JP6955239B2 - ネットワーク監視装置、ネットワーク監視方法、ネットワーク監視プログラム、およびネットワーク監視システム - Google Patents
ネットワーク監視装置、ネットワーク監視方法、ネットワーク監視プログラム、およびネットワーク監視システム Download PDFInfo
- Publication number
- JP6955239B2 JP6955239B2 JP2017228819A JP2017228819A JP6955239B2 JP 6955239 B2 JP6955239 B2 JP 6955239B2 JP 2017228819 A JP2017228819 A JP 2017228819A JP 2017228819 A JP2017228819 A JP 2017228819A JP 6955239 B2 JP6955239 B2 JP 6955239B2
- Authority
- JP
- Japan
- Prior art keywords
- network monitoring
- communication
- network
- terminal
- communication message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、ネットワーク監視装置、ネットワーク監視方法、ネットワーク監視プログラム、およびネットワーク監視システムに関する。
ネットワークシステムにおいて、特にセキュリティの重要性が高まっている。セキュリティを確保したいが、セキュリティ対策と利便性とはトレードオフの関係となるため、両者のバランスが重要となる。
例えば、あらかじめ申請された端末のみを接続可能とするという、強すぎるセキュリティ対策を実施してしまうとする。そのような場合には、次のような問題が発生する。すなわち、利用者にとっては、端末をネットワークに接続したいときにすぐに接続できないという問題ある。また、来訪者などが一時的に端末を利用したい場合であっても手間のかかる申請が必要になるという問題がある。一般的には何であれ、申請には余計な手間がかかることになる。
このような状況は、管理者にとっても、次に述べるような不都合が発生することになる。すなわち、管理者が申請の受付に時間を取られる。一時的に利用する端末が多くて、管理者が管理しきれなくなる。管理者の作業が増大する。また、モバイル端末の増加によって、ネットワークへの端末の出入りが頻繁になってゆく。その結果、端末管理の手間がさらに増大することになる。
業務や場所の特性上、ネットワークに接続する端末を限定しないで運用せざるを得ない環境もある。たとえば、公共施設や商業施設、学校、ホールなど不特定多数が利用する環境や、企業内の閉じた環境であっても、共用スペースにある無線LAN(local area network)アクセスポイントや、共用会議スペースに置かれているネットワークハブなどがこれにあたる。なお、「無線LANアクセスポイント」とは、無線LAN(WiFi)で端末間を接続する無線中継器のことである。また、事業戦略上、セキュリティの強化よりも利便性を優先したり、生産性向上などビジネス面の利点を優先する場合もある。
このようなオープンな環境で困るのは、次のようなことである。不特定多数の端末が接続される。中にはその接続した端末を使用して悪事を働く者がいる。そして、その場合でも、接続された端末のアドレスくらいしか分からず、どこに端末が接続されたか分からない。その結果、犯人を捕まえられないという事態が起こる。
このような状況において、現在のセキュリティ対策としては、次に述べるような対策を行うのが主流である。完全な安全を目指して、利便性を犠牲にするよりもある程度の利便性を確保しながら、いざインシデントが発生した際に、正確に、迅速に事態を掌握する。その結果を踏まえて、その事態に対して適切な対処を行う。
そこで、セキュリティインシデントが発生した際に求められることは、次のことである。先ず、インシデントが発生していることを検出し、管理者に気づかせる。引き続いて、インシデントの発生元を突き止める。そして、即座にやめさせるために、端末をネットワークから切り離す。最終的に、現行犯で犯人を確保する。
本発明に関連するセキュリティ監視装置が種々提案されている。
特許文献1は、ネットワーク上に接続された情報処理端末間の通信許可/不許可を判断し、不許可と判断された情報処理端末間の通信を確実に遮断する制御を行うネットワークセキュリティ監視装置を開示している。特許文献1に開示されたネットワークセキュリティ監視装置は、ネットワーク内における不正アクセスを監視し防止する。
特許文献2は、端末と、管理装置と、端末及び管理装置を接続するネットワークとからなるセキュリティ監視システムを開示している。端末は、現在位置の位置情報を取得し、取得した位置情報を管理装置へ通知する。管理装置は、端末の使用が許可されているエリアを示す登録エリア情報を記憶し、当該端末の現在位置が使用許可エリア内に含まれているかを判断する。使用許可エリア外であると判断した場合、管理装置は所定の処理を実行する。特許文献2では、使用許可エリア外で端末が起動されようとした場合、正当なユーザや管理者へ通知している。また、特許文献2では、通知を受けた正当なユーザが、不正使用ではないと判断した場合には、当該端末を使用可能とするとともに、現在位置を新たに利用可能な場所として登録することができる。
特許文献1および2には、それぞれ、次に述べるような課題がある。
特許文献1では、ネットワーク上の端末に対して、監視装置側から通信を発生させ、その通信に対する端末からの応答を用いて端末を監視している。この方式では、ネットワークに本来の通信以外に、監視のための余分な通信が発生する、という課題がある。また、特許文献1では、監視装置がルータの通常ポートに接続されている。そのため、悪意のある端末から監視装置と同じ動作(ARP(Address Resolution Protocol)パケットの送信)を行われると、監視装置の存在が悪意のある端末に見つかってしまう。そうすると、悪意のある端末側で、監視装置からの通信だけに反応しないようにすることで、監視の目を逃れることができる、という欠点もある。
また、特許文献2は、盗難にあった端末を不正使用から守ることを目的としている仕組みを開示しているだけである。したがって、特許文献2は、不正に持ち込まれた端末、悪意のある端末によるネットワークの不正使用から監視し守る仕組みについては何ら開示も示唆もしていない。また、特許文献2では、端末側に、位置検出機能や通知機能が必須となる、とういう課題がある。
本発明の目的は、監視装置から通信を発生することなく、悪意のある端末によるネットワークの不正使用を監視できる、ネットワーク監視装置、ネットワーク監視方法、ネットワーク監視プログラム、およびネットワーク監視システムを提供することにある。
本発明の第1の態様のネットワーク監視装置は、中継装置に接続されて使用されるネットワーク監視装置であって、前記中継装置は、ネットワークに接続された端末から送出された通信電文を中継し、前記ネットワーク監視装置は、前記中継装置から前記通信電文を複製した通信電文を採取し、採取した通信電文を出力する通信電文採取手段と;前記採取した通信電文のうち選別条件に該当するもののみを選別し、選別した通信電文を出力する通信電文選別手段と;前記選別した通信電文の情報を解析規則に従って解析し、その解析結果より前記端末の前記ネットワークへの接続状態と前記端末への設定情報とを取得し、前記接続状態と前記設定情報とを示す接続・設定信号を出力する通信電文解析手段と;前記接続・設定信号に前記ネットワーク監視装置の位置情報を付加して、付加した信号を外部へ通知する位置情報付加手段と;を備える。
本発明の第2の態様のネットワーク監視方法は、中継装置に接続されて使用されるネットワーク監視装置でのネットワーク監視方法であって、前記中継装置は、ネットワークに接続された端末から送出された通信電文を中継し、前記ネットワーク監視方法は、前記中継装置から前記通信電文を複製した通信電文を採取し、採取した通信電文を出力する通信電文採取工程と;前記採取した通信電文のうち選別条件に該当するもののみを選別し、選別した通信電文を出力する通信電文選別工程と;前記選別した通信電文の情報を解析規則に従って解析し、その解析結果より前記端末の前記ネットワークへの接続状態と前記端末への設定情報とを取得し、前記接続状態と前記設定情報とを示す接続・設定信号を出力する通信電文解析工程と;前記接続・設定信号に前記ネットワーク監視装置の位置情報を付加して、付加した信号を外部へ通知する位置情報付加工程と;を含む。
