄積される当該AP20の特徴データと、測定部124で測定されたAP20と監視装置10との間の時計のずれとを比較して、有意な差(例えば、所定の閾値以上の差)があれば、不正ファームウェアへの書き換え等により当該AP20に異常が発生したと判定する。
As described above, the shift of the clock between the transmitting device (for example, the AP 20) of the frame and the receiving device (for example, the monitoring apparatus 10) becomes a unique value due to the firmware or the like used by the transmitting device. Therefore, the
例えば、予測部123が、図3に示した純正ファームウェアを用いたAPに生じる時計のずれの測定結果に基づき、測定開始から150秒で、AP20と監視装置10との間に1.0ミリ秒の時計のずれが生じると予測した場合を考える。この場合、予測したずれの特徴量Xは、以下の式(1)に示すように、6.67[ns/s]となる。
For example, based on the measurement result of the clock shift generated in the AP using the genuine firmware shown in FIG. 3, for example, the prediction unit 123 measures 1.0 ms between the
したがって、この特徴量Xに対して、所定の閾値を定義しておき、判定部125は、予測されたずれ(第1のずれ)と、実際に測定されたずれ(第2のずれ)との差分が上記の閾値以上であった場合、当該AP20において異常が発生したと判定する。
Therefore, a predetermined threshold value is defined for the feature amount X, and the
データベース30は、前記したとおり監視装置10から送信されるAP20の特徴データを蓄積する。例えば、データベース30は、図4に示すように、AP20のMACアドレスごとに、当該AP20が付加したビーコンフレームのタイムスタンプの値(「ビーコンフレームのタイムスタンプA」)と、ビーコンフレーム取得部121が当該ビーコンフレームを取得した時刻(「ビーコンフレームのタイムスタンプB」)と、監視装置10のビーコンフレーム取得時における外気温(「環境要因」)と対応付けて蓄積する。なお、データベース30が、複数の監視装置10の特徴データを蓄積する場合、各特徴データの送信元の監視装置10の識別情報も併せて蓄積する。
The
以上説明した監視システムによれば、AP20に異常が発生したことを容易に、かつ、精度よく検知することができる。
According to the monitoring system described above, occurrence of an abnormality in the
次に、図5および図6を用いて、監視システムの処理手順を説明する。まず、図5を用いて、監視装置10がデータベース30にAP20の特徴データを蓄積する手順を説明する。
Next, processing procedures of the monitoring system will be described using FIGS. 5 and 6. First, the procedure in which the
監視装置10のビーコンフレーム取得部121は、AP20の送信するビーコンフレームを取得する(S1)。そして、特徴データ蓄積処理部122は、このビーコンフレームのAP20で付加されたタイムスタンプの示す時刻と、ビーコンフレーム取得部121が当該ビーコンフレームを取得した時刻と、外気温測定部13で測定された当該ビーコンフレーム取得時における外気温とを対応付けた特徴データを作成する(S2)。そして、特徴データ蓄積処理部122は、S2で作成した特徴データをデータベース30に蓄積する(S3)。監視装置10は、上記の処理を、AP20からビーコンフレームを取得するたびに繰り返す。
The beacon frame acquisition part 121 of the
次に、図6を用いて、監視装置10がAP20の異常を検出する手順を説明する。
Next, with reference to FIG. 6, a procedure in which the
まず、監視装置10のビーコンフレーム取得部121は、AP20の送信するビーコンフレームを取得する(S11)。そして、予測部123は、データベース30に蓄積されるAP20の特徴データに基づき、当該AP20から送信されるビーコンフレームに付加されるタイムスタンプの値と、ビーコンフレーム取得部121が当該ビーコンフレームを取得する時刻とのずれ(第1のずれ)を予測する(S12:時刻のずれの予測)。
First, the beacon frame acquisition unit 121 of the
次に、測定部124は、AP20がビーコンフレームを取得した時刻と実際にビーコンフレーム取得部121が当該ビーコンフレームを取得した時刻とのずれ(第2のずれ)を測定する(S13:実際の時刻とのずれの測定)。
Next, the measuring unit 124 measures a deviation (second deviation) between the time when the
その後、判定部125は、予測したずれ(第1のずれ)と実際の時刻のずれ(第2のずれ)との差分が所定の閾値以上か否かを判断し(S14)、差分が所定の閾値以上であれば(S14でYes)、当該AP20に異常が発生したと判定する(S15)。一方、差分が所定の閾値未満であれば(S14でNo)、当該AP20に異常が発生していないと判定する(S16)。このようにすることで監視装置10は、AP20に異常が発生したことを検知することができる。
Thereafter, the
(その他の実施形態)
なお、AP20と監視装置10それぞれの時計のずれに影響する環境要因としては、前記した外気温以外に、AP20における通信負荷等も考えられる。例えば、AP20における通信負荷が大きいほど、当該AP20と監視装置10との間の時計のずれが大きくなりやすいことが知られている。そこで、監視装置10の予測部123は、AP20と監視装置10との間の時計のずれを予測する際、例えば、AP20における通信負荷等も考慮して予測してもよい。
(Other embodiments)
Note that, as an environmental factor affecting the deviation of the clock of each of the
この場合、監視装置10は、図2に示すAP負荷情報取得部126をさらに備える。このAP負荷情報取得部126は、AP20(監視装置10が監視対象とするAP20)の通信負荷情報を取得する。この通信負荷情報は、例えば、単位時間あたりAP20で送受信されるデータ量等を示した情報である。予測部123は、AP負荷情報取得部126で取得されたAP20の通信負荷情報を考慮して、当該AP20と監視装置10との時計のずれを予測する。このようにすることで、予測部123は、AP20と監視装置10との時計のずれを、さらに精度よく予測することができる。なお、予測部123は、AP20と監視装置10との時計のずれを予測する際、上記の通信負荷情報および外気温の両方を考慮して予測してもよいし、いずれかのみを考慮して予測してもよい。
In this case, the
(プログラム)
また、上記の実施形態で述べた監視装置10の機能を実現する監視プログラムを所望の情報処理装置(コンピュータ)にインストールすることによって実現できる。例えば、パッケージソフトウェアやオンラインソフトウェアとして提供される上記の監視プログラムを情報処理装置に実行させることにより、情報処理装置を監視装置10として機能させることができる。ここで言う情報処理装置は、無線通信機能を備えるデスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistants)であってもよい。
(program)
Further, it can be realized by installing a monitoring program for realizing the function of the
以下に、監視プログラムを実行するコンピュータの一例を説明する。図7は、監視プログラムを実行するコンピュータを示す図である。図7に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU(Central Processing Unit)1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
Hereinafter, an example of a computer that executes a monitoring program will be described. FIG. 7 is a diagram showing a computer that executes a monitoring program. As shown in FIG. 7, the
メモリ1010は、ROM(Read Only Memory)1011およびRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。
The
ここで、図7に示すように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。前記した実施形態で説明した各種データや情報は、例えばハードディスクドライブ1090やメモリ1010に記憶される。
Here, as shown in FIG. 7, the hard disk drive 1090 stores, for example, an
そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
Then, the
なお、監視プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、監視プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
The
10 監視装置
11 入出力部
12 制御部
13 外気温測定部
20(20A,20B) 無線アクセスポイント
30 データベース
121 ビーコンフレーム取得部
122 特徴データ蓄積処理部
123 予測部
124 測定部
125 判定部
126 AP負荷情報取得部
DESCRIPTION OF
Claims (5)
前記ビーコンフレームの前記無線アクセスポイントからの送信時刻を示すタイムスタンプの値と、前記ビーコンフレーム取得部が当該ビーコンフレームを取得した時刻とのずれを、前記無線アクセスポイントの特徴データとして記憶部に蓄積する特徴データ蓄積処理部と、
前記記憶部に蓄積される前記無線アクセスポイントの特徴データを用いて、当該無線アクセスポイントから送信されるビーコンフレームのタイムスタンプの値と、前記ビーコンフレーム取得部が当該ビーコンフレームを取得する時刻とのずれである第1のずれを予測する予測部と、
前記ビーコンフレーム取得部が前記無線アクセスポイントから送信されたビーコンフレームを取得したとき、当該ビーコンフレームのタイムスタンプの値と、実際に前記ビーコンフレーム取得部が当該ビーコンフレームを取得した時刻とのずれである第2のずれを測定する測定部と、
予測された前記第1のずれと、測定された前記第2のずれとの差分が所定の閾値以上の場合、前記無線アクセスポイントに異常が発生したと判定する判定部と、
を備えることを特徴とする監視装置。 A beacon frame acquisition unit that acquires a beacon frame transmitted from a wireless access point;
The difference between the time stamp value indicating the transmission time of the beacon frame from the wireless access point and the time when the beacon frame acquisition unit acquires the beacon frame is stored in the storage unit as the feature data of the wireless access point Feature data storage processing unit;
The value of the timestamp of the beacon frame transmitted from the wireless access point using the feature data of the wireless access point stored in the storage unit, and the time at which the beacon frame acquisition unit acquires the beacon frame A prediction unit that predicts a first shift that is a shift;
When the beacon frame acquisition unit acquires a beacon frame transmitted from the wireless access point, with the deviation of the value of the time stamp of the beacon frame, the actual time at which the beacon frame acquisition unit acquires the beacon frame A measuring unit that measures a second deviation;
A determination unit that determines that an abnormality has occurred in the wireless access point if the difference between the predicted first deviation and the measured second deviation is greater than or equal to a predetermined threshold;
A monitoring apparatus comprising:
前記無線アクセスポイントの特徴データに、前記ビーコンフレームを取得した時刻における前記監視装置の近傍の外気温をさらに含め、
前記予測部は、
前記ビーコンフレームを取得した時刻における前記監視装置の近傍の外気温を考慮して、前記第1のずれを予測することを特徴とする請求項1に記載の監視装置。 The feature data storage processing unit
The feature data of the wireless access point further includes the outside air temperature near the monitoring device at the time of acquisition of the beacon frame
The prediction unit
The monitoring device according to claim 1, wherein the first deviation is predicted in consideration of the outside air temperature in the vicinity of the monitoring device at the time when the beacon frame is acquired.
前記記憶部をさらに備えることを特徴とする請求項1に記載の監視装置。 The monitoring device
The monitoring device according to claim 1, further comprising the storage unit.
前記無線アクセスポイントから送信されるビーコンフレームを取得するステップと、
前記ビーコンフレームの前記無線アクセスポイントからの送信時刻を示すタイムスタンプの値と、前記監視装置が当該ビーコンフレームを取得した時刻とのずれを、前記無線アクセスポイントの特徴データとして記憶部に蓄積するステップと、
前記記憶部に蓄積される前記無線アクセスポイントの特徴データを用いて、当該無線アクセスポイントから送信されるビーコンフレームのタイムスタンプの値と、前記監視装置が当該ビーコンフレームを取得する時刻とのずれである第1のずれを予測するステップと、
前記監視装置が前記無線アクセスポイントから送信されたビーコンフレームを取得したとき、当該ビーコンフレームのタイムスタンプの値と、実際に前記監視装置が当該ビーコンフレームを取得した時刻とのずれである第2のずれを測定するステップと、
予測された前記第1のずれと、測定された前記第2のずれとの差分が所定の閾値以上の場合、前記無線アクセスポイントに異常が発生したと判定するステップと、
を含んだことを特徴とする監視方法。 The monitoring device that monitors the wireless access point
Acquiring a beacon frame transmitted from the wireless access point;
Storing a difference between a time stamp value indicating a transmission time of the beacon frame from the wireless access point and a time when the monitoring device acquires the beacon frame in a storage unit as feature data of the wireless access point When,
By using the feature data of the wireless access point stored in the storage unit, the difference between the value of the time stamp of the beacon frame transmitted from the wireless access point and the time at which the monitoring device acquires the beacon frame Predicting a certain first deviation;
When said monitoring apparatus acquires a beacon frame transmitted from the wireless access point, a value of the time stamp of the beacon frame, actually the monitoring device second is a deviation between time acquired the beacon frame Measuring the deviation;
If the difference between the predicted first deviation and the measured second deviation is greater than or equal to a predetermined threshold, determining that an abnormality has occurred in the wireless access point;
Monitoring method characterized in that.
前記無線アクセスポイントから送信されるビーコンフレームを取得するステップと、
前記ビーコンフレームの前記無線アクセスポイントからの送信時刻を示すタイムスタンプの値と、前記監視装置が当該ビーコンフレームを取得した時刻とのずれを、前記無線アクセスポイントの特徴データとして記憶部に蓄積するステップと、
前記記憶部に蓄積される前記無線アクセスポイントの特徴データを用いて、当該無線アクセスポイントから送信されるビーコンフレームのタイムスタンプの値と、前記監視装置が当該ビーコンフレームを取得する時刻とのずれである第1のずれを予測するステップと、
前記監視装置が前記無線アクセスポイントから送信されたビーコンフレームを取得したとき、当該ビーコンフレームのタイムスタンプの値と、実際に前記監視装置が当該ビーコンフレームを取得した時刻とのずれである第2のずれを測定するステップと、
予測された前記第1のずれと、測定された前記第2のずれとの差分が所定の閾値以上の場合、前記無線アクセスポイントに異常が発生したと判定するステップと、
を実行させることを特徴とする監視プログラム。 A computer that is a monitoring device that monitors the wireless access point;
Acquiring a beacon frame transmitted from the wireless access point;
Storing a difference between a time stamp value indicating a transmission time of the beacon frame from the wireless access point and a time when the monitoring device acquires the beacon frame in a storage unit as feature data of the wireless access point When,
By using the feature data of the wireless access point stored in the storage unit, the difference between the value of the time stamp of the beacon frame transmitted from the wireless access point and the time at which the monitoring device acquires the beacon frame Predicting a certain first deviation;
When said monitoring apparatus acquires a beacon frame transmitted from the wireless access point, a value of the time stamp of the beacon frame, actually the monitoring device second is a deviation between time acquired the beacon frame Measuring the deviation;
If the difference between the predicted first deviation and the measured second deviation is greater than or equal to a predetermined threshold, determining that an abnormality has occurred in the wireless access point;
A monitoring program that is characterized in that it performs.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016098397A JP6517729B2 (en) | 2016-05-17 | 2016-05-17 | Monitoring device, monitoring method, and monitoring program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016098397A JP6517729B2 (en) | 2016-05-17 | 2016-05-17 | Monitoring device, monitoring method, and monitoring program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017208630A JP2017208630A (en) | 2017-11-24 |
JP6517729B2 true JP6517729B2 (en) | 2019-05-22 |
Family
ID=60416622
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016098397A Active JP6517729B2 (en) | 2016-05-17 | 2016-05-17 | Monitoring device, monitoring method, and monitoring program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6517729B2 (en) |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010030950A2 (en) * | 2008-09-12 | 2010-03-18 | University Of Utah Research Foundation | Method and system for detecting unauthorized wireless access points using clock skews |
-
2016
- 2016-05-17 JP JP2016098397A patent/JP6517729B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2017208630A (en) | 2017-11-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2016256720B2 (en) | System and method for cloud-service asset management for portable computer test tools | |
US10601800B2 (en) | Systems and methods for user authentication using pattern-based risk assessment and adjustment | |
KR101501669B1 (en) | Behavior detection system for detecting abnormal behavior | |
US11652838B2 (en) | Wireless communications access security system and method | |
US20140004829A1 (en) | Mobile device and method to monitor a baseband processor in relation to the actions on an applicaton processor | |
CN107508815B (en) | Early warning method and device based on website traffic analysis | |
KR20190075861A (en) | Detection method, device, server and storage medium of DoS / DDoS attack | |
CN108092970B (en) | Wireless network maintenance method and equipment, storage medium and terminal thereof | |
CN109547407A (en) | A kind of the overall process method for tracing and block chain node of environmental monitoring data | |
WO2014205165A1 (en) | Network activity association system and method | |
EP3883190B1 (en) | Detection device, detection method, and detection program | |
JP6350652B2 (en) | Communication apparatus, method, and program | |
EP3460769B1 (en) | System and method for managing alerts using a state machine | |
JP6517729B2 (en) | Monitoring device, monitoring method, and monitoring program | |
US11726173B2 (en) | Attack detection and mitigation for fine timing measurement | |
TWI736916B (en) | Device and method for detecting and restraining rogue ap and storage medium | |
KR100432421B1 (en) | method and recorded media for attack correlation analysis | |
CN109067764A (en) | A kind of method and device for establishing equipment list item | |
JP6324344B2 (en) | Access authority information management system, terminal device, and access authority information management method | |
JP6218226B2 (en) | Terminal device, authentication method, and program | |
JP5511305B2 (en) | Failure detection device | |
JP7045124B2 (en) | Wireless network security diagnostic system, security diagnostic server, and program | |
TW202306404A (en) | Detection method for rogue access points, electronic device and readable storage medium | |
Lu et al. | Fastid: An undeceived router for real-time identification of wifi terminals | |
JP2017208765A (en) | Detection system, detection method and detection program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180607 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190220 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190226 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190328 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190416 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190418 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6517729 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |