JPH08172433A - ネットワークのセキュリティ管理方式 - Google Patents
ネットワークのセキュリティ管理方式Info
- Publication number
- JPH08172433A JPH08172433A JP6313653A JP31365394A JPH08172433A JP H08172433 A JPH08172433 A JP H08172433A JP 6313653 A JP6313653 A JP 6313653A JP 31365394 A JP31365394 A JP 31365394A JP H08172433 A JPH08172433 A JP H08172433A
- Authority
- JP
- Japan
- Prior art keywords
- network
- address
- lan
- packet
- registered
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Landscapes
- Computer And Data Communications (AREA)
- Monitoring And Testing Of Exchanges (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
(57)【要約】
【目的】 本発明はネットワークのセキュリティ管理方
式に関し、ネットワークの不正利用者を簡単かつ短時間
に発見できることを目的とする。 【構成】 テーブルM2は、ネットワークM1に接続さ
れた各機器のネットワーク上でのアドレスを登録してい
る。パケット収集手段M3は、ネットワークM1上を伝
送されるパケットを収集する。判別手段M4は、パケッ
ト収集手段M3で収集された各パケットのアドレスが上
記テーブルに登録されているか否かを判別しテーブルM
2にアドレスが登録されてないパケットからネットワー
クの不正利用を発見する。
式に関し、ネットワークの不正利用者を簡単かつ短時間
に発見できることを目的とする。 【構成】 テーブルM2は、ネットワークM1に接続さ
れた各機器のネットワーク上でのアドレスを登録してい
る。パケット収集手段M3は、ネットワークM1上を伝
送されるパケットを収集する。判別手段M4は、パケッ
ト収集手段M3で収集された各パケットのアドレスが上
記テーブルに登録されているか否かを判別しテーブルM
2にアドレスが登録されてないパケットからネットワー
クの不正利用を発見する。
Description
【0001】
【産業上の利用分野】本発明は、特にネットワークを管
理する上で未登録の端末等を接続してネットワークを不
正利用すること等を発見するネットワークのセキュリテ
ィ管理方式に関する。
理する上で未登録の端末等を接続してネットワークを不
正利用すること等を発見するネットワークのセキュリテ
ィ管理方式に関する。
【0002】
【従来の技術】近年、マルチベンダ環境の中で多種多様
のパーソナルコンピュータやワークステーションがLA
N(ローカルエリアネットワーク)等のネットワーク上
に接続され、ネットワークが大規模化及び複雑化してい
る。従来、ネットワーク管理技術ではネットワーク構成
や機器情報を帳票により管理することが中心であった。
のパーソナルコンピュータやワークステーションがLA
N(ローカルエリアネットワーク)等のネットワーク上
に接続され、ネットワークが大規模化及び複雑化してい
る。従来、ネットワーク管理技術ではネットワーク構成
や機器情報を帳票により管理することが中心であった。
【0003】また、従来から、SNMPマネージャやL
ANアナライザ等の管理ツールがある。SNMP(シン
プル・ネットワーク・マネジメント・プロトコル)マネ
ージャはTCP/IP(トランスミッション・コントロ
ール・プロトコル/インターネットプロトコル)を用い
た業界標準プロトコルであり、マルチベンダ環境で複数
のセグメント(1本の同軸ケーブルに接続される機器の
集合でLANの単位)の稼働状況、障害、構成の管理を
行う。
ANアナライザ等の管理ツールがある。SNMP(シン
プル・ネットワーク・マネジメント・プロトコル)マネ
ージャはTCP/IP(トランスミッション・コントロ
ール・プロトコル/インターネットプロトコル)を用い
た業界標準プロトコルであり、マルチベンダ環境で複数
のセグメント(1本の同軸ケーブルに接続される機器の
集合でLANの単位)の稼働状況、障害、構成の管理を
行う。
【0004】LANアナライザはCSMA/CD(搬送
波感知多重アクセス/衝突検出)方式等のLAN伝送路
のデータパケットを解析するプロトコルフリーのツール
で、主にLAN伝送路の障害管理を行う。管理者に届け
を出さずにLANを使用する不正利用者は、ネットワー
クの規約に従わないアドレス設定を行う等によりネット
ワーク全体の信頼性を著しく低下させる。
波感知多重アクセス/衝突検出)方式等のLAN伝送路
のデータパケットを解析するプロトコルフリーのツール
で、主にLAN伝送路の障害管理を行う。管理者に届け
を出さずにLANを使用する不正利用者は、ネットワー
クの規約に従わないアドレス設定を行う等によりネット
ワーク全体の信頼性を著しく低下させる。
【0005】従来、この不正利用者を発見するには、L
ANアナライザによってLAN上を伝送されるパケット
をモニタし、パケットのMACアドレス(OSI7階層
のデータリンク層における媒体アクセス制御副層のアド
レス)がネットワークの機器管理帳票に登録されている
かを照合することによって行われていた。また、LAN
アナライザによっては、不正利用者のMACアドレスを
設定することによって当該MACアドレスが検出された
時点でロギングするものもあるが、この場合予め不正利
用者のMACアドレスを知る手段が必要となる。さらに
近年のHUB装置(LAN伝送路の中継装置)にはMA
Cアドレスを判定し、未登録の場合には自動的に利用者
端末を切り離すものもあるが、トランシーバ接続の利用
者端末に対しては効果はない。
ANアナライザによってLAN上を伝送されるパケット
をモニタし、パケットのMACアドレス(OSI7階層
のデータリンク層における媒体アクセス制御副層のアド
レス)がネットワークの機器管理帳票に登録されている
かを照合することによって行われていた。また、LAN
アナライザによっては、不正利用者のMACアドレスを
設定することによって当該MACアドレスが検出された
時点でロギングするものもあるが、この場合予め不正利
用者のMACアドレスを知る手段が必要となる。さらに
近年のHUB装置(LAN伝送路の中継装置)にはMA
Cアドレスを判定し、未登録の場合には自動的に利用者
端末を切り離すものもあるが、トランシーバ接続の利用
者端末に対しては効果はない。
【0006】
【発明が解決しようとする課題】従来は、LANアナラ
イザでモニタされた膨大な数のパケットのMACアドレ
スを人手によりネットワークの機器管理帳票と照合しな
けければならず、不正利用者の発見に膨大な時間を要す
るという問題があった。本発明は上記の点に鑑みなされ
たもので、ネットワークを管理する上で不正利用者を簡
単かつ短時間に発見できるネットワークのセキュリティ
管理方式を提供することを目的とする。
イザでモニタされた膨大な数のパケットのMACアドレ
スを人手によりネットワークの機器管理帳票と照合しな
けければならず、不正利用者の発見に膨大な時間を要す
るという問題があった。本発明は上記の点に鑑みなされ
たもので、ネットワークを管理する上で不正利用者を簡
単かつ短時間に発見できるネットワークのセキュリティ
管理方式を提供することを目的とする。
【0007】
【課題を解決するための手段】請求項1に記載の発明
は、図1に示す如く、ネットワークM1に接続された各
機器のネットワーク上でのアドレスを登録したテーブル
M2と、上記ネットワークM1上を伝送されるパケット
を収集するパケット収集手段M3と、上記パケット収集
手段M3で収集された各パケットのアドレスが上記テー
ブルに登録されているか否かを判別する判別手段M4と
を有し、上記テーブルM2にアドレスが登録されていな
いパケットからネットワークの不正利用を発見する。
は、図1に示す如く、ネットワークM1に接続された各
機器のネットワーク上でのアドレスを登録したテーブル
M2と、上記ネットワークM1上を伝送されるパケット
を収集するパケット収集手段M3と、上記パケット収集
手段M3で収集された各パケットのアドレスが上記テー
ブルに登録されているか否かを判別する判別手段M4と
を有し、上記テーブルM2にアドレスが登録されていな
いパケットからネットワークの不正利用を発見する。
【0008】請求項2に記載の発明は、前記テーブルM
2は、各機器のネットワーク上でのアドレスに対応して
各機器の管理番号を登録しており、前記パケット収集手
段M3は、収集した各パケットのアドレスを上記テーブ
ルを用いて管理番号に変換する変換手段M5を有し、前
記判別手段M4は収集された各パケットのアドレスが管
理番号に変換されているか否かにより上記アドレスがテ
ーブルに登録されているか否かを判別する。
2は、各機器のネットワーク上でのアドレスに対応して
各機器の管理番号を登録しており、前記パケット収集手
段M3は、収集した各パケットのアドレスを上記テーブ
ルを用いて管理番号に変換する変換手段M5を有し、前
記判別手段M4は収集された各パケットのアドレスが管
理番号に変換されているか否かにより上記アドレスがテ
ーブルに登録されているか否かを判別する。
【0009】
【作用】請求項1に記載の発明においては、ネットワー
ク上を伝送され収集されたパケットのアドレスがテーブ
ルM2に登録されているかどうかを判別手段M4で判別
するため、アドレスがテーブルM2に登録されてないパ
ケットを検出することでネットワークの不正利用を自動
的に、簡単かつ短時間で発見できる。
ク上を伝送され収集されたパケットのアドレスがテーブ
ルM2に登録されているかどうかを判別手段M4で判別
するため、アドレスがテーブルM2に登録されてないパ
ケットを検出することでネットワークの不正利用を自動
的に、簡単かつ短時間で発見できる。
【0010】請求項2に記載の発明においては、収集さ
れたパケットのアドレスが管理番号に変換されてなけれ
ば不正利用がなされたことを発見でき、不正利用の発見
がより簡単になる。
れたパケットのアドレスが管理番号に変換されてなけれ
ば不正利用がなされたことを発見でき、不正利用の発見
がより簡単になる。
【0011】
【実施例】図2は本発明を適用したネットワークシステ
ムの構成図を示す。同図中、地区Aの建屋1,建屋2に
は光ファイバーループLAN10が設けられており、こ
のLAN10にはLAN間接続装置11によって建屋1
内のCSMA/CD方式のLAN12が接続され、また
LAN間接続装置13,14夫々によって建屋2内のC
SMA/CD方式のLAN15,16が接続されてい
る。また、地区Bの建屋3には光ファイバーループLA
N20が設けられ、このLAN20にはLAN間接続装
置21によって建屋3内のCSMA/CD方式のLAN
22が接続されている。上記の地区の異なるLAN1
0,20はLAN間接続装置17,23及びディジタル
回線終端装置18,24及びディジタル回線25によっ
て相互接続されている。
ムの構成図を示す。同図中、地区Aの建屋1,建屋2に
は光ファイバーループLAN10が設けられており、こ
のLAN10にはLAN間接続装置11によって建屋1
内のCSMA/CD方式のLAN12が接続され、また
LAN間接続装置13,14夫々によって建屋2内のC
SMA/CD方式のLAN15,16が接続されてい
る。また、地区Bの建屋3には光ファイバーループLA
N20が設けられ、このLAN20にはLAN間接続装
置21によって建屋3内のCSMA/CD方式のLAN
22が接続されている。上記の地区の異なるLAN1
0,20はLAN間接続装置17,23及びディジタル
回線終端装置18,24及びディジタル回線25によっ
て相互接続されている。
【0012】建屋1内のLAN12のトランシーバには
HUB装置(中継装置)31が接続され、HUB装置3
1にはパーソナルコンピュータやワークステーション等
の利用者端末32a,32bが接続されている。建屋2
内のLAN15のトランシーバ33aにはHUB装置3
4が接続され、HUB装置34に利用者端末35a,3
5bが接続されており、トランシーバ33b,33c夫
々には利用者端末35c,35dが接続されている。L
AN16のトランシーバ36には利用者端末37が接続
されている。
HUB装置(中継装置)31が接続され、HUB装置3
1にはパーソナルコンピュータやワークステーション等
の利用者端末32a,32bが接続されている。建屋2
内のLAN15のトランシーバ33aにはHUB装置3
4が接続され、HUB装置34に利用者端末35a,3
5bが接続されており、トランシーバ33b,33c夫
々には利用者端末35c,35dが接続されている。L
AN16のトランシーバ36には利用者端末37が接続
されている。
【0013】また、建屋3のLAN22のトランシーバ
40にはSNMPマネージャを載せたワークステーショ
ン41が接続されている。更に、LAN15で障害が発
生した場合には、LANアナライザ及び機器情報管理シ
ステムを載せたパーソナルコンピュータ45がLAN1
5のHUB装置34に接続される。上記のパーソナルコ
ンピュータ45は図3に示す如く、機器情報管理システ
ム50と、LANアナライザ51との2つのシステムを
有している。機器情報管理システム50は管理データ5
2の登録及び検索表示を行うと共にアドレス対応テーブ
ル53を作成し、更にセキュリティ管理を行う。LAN
アナライザ51はパーソナルコンピュータ45が接続さ
れたLANに伝送されるパケットをモニタし、パケット
内のMACアドレスをアドレス対応テーブル53を用い
て管理番号に変換して測定結果ファイル54を作成す
る。
40にはSNMPマネージャを載せたワークステーショ
ン41が接続されている。更に、LAN15で障害が発
生した場合には、LANアナライザ及び機器情報管理シ
ステムを載せたパーソナルコンピュータ45がLAN1
5のHUB装置34に接続される。上記のパーソナルコ
ンピュータ45は図3に示す如く、機器情報管理システ
ム50と、LANアナライザ51との2つのシステムを
有している。機器情報管理システム50は管理データ5
2の登録及び検索表示を行うと共にアドレス対応テーブ
ル53を作成し、更にセキュリティ管理を行う。LAN
アナライザ51はパーソナルコンピュータ45が接続さ
れたLANに伝送されるパケットをモニタし、パケット
内のMACアドレスをアドレス対応テーブル53を用い
て管理番号に変換して測定結果ファイル54を作成す
る。
【0014】更に、機器情報管理システム50はLAN
アナライザ51が作成した測定結果ファイル54を用い
てセキュリティ処理を行い、アドレス対応テーブル53
に登録されてないMACアドレスの利用者端末等が不正
に利用されている場合、未登録利用履歴ファイル55を
作成すると共に、未登録MACリスト56を作成する。
アナライザ51が作成した測定結果ファイル54を用い
てセキュリティ処理を行い、アドレス対応テーブル53
に登録されてないMACアドレスの利用者端末等が不正
に利用されている場合、未登録利用履歴ファイル55を
作成すると共に、未登録MACリスト56を作成する。
【0015】機器情報管理システム50は全ネットワー
クの機器詳細情報と、その他に機器構成図及び機器管理
情報を管理データ52として登録する。機器構成図は図
4(A)に示す如く、セグメント(1本の同軸ケーブル
に接続される機器の集合でLANの単位)毎に設けられ
ており、トランシーバ、HUB装置、利用者端末の順に
階層構造で表わされている。各構成要素は、自身の機器
名、ポート数、空き状況等の情報と、接続先の機器番号
とポート番号と、階層(接続の深さのレベル)とが表示
される。
クの機器詳細情報と、その他に機器構成図及び機器管理
情報を管理データ52として登録する。機器構成図は図
4(A)に示す如く、セグメント(1本の同軸ケーブル
に接続される機器の集合でLANの単位)毎に設けられ
ており、トランシーバ、HUB装置、利用者端末の順に
階層構造で表わされている。各構成要素は、自身の機器
名、ポート数、空き状況等の情報と、接続先の機器番号
とポート番号と、階層(接続の深さのレベル)とが表示
される。
【0016】機器管理情報は図4(B)に示す如く、H
UB装置,トランシーバ等の機器種別毎に設けられてお
り、同一の地区建屋内の機器のデータは同一シートに表
示される。1つのシートには管理番号、接続先番号、ポ
ート、接続セグメント番号、その他ポート数等を持つ単
一行の情報テーブルと、管理番号、ポート番号、その他
を持つ複数行の情報テーブルとが表示される。
UB装置,トランシーバ等の機器種別毎に設けられてお
り、同一の地区建屋内の機器のデータは同一シートに表
示される。1つのシートには管理番号、接続先番号、ポ
ート、接続セグメント番号、その他ポート数等を持つ単
一行の情報テーブルと、管理番号、ポート番号、その他
を持つ複数行の情報テーブルとが表示される。
【0017】機器を登録する場合には機器情報管理シス
テム50は、機器を増設しようとするセグメントの構成
図を図5(A)に示す如く画面表示させる。ここで、オ
ペレータは空き状態のポートを接続先として選択する。
例えばHUB装置の接続先として空きのポイントP1を
図示しないマウス等の入力手段で選択すると、接続先の
情報、即ちトランシーバ番号TR01、ポート番号3、
セグメント番号SG01が認識される。これによって、
システムは図5(B)に示すHUB装置の登録画面を表
示し、上記の接続先の情報を表示すると共に、接続する
HUB装置の管理番号を自動採番して表示する。この
後、オペレータは登録画面上で必要なデータを入力し、
登録する。
テム50は、機器を増設しようとするセグメントの構成
図を図5(A)に示す如く画面表示させる。ここで、オ
ペレータは空き状態のポートを接続先として選択する。
例えばHUB装置の接続先として空きのポイントP1を
図示しないマウス等の入力手段で選択すると、接続先の
情報、即ちトランシーバ番号TR01、ポート番号3、
セグメント番号SG01が認識される。これによって、
システムは図5(B)に示すHUB装置の登録画面を表
示し、上記の接続先の情報を表示すると共に、接続する
HUB装置の管理番号を自動採番して表示する。この
後、オペレータは登録画面上で必要なデータを入力し、
登録する。
【0018】これによって機器管理情報のHUB装置の
シートには図5(C)に示す如く接続されるHUB装置
の管理情報が登録される。このとき、接続先トランシー
バ、ポート、接続セグメントの接続情報はシステムが自
動設定する。そして、システムは図5(A)の機器構成
図に、ポイントP1に登録されたHUB装置の管理番号
を記入して表示する。
シートには図5(C)に示す如く接続されるHUB装置
の管理情報が登録される。このとき、接続先トランシー
バ、ポート、接続セグメントの接続情報はシステムが自
動設定する。そして、システムは図5(A)の機器構成
図に、ポイントP1に登録されたHUB装置の管理番号
を記入して表示する。
【0019】図6に実際の利用者端末の登録画面を示
す。ここでは、管理番号及び接続先の情報はシステムに
より既に表示されており、設置場所、機器種別、機器
名、使用OS、担当者名、LANボードインタフェー
ス、LANドライバ、MACアドレス、各プロトコル別
アドレス/名称等の空欄をオペレータが入力する。な
お、MACアドレスは機器をLANに接続するLANボ
ードのROMに予め設定されているため、このROMか
ら読み出して自動登録しても良い。この登録画面が即ち
機器詳細情報の表示画面として用いられる。
す。ここでは、管理番号及び接続先の情報はシステムに
より既に表示されており、設置場所、機器種別、機器
名、使用OS、担当者名、LANボードインタフェー
ス、LANドライバ、MACアドレス、各プロトコル別
アドレス/名称等の空欄をオペレータが入力する。な
お、MACアドレスは機器をLANに接続するLANボ
ードのROMに予め設定されているため、このROMか
ら読み出して自動登録しても良い。この登録画面が即ち
機器詳細情報の表示画面として用いられる。
【0020】ところで、登録しようとする機器の管理番
号は、機器情報管理システム50において、地区建屋で
一意となる数字と、地区建屋内の連番とで構成されたセ
グメントの管理番号を基準とし、先頭に機器を示す頭文
字を付与する。頭文字は、例えばセグメントをSG、ト
ランシーバをTR,HUB装置をHB、利用者端末をU
R、LAN間接続装置をLL、ローカルレピータをL
R、AUIケーブルをAU、光ケーブルをOP等として
設定している。
号は、機器情報管理システム50において、地区建屋で
一意となる数字と、地区建屋内の連番とで構成されたセ
グメントの管理番号を基準とし、先頭に機器を示す頭文
字を付与する。頭文字は、例えばセグメントをSG、ト
ランシーバをTR,HUB装置をHB、利用者端末をU
R、LAN間接続装置をLL、ローカルレピータをL
R、AUIケーブルをAU、光ケーブルをOP等として
設定している。
【0021】従って、管理番号から当該機器がどのセグ
メントに属しているかが一目瞭然となる。ただし、移設
が頻繁に見込まれる一部の機器については、機器を示す
頭文字と、地区建屋で一意となる数字と地区建屋内の連
番とで構成する。図7は機器情報管理システムが実行す
るネットワーク情報表示処理のフローチャートを示す。
同図中、ステップS10では機器構成図を画面に表示中
か否かを判別する。表示中でなければステップS12で
知ろうとする機器の管理番号を入力する。また、表示中
であれば、ステップS14で知ろうとする機器を機器構
成図内でマウス等のポインティングデバイスを用いて選
択する。
メントに属しているかが一目瞭然となる。ただし、移設
が頻繁に見込まれる一部の機器については、機器を示す
頭文字と、地区建屋で一意となる数字と地区建屋内の連
番とで構成する。図7は機器情報管理システムが実行す
るネットワーク情報表示処理のフローチャートを示す。
同図中、ステップS10では機器構成図を画面に表示中
か否かを判別する。表示中でなければステップS12で
知ろうとする機器の管理番号を入力する。また、表示中
であれば、ステップS14で知ろうとする機器を機器構
成図内でマウス等のポインティングデバイスを用いて選
択する。
【0022】ステップS16では入力又は選択された機
器の管理番号をキーにして該当する機器に関する機器詳
細情報を検索し、ステップS18で検索された機器詳細
情報を表示する。機器が利用者端末の場合は前述した通
り図6の如き画面が表示される。次にステップS20で
該当機器の接続関係の表示指示があるか否かを判別し、
指示がある場合にはステップS22で該当機器が属する
セグメントの機器構成図を画面表示する。ステップS2
0で指示がない場合、又はステップS22を実行後はス
テップS24に進み、関連機器の詳細情報の表示指示が
あるか否かを判別し、指示があればステップS10に進
んでステップS10〜S24を繰り返し、指示かなけれ
ば処理を終了する。
器の管理番号をキーにして該当する機器に関する機器詳
細情報を検索し、ステップS18で検索された機器詳細
情報を表示する。機器が利用者端末の場合は前述した通
り図6の如き画面が表示される。次にステップS20で
該当機器の接続関係の表示指示があるか否かを判別し、
指示がある場合にはステップS22で該当機器が属する
セグメントの機器構成図を画面表示する。ステップS2
0で指示がない場合、又はステップS22を実行後はス
テップS24に進み、関連機器の詳細情報の表示指示が
あるか否かを判別し、指示があればステップS10に進
んでステップS10〜S24を繰り返し、指示かなけれ
ば処理を終了する。
【0023】また、機器情報管理システム50はMAC
アドレスと機器の管理番号とのアドレス対応テーブル5
3(M2)を管理データ52の機器詳細情報から作成す
る。このアドレス対応テーブル53はMACアドレスを
有する利用者端末及びLAN間接続装置夫々をテーブル
の構成要素として作成される。管理者はトラフィック分
析を行うため、又は不正利用者を発見する等の監視のた
め、任意のセグメントにパーソナルコンピュータ45を
接続する。図2においてはLAN15のセグメントを監
視するために、このLAN15のセグメントのHUB装
置34の保守用ポートにパーソナルコンピュータ45を
接続する。
アドレスと機器の管理番号とのアドレス対応テーブル5
3(M2)を管理データ52の機器詳細情報から作成す
る。このアドレス対応テーブル53はMACアドレスを
有する利用者端末及びLAN間接続装置夫々をテーブル
の構成要素として作成される。管理者はトラフィック分
析を行うため、又は不正利用者を発見する等の監視のた
め、任意のセグメントにパーソナルコンピュータ45を
接続する。図2においてはLAN15のセグメントを監
視するために、このLAN15のセグメントのHUB装
置34の保守用ポートにパーソナルコンピュータ45を
接続する。
【0024】これにより、パーソナルコンピュータ45
のパケット収集手段M3であるLANアナライザ51は
LAN15に伝送されるパケットをモニタしてセグメン
ト,プロトコル識別コード等の伝送情報を収集する。こ
のとき、各パケットのヘッダー部(アドレス,タイムス
タンプ)を抽出し、ヘッダー部の送信元アドレス及び送
信先アドレス夫々をキーとしてアドレス対応テーブル5
3を検索し、送信元アドレス,送信先アドレスを検索で
得られた機器の管理番号に変換してヘッダー部を測定結
果ファイル54に順次書き込む。
のパケット収集手段M3であるLANアナライザ51は
LAN15に伝送されるパケットをモニタしてセグメン
ト,プロトコル識別コード等の伝送情報を収集する。こ
のとき、各パケットのヘッダー部(アドレス,タイムス
タンプ)を抽出し、ヘッダー部の送信元アドレス及び送
信先アドレス夫々をキーとしてアドレス対応テーブル5
3を検索し、送信元アドレス,送信先アドレスを検索で
得られた機器の管理番号に変換してヘッダー部を測定結
果ファイル54に順次書き込む。
【0025】図8は機器情報管理システム50が実行す
るセキュリティ処理のフローチャートを示す。同図中、
ステップS30ではLANアナライザ51によって作成
された測定結果ファイル54から1パケット分のヘッダ
ーデータを読み出す。次にステップS32でヘッダーデ
ータ内の送信元アドレス及び送信先アドレスが機器の管
理番号に変換されているか否かを判別する。上記送信元
アドレス又は送信先アドレスが管理番号に変換されずに
MACアドレスのままである場合には、ステップS34
で当該ヘッダーデータを未登録利用履歴ファイル55に
書き込むと共にディスプレイ表示を行い、ステップS3
6でそのMACアドレスを未登録MACリスト56に印
刷する。
るセキュリティ処理のフローチャートを示す。同図中、
ステップS30ではLANアナライザ51によって作成
された測定結果ファイル54から1パケット分のヘッダ
ーデータを読み出す。次にステップS32でヘッダーデ
ータ内の送信元アドレス及び送信先アドレスが機器の管
理番号に変換されているか否かを判別する。上記送信元
アドレス又は送信先アドレスが管理番号に変換されずに
MACアドレスのままである場合には、ステップS34
で当該ヘッダーデータを未登録利用履歴ファイル55に
書き込むと共にディスプレイ表示を行い、ステップS3
6でそのMACアドレスを未登録MACリスト56に印
刷する。
【0026】上記ステップS36の実行後、又はステッ
プS32で送信元及び送信先アドレスが管理番号に変換
済みと判別された場合はステップS38に進み、測定結
果ファイル54のヘッダーデータが終了したか否かを判
別し、終了してなければステップS30に進み、ステッ
プS30〜S38を繰り返す。ヘッダーデータが終了し
ていればこの処理を終了する。この処理が判別手段M4
に対応する。
プS32で送信元及び送信先アドレスが管理番号に変換
済みと判別された場合はステップS38に進み、測定結
果ファイル54のヘッダーデータが終了したか否かを判
別し、終了してなければステップS30に進み、ステッ
プS30〜S38を繰り返す。ヘッダーデータが終了し
ていればこの処理を終了する。この処理が判別手段M4
に対応する。
【0027】管理者は上記未登録利用履歴ファイル55
のディスプレイ表示を見て、管理番号に変換されてない
MACアドレスのパケットがあることから、不正利用者
がいることを知ることができる。この後、管理者は未登
録利用履歴ファイル55のヘッダーデータからMACア
ドレスの送信元アドレス及び送信先アドレスを確認し、
プロトコル種別を確認する。このMACアドレスのベン
ダコードからLANボードのベンダ名を割り出し、プロ
トコル種別や通信相手から不正利用者を発見して、この
不正利用者に注意を与える。
のディスプレイ表示を見て、管理番号に変換されてない
MACアドレスのパケットがあることから、不正利用者
がいることを知ることができる。この後、管理者は未登
録利用履歴ファイル55のヘッダーデータからMACア
ドレスの送信元アドレス及び送信先アドレスを確認し、
プロトコル種別を確認する。このMACアドレスのベン
ダコードからLANボードのベンダ名を割り出し、プロ
トコル種別や通信相手から不正利用者を発見して、この
不正利用者に注意を与える。
【0028】ところで、LANアナライザ51にMAC
アドレスを機器の管理番号に変換する機能がない場合
は、LANアナライザ51で測定結果ファイル54を作
成した後、機器情報管理システム50で図9に示すセキ
ュリティ処理を行う。図9において、ステップS40で
はLANアナライザ50によって作成された測定結果フ
ァイル54から1パケット分のヘッダーデータを読み出
す。次にステップS42でこのヘッダーデータ内のMA
Cアドレスである送信元アドレス及び送信先アドレス夫
々をキーとしてアドレス対応テーブル53のMACアド
レスと照合を行う。
アドレスを機器の管理番号に変換する機能がない場合
は、LANアナライザ51で測定結果ファイル54を作
成した後、機器情報管理システム50で図9に示すセキ
ュリティ処理を行う。図9において、ステップS40で
はLANアナライザ50によって作成された測定結果フ
ァイル54から1パケット分のヘッダーデータを読み出
す。次にステップS42でこのヘッダーデータ内のMA
Cアドレスである送信元アドレス及び送信先アドレス夫
々をキーとしてアドレス対応テーブル53のMACアド
レスと照合を行う。
【0029】この後、ステップS44で照合によりヘッ
ダーデータ内の送信元アドレス及び送信先アドレスのM
ACアドレスがアドレス対応テーブル53に登録されて
いたか否かを判別する。登録されていない場合は、ステ
ップS46で当該ヘッダーデータを未登録利用履歴ファ
イル55に書き込むと共にディスプレイ表示を行い、ス
テップS48でそのMACアドレスを未登録MACリス
ト56に印刷する。上記ステップS48の実行後、又は
ステップS44で送信元及び送信先アドレスが管理番号
に変換済みと判別された場合はステップS50に進み、
測定結果ファイル55のヘッダーデータが終了したか否
かを判別し、終了してなければステップS40に進み、
ステップS40〜S50を繰り返す。ヘッダーデータが
終了していればこの処理を終了する。
ダーデータ内の送信元アドレス及び送信先アドレスのM
ACアドレスがアドレス対応テーブル53に登録されて
いたか否かを判別する。登録されていない場合は、ステ
ップS46で当該ヘッダーデータを未登録利用履歴ファ
イル55に書き込むと共にディスプレイ表示を行い、ス
テップS48でそのMACアドレスを未登録MACリス
ト56に印刷する。上記ステップS48の実行後、又は
ステップS44で送信元及び送信先アドレスが管理番号
に変換済みと判別された場合はステップS50に進み、
測定結果ファイル55のヘッダーデータが終了したか否
かを判別し、終了してなければステップS40に進み、
ステップS40〜S50を繰り返す。ヘッダーデータが
終了していればこの処理を終了する。
【0030】この処理においても、図8の処理と同様に
管理者は上記未登録利用履歴ファイル55のディスプレ
イ表示を見て、管理番号に変換されていないMACアド
レスのパケットがあることから、不正利用者がいること
を知ることができる。この後、管理者は未登録利用履歴
ファイル55のヘッダーデータからMACアドレスの送
信元アドレス及び送信先アドレスを確認し、プロトコル
種別を確認して、MACアドレスのベンダコードからL
ANボードのベンダコードを割り出し、プロトコル種別
や通信相手から不正利用者を発見して、この不正利用者
に注意を与える。
管理者は上記未登録利用履歴ファイル55のディスプレ
イ表示を見て、管理番号に変換されていないMACアド
レスのパケットがあることから、不正利用者がいること
を知ることができる。この後、管理者は未登録利用履歴
ファイル55のヘッダーデータからMACアドレスの送
信元アドレス及び送信先アドレスを確認し、プロトコル
種別を確認して、MACアドレスのベンダコードからL
ANボードのベンダコードを割り出し、プロトコル種別
や通信相手から不正利用者を発見して、この不正利用者
に注意を与える。
【0031】
【発明の効果】上述の如く、請求項1に記載の発明によ
れば、ネットワーク上に伝送される収集されたパケット
のアドレスがテーブルM2に登録されているかどうかを
判別手段M4で判別するため、アドレスがテーブルM2
に登録されていないパケットを検出することでネットワ
ークの不正利用を自動的に、簡単かつ短時間で発見でき
る。
れば、ネットワーク上に伝送される収集されたパケット
のアドレスがテーブルM2に登録されているかどうかを
判別手段M4で判別するため、アドレスがテーブルM2
に登録されていないパケットを検出することでネットワ
ークの不正利用を自動的に、簡単かつ短時間で発見でき
る。
【0032】また、請求項2に記載の発明によれば、収
集されたパケットのアドレスが管理番号に変換されてい
なければ不正利用がなされたことを発見でき、不正利用
の発見がより簡単になり、実用上きわめて有用である。
集されたパケットのアドレスが管理番号に変換されてい
なければ不正利用がなされたことを発見でき、不正利用
の発見がより簡単になり、実用上きわめて有用である。
【図1】本発明の原理図である。
【図2】本発明を適用したネットワークシステムの構成
図である。
図である。
【図3】パーソナルコンピュータのシステム構成図であ
る。
る。
【図4】管理データを説明するための図である。
【図5】機器登録処理を説明するための図である。
【図6】登録画面を示す図である。
【図7】ネットワーク情報表示処理のフローチャートで
ある。
ある。
【図8】セキュリティ処理のフローチャートである。
【図9】セキュリティ処理のフローチャートである。
10,20 光ファイバーループLAN 11,13,14,17,21,23 LAN間接続装
置 12,15,16,22 LAN 30,33a〜33c,36,40 トランシーバ 31,34 HUB装置 32a,32b,35a〜35d,37 利用者端末 41 ワークステーション 45 パーソナルコンピュータ 50 機器情報管理システム 51 LANアナライザ 52 管理データ 53 アドレス対応テーブル 54 測定結果ファイル 55 未登録利用履歴ファイル 56 未登録MACリスト
置 12,15,16,22 LAN 30,33a〜33c,36,40 トランシーバ 31,34 HUB装置 32a,32b,35a〜35d,37 利用者端末 41 ワークステーション 45 パーソナルコンピュータ 50 機器情報管理システム 51 LANアナライザ 52 管理データ 53 アドレス対応テーブル 54 測定結果ファイル 55 未登録利用履歴ファイル 56 未登録MACリスト
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.6 識別記号 庁内整理番号 FI 技術表示箇所 H04L 12/56 H04M 3/22 Z 9466−5K H04L 11/20 102 Z
Claims (2)
- 【請求項1】 ネットワークに接続された各機器のネッ
トワーク上でのアドレスを登録したテーブルと、 上記ネットワーク上を伝送されるパケットを収集するパ
ケット収集手段と、 上記パケット収集手段で収集された各パケットのアドレ
スが上記テーブルに登録されているか否かを判別する判
別手段とを有し、 上記テーブルにアドレスが登録されていないパケットか
らネットワークの不正利用を発見することを特徴とする
ネットワークのセキュリティ管理方式。 - 【請求項2】 前記テーブルは、各機器のネットワーク
上でのアドレスに対応して各機器の管理番号を登録して
おり、 前記パケット収集手段は、収集した各パケットのアドレ
スを上記テーブルを用いて管理番号に変換する変換手段
を有し、 前記判別手段は収集された各パケットのアドレスが管理
番号に変換されているか否かにより上記アドレスがテー
ブルに登録されているか否かを判別することを特徴とす
る請求項1記載のネットワークのセキュリティ管理方
式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP6313653A JPH08172433A (ja) | 1994-12-16 | 1994-12-16 | ネットワークのセキュリティ管理方式 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP6313653A JPH08172433A (ja) | 1994-12-16 | 1994-12-16 | ネットワークのセキュリティ管理方式 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH08172433A true JPH08172433A (ja) | 1996-07-02 |
Family
ID=18043904
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP6313653A Withdrawn JPH08172433A (ja) | 1994-12-16 | 1994-12-16 | ネットワークのセキュリティ管理方式 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH08172433A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001313640A (ja) * | 2000-05-02 | 2001-11-09 | Ntt Data Corp | 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体 |
| JP2007067812A (ja) * | 2005-08-31 | 2007-03-15 | Fujitsu Ten Ltd | フレーム監視装置 |
-
1994
- 1994-12-16 JP JP6313653A patent/JPH08172433A/ja not_active Withdrawn
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001313640A (ja) * | 2000-05-02 | 2001-11-09 | Ntt Data Corp | 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体 |
| JP2007067812A (ja) * | 2005-08-31 | 2007-03-15 | Fujitsu Ten Ltd | フレーム監視装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US5706436A (en) | Apparatus and method for evaluation network traffic performance | |
| US7440415B2 (en) | Virtual network addresses | |
| US6137782A (en) | Automatic network traffic analysis | |
| CN111756598A (zh) | 一种基于主动探测与流量分析结合的资产发现方法 | |
| CN101448277B (zh) | 处理无线接入网络故障的方法、系统及设备 | |
| US7131031B2 (en) | System and method for on-line diagnosing of network interface cards | |
| US20040066747A1 (en) | Methods and structure for automated troubleshooting of a virtual private network connection | |
| AU7868994A (en) | Determination of network topology | |
| WO2005079008A1 (ja) | 無線ネットワークの監視装置、及び監視システム | |
| CN111030873A (zh) | 一种故障诊断方法及装置 | |
| CN107040429A (zh) | 一种端口转发性能的测试方法及系统 | |
| CN110611596B (zh) | 一种局域网故障定位系统 | |
| CN111490991B (zh) | 一种基于通信设备的多个服务器请求连接系统及方法 | |
| JPH08171524A (ja) | ネットワーク機器情報管理システム | |
| JPH08172433A (ja) | ネットワークのセキュリティ管理方式 | |
| CN114900377B (zh) | 一种基于诱导数据包的违规外联监测方法及系统 | |
| Meng et al. | Building a wireless capturing tool for WiFi | |
| CN111865724B (zh) | 视频监控设备信息采集控制实现方法 | |
| WO2000005594A1 (en) | Automatic network traffic analysis | |
| Cisco | Fault Management | |
| Cisco | Fault Management | |
| Cisco | Switches | |
| Cisco | Switches | |
| JPH08195769A (ja) | ネットワーク管理機能付き集線装置 | |
| CN112601212A (zh) | 一种针对内网私接wifi的定位方法、单元及其装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20020305 |