本発明の第3の態様のネットワーク監視プログラムは、中継装置に接続されて使用されるネットワーク監視装置のコンピュータに、ネットワークの監視を行わせるネットワーク監視プログラムであって、前記中継装置は、ネットワークに接続された端末から送出された通信電文を中継し、前記コンピュータに、前記中継装置から前記通信電文を複製した通信電文を採取し、採取した通信電文を出力する通信電文採取処理と;前記採取した通信電文のうち選別条件に該当するもののみを選別し、選別した通信電文を出力する通信電文選別処理と;前記選別した通信電文の情報を解析規則に従って解析し、その解析結果より前記端末の前記ネットワークへの接続状態と前記端末への設定情報とを取得し、前記接続状態と前記設定情報とを示す接続・設定信号を出力する通信電文解析処理と;前記接続・設定信号に前記ネットワーク監視装置の位置情報を付加して、付加した信号を外部へ通知する位置情報付加処理と;を実行させる。
本発明の第4の態様のネットワーク監視システムは、上記ネットワーク監視装置と、該ネットワーク監視装置に接続された中継装置と、該中継装置によって中継される通信電文を送受信する端末と、を備える。
本発明によれば、監視装置から通信を発生することなく、悪意のある端末によるネットワークの不正使用を監視できる。
以下、図面を参照しながら、本発明の実施形態について詳細に説明する。なお、各図において同一または相当する部分には同一の符号を付して適宜説明は省略する。
[実施形態]
図1は、本発明の実施形態に係るネットワーク監視装置が適用されるネットワークの構成を示すブロック図である。
図1は、本発明の実施形態に係るネットワーク監視装置が適用されるネットワークの構成を示すブロック図である。
図示のネットワークは、複数の中継装置と、複数のネットワーク監視装置と、1台の無線有線中継装置13と、複数の有線端末と、複数の無線端末と、1台の端末管理装置16とを備える。図示の例では、複数の中継装置として、第1乃至第3の中継装置11−1、11−2、および11−3を備えている。また、複数のネットワーク監視装置として、第1および第2のネットワーク監視装置12−1および12−2を備えている。複数の有線端末として、第1乃至第n(nは2以上の整数)の有線端末14−1、...、および14−nを備えている。複数の無線端末として、第1乃至第m(mは2以上の整数)の無線端末15−1、...、および15−mを備えている。なお、図示のネットワークは、ネットワーク監視装置を備えているので、ネットワーク監視システムとも呼ばれる。
端末管理装置16は第1の中継装置11−1に接続されている。第1の中継装置11−1には、第2および第3の中継装置11−2、11−3が接続されている。第1のネットワーク監視装置12−1は第2の中継装置11−2に接続されている。第2のネットワーク監視装置12−2は第3の中継装置11−3に接続されている。第2の中継装置11−2には、第1至第nの有線端末14−1〜14−nが接続されている。第3の中継装置11−3には、無線有線中継装置13を介して、第1乃至第mの無線端末15−1〜15−mが接続されている。
前述したように、第1および第2のネットワーク監視装置12−1および12−2は、それぞれ、第2および第3の中継装置11−2および11−3に取り付けられている。第1乃至第3の中継装置11−1〜11−3の各々は、複数の入出力ポートを持ち、あるポートから入力された通信電文を所定のポートあるいは他の全てのポートに出力するという中継処理を行う。
図1において、通信電文を発生させる装置は、第1乃至第nの有線端末14−1〜14−n、第1乃至第mの無線端末15−1〜15−m、および端末管理装置16である。端末管理装置16は、サーバとも呼ばれる。この図1に示したサーバ16、端末14−1〜14−n、15−1〜15−mはあくまで例であり、任意の端末、サーバがネットワークに接続されていてもよい。また、端末、サーバは、新たにネットワークの外部から持ち込まれ接続される場合もあれば、接続が解かれ、ネットワークから離脱し外部に持ち出される場合もある。
なお、本実施形態において、「端末」とは、PC(Personal Computer)、タブレット端末、スマートフォン等のことである。また、本実施形態において、「中継装置」とは、端末と、端末との間の通信を仲介する経路の役割を持つ装置である。
中継装置の代表的なものは、ネットワークハブ、ネットワークスイッチ(レイヤ2スイッチ、レイヤ3スイッチ)、無線LANアクセスポイント、ゲートウェイ装置などである。無線有線中継装置13もこの中継装置の一種である。したがって、中継装置は、通信電文を中継する機器であれば、何でも良い。
また、図1の接続関係は例であり、中継装置11−1〜11−3同士の接続関係、中継装置11−1〜11−3、有線端末14−1〜14−n、無線端末15−1〜15−m、端末管理装置16などのサーバ、端末との接続関係は任意である。
第1乃至第3の中継装置11−1〜11−3の各々は、通信電文を中継する機能の他に、中継内容を複製し別の機器に提供する機能をも持つ。この複製して提供する機能は、例えば、中継装置がネットワークスイッチの場合、ポートミラーリング機能と呼ばれる。また、第1乃至第3の中継装置11−1〜11−3の各々としては、あるポートに入力された通信電文を他の全てのポートに一律に中継する装置(リピータハブなど)もある。その場合、ポートミラーリング機能と同じ効果が得られる。
第1および第2のネットワーク監視装置12−1および12−2は、それぞれ、第2および第3の中継装置11−2および11−3に接続して使用される。第1および第2のネットワーク監視装置12−1および12−2には、それぞれ、第2および第3の中継装置11−2および11−3により中継した通信電文の複製が提供される。
図2は、本発明の実施形態に係るネットワーク監視装置12の構成を示すブロック図である。以下、図2を参照して、ネットワーク監視装置12の構成と処理内容とについて説明する。
ネットワーク監視装置12は、通信電文採取部22と、通信電文選別部23と、通信電文解析部25と、位置情報付加部28と、定義指定部26と、対人通知部30とを備える。定義指定部26には、後述する、選別条件24と解析規則27と位置情報29とが事前に設定されている。
次に、ネットワーク監視装置12の処理内容について説明する。図2に、ネットワーク監視装置12の内部構造を示している。なお、図1に示した、第1および第2のネットワーク監視装置12−1および12−2と、図2のネットワーク監視装置12とは同一のものである。
最初に、通信電文採取部22について説明する。通信電文採取部22の処理の流れを図3に示す。
図3を参照して、通信電文採取部22について説明する。中継装置11から提供された通信電文の内容は、ネットワーク監視装置12の通信電文採取部22で受信される(ステップS101)。通信電文採取部22で受信(採取)された通信電文の内容は、通信電文選別部23に送られる(ステップS102)。
次に、通信電文選別部23について説明する。通信電文選別部23の処理の流れを図4に示す。
先ず、通信電文選別部23は、通信電文採取部22より採取した通信電文を受信する(ステップS201)。引き続いて、通信電文選別部23では、採取した通信電文の中から選別条件24に基づき、その条件に該当する通信電文のみを選別する(ステップS202)。ここで、選別条件24に該当しなければ(ステップS202のNO)、通信電文選別部23は通信電文を破棄し(ステップS203)、ステップS201へ戻る。一方、選別条件24に該当すれば(ステップS202のYES)、通信電文選別部23は、選別した通信電文の内容に、該当した条件ごとに対応付けられた種別情報を付加し(ステップS204)、種別情報を付加した通信電文の内容を通信電文解析部25に送る(ステップS205)。その後、通信電文選別部23は、処理をステップS201へ戻る。
前述したように、選別条件24は、定義指定部26から事前に設定されている。選別条件24の条件設定は、人間が行っても、外部の別のシステムからの指示で設定されてもよい。選別条件24には、どのような通信電文がどの種別に分類されるかが定義されている。
次に、通信電文解析部25について説明する。通信電文解析部25の処理の流れを図5に示す。
先ず、通信電文解析部25は、通信電文選別部23で選別された、種別情報が付加された通信電文の内容を受信する(ステップS301)。引き続いて、通信電文解析部25では、解析規則27に基づき、端末と端末間、端末とサーバ間でやりとりされる通信電文(選別した通信電文)の内容を解析(解釈)する(ステップS302)。この解析(解釈)により次のことが分かる。たとえば、端末管理装置16とネットワークに接続された端末、つまり有線端末14−1〜14−nや無線端末15−1〜15−mとの通信電文を解釈する、解析規則27が設定されているとする。この場合であれば、通信電文解析部15は、有線端末14−1〜14−nや無線端末15−1〜15−mのネットワークへの接続状態や、端末管理装置16から端末へ割り当てられた端末の設定情報が分かる(ステップS303)。その後、通信電文解析部15は、端末のネットワークへの接続情報と端末への設定情報とを示す接続・設定信号を位置情報付加部28に送信する(ステップS304)。
前述したように、解析規則27は、定義指定部26から事前に設定されている。解析規則27の条件設定は、人間が行っても、外部の別のシステムからの指示で設定されてもよい。解析規則27には、通信電文の種別ごとに解析手順が定義されている。
次に、位置情報付加部28について説明する。位置情報付加部28の処理の流れを図6に示す。
先ず、位置情報付加部28では、通信電文解析部25から受信した、解釈結果(接続・設定信号)より、端末(有線端末14−1〜14−nや無線端末15−1〜15−m)のネットワークへの接続状態と端末への設定情報とを取得する(ステップS401)。引き続いて、位置情報付加部28は、この取得した(受信した)情報(接続・設定信号)に、さらに、位置情報29を付加する(ステップS402)。そして、位置情報付加部28は、上位の管理装置40があるか否かを判断する(ステップS403)。上位の管理装置40があれば(ステップS403のYES)、位置情報付加部28は上位の管理装置40へ結果(付加した信号)を通知する(ステップS404)。上位の管理装置40がない場合(ステップS403のNO)や、上位の管理装置40への結果の通知した(ステップS404)後、位置情報付加部28は、人間に通知する必要があるか否かを判断する(ステップS405)。人間に結果を通知する必要があれば(ステップS405のYES)、位置情報付加部28は、対人通知部30に人間へ付加した信号の通知を依頼し(ステップS406)、その後、ステップS401へ戻る。一方、人間に結果を通知する必要がなければ(ステップS405のNO)、位置情報付加部28は、処理を直接、ステップS401へ戻す。
前述したように、位置情報29は、定義指定部26から事前に設定されている。位置情報29の条件設定は、人間が行っても、外部の別のシステムからの指示で設定されてもよい。位置情報29には、当該ネットワーク監視装置12が接続している中継装置11の設置場所や、中継装置11から回線が引き延ばされて、実際に端末接続を提供する場所の情報などが設定される。位置情報29は、例えば、住所、階高情報、緯度経度、標高といった、実空間上の物理的な位置情報でもよい。また、位置情報29は、設置されている場所の名前、地域名、支店名、部署名、部屋名、部屋番号、組織名、座席番号、電話番号、通し番号、場所コードなど、場所に対するセキュリティレベルや、危険分類など、人間が見て位置が特定できるような論理的な位置情報でもよい。或いは、位置情報29は、別の台帳などと照合することで、推移的に場所が分かるような、間接的な位置情報でもよい。
次に、対人通知部30について説明する。対人通知部30は、位置情報付加部28の処理結果(付加した信号)を画面表示や、メール等人間が分かる手段で通知する。人間による指示により、対人通知部30は、処理結果(付加した信号)を情報項目で検索することもできる。これにより、端末(有線端末14−1〜14−nや無線端末15−1〜15−m)のネットワークへの接続状態とその状態が発生した時刻および端末へ端末管理装置16から設定された設定情報および、その端末の位置情報29を人間に知らせる。
次に、上位の管理装置40について説明する。複数台のネットワーク監視装置12、12−1〜12−2がネットワーク内で使用されているとする。この場合に、上位の管理装置40は、それぞれのネットワーク監視装置で処理した結果を集約、蓄積、検索可能とする装置である。
以上説明した本発明の実施形態においては、以下に記載するような効果を奏する。
第1の効果は、端末が物理的にどこに接続されたか判別できることである。その理由は、ネットワーク監視装置12が、位置情報を付加記録できる機能を備えているからである。
第2の効果は、既存の端末管理装置16や、端末に機能を追加する、ソフトウェアをインストールするなどの変更を一切せずに、中継装置11に接続するだけで、ネットワークへの端末の出入りを監視できることである。その理由は、ネットワーク監視装置12から通信を発生せずに、中継装置11からの受信のみで端末を監視しているからである。
第3の効果は、論理的なネットワーク分割によらず、端末がどこに接続されたかが判別できることである。その理由は、中継装置11からの受信のみで端末を監視しているからである。
第4の効果は、端末の集中管理とネットワークへの端末の接続の分散監視の両立が可能になることである。その理由は、端末の集中管理を端末管理装置16で行い、ネットワークへの端末の接続の分散監視を本ネットワーク監視装置12で行っているからである。
次に、本発明の第1の実施例について、具体的なネットワークのセキュリティ監視に適用した場合を説明する。
図7は、本発明の第1の実施例に係るネットワーク監視装置が適用されるネットワークの構成を示すブロック図である。尚、ネットワーク監視装置の内部の構成は前述した図2と同じである。次に、本発明の実施形態による図1に示した構成要素と、第1の実施例の説明で使用する機器との間の対応関係について説明する。
第1乃至第3のレイヤ2スイッチ11−1〜11−3は、それぞれ、図1の第1乃至第3の中継装置11−1〜11−3に相当する。ここで、「レイヤ2スイッチ」とは、通信電文(パケット)を中継する装置である。より具体的には、レイヤ2スイッチは、パケットに宛先情報として含まれるMAC(Media Access Control)アドレスで中継先を判断し、中継動作を行うスイッチのことである。この第1の実施例の構成のレイヤ2スイッチを、DHCP(Dynamic Host Configuration Protocol)リレーエージェント機能を具備したレイヤ3スイッチに置き換えても構わない。ここで、「DHCP」とは、インターネットに接続しようとするパソコンや周辺機器などに対し、インターネットの住所ともいえるIP(Internet Protocol)アドレス、またはそれに付随するサブネットマスクなど、必要な情報を自動的に割り当てる仕組みのことである。また、「DHCPリレーエージェント」とは、DHCPサーバとDHCPクライアントとが異なるサブネットに存在しても、DHCPクライアントから受信したブロードキャストをユニキャストに変換して、DHCPサーバに転送する機能を持つエージェントである。また、レイヤ3スイッチは、レイヤ2スイッチの機能の加えてIPアドレスを用いたルーティングができるスイッチである。レイヤ2スイッチはMACアドレスとポートとを関連づける。これに対して、レイヤ3スイッチはIPアドレスもポートと関連づける。
第1および第2のネットワーク監視装置12−1および12−2は、それぞれ、図1の第1および第2のネットワーク監視装置12−1および12−2に相当する。
また、第1および第2の無線LANアクセスポイント13−1および13−2は、図1の無線有線中継装置13に相当する。ここで、「無線LANアクセスポイント」とは、前述したように無線LAN(WiFi)で端末間を接続する電波中継器である。図7の構成では、無線LANアクセスポイントとして、ブリッジタイプ、インフラストラクチャモードを使用している想定である
DHCPサーバ16は、図1の端末管理装置16に相当する。このDHCPサーバ16は、RFC2131で標準化されていて、この仕様に従ってDHCPサーバとして動作する。
ノートPC(Personal Computer)15−1は、図1の第1の無線端末15−1に相当する。ノートPC15−1は、無線LANによる通信機能を有し、無線LANアクセスポイントを介して、ネットワークに加えることができる。ノートPC15−1は、可搬型で、利用者の任意のタイミングで、持ち出されてネットワークから外れたり、持ち込まれてネットワークに加えたりすることができる。ノートPC15−1はDHCPクライアントの機能を具備している。尚、PCで使われる一般的なOS(Operating System)には、通常DHCPクライアント機能が標準的に備わっている。前述したように、DHCPはRFC2131で標準化されており、ノートPC15−1は、この仕様に従ってDHCPクライアントとして動作する。
本第1の実施例では、ネットワーク内の各構成要素は、次に述べるように、建屋A、建屋B、および建屋Cに設置される。詳述すると、建屋Cには、DHCPサーバ16と第1のレイヤ2スイッチ11−1とが設置されている。建屋Aには、第2のレイヤ2スイッチ11−2と、第1のネットワーク監視装置12−1と、第1の無線LANアクセスポイント13−1と、第1のノートPC15−1とが設置されている。建屋Bには、第3のレイヤ2スイッチ11−3と、第2のネットワーク監視装置12−2と、第2の無線LANアクセスポイント13−2とが設置されている。
次に、図7に加えて図2をも参照して、第1の実施例の動作について説明する。
まず、第1および第2のネットワーク監視装置12−1、12−2に対して、あらかじめ設定をおこなっておく必要がある。第1および第2のネットワーク監視装置12−1、12−2の設定について、図2に示すネットワーク監視装置12の内部構成図を用いて説明する。
定義指定部26から、選別条件24、解析規則27、および位置情報29を設定する。選別条件24には、通信電文(パケット)のなかからDHCPプロトコルの電文に該当するものだけを選別するための条件定義を設定する。解析規則27には、DHCPプロトコルの電文(パケット)の書式(フォーマット)と電文に含まれる項目のどれが何を表す情報かの定義を設定する。位置情報29には、第2のレイヤ2スイッチ11−2や第3のレイヤ2スイッチ11−2の設置場所に応じた位置情報が設定される。第1のネットワーク監視装置12−1には、位置情報として、第2のレイヤ2スイッチ11−2の設置場所である、建屋Aを表す情報を設定する。また、第2のネットワーク監視装置12−2には、位置情報として、第3のレイヤ2スイッチ11−3の設置場所である、建屋Bを表す情報を設定する。
次に、ネットワーク監視動作の流れについて説明する。
図7のネットワークの第1の無線LANアクセスポイント13−1に第1のノートPC15−1が接続される。実際には、このネットワーク内には、それ以外のノートPCなどの端末が接続されていたり、他のサーバが接続されていたり、別のネットワークに接続されていたりする。このため、DHCPプロトコル以外の通信が定常的に発生している。DHCPプロトコルの規約に従って、第1のノートPC15−1からDHCPサーバ16に対してIP(Internet Protocol)アドレス割り当てを要求する通信が発生するのを発端に、DHCPプロトコルの規約に則った一連の通信が発生する。これら一連の通信の通信電文は、第2のレイヤ2スイッチ11−2を経由してやりとりされる。このため、第2のレイヤ2スイッチ11−2から第1のネットワーク監視装置12−1へ向けて通信内容が常に複製される。
複製された通信電文は、まず、第1のネットワーク監視装置12−1の内部構成図(図2)の通信電文採取部22で図3に示すフローに沿って処理される。
次に通信電文選別部23で、図4のフローに沿って処理される。図4の分岐条件(ステップS202)で、選別条件24に該当した通信電文のみが、手続き(ステップS204)でDHCPプロトコルであるという種別情報を付加され、選別した通信電文として次の通信電文解析部25へ送られる。この第1の実施例では、選別条件24としてDHCPプロトコルの通信電文だけが該当するよう定義されているので、DHCPプロトコルの通信電文だけが選別条件24に該当して、選別した通信電文として次の通信電文解析部25へ送られることになる。
通信電文解析部25では図5のフローに沿って処理される。この第1の実施例の手続き(ステップS302)では、解析規則27にDHCPプロトコルの電文のフォーマットに対する解釈手順が定められているので、それに沿って、選別した通信電文内の情報を解釈する。手続き(ステップS302)で、DHCPサーバ16からネットワークに接続された第1のノートPC15−1に払い出されたIPアドレスやその他の情報が得られる。また、本第1の実施例のようにDHCPプロトコルに適用した場合、手続き(ステップS303)で、端末にIPアドレスが払い出されたか、払い出されなかったかで、第1のノートPC15−1のネットワークへの接続状態を得ることができる。ここで、「接続状態」とは、第1のノートPC15−1が、DHCP登録済みの正規の端末か、勝手に持ち込まれた非正規端末かを示す状態である。
次に位置情報付加部28では、図6のフローに従って処理される。手続き(ステップS402)で、受信した情報(接続・設定信号)に、位置情報29としてあらかじめ設定された建屋Aを表す情報が付加される。
以上のように加工された情報(付加した信号)が、対人通知部30を介して、図7の建屋Aの運用者に通知される。通知された運用者は、通知された内容で、ネットワークに接続された第1のノートPC15−1が勝手に持ち込まれた非正規端末であると判断したとする。この場合、運用者は、現場に即座に駆けつけ、第1のノートPC15−1をネットワークから排除したり、第1のノートPC15−1の操作者を捕まえることができる。
次に、第1の実施例の効果について説明する。
本第1の実施例では、既設のDHCPサーバ16に手を加えることなく、各地のレイヤ2スイッチ11−2、11−3に、ネットワーク監視装置12−1、12−2を接続するだけで、ノートPC15−1などの端末の出入りを検知することができる。このとき、管理者が建屋Aのネットワークに接続されたノートPC15−1などの端末が、正規の接続か、不正使用かを見分けることができ、即座に対応することができるようになる。
また、本第1の実施例では、ノートPC15−1などの端末側に、専用ソフトなどを追加する必要がない。もし、専用ソフトのインストールを前提としてしまうと、不正に持ち込まれた端末にあらかじめ所定のソフトウェアのインストールをさせることなど不可能なため、このようなことはできない。これに対して、本第1の実施例の方式では、所定のソフトを必要とせずに、ネットワークへの端末の接続を検知することが可能になる。
本発明の第1の実施例を用いない場合、DHCPサーバ16でログを残すようにし、これを常時監視することで、端末のネットワークへの出入りを見張ることが考えられる。しかしながら、このログ方式の場合、位置情報を含まないため、ノートPC15−1が建屋A、建屋Bのいずれで、ノートPC15−1が接続されたかを知ることができない。図7の例ではノートPC15−1が接続されうる箇所が数か所であるが、これがさらに多数になった場合に、発見対処が遅れる原因となる。これに対して、本第1の実施例の方式では、ノートPC15−1がネットワークのどこに接続されたかが即座にわかる。
また、本発明の第1の実施例を用いず、DHCPサーバ16でログを残すようにし、これを常時監視することで、端末のネットワークへの出入りを見張ることが考えられる。その場合、建屋Cの管理者が監視することになり、不正接続が行われた場所にもっとも近い建屋Aの管理者が、直接知ることができない。これに対して、建屋Aの管理者に、遠隔でDHCPサーバ16の情報を見られるようにする方法が考えられる。しかしながら、こうすると、建屋Aの管理者に、担当外の建屋Cや建屋Bの接続情報も見せることになり、セキュリティ上問題がある。本発明の第1の実施例では、これを回避できる。
ノートPC15−1などのネットワークへの接続状態を調べる方法に、ディスカバリという方式が知られている。このディスカバリ方式は、端末が取りうるアドレス帯に、網羅的に探りを入れる通信を能動的に発生させて、その応答を調べることで、ネットワークにノートPCなどの端末が接続されているかどうかを調べる方法である。しかしながら、この方法では、ネットワーク上に無駄なトラヒックが発生し、ネットワークの性能を低下させ、本来利用者が行いたい通信の性能劣化を起こす。また、この理由により、ディスカバリ方式では、探りを入れる頻度、間隔を上げることができない。このことから短時間の間に、ネットワークに接続し、離脱した端末を補足することができない。これに対して、本発明の第1の実施例の方式では、端末がネットワークに接続されると、即座にその接続を検出することができ、検出もれもおきない。
また、ディスカバリ方式の場合、本当に利用者が悪意をもって接続してきたノートPCの場合、探りへの応答を返さない設定にされるケースがある、また、近年セキュリティ対策のために、この応答を返さない設定にするケースも増えている。このため、ディスカバリ方式では、この場合も端末を捕捉できない。これに対して、本発明の第1の実施例の方式では確実に補足できる。
図7を見て分かるように、この図のネットワークはレイヤ2スイッチ11−1〜11−3で構成されている。このような状況において、建屋A、建屋B、建屋Cの各レイヤ2スイッチ11−1〜11−3をレイヤ3スイッチに置き換え、各建屋にDHCPサーバを設置し、DHCPサーバのログを監視するとする。この場合、建屋A、建屋B、建屋Cそれぞれで、それぞれの管理者が端末の接続を監視することができる。しかしながら、この構成を取ると、本発明の第1の実施例の方式よりも元のネットワークに対しての変更が大きくなってしまう。そして、この場合、今度は、今まで建屋Cで一元管理出来ていた、端末の接続可否の集中管理が行えなくなってしまう。これに対して、本発明の第1の実施例の方式では、これを回避できる。つまり、本発明の第1の実施例の方式では、端末の集中管理と端末接続の集中監視との両立が可能になる。
次に、本発明の第2の実施例について説明する。
図8は、本発明の第2の実施例に係るネットワーク監視装置が適用されるネットワークの構成を示すブロック図である。尚、ネットワーク監視装置の内部の要素は、前述した図2に示したものと同じである。
図8に示す第2の実施例は、前述した第1の実施例の図7に、上位の管理装置40を追加した構成である。
次に、本第2の実施例の動作について説明する。
第1および第2のネットワーク監視装置12−1、12−2は、建屋A、建屋Bのそれぞれの管理者が受けていたのと同じ情報を、上位の管理装置通知部(図示せず)を経由して上位の管理装置40へと通知する。これにより、建屋Cで、集中的に監視を行うことができる。それ以外は前の第1の実施例と同じである。
次に、第2の実施例の効果について説明する。第2の実施例には、前の第1の実施例で挙げた効果の他に、更に次の効果がある。
ノートPC等の端末の接続の監視を、集中的に行う方式としては、DHCPサーバ16のログを監視する方式が考えられるが、この方式ではどこに端末が接続されたかを知ることができない。これに対して、本発明の第2の実施例を適用することで、集中管理しながらも、ノートPC15−1などの端末をどこに接続されたかまでも、知ることができる。
[その他の実施形態]
ネットワーク監視システムを構成するネットワーク監視装置を、ハードウェアによって実現してもよいし、ソフトウェアによって実現してもよい。また、ネットワーク監視装置を、ハードウェアとソフトウェアの組み合わせによって実現してもよい。
ネットワーク監視システムを構成するネットワーク監視装置を、ハードウェアによって実現してもよいし、ソフトウェアによって実現してもよい。また、ネットワーク監視装置を、ハードウェアとソフトウェアの組み合わせによって実現してもよい。
図9は、ネットワーク監視装置を構成する情報処理装置(コンピュータ)の一例を示すブロック図である。
図9に示すように、情報処理装置200は、制御部(CPU:Central Processing Unit)210と、記憶部220と、ROM(Read Only Memory)230と、RAM(Random Access Memory)240と、通信インターフェース250と、ユーザインターフェース260とを備えている。
制御部(CPU)210は、記憶部220またはROM230に格納されたプログラムをRAM240に展開して実行することで、ネットワーク監視装置の各種の機能を実現することができる。また、制御部(CPU)210は、データ等を一時的に格納できる内部バッファを備えていてもよい。
記憶部220は、各種のデータを保持できる大容量の記憶媒体であって、HDD(Hard Disk Drive)、およびSSD(Solid State Drive)等の記憶媒体で実現することができる。また、記憶部220は、情報処理装置200が通信インターフェース250を介して通信ネットワークと接続されている場合には、通信ネットワーク上に存在するクラウドストレージであってもよい。また、記憶部220は、制御部(CPU)210が読み取り可能なプログラムを保持していてもよい。
ROM230は、記憶部220と比べると小容量なフラッシュメモリ等で構成できる不揮発性の記憶装置である。また、ROM230は、制御部(CPU)210が読み取り可能なプログラムを保持していてもよい。なお、制御部(CPU)210が読み取り可能なプログラムは、記憶部220およびROM230の少なくとも一方が保持していればよい。
なお、制御部(CPU)210が読み取り可能なプログラムは、コンピュータが読み取り可能な様々な記憶媒体に非一時的に格納した状態で、情報処理装置200に供給してもよい。このような記憶媒体は、例えば、磁気テープ、磁気ディスク、光磁気ディスク、CD−ROM、CD−R、CD−R/W、半導体メモリである。
RAM240は、DRAM(Dynamic Random Access Memory)およびSRAM(Static Random Access Memory)等の半導体メモリであり、データ等を一時的に格納する内部バッファとして用いることができる。
通信インターフェース250は、有線または無線を介して、情報処理装置200と、通信ネットワークとを接続するインターフェースである。
ユーザインターフェース260は、例えば、ディスプレイ等の表示部、およびキーボード、マウス、タッチパネル等の入力部である。
以上、本発明の実施の形態および実施例について説明したが、本発明は、上記した実施の形態および実施例に限られない。本発明は、実施の形態の一部または全部を適宜組み合わせた形態、その形態に適宜変更を加えた形態をも含む。
上記の実施の形態の一部又は全部は、以下の付記のようにも記載され得るが以下には限られない。
[付記1]
中継装置に接続されて使用されるネットワーク監視装置であって、前記中継装置は、ネットワークに接続された端末から送出された通信電文を中継し、前記ネットワーク監視装置は、
前記中継装置から前記通信電文を複製した通信電文を採取し、採取した通信電文を出力する通信電文採取手段と、
前記採取した通信電文のうち選別条件に該当するもののみを選別し、選別した通信電文を出力する通信電文選別手段と、
前記選別した通信電文の情報を解析規則に従って解析し、その解析結果より前記端末の前記ネットワークへの接続状態と前記端末への設定情報とを取得し、前記接続状態と前記設定情報とを示す接続・設定信号を出力する通信電文解析手段と、
前記接続・設定信号に前記ネットワーク監視装置の位置情報を付加して、付加した信号を外部へ通知する位置情報付加手段と、
を備えるネットワーク監視装置。
中継装置に接続されて使用されるネットワーク監視装置であって、前記中継装置は、ネットワークに接続された端末から送出された通信電文を中継し、前記ネットワーク監視装置は、
前記中継装置から前記通信電文を複製した通信電文を採取し、採取した通信電文を出力する通信電文採取手段と、
前記採取した通信電文のうち選別条件に該当するもののみを選別し、選別した通信電文を出力する通信電文選別手段と、
前記選別した通信電文の情報を解析規則に従って解析し、その解析結果より前記端末の前記ネットワークへの接続状態と前記端末への設定情報とを取得し、前記接続状態と前記設定情報とを示す接続・設定信号を出力する通信電文解析手段と、
前記接続・設定信号に前記ネットワーク監視装置の位置情報を付加して、付加した信号を外部へ通知する位置情報付加手段と、
を備えるネットワーク監視装置。
[付記2]
前記選別条件は、前記採取した通信電文のなかからDHCP(Dynamic Host Configuration Protocol)プロトコルの電文に該当するものだけを前記選別した通信電文として選別するための条件である、付記1に記載のネットワーク監視装置。
前記選別条件は、前記採取した通信電文のなかからDHCP(Dynamic Host Configuration Protocol)プロトコルの電文に該当するものだけを前記選別した通信電文として選別するための条件である、付記1に記載のネットワーク監視装置。
[付記3]
前記解析規則は、前記DHCPプロトコルの電文のフォーマットに対する解釈手続を定めた規則である、付記2に記載のネットワーク監視装置。
前記解析規則は、前記DHCPプロトコルの電文のフォーマットに対する解釈手続を定めた規則である、付記2に記載のネットワーク監視装置。
[付記4]
前記通信電文解析手段は、前記解析結果に基づいて、前記端末にIP(Internet Protocol)アドレスが払い出されたか否かを判断して、前記接続状態を取得する、付記3に記載のネットワーク監視装置。
前記通信電文解析手段は、前記解析結果に基づいて、前記端末にIP(Internet Protocol)アドレスが払い出されたか否かを判断して、前記接続状態を取得する、付記3に記載のネットワーク監視装置。
[付記5]
前記位置情報は、前記中継装置の設置場所に応じた位置情報から成る、付記1乃至4のいずれか1つに記載のネットワーク監視装置。
前記位置情報は、前記中継装置の設置場所に応じた位置情報から成る、付記1乃至4のいずれか1つに記載のネットワーク監視装置。
[付記6]
前記位置情報は、前記中継装置の設置場所である建屋を表す情報から成る、付記5に記載のネットワーク監視装置。
前記位置情報は、前記中継装置の設置場所である建屋を表す情報から成る、付記5に記載のネットワーク監視装置。
[付記7]
前記位置情報付加手段は、前記付加した信号を上位の管理装置へ通知する、付記1乃至6のいずれか1つに記載のネットワーク監視装置。
前記位置情報付加手段は、前記付加した信号を上位の管理装置へ通知する、付記1乃至6のいずれか1つに記載のネットワーク監視装置。
[付記8]
付記1乃至7のいずれか1つに記載のネットワーク監視装置と、
該ネットワーク監視装置に接続された中継装置と、
該中継装置によって中継される通信電文を送受信する端末と、
を備えたネットワーク監視システム。
付記1乃至7のいずれか1つに記載のネットワーク監視装置と、
該ネットワーク監視装置に接続された中継装置と、
該中継装置によって中継される通信電文を送受信する端末と、
を備えたネットワーク監視システム。
[付記9]
中継装置に接続されて使用されるネットワーク監視装置でのネットワーク監視方法であって、前記中継装置は、ネットワークに接続された端末から送出された通信電文を中継し、前記ネットワーク監視方法は、
前記中継装置から前記通信電文を複製した通信電文を採取し、採取した通信電文を出力する通信電文採取工程と、
前記採取した通信電文のうち選別条件に該当するもののみを選別し、選別した通信電文を出力する通信電文選別工程と、
前記選別した通信電文の情報を解析規則に従って解析し、その解析結果より前記端末の前記ネットワークへの接続状態と前記端末への設定情報とを取得し、前記接続状態と前記設定情報とを示す接続・設定信号を出力する通信電文解析工程と、
前記接続・設定信号に前記ネットワーク監視装置の位置情報を付加して、付加した信号を外部へ通知する位置情報付加工程と、
を含むネットワーク監視方法。
中継装置に接続されて使用されるネットワーク監視装置でのネットワーク監視方法であって、前記中継装置は、ネットワークに接続された端末から送出された通信電文を中継し、前記ネットワーク監視方法は、
前記中継装置から前記通信電文を複製した通信電文を採取し、採取した通信電文を出力する通信電文採取工程と、
前記採取した通信電文のうち選別条件に該当するもののみを選別し、選別した通信電文を出力する通信電文選別工程と、
前記選別した通信電文の情報を解析規則に従って解析し、その解析結果より前記端末の前記ネットワークへの接続状態と前記端末への設定情報とを取得し、前記接続状態と前記設定情報とを示す接続・設定信号を出力する通信電文解析工程と、
前記接続・設定信号に前記ネットワーク監視装置の位置情報を付加して、付加した信号を外部へ通知する位置情報付加工程と、
を含むネットワーク監視方法。
[付記10]
前記選別条件は、前記採取した通信電文のなかからDHCP(Dynamic Host Configuration Protocol)プロトコルの電文に該当するものだけを前記選別した通信電文として選別するための条件である、付記9に記載のネットワーク監視方法。
前記選別条件は、前記採取した通信電文のなかからDHCP(Dynamic Host Configuration Protocol)プロトコルの電文に該当するものだけを前記選別した通信電文として選別するための条件である、付記9に記載のネットワーク監視方法。
[付記11]
前記解析規則は、前記DHCPプロトコルの電文のフォーマットに対する解釈手続を定めた規則である、付記10に記載のネットワーク監視方法。
前記解析規則は、前記DHCPプロトコルの電文のフォーマットに対する解釈手続を定めた規則である、付記10に記載のネットワーク監視方法。
[付記12]
前記通信電文解析工程は、前記解析結果に基づいて、前記端末にIP(Internet Protocol)アドレスが払い出されたか否かを判断して、前記接続状態を取得する、付記11に記載のネットワーク監視方法。
前記通信電文解析工程は、前記解析結果に基づいて、前記端末にIP(Internet Protocol)アドレスが払い出されたか否かを判断して、前記接続状態を取得する、付記11に記載のネットワーク監視方法。
[付記13]
前記位置情報は、前記中継装置の設置場所に応じた位置情報から成る、付記9乃至12のいずれか1つに記載のネットワーク監視方法。
前記位置情報は、前記中継装置の設置場所に応じた位置情報から成る、付記9乃至12のいずれか1つに記載のネットワーク監視方法。
[付記14]
前記位置情報は、前記中継装置の設置場所である建屋を表す情報から成る、付記13に記載のネットワーク監視方法。
前記位置情報は、前記中継装置の設置場所である建屋を表す情報から成る、付記13に記載のネットワーク監視方法。
[付記15]
前記位置情報付加工程は、前記付加した信号を上位の管理装置へ通知する、付記9乃至14のいずれか1つに記載のネットワーク監視方法。
前記位置情報付加工程は、前記付加した信号を上位の管理装置へ通知する、付記9乃至14のいずれか1つに記載のネットワーク監視方法。
[付記16]
中継装置に接続されて使用されるネットワーク監視装置のコンピュータに、ネットワークの監視を行わせるネットワーク監視プログラムであって、前記中継装置は、ネットワークに接続された端末から送出された通信電文を中継し、前記コンピュータに、
前記中継装置から前記通信電文を複製した通信電文を採取し、採取した通信電文を出力する通信電文採取処理と、
前記採取した通信電文のうち選別条件に該当するもののみを選別し、選別した通信電文を出力する通信電文選別処理と、
前記選別した通信電文の情報を解析規則に従って解析し、その解析結果より前記端末の前記ネットワークへの接続状態と前記端末への設定情報とを取得し、前記接続状態と前記設定情報とを示す接続・設定信号を出力する通信電文解析処理と、
前記接続・設定信号に前記ネットワーク監視装置の位置情報を付加して、付加した信号を外部へ通知する位置情報付加処理と、
を実行させるネットワーク監視プログラム。
中継装置に接続されて使用されるネットワーク監視装置のコンピュータに、ネットワークの監視を行わせるネットワーク監視プログラムであって、前記中継装置は、ネットワークに接続された端末から送出された通信電文を中継し、前記コンピュータに、
前記中継装置から前記通信電文を複製した通信電文を採取し、採取した通信電文を出力する通信電文採取処理と、
前記採取した通信電文のうち選別条件に該当するもののみを選別し、選別した通信電文を出力する通信電文選別処理と、
前記選別した通信電文の情報を解析規則に従って解析し、その解析結果より前記端末の前記ネットワークへの接続状態と前記端末への設定情報とを取得し、前記接続状態と前記設定情報とを示す接続・設定信号を出力する通信電文解析処理と、
前記接続・設定信号に前記ネットワーク監視装置の位置情報を付加して、付加した信号を外部へ通知する位置情報付加処理と、
を実行させるネットワーク監視プログラム。
[付記17]
前記選別条件は、前記採取した通信電文のなかからDHCP(Dynamic Host Configuration Protocol)プロトコルの電文に該当するものだけを前記選別した通信電文として選別するための条件である、付記16に記載のネットワーク監視プログラム。
前記選別条件は、前記採取した通信電文のなかからDHCP(Dynamic Host Configuration Protocol)プロトコルの電文に該当するものだけを前記選別した通信電文として選別するための条件である、付記16に記載のネットワーク監視プログラム。
[付記18]
前記解析規則は、前記DHCPプロトコルの電文のフォーマットに対する解釈手続を定めた規則である、付記17に記載のネットワーク監視プログラム。
前記解析規則は、前記DHCPプロトコルの電文のフォーマットに対する解釈手続を定めた規則である、付記17に記載のネットワーク監視プログラム。
[付記19]
前記通信電文解析処理は、前記コンピュータに、前記解析結果に基づいて、前記端末にIP(Internet Protocol)アドレスが払い出されたか否かを判断して、前記接続状態を取得させる、付記18に記載のネットワーク監視プログラム。
前記通信電文解析処理は、前記コンピュータに、前記解析結果に基づいて、前記端末にIP(Internet Protocol)アドレスが払い出されたか否かを判断して、前記接続状態を取得させる、付記18に記載のネットワーク監視プログラム。
[付記20]
前記位置情報は、前記中継装置の設置場所に応じた位置情報から成る、付記16乃至19のいずれか1つに記載のネットワーク監視プログラム。
前記位置情報は、前記中継装置の設置場所に応じた位置情報から成る、付記16乃至19のいずれか1つに記載のネットワーク監視プログラム。
[付記21]
前記位置情報は、前記中継装置の設置場所である建屋を表す情報から成る、付記20に記載のネットワーク監視プログラム。
前記位置情報は、前記中継装置の設置場所である建屋を表す情報から成る、付記20に記載のネットワーク監視プログラム。
[付記22]
前記位置情報付加処理は、前記コンピュータに、前記付加した信号を上位の管理装置へ通知させる、付記16乃至21のいずれか1つに記載のネットワーク監視プログラム。
前記位置情報付加処理は、前記コンピュータに、前記付加した信号を上位の管理装置へ通知させる、付記16乃至21のいずれか1つに記載のネットワーク監視プログラム。
本発明は、ネットワークシステム、ネットワークセキュリティ、IoT(Internet of Things)ゲートウェイ、通信、構内無線、車載通信、モバイル機器など通信を伴うあらゆる端末の管理や監視に利用可能である。
11、11−1、11−2、11−3・・・中継装置(レイヤ2スイッチ)
12、12−1、12−2・・・ネットワーク監視装置
13、13−1、13−2・・・無線有線中継装置(無線LANアクセスポイント)
14−1〜14−n・・・有線端末
15−1〜15−m・・・無線端末(ノートPC)
16・・・端末管理装置(DHCPサーバ)
22・・・通信電文採取部
23・・・通信電文選別部
24・・・選別条件
25・・・通信電文解析部
26・・・定義指定部
27・・・解析規則
28・・・位置情報付加部
29・・・位置情報
30・・・対人通知部
40・・・上位の管理装置
12、12−1、12−2・・・ネットワーク監視装置
13、13−1、13−2・・・無線有線中継装置(無線LANアクセスポイント)
14−1〜14−n・・・有線端末
15−1〜15−m・・・無線端末(ノートPC)
16・・・端末管理装置(DHCPサーバ)
22・・・通信電文採取部
23・・・通信電文選別部
24・・・選別条件
25・・・通信電文解析部
26・・・定義指定部
27・・・解析規則
28・・・位置情報付加部
29・・・位置情報
30・・・対人通知部
40・・・上位の管理装置
Claims (10)
- 中継装置に接続されて使用されるネットワーク監視装置であって、前記中継装置は、ネットワークに接続された端末から送出された通信電文を中継し、前記ネットワーク監視装置は、
前記中継装置から前記通信電文を複製した通信電文を採取し、採取した通信電文を出力する通信電文採取手段と、
前記採取した通信電文のうち選別条件に該当するもののみを選別し、選別した通信電文を出力する通信電文選別手段と、
前記選別した通信電文の情報を解析規則に従って解析し、その解析結果より前記端末の前記ネットワークへの接続状態と前記端末への設定情報とを取得し、前記接続状態と前記設定情報とを示す接続・設定信号を出力する通信電文解析手段と、
前記接続・設定信号に前記ネットワーク監視装置の位置情報を付加して、付加した信号を外部へ通知する位置情報付加手段と、
を備えるネットワーク監視装置。 - 前記選別条件は、前記採取した通信電文のなかからDHCP(Dynamic Host Configuration Protocol)プロトコルの電文に該当するものだけを前記選別した通信電文として選別するための条件である、請求項1に記載のネットワーク監視装置。
- 前記解析規則は、前記DHCPプロトコルの電文のフォーマットに対する解釈手続を定めた規則である、請求項2に記載のネットワーク監視装置。
- 前記通信電文解析手段は、前記解析結果に基づいて、前記端末にIP(Internet Protocol)アドレスが払い出されたか否かを判断して、前記接続状態を取得する、請求項3に記載のネットワーク監視装置。
- 前記位置情報は、前記中継装置の設置場所に応じた位置情報から成る、請求項1乃至4のいずれか1つに記載のネットワーク監視装置。
- 前記位置情報は、前記中継装置の設置場所である建屋を表す情報から成る、請求項5に記載のネットワーク監視装置。
- 前記位置情報付加手段は、前記付加した信号を上位の管理装置へ通知する、請求項1乃至6のいずれか1つに記載のネットワーク監視装置。
- 請求項1乃至7のいずれか1つに記載のネットワーク監視装置と、
該ネットワーク監視装置に接続された中継装置と、
該中継装置によって中継される通信電文を送受信する端末と、
を備えたネットワーク監視システム。 - 中継装置に接続されて使用されるネットワーク監視装置でのネットワーク監視方法であって、前記中継装置は、ネットワークに接続された端末から送出された通信電文を中継し、前記ネットワーク監視方法は、
前記中継装置から前記通信電文を複製した通信電文を採取し、採取した通信電文を出力する通信電文採取工程と、
前記採取した通信電文のうち選別条件に該当するもののみを選別し、選別した通信電文を出力する通信電文選別工程と、
前記選別した通信電文の情報を解析規則に従って解析し、その解析結果より前記端末の前記ネットワークへの接続状態と前記端末への設定情報とを取得し、前記接続状態と前記設定情報とを示す接続・設定信号を出力する通信電文解析工程と、
前記接続・設定信号に前記ネットワーク監視装置の位置情報を付加して、付加した信号を外部へ通知する位置情報付加工程と、
を含むネットワーク監視方法。 - 中継装置に接続されて使用されるネットワーク監視装置のコンピュータに、ネットワークの監視を行わせるネットワーク監視プログラムであって、前記中継装置は、ネットワークに接続された端末から送出された通信電文を中継し、前記コンピュータに、
前記中継装置から前記通信電文を複製した通信電文を採取し、採取した通信電文を出力する通信電文採取処理と、
前記採取した通信電文のうち選別条件に該当するもののみを選別し、選別した通信電文を出力する通信電文選別処理と、
前記選別した通信電文の情報を解析規則に従って解析し、その解析結果より前記端末の前記ネットワークへの接続状態と前記端末への設定情報とを取得し、前記接続状態と前記設定情報とを示す接続・設定信号を出力する通信電文解析処理と、
前記接続・設定信号に前記ネットワーク監視装置の位置情報を付加して、付加した信号を外部へ通知する位置情報付加処理と、
を実行させるネットワーク監視プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017228819A JP6955239B2 (ja) | 2017-11-29 | 2017-11-29 | ネットワーク監視装置、ネットワーク監視方法、ネットワーク監視プログラム、およびネットワーク監視システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017228819A JP6955239B2 (ja) | 2017-11-29 | 2017-11-29 | ネットワーク監視装置、ネットワーク監視方法、ネットワーク監視プログラム、およびネットワーク監視システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019102862A JP2019102862A (ja) | 2019-06-24 |
| JP6955239B2 true JP6955239B2 (ja) | 2021-10-27 |
Family
ID=66977189
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017228819A Active JP6955239B2 (ja) | 2017-11-29 | 2017-11-29 | ネットワーク監視装置、ネットワーク監視方法、ネットワーク監視プログラム、およびネットワーク監視システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6955239B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7679215B2 (ja) * | 2021-03-31 | 2025-05-19 | キヤノン株式会社 | 通信システム、情報処理装置及びプログラム |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4466597B2 (ja) * | 2006-03-31 | 2010-05-26 | 日本電気株式会社 | ネットワークシステム、ネットワーク管理装置、ネットワーク管理方法及びプログラム |
| JP6220625B2 (ja) * | 2013-10-10 | 2017-10-25 | 株式会社野村総合研究所 | 遅延監視システムおよび遅延監視方法 |
| JP2015204538A (ja) * | 2014-04-15 | 2015-11-16 | 株式会社日立製作所 | 呼処理シーケンスの解析装置および通信システム |
-
2017
- 2017-11-29 JP JP2017228819A patent/JP6955239B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019102862A (ja) | 2019-06-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12445481B1 (en) | Distributed malware detection system and submission workflow thereof | |
| US8185618B2 (en) | Dynamically responding to non-network events at a network device in a computer network | |
| US10601863B1 (en) | System and method for managing sensor enrollment | |
| JP5090408B2 (ja) | ネットワーク通信において送信データの宛先を動的に制御する方法及び機器 | |
| JP2017510919A (ja) | 分散型処理システム | |
| US11991047B2 (en) | Detecting access points located within proximity of a computing device for troubleshooting of a network | |
| JP2012186516A (ja) | 無線lan機器設定システム | |
| JPWO2012014509A1 (ja) | 不正アクセス遮断制御方法 | |
| US10542481B2 (en) | Access point beamforming for wireless device | |
| US20060203736A1 (en) | Real-time mobile user network operations center | |
| JP6955239B2 (ja) | ネットワーク監視装置、ネットワーク監視方法、ネットワーク監視プログラム、およびネットワーク監視システム | |
| US10594584B2 (en) | Network analysis and monitoring tool | |
| Ramachandran et al. | Impact of DoS attack in software defined network for virtual network | |
| JP3564117B2 (ja) | 無線lan装置 | |
| CN114553828B (zh) | 一种dns运维管理方法、装置、设备及介质 | |
| US20220394062A1 (en) | Aggregated networking subsystem station move control system | |
| US20160092321A1 (en) | Recording medium storing control program, control device and control method | |
| KR102628441B1 (ko) | 네트워크 보호 장치 및 그 방법 | |
| JP5333789B2 (ja) | 端末検知装置、サーバ装置、端末検知方法、及びプログラム | |
| JP2006107158A (ja) | ストレージネットワークシステム及びアクセス制御方法 | |
| JP4361570B2 (ja) | パケット制御命令管理方法 | |
| KR20210021831A (ko) | 가상 네트워크 기능을 이용한 네트워크 트래픽 감시 방법 및 장치 | |
| KR101538493B1 (ko) | 공유기 검출 방법 | |
| JP3729830B2 (ja) | 不正ルーティング監視方法、不正ルーティング監視プログラムおよび不正ルーティング監視装置 | |
| Andriukaitis | MODERNIZATION OF COMPUTER NETWORK IN A COMPANY |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201005 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210721 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210901 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210922 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6955239 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |