JP7444600B2 - Detection device and detection method - Google Patents
Detection device and detection method Download PDFInfo
- Publication number
- JP7444600B2 JP7444600B2 JP2019234003A JP2019234003A JP7444600B2 JP 7444600 B2 JP7444600 B2 JP 7444600B2 JP 2019234003 A JP2019234003 A JP 2019234003A JP 2019234003 A JP2019234003 A JP 2019234003A JP 7444600 B2 JP7444600 B2 JP 7444600B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- terminal device
- network
- identification information
- detection device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims description 61
- 230000004044 response Effects 0.000 claims description 27
- 239000000523 sample Substances 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 238000011835 investigation Methods 0.000 description 3
- 238000005336 cracking Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000000034 method Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000011895 specific detection Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/16—Arrangements for providing special services to substations
- H04L12/18—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
- H04L12/185—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast with management of multicast group membership
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/16—Arrangements for providing special services to substations
- H04L12/18—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
- H04L12/1863—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast comprising mechanisms for improved reliability, e.g. status reports
- H04L12/1877—Measures taken prior to transmission
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/16—Multipoint routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/256—NAT traversal
- H04L61/2571—NAT traversal for identification, e.g. for authentication or billing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5069—Address allocation for group communication, multicast communication or broadcast communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/308—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
- Environmental & Geological Engineering (AREA)
- Technology Law (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、検出装置および検出方法に関し、特にIPv6環境においてネットワークに接続された機器を検出する技術に関する。 The present invention relates to a detection device and a detection method, and particularly to a technique for detecting devices connected to a network in an IPv6 environment.
近年、IoTの普及により様々な機器がインターネットにつながるようになっており、管理者が知らないうちに見知らぬ機器や悪意ある機器がネットワークに接続してしまうことも発生している。そのため、ネットワークへの接続が許可されていない機器や悪意のある機器が不正アクセスを行い、クラッキングや情報漏えいなどが発生することへの対策が必要とされている。 In recent years, with the spread of IoT, various devices have become connected to the Internet, and unknown or malicious devices have sometimes connected to the network without the administrator's knowledge. Therefore, countermeasures are needed to prevent devices that are not allowed to connect to the network or malicious devices to gain unauthorized access, resulting in cracking and information leaks.
そこで、このような不正アクセスを防止する従来技術として、IPネットワーク上で、IPアドレスとMACアドレスとの対応関係を指定するためのARP(Address Resolution Protocol)パケットを監視して、不正な機器を特定する技術が提案されている(例えば、特許文献1から3参照)。
Therefore, as a conventional technology to prevent such unauthorized access, an unauthorized device is identified by monitoring ARP (Address Resolution Protocol) packets that specify the correspondence between IP addresses and MAC addresses on an IP network. Techniques to do so have been proposed (for example, see
ところが、近年インターネットにつながる機器の数が爆発的に増加したことにより、IPプロトコルネットワークで使用されるアドレス空間が拡張されるようになっている。従来のARPパケットの監視による不正アクセスの防止技術では、ネットワーク上の端末装置などの機器を把握するために、アドレス空間を総当たりで検索する。従来の技術では、多数の調査パケットを送信する必要があるので、ネットワーク負荷が増大し、また、検索にかかる時間も増加するという問題があった。 However, as the number of devices connected to the Internet has increased explosively in recent years, the address space used in IP protocol networks has been expanded. In conventional technology for preventing unauthorized access by monitoring ARP packets, address spaces are searched by brute force in order to identify devices such as terminal devices on a network. In the conventional technology, since it is necessary to transmit a large number of survey packets, there is a problem that the network load increases and the time required for searching also increases.
本発明は、上述した課題を解決するためになされたものであり、ネットワークの負荷を低減しつつ、ネットワークへの接続が許可されていない端末装置を即座に検出することを目的とする。 The present invention has been made to solve the above-mentioned problems, and aims to immediately detect terminal devices that are not permitted to connect to the network while reducing the load on the network.
上述した課題を解決するために、本発明に係る検出装置は、調査パケットをネットワークを介してオールノードマルチキャスト送信するように構成された送信部と、前記調査パケットに対する応答パケットを受信するように構成された受信部と、前記応答パケットに含まれる、前記応答パケットの送出元の端末装置のアドレス情報から、前記応答パケットの送出元の前記端末装置に固有の第1識別情報を取得するように構成された取得部と、前記ネットワークへの接続が許可されている端末装置に固有の第2識別情報を記憶するように構成された記憶部と、前記取得部によって取得された前記第1識別情報と前記第2識別情報とを比較して、前記第1識別情報と前記第2識別情報とが一致しない場合に、前記第1識別情報を有する前記端末装置は、前記ネットワークへの接続が許可されていない未許可の端末装置であると判断するように構成された判断部とを備える。 In order to solve the above-mentioned problems, a detection device according to the present invention includes a transmitter configured to transmit a survey packet via an all-node multicast over a network, and a transmitter configured to receive a response packet to the survey packet. configured to acquire first identification information unique to the terminal device that is the sender of the response packet from the received unit and the address information of the terminal device that is the sender of the response packet that is included in the response packet. a storage unit configured to store second identification information specific to a terminal device that is permitted to connect to the network; and the first identification information acquired by the acquisition unit. Comparing the second identification information, if the first identification information and the second identification information do not match, the terminal device having the first identification information is not permitted to connect to the network. and a determination unit configured to determine that the terminal device is an unauthorized terminal device.
また、本発明に係る検出装置において、前記判断部による判断結果を提示するように構成された提示部をさらに備えていてもよい。 Further, the detection device according to the present invention may further include a presentation section configured to present the judgment result by the judgment section.
また、本発明に係る検出装置において、前記提示部は、前記判断結果、および、前記受信部で受信されたすべての前記応答パケットの送出元の端末装置に関する情報を提示してもよい。 Furthermore, in the detection device according to the present invention, the presenting unit may present the determination result and information regarding the terminal device from which all the response packets received by the receiving unit are sent.
また、本発明に係る検出装置において、前記調査パケットは、マルチキャストグループへの参加状況についての問い合わせを行うパケットであり、前記応答パケットは、前記調査パケットを受信した端末装置が参加しているマルチキャストグループを識別するマルチキャストアドレスを含むパケットあってもよい。 Furthermore, in the detection device according to the present invention, the survey packet is a packet for making an inquiry regarding the participation status in a multicast group, and the response packet is a packet for a multicast group in which the terminal device that received the survey packet participates. There may also be a packet containing a multicast address that identifies the .
また、本発明に係る検出装置において、前記第1識別情報および前記第2識別情報は、前記応答パケットの送出元の端末装置および前記ネットワークへの接続が許可されている端末装置に割り当てられているMACアドレスを含んでいてもよい。 Further, in the detection device according to the present invention, the first identification information and the second identification information are assigned to a terminal device that sends the response packet and a terminal device that is permitted to connect to the network. It may also include a MAC address.
上述した課題を解決するために、本発明に係る検出方法は、調査パケットをネットワークを介してオールノードマルチキャスト送信する第1ステップと、前記調査パケットに対する応答パケットを受信する第2ステップと、前記応答パケットに含まれる、前記応答パケットの送出元の端末装置のアドレス情報から、前記応答パケットの送出元の前記端末装置に固有の第1識別情報を取得する第3ステップと、前記第3ステップで取得された前記第1識別情報と、記憶部に記憶されている前記ネットワークへの接続が許可されている端末装置に固有の第2識別情報とを比較して、前記第1識別情報と前記第2識別情報とが一致しない場合に、前記第1識別情報を有する前記端末装置は、前記ネットワークへの接続が許可されていない未許可の端末装置であると判断する第4ステップとを備える。 In order to solve the above-mentioned problems, a detection method according to the present invention includes a first step of transmitting a survey packet via an all-node multicast via a network, a second step of receiving a response packet to the survey packet, and a second step of transmitting a survey packet by all-node multicasting via a network. a third step of acquiring first identification information unique to the terminal device that is the source of the response packet from address information of the terminal device that is the source of the response packet, which is included in the packet; and acquired in the third step. The first identification information stored in the storage unit is compared with second identification information unique to a terminal device that is permitted to connect to the network, and is stored in a storage unit, and the first identification information and the second identification information are compared. and a fourth step of determining that the terminal device having the first identification information is an unauthorized terminal device that is not permitted to connect to the network if the identification information does not match.
また、本発明に係る検出方法において、前記第4ステップでの判断結果を提示する第5ステップをさらに備えていてもよい。 Furthermore, the detection method according to the present invention may further include a fifth step of presenting the determination result in the fourth step.
本発明によれば、調査パケットをオールノードマルチキャスト送信し、調査パケットに対する応答パケットを受信して、応答パケットの送出元の端末装置に固有の第1識別情報を応答パケットから取得して、第1識別情報と記憶部に記憶されているネットワークへの接続が許可されている端末装置に固有の第2識別情報とを比較する。そのため、ネットワークの負荷を低減しつつ、ネットワークへの接続が許可されていない端末装置を即座に検出することができる。 According to the present invention, a survey packet is transmitted by all-node multicast, a response packet to the survey packet is received, first identification information unique to a terminal device that has sent the response packet is acquired from the response packet, and the first identification information is acquired from the response packet. The identification information is compared with second identification information stored in the storage unit and unique to the terminal device that is permitted to connect to the network. Therefore, it is possible to immediately detect a terminal device that is not permitted to connect to the network while reducing the load on the network.
以下、本発明の好適な実施の形態について、図1から図5を参照して詳細に説明する。
[ネットワークシステムの構成]
まず、本発明の実施の形態に係る検出装置1を備えるネットワークシステムの概要について説明する。図1に示すように、ネットワークシステムは検出装置1と、LANなどのネットワークNWを介して接続されている複数の端末装置2a、2bとを備える。ネットワークシステムは、例えば、BA(Building Automation)システムなどに設けられる。
Hereinafter, preferred embodiments of the present invention will be described in detail with reference to FIGS. 1 to 5.
[Network system configuration]
First, an overview of a network system including a
端末装置2a、2bは、IPv6が動作するPCなどの機器である。本実施の形態では、端末装置2aは、ネットワークNWへの接続が許可された正規端末であり、端末装置2bは、例えば、ネットワークNWへの接続が許可されていない未許可端末であるものとする。なお、以下において、端末装置2a、2bを総称して「端末装置2」ということがある。
The
本実施の形態に係る検出装置1は、ネットワークNWに接続している端末装置2a、2bを検出し、さらに、予め用意されているホワイトリストを用いて、ネットワークNWへの接続が許可されていない未許可端末を検出する。
The
近年、ネットワークNWにつながる機器のほとんどはIPv6が有効となっている。このことに鑑み、本実施の形態に係る検出装置1は、ICMPv6のMulticast Listener Discovery(MLD)メッセージタイプ130によるMulticast Listener Query(MLQ)のうちのGeneral Query(以下、「一般MLQ」という。)をオールノードマルチキャスト送信する。
In recent years, IPv6 has been enabled for most of the devices connected to the network NW. In view of this, the
検出装置1は、送信する一般MLQパケットの宛先をオールノードマルチキャストアドレスにすることで、一般MLQパケットは、ローカルネットワーク(ネットワークNW)に接続されているIPv6が有効なノードによって受信されることになる。本実施の形態では、一般MLQパケットをネットワークNWに接続されている端末装置2の検出、およびネットワークNWへの接続が許可されていない未許可端末を検出するための調査パケットとして用いる。
The
MLQは、ルータがリスナーに対して受信を希望するマルチキャストグループが存在するかどうかを問い合わせることに用いられるメッセージである。また、General Queryは、リンクローカルスコープ内に存在するすべてのリスナーに対して、どのマルチキャストグループに参加しているのかを調べるクエリである。 MLQ is a message used by a router to inquire of a listener as to whether there is a multicast group that the router wishes to receive. Furthermore, the General Query is a query for checking which multicast groups all listeners existing within the link-local scope are participating in.
一般MLQパケットを受信した端末装置2a、2bは、各々が参加しているマルチキャストグループを識別するマルチキャストアドレスを報告するための応答パケットを、送出元の検出装置1に送信する。応答パケットは、ICMPv6のMLDメッセージタイプ131によるMulticast Listener Report(MLR)である。
The
MLDメッセージであるMLRは、ICMPv6パケットのフォーマットが使用される。ICMPv6パケットは、IPv6ヘッダとICMPv6メッセージとで構成される。ICMPv6メッセージの領域には、自装置が参加しているマルチキャストグループを識別するマルチキャストアドレスを報告するMLRが格納される。また、IPv6ヘッダには、送信元アドレスとしてICMPv6パケットの送信元アドレス(アドレス情報)が格納される。送信元アドレスは、IPv6アドレス(128ビット)であり、例えば、ステートレスアドレス自動設定が有効な環境では、IPv6アドレスの下位64ビットは、EUI-64フォーマットに従って、自ノードの48ビットのMACアドレスから生成される。 The MLR, which is an MLD message, uses an ICMPv6 packet format. An ICMPv6 packet is composed of an IPv6 header and an ICMPv6 message. An MLR that reports a multicast address that identifies a multicast group in which the device itself is participating is stored in the ICMPv6 message area. Further, the IPv6 header stores the source address (address information) of the ICMPv6 packet as the source address. The source address is an IPv6 address (128 bits); for example, in an environment where stateless address automatic configuration is enabled, the lower 64 bits of the IPv6 address are generated from the 48-bit MAC address of the own node according to the EUI-64 format. be done.
以下において、ICMPv6パケットで送信されるMLRを「MLRパケット」という。 In the following, the MLR transmitted as an ICMPv6 packet will be referred to as an "MLR packet."
検出装置1は、MLRパケットをキャプチャすることで、MLRパケットの送出元の端末装置2に固有の識別情報としてMACアドレス情報(第1識別情報)を取得する。より具体的には、検出装置1は、MLRパケットにある送信元のMACアドレスを取得する。
By capturing the MLR packet, the
また、検出装置1は、キャプチャしたMLRパケットより取得したMLRパケットの送出元のMACアドレスと、予め用意されているホワイトリストに登録された、ネットワークNWへの接続が許可されている端末装置2のMACアドレス(第2識別情報)とを比較して、未許可端末を検出する。
The
前述したように、従来の技術において、ホワイトリストを利用して未許可端末を検出する場合には、ARPが利用される。従来の技術では、例えば、IPアドレスの範囲[172.22.1.1]~[172.22.255.254]のホストに対して、6万回以上ものARPリクエストパケットを送信して検索するので、ネットワーク負荷がかかり、探索にも時間がかかる。 As described above, in the conventional technology, when detecting unauthorized terminals using a whitelist, ARP is used. In conventional technology, for example, searches are performed by sending ARP request packets more than 60,000 times to hosts in the IP address range [172.22.1.1] to [172.22.255.254]. Therefore, the network load is high and the search takes time.
この点において、本発明の実施の形態に係る検出装置1は、一般MLQパケットをオールノードマルチキャスト送信するので、1回の調査パケットの送信で、ネットワークNWに接続されている端末装置2の検出、および未許可端末の検出をより短い探索時間で行うことができる。
In this respect, since the
[検出装置の機能ブロック]
検出装置1は、図2に示すように、例えば、送信部10、受信部11、記憶部12、取得部13、判断部14、および提示部15を備える。
[Functional block of detection device]
As shown in FIG. 2, the
送信部10は、一般MLQパケットを、ネットワークNWを介してオールノードマルチキャスト送信する。例えば、送信部10は、[FF02::1]を送信先とした一般MLQパケットを一定周期で送信することができる。
The transmitting
受信部11は、一般MLQパケットに対する応答パケットであるMLRパケットを受信する。本実施の形態では、受信部11は、図1に示すように、一般MLQパケットを受信した、ネットワークNWに接続されている正規端末および未許可端末を含む、すべての端末装置2からのMLRパケットを受信する。
The receiving
記憶部12は、ネットワークNWへの接続が許可されている端末装置2(以下、「正規端末」ということがある。)に固有の識別情報としてMACアドレスが登録されたホワイトリストを記憶する。正規端末のMACアドレスは、ネットワークシステムが構築された際、および更新される際などに、例えば、図示されない入力装置によって受け付けられて、記憶部12のホワイトリストに登録される。
The
取得部13は、受信部11が受信したMLRパケットから、MLRパケットの送出元である端末装置2のMACアドレスを取得する。取得部13が取得するMACアドレスによって、正規端末および未許可端末を含む、ネットワークNWに接続されている端末装置2の検出情報が得られる。
The
判断部14は、取得部13が取得したMLRパケットの送出元のMACアドレスと、記憶部12に記憶されているホワイトリストに含まれる、ネットワークNWへの接続が許可されている端末装置2のMACアドレスとを比較する。判断部14は、MLRパケットの送出元を示すMACアドレスが、ホワイトリストに登録されているMACアドレスと一致しない場合には、MLRパケットの送出元の端末装置2はネットワークNWへの接続が許可されていない未許可の端末装置2であると判断する。
The determining
提示部15は、判断部14による判断結果を提示する。例えば、提示部15は、判断結果を外部の予め設定されたサーバなどに提示することができる。また、提示部15は、MLRパケットの送出元の端末装置2を示す検出情報を、同様に、外部の予め設定されたサーバなどに提示する構成とすることができる。
The
[検出装置のハードウェア構成]
次に、上述した機能を有する検出装置1を実現するハードウェア構成の一例について、図3を用いて説明する。
[Hardware configuration of detection device]
Next, an example of a hardware configuration for realizing the
図3に示すように、検出装置1は、例えば、バス101を介して接続されるプロセッサ102、主記憶装置103、通信インターフェース104、補助記憶装置105、入出力I/O106を備えるコンピュータと、これらのハードウェア資源を制御するプログラムによって実現することができる。また、検出装置1は、バス101を介して接続される表示装置107を備えることができる。
As shown in FIG. 3, the
主記憶装置103には、プロセッサ102が各種制御や演算を行うためのプログラムが予め格納されている。プロセッサ102と主記憶装置103とによって、図2に示した取得部13、判断部14など、検出装置1の各機能が実現される。
The
通信インターフェース104は、検出装置1と端末装置2や各種外部電子機器との間をネットワーク接続するためのインターフェース回路である。通信インターフェース104によって図2で示した送信部10、受信部11、および提示部15が実現される。
The
補助記憶装置105は、読み書き可能な記憶媒体と、その記憶媒体に対してプログラムやデータなどの各種情報を読み書きするための駆動装置とで構成されている。補助記憶装置105には、記憶媒体としてハードディスクやフラッシュメモリなどの半導体メモリを使用することができる。
The
補助記憶装置105は、検出装置1が、ネットワークNWに接続されている端末装置2を検出し、さらに、未許可端末を検出するための検出プログラムを格納するプログラム格納領域を有する。補助記憶装置105によって、図2で説明した記憶部12が実現される。さらには、例えば、上述したデータやプログラムやなどをバックアップするためのバックアップ領域などを有していてもよい。
The
入出力I/O106は、外部機器からの信号を入力したり、外部機器へ信号を出力したりするI/O端子により構成される。
The input/output I/
表示装置107は、液晶ディスプレイなどによって構成される。表示装置107は、判断部14による判断結果を表示画面に表示することができる。表示装置107によっても図2で説明した提示部15を実現することができる。
The
[検出方法]
次に、上述した構成を有する検出装置1の動作について、図4のフローチャートを用いて説明する。なお、記憶部12には、ネットワークNWへの接続が許可されている端末装置2のMACアドレスが登録されたホワイトリストが記憶されているものとする。
[Detection method]
Next, the operation of the
まず、送信部10は、一般MLQパケットを、ネットワークNWを介してオールノードマルチキャスト送信する(ステップS1)。次に、受信部11は、一般MLQパケットを受信した端末装置2から、応答パケットであるMLRパケットを受信する(ステップS2)。
First, the
次に、取得部13は、ステップS2で受信されたMLRパケットから、送出元の端末装置2のMACアドレスを示す情報を取得する(ステップS3)。より詳細には、取得部13は、MLRパケットのヘッダに格納されているMLRパケットの送出元を示すIPv6アドレスより、送出元の端末装置2のMACアドレスを求める。ステップS3で取得されたMACアドレスより、正規端末および未許可端末を含むネットワークNWに接続されている端末装置2についてのより具体的な検出情報が得られる。
Next, the
次に、判断部14は、ステップS3で取得されたMLRパケットの送出元のMACアドレスと、記憶部12に記憶されているホワイトリストに登録されているMACアドレスとを比較する(ステップS4)。判断部14は、MLRパケットから取得されたMACアドレスとホワイトリストに登録されているMACアドレスとが一致する場合には(ステップS5:YES)、MLRパケットの送出元の端末装置2は、正規の端末装置2であると判断する(ステップS6)。
Next, the determining
一方、MLRパケットから取得されたMACアドレスが、ホワイトリストに登録されているMACアドレスのいずれとも一致しない場合には(ステップS5:NO)、判断部14は、MLRパケットの送出元の端末装置2は、ネットワークNWへの接続が許可されていない未許可の端末装置2であると判断する(ステップS7)。
On the other hand, if the MAC address acquired from the MLR packet does not match any of the MAC addresses registered in the whitelist (step S5: NO), the
その後、提示部15は、判断部14による判断結果を提示する(ステップS8)。例えば、提示部15は、ステップS7で検出されたネットワークNWへの接続が許可されていない未許可の端末装置2に関する情報を、外部の図示されない特定のサーバなどへ送出することができる。また、提示部15は、未許可の端末装置2に関する情報に加えて、ステップS3で検出されたネットワークNWに接続されている端末装置2a、2bに関する情報についてもサーバなどに通知してもよい。
After that, the presenting
[ネットワークシステムの動作シーケンス]
次に、上述した構成を有する検出装置1、および端末装置2a、2bを備えるネットワークシステムの動作について、図5のシーケンス図を参照して説明する。以下において、端末装置2aのMACアドレスは「G」、端末装置2bのMACアドレスは「H」であり、検出装置1が備えるホワイトリストには、ネットワークNWへの接続が許可されている端末装置2のMACアドレスとして「A、B、G、K」が予め登録されているものとする。
[Network system operation sequence]
Next, the operation of the network system including the
まず、検出装置1は、一般MLQパケットを、オールノードマルチキャスト送信する(ステップS100)。次に、端末装置2a、2bは、一般MLQパケットを受信すると、応答パケットとして、MLRパケットをそれぞれ送信する(ステップS101、S102)。
First, the
端末装置2a、2bがそれぞれ送信するMLRパケットには、各装置が参加するマルチキャストグループを識別するマルチキャストアドレスが格納され、また、ヘッダの送信元アドレスのフィールドには、自装置のIPv6アドレスが格納されている。検出装置1は、受信したMLRパケットのヘッダに格納されている送信元アドレスからMLRパケットの各々の送出元の端末装置2aのMACアドレス「G」、および端末装置2bのMACアドレス「H」を取得する。
The MLR packets transmitted by the
次に、検出装置1は、取得したMLRパケットの送出元の端末装置2aのMACアドレス「G」と、ホワイトリストに登録されているMACアドレス「A、B、G、K」とを比較する(ステップS103)。MACアドレス「G」は、ホワイトリストに登録されているMACアドレスと一致するため、検出装置1は、MACアドレス「G」に対応する端末装置2aは、正規端末であると判断する(ステップS104)。
Next, the
一方、検出装置1は、取得したMLRパケットの送出元の端末装置2bのMACアドレス「H」と、ホワイトリストに登録されているMACアドレスとを比較する(ステップS105)。MACアドレス「H」は、ホワイトリストに登録されていないため、検出装置1は、MACアドレス「H」に対応する端末装置2bは、未許可端末であると判断する(ステップS106)。
On the other hand, the
その後、検出装置1は、ネットワークNWに接続されているすべての端末装置2a、2bを示す情報、および端末装置2bが未許可端末であることを示す情報を提示する(ステップS107)。例えば、検出装置1は、判断結果を、外部の特定のサーバなどへ送出することができる。
After that, the
以上説明したように、本実施の形態に係る検出装置1によれば、調査パケットとして一般MLQパケットをオールノードマルチキャスト宛に1回送信するだけで、ローカルネットにつながっている端末装置2を検出できる。また、検出装置1によれば、検出された端末装置2のMACアドレスとホワイトリストに登録されたMACアドレスとを比較して、端末装置2が未許可の端末装置であるか否かを判断する。そのため、ネットワークNWの負荷を低減しつつ、ネットワークNWへの接続が許可されていない端末装置を即座に検出することができる。
As explained above, according to the
その結果として、未許可の端末装置や悪意のある端末装置などが不正アクセスにより、クラッキングや情報漏えいなどを行うことを防止することができる。 As a result, it is possible to prevent unauthorized terminal devices, malicious terminal devices, and the like from performing unauthorized access, such as cracking or information leakage.
なお、説明した実施の形態では、応答パケットであるMLRパケットから送出元の端末装置2のMACアドレス情報を取得して、ホワイトリストに登録されているMACアドレスと比較して、未許可の端末装置2を検出する場合について説明した。しかし、ネットワークシステムが、制御システムなどであり、固定のIPv6アドレスが機器に割り当てられる環境においては、MACアドレス同士の比較だけでなく、IPv6アドレスも比較対象として用いることができる。 In addition, in the embodiment described, the MAC address information of the sending terminal device 2 is acquired from the MLR packet that is the response packet, and compared with the MAC address registered in the white list, the unauthorized terminal device is identified. The case where 2 is detected has been explained. However, in an environment where the network system is a control system or the like and fixed IPv6 addresses are assigned to devices, not only MAC addresses but also IPv6 addresses can be used for comparison.
この場合において、取得部13は、MLRパケットのヘッダに含まれるIPv6アドレスをさらに取得して、MLRパケットの送信元IPv6アドレスおよびMACアドレスの組と、ホワイトリストに登録されているIPv6アドレスおよびMACアドレスの組とを比較する。判断部14は、IPv6アドレスおよびMACアドレスの組がホワイトリストに登録されている組と一致する場合には、MLRパケットの送出元の端末装置2は、正規の端末装置2であると判断する。一方、IPv6アドレスおよびMACアドレスの組がホワイトリストに登録されているIPv6アドレスおよびMACアドレスの組と一致しない場合、判断部14は、MLRパケットの送出元の端末装置2は、未許可の端末装置2であると判断する。
In this case, the
以上、本発明の検出装置および検出方法における実施の形態について説明したが、本発明は説明した実施の形態に限定されるものではなく、請求項に記載した発明の範囲において当業者が想定し得る各種の変形を行うことが可能である。 Although the embodiments of the detection device and detection method of the present invention have been described above, the present invention is not limited to the described embodiments, and can be imagined by a person skilled in the art within the scope of the invention described in the claims. Various modifications are possible.
1…検出装置、2、2a、2b…端末装置、10…送信部、11…受信部、12…記憶部、13…取得部、14…判断部、15…提示部、101…バス、102…プロセッサ、103…主記憶装置、104…通信インターフェース、105…補助記憶装置、106…入出力I/O、107…表示装置、NW…ネットワーク。
DESCRIPTION OF
Claims (5)
前記調査パケットに対する応答パケットを受信するように構成された受信部と、
前記応答パケットに含まれる、前記応答パケットの送出元の端末装置のアドレス情報から、前記応答パケットの送出元の前記端末装置に固有の第1識別情報を取得するように構成された取得部と、
前記ネットワークへの接続が許可されている端末装置に固有の第2識別情報を記憶するように構成された記憶部と、
前記取得部によって取得された前記第1識別情報と前記第2識別情報とを比較して、前記第1識別情報と前記第2識別情報とが一致しない場合に、前記第1識別情報を有する前記端末装置は、前記ネットワークへの接続が許可されていない未許可の端末装置であると判断するように構成された判断部と
を備える検出装置。 a transmitter configured to all-node multicast transmit the probing packet over the network;
a receiver configured to receive a response packet to the probe packet;
an acquisition unit configured to acquire first identification information specific to the terminal device that is the sender of the response packet from address information of the terminal device that is the sender of the response packet, which is included in the response packet;
a storage unit configured to store second identification information unique to terminal devices that are permitted to connect to the network;
The first identification information and the second identification information acquired by the acquisition unit are compared, and if the first identification information and the second identification information do not match, the A determination unit configured to determine that the terminal device is an unauthorized terminal device that is not permitted to connect to the network.
前記判断部による判断結果を提示するように構成された提示部をさらに備える
ことを特徴とする検出装置。 The detection device according to claim 1,
A detection device further comprising a presentation section configured to present a judgment result by the judgment section.
前記提示部は、前記判断結果、および、前記受信部で受信されたすべての前記応答パケットの送出元の端末装置に関する情報を提示する
ことを特徴とする検出装置。 The detection device according to claim 2,
The detection device is characterized in that the presentation unit presents the determination result and information regarding the terminal device that sent all the response packets received by the reception unit.
前記調査パケットは、マルチキャストグループへの参加状況についての問い合わせを行うパケットであり、
前記応答パケットは、前記調査パケットを受信した端末装置が参加しているマルチキャストグループを識別するマルチキャストアドレスを含むパケットである
ことを特徴とする検出装置。 The detection device according to any one of claims 1 to 3,
The survey packet is a packet that inquires about the status of participation in a multicast group,
The detection device is characterized in that the response packet is a packet that includes a multicast address that identifies a multicast group in which a terminal device that has received the survey packet participates.
前記第1識別情報および前記第2識別情報は、前記応答パケットの送出元の端末装置および前記ネットワークへの接続が許可されている端末装置に割り当てられているMACアドレスを含む
ことを特徴とする検出装置。 The detection device according to any one of claims 1 to 4,
Detection characterized in that the first identification information and the second identification information include MAC addresses assigned to a terminal device that sent the response packet and a terminal device that is permitted to connect to the network. Device.
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019234003A JP7444600B2 (en) | 2019-12-25 | 2019-12-25 | Detection device and detection method |
KR1020200176612A KR20210082364A (en) | 2019-12-25 | 2020-12-16 | Detection device and detection method |
CN202011498504.2A CN113037704B (en) | 2019-12-25 | 2020-12-17 | Detection device and detection method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019234003A JP7444600B2 (en) | 2019-12-25 | 2019-12-25 | Detection device and detection method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2021103836A JP2021103836A (en) | 2021-07-15 |
JP7444600B2 true JP7444600B2 (en) | 2024-03-06 |
Family
ID=76460477
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019234003A Active JP7444600B2 (en) | 2019-12-25 | 2019-12-25 | Detection device and detection method |
Country Status (3)
Country | Link |
---|---|
JP (1) | JP7444600B2 (en) |
KR (1) | KR20210082364A (en) |
CN (1) | CN113037704B (en) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002325077A (en) | 2001-04-25 | 2002-11-08 | Hitachi Software Eng Co Ltd | Network managing method and equipment thereof |
JP2006287299A (en) | 2005-03-31 | 2006-10-19 | Nec Corp | Network control method and device, and control program |
JP2011217016A (en) | 2010-03-31 | 2011-10-27 | Nec Corp | Unauthorized connection prevention apparatus and program |
US20170034004A1 (en) | 2013-06-10 | 2017-02-02 | Palo Alto Networks, Inc. | Discovering network nodes |
JP2017073721A (en) | 2015-10-09 | 2017-04-13 | 株式会社 インターコム | Information processing unit and program |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4174392B2 (en) | 2003-08-28 | 2008-10-29 | 日本電気株式会社 | Network unauthorized connection prevention system and network unauthorized connection prevention device |
JP2005157968A (en) * | 2003-11-28 | 2005-06-16 | Nec Soft Ltd | Unauthorized connection detecting system |
JP4245486B2 (en) | 2004-01-08 | 2009-03-25 | 富士通株式会社 | Network unauthorized connection prevention method and apparatus |
JP2006222659A (en) * | 2005-02-09 | 2006-08-24 | Oki Electric Ind Co Ltd | Radio communication device, system and method |
CN100499669C (en) * | 2005-09-09 | 2009-06-10 | 上海贝尔阿尔卡特股份有限公司 | Network address reconstruction method in IPv6 switch-in network |
JP2007104396A (en) * | 2005-10-05 | 2007-04-19 | Nippon Telegraph & Telephone East Corp | Unjust connection preventing system, method, and program |
JP2008227600A (en) | 2007-03-08 | 2008-09-25 | Toshiba Corp | Communication jamming device and communication jamming program |
CN106302188A (en) * | 2015-05-18 | 2017-01-04 | 中兴通讯股份有限公司 | The multicast message transmission control method of a kind of switch device and device |
-
2019
- 2019-12-25 JP JP2019234003A patent/JP7444600B2/en active Active
-
2020
- 2020-12-16 KR KR1020200176612A patent/KR20210082364A/en not_active Application Discontinuation
- 2020-12-17 CN CN202011498504.2A patent/CN113037704B/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002325077A (en) | 2001-04-25 | 2002-11-08 | Hitachi Software Eng Co Ltd | Network managing method and equipment thereof |
JP2006287299A (en) | 2005-03-31 | 2006-10-19 | Nec Corp | Network control method and device, and control program |
JP2011217016A (en) | 2010-03-31 | 2011-10-27 | Nec Corp | Unauthorized connection prevention apparatus and program |
US20170034004A1 (en) | 2013-06-10 | 2017-02-02 | Palo Alto Networks, Inc. | Discovering network nodes |
JP2017073721A (en) | 2015-10-09 | 2017-04-13 | 株式会社 インターコム | Information processing unit and program |
Non-Patent Citations (1)
Title |
---|
Gunjan Bansal et al.,Detection of NDP Based Attacks using MLD,SIN'12:Proceedings of the Fifth International Conference on Security of Information and Networks,2012年10月,pp.163-167,https://dl.acm.org/doi/pdf/10.1145/2388576.2388600 |
Also Published As
Publication number | Publication date |
---|---|
CN113037704A (en) | 2021-06-25 |
CN113037704B (en) | 2023-10-31 |
KR20210082364A (en) | 2021-07-05 |
JP2021103836A (en) | 2021-07-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10505908B2 (en) | System and method for automatic wireless connection between a portable terminal and a digital device | |
US8543669B2 (en) | Network switch and method of preventing IP address collision | |
US7724679B2 (en) | Device and method for automatically detecting network information | |
US8774188B2 (en) | Communication apparatus and method of controlling same | |
CN101179515B (en) | Method and device for inhibiting black hole routing | |
US7530100B2 (en) | Apparatus for limiting use of particular network address | |
US10097418B2 (en) | Discovering network nodes | |
JP2007104396A (en) | Unjust connection preventing system, method, and program | |
JP7444600B2 (en) | Detection device and detection method | |
US20200267116A1 (en) | Internet protocol version six address management | |
CN108989173B (en) | Message transmission method and device | |
US10015179B2 (en) | Interrogating malware | |
JP7376289B2 (en) | Address monitoring device and address monitoring method | |
CN112601229B (en) | Device and method for detecting illegality | |
JP7359586B2 (en) | Address management device and address management method | |
US10298481B1 (en) | Method and apparatus for testing VLAN | |
JP7232121B2 (en) | Monitoring device and monitoring method | |
JP7376288B2 (en) | Specific device and method | |
KR101125612B1 (en) | Method for sensing and blocking illegal server of dynamic host configuration protocol | |
JP3432449B2 (en) | Communication control apparatus and method | |
CN115604231A (en) | Network address configuration method, routing device, node device and storage medium | |
CN113992583A (en) | Table item maintenance method and device | |
JP2002237821A (en) | Method and apparatus for discovering promiscuous-node for ip network as well as promiscuous-node discovering program | |
Sekhar et al. | A Novel Approach for Spoofing Media Access Control Address |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220922 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230714 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230912 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231101 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240130 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240222 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7444600 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |