KR102387010B1 - Monitoring apparatus and monitoring method - Google Patents

Monitoring apparatus and monitoring method Download PDF

Info

Publication number
KR102387010B1
KR102387010B1 KR1020200055059A KR20200055059A KR102387010B1 KR 102387010 B1 KR102387010 B1 KR 102387010B1 KR 1020200055059 A KR1020200055059 A KR 1020200055059A KR 20200055059 A KR20200055059 A KR 20200055059A KR 102387010 B1 KR102387010 B1 KR 102387010B1
Authority
KR
South Korea
Prior art keywords
terminal
packet
transmission
unit
identification information
Prior art date
Application number
KR1020200055059A
Other languages
Korean (ko)
Other versions
KR20200130180A (en
Inventor
다카히코 오오타
Original Assignee
아즈빌주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 아즈빌주식회사 filed Critical 아즈빌주식회사
Publication of KR20200130180A publication Critical patent/KR20200130180A/en
Application granted granted Critical
Publication of KR102387010B1 publication Critical patent/KR102387010B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • H04L12/1863Arrangements for providing special services to substations for broadcast or conference, e.g. multicast comprising mechanisms for improved reliability, e.g. status reports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • H04L61/2069
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5069Address allocation for group communication, multicast communication or broadcast communication
    • H04L61/6022
    • H04L61/6059
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/659Internet protocol version 6 [IPv6] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 네트워크 내에 흐르는 ICMPv6 패킷의 감시 부담을 경감하면서, IPv6 환경에서 부정 단말을 검지할 수 있는 감시 기술을 제공하는 것을 목적으로 한다.
감시 장치(1)는, 미리 설정된 부정한 헤더를 포함하는 송신 패킷을 생성하는 생성부(11)와, 송신 패킷을 네트워크(NW)를 통해 올노드 멀티캐스트 송신하고, 송신 패킷을 수신한 단말로부터의 에러 메시지를 포함하는 회신 패킷을 네트워크(NW)를 통해 수신하는 송수신부(10)와, 회신 패킷에 포함되는, 회신 패킷의 송신원인 단말을 식별하는 고유의 식별 정보를 취득하는 취득부(13)와, 취득된 식별 정보를, 기억부(12)에 기억되어 있는 식별 정보의 화이트 리스트와 대조하는 대조부(14)와, 대조부(14)의 대조 결과에 기초하여, 회신 패킷의 송신원의 단말이 네트워크(NW)에 부정하게 접속하는 단말인지 아닌지를 판단하는 판단부(15)를 구비한다. An object of the present invention is to provide a monitoring technique capable of detecting an illegal terminal in an IPv6 environment while reducing the burden of monitoring ICMPv6 packets flowing in a network.
The monitoring device 1 includes a generation unit 11 that generates a transmission packet including a preset illegal header, and all-node multicast transmission of the transmission packet via the network NW, and receives the transmission packet from the terminal. A transmission/reception unit 10 for receiving a reply packet including an error message via the network NW, and an acquisition unit 13 for obtaining unique identification information included in the reply packet for identifying a terminal that is a transmission source of the reply packet and the matching unit 14 that collates the acquired identification information with the white list of identification information stored in the storage unit 12, and based on the matching result of the collating unit 14, the terminal of the sender of the reply packet A judging unit 15 is provided for judging whether or not it is a terminal accessing the network NW illegally.

Description

감시 장치 및 감시 방법{MONITORING APPARATUS AND MONITORING METHOD}MONITORING APPARATUS AND MONITORING METHOD

본 발명은, 감시 장치 및 감시 방법에 관한 것이며, 특히 IPv6 환경에서의 네트워크에 대한 부정 접속을 감시하는 기술에 관한 것이다. The present invention relates to a monitoring apparatus and a monitoring method, and more particularly, to a technique for monitoring illegal access to a network in an IPv6 environment.

최근, Iot의 보급에 의해 여러가지 기기가 인터넷에 연결되게 되었다. 이에 따라, 인터넷에 연결되는 기기의 수도 폭발적으로 증가하여, 종래 인터넷 프로토콜로서 이용되어 온 IPv4로부터, 새롭게 128 비트의 어드레스 길이를 갖는 프로토콜로서 IPv6로의 이행이 진행되고 있다. 또한, 네트워크 감시 장치 등의 많은 네트워크 시큐리티 제품에 있어서도, IPv6에 대응한 것이 급속하게 요구되고 있다. In recent years, with the spread of IoT, various devices have come to be connected to the Internet. Accordingly, the number of devices connected to the Internet has also increased explosively, and the transition from IPv4, which has been used as an Internet protocol, to IPv6, a new protocol having an address length of 128 bits is in progress. Moreover, also in many network security products, such as a network monitoring apparatus, one corresponding to IPv6 is requested|required rapidly.

종래부터, 네트워크 내의 단말을 파악하는 경우, 각 단말에 에이전트(SW)를 넣거나, IPv4에서 사용되는 통신 프로토콜인 ARP(Address Resolution Protocol) 등을 이용하거나 하고 있다. Conventionally, when a terminal in a network is identified, an agent (SW) is put in each terminal, or ARP (Address Resolution Protocol), which is a communication protocol used in IPv4, or the like is used.

그러나, 특히 내장 기기(예컨대 카메라)에 에이전트를 넣는 것은 어렵고, 여러가지 기기가 네트워크에 연결되도록 된 상황에서, 네트워크 상의 특정한 기기나 단말을 파악할 수 없는 경우도 있을 수 있다. 또한, 네트워크에 부정 접속하는 단말의 탐색에서도, ARP는 IPv4의 프로토콜에 기초한 것이며, IPv6 환경에서는 부정 단말의 탐색이 어렵다. However, it is particularly difficult to insert an agent into a built-in device (eg, a camera), and in a situation where various devices are connected to a network, there may be cases in which a specific device or terminal on the network cannot be identified. In addition, even in the search for a terminal accessing the network illegally, ARP is based on the protocol of IPv4, and it is difficult to search for an unauthorized terminal in an IPv6 environment.

따라서, 종래부터 IPv6 환경에서의 네트워크에 대한 부정 접속을 방지하는 기술이 제안되어 있다. 예컨대, 특허문헌 1은, 네트워크에 감시 장치를 설치하여, 네트워크 내에 흐르는 NS(Neighbor Solicitation) 패킷을 감시하고, NS 패킷의 송신원 어드레스나 MAC 어드레스를 바탕으로, 네트워크에 대한 접속이 허가되어 있는 단말인지 아닌지를 판단한다. Therefore, conventionally, a technique for preventing unauthorized access to a network in an IPv6 environment has been proposed. For example, in Patent Document 1, a monitoring device is installed in a network to monitor NS (Neighbor Solicitation) packets flowing in the network, and based on the source address or MAC address of the NS packet, whether the terminal is permitted to access the network decide whether or not

일본 특허 공개 제2007-104396호 공보Japanese Patent Laid-Open No. 2007-104396

그러나, 특허문헌 1에 기재된 기술에서는, 도청 목적으로 네트워크에 부정하게 접속하는 단말(이하, 「부정 단말」이라고 함)이 NS 패킷 등을 스스로 송신하지 않은 경우, 부정 단말을 검출할 수 없다. However, in the technique described in Patent Document 1, when a terminal (hereinafter referred to as "rogue terminal") that connects illegally to a network for the purpose of wiretapping does not transmit an NS packet or the like by itself, an unauthorized terminal cannot be detected.

본 발명은, 전술한 과제를 해결하기 위해 이루어진 것으로, 네트워크 내에 흐르는 ICMPv6 패킷의 감시 부담을 경감하면서, IPv6 환경에서 부정 단말을 검지할 수 있는 감시 기술을 제공하는 것을 목적으로 한다. The present invention has been made to solve the above problems, and an object of the present invention is to provide a monitoring technique capable of detecting an illegal terminal in an IPv6 environment while reducing the monitoring burden of ICMPv6 packets flowing in a network.

전술한 과제를 해결하기 위해, 본 발명에 관한 감시 장치는, 미리 설정된 부정한 헤더를 포함하는 송신 패킷을 생성하도록 구성된 생성부와, 상기 송신 패킷을 통신 네트워크를 통해 올노드 멀티캐스트 송신하도록 구성된 송신부와, 상기 송신 패킷을 수신한 단말로부터의 에러 메시지를 포함하는 회신 패킷을 상기 통신 네트워크를 통해 수신하도록 구성된 수신부와, 상기 회신 패킷에 포함되는, 상기 회신 패킷의 송신원인 상기 단말을 식별하는 고유의 식별 정보를 취득하도록 구성된 취득부와, 취득된 상기 식별 정보를, 기억부에 기억되어 있는 식별 정보의 리스트와 대조하도록 구성된 대조부와, 상기 대조부의 대조 결과에 기초하여, 상기 송신원의 상기 단말이 상기 통신 네트워크에 부정하게 접속하는 단말인지 아닌지를 판단하도록 구성된 판단부를 구비한다. In order to solve the above problems, a monitoring device according to the present invention includes: a generator configured to generate a transmission packet including a preset illegal header; and a transmission unit configured to transmit the transmission packet by all-node multicast transmission via a communication network; , a receiving unit configured to receive, via the communication network, a reply packet including an error message from a terminal that has received the transmit packet, and a unique identification included in the reply packet to identify the terminal that is the source of the reply packet an acquisition unit configured to acquire information; a collating unit configured to collate the acquired identification information with a list of identification information stored in a storage unit; and a judging unit configured to determine whether or not the terminal is illegally accessing the communication network.

또한, 본 발명에 관한 감시 장치에 있어서, 상기 리스트는, 상기 통신 네트워크에 대한 접속이 허가되어 있는 단말의 고유 식별 정보를 포함하고, 상기 판단부는, 상기 취득부에 의해 취득된 상기 식별 정보가 상기 리스트에 포함되어 있지 않은 경우에, 그 단말이 상기 통신 네트워크에 부정하게 접속하는 단말이라고 판단할 수도 있다. In addition, in the monitoring apparatus according to the present invention, the list includes unique identification information of a terminal to which access to the communication network is permitted, and the determination unit includes: the identification information acquired by the acquisition unit; If it is not included in the list, it may be determined that the terminal is a terminal illegally accessing the communication network.

또한, 본 발명에 관한 감시 장치에 있어서, 상기 판단부에 의한 판단 결과를 통지하도록 구성된 통지부를 더 구비하고 있어도 좋다. Moreover, the monitoring apparatus which concerns on this invention WHEREIN: You may further comprise the notification part comprised so that the determination result by the said judgment part may be notified.

또한, 본 발명에 관한 감시 장치에 있어서, 상기 통신 네트워크는 IPv6에 대응한 통신 네트워크이고, 상기 송신 패킷은, 상기 송신 패킷을 수신한 단말이, 패킷에 문제가 있다고 판단하는 부정한 IPv6 헤더를 포함할 수도 있다.Further, in the monitoring apparatus according to the present invention, the communication network is a communication network corresponding to IPv6, and the transmission packet includes an illegal IPv6 header that the terminal receiving the transmission packet determines to have a problem with the packet. may be

또한, 본 발명에 관한 감시 장치에 있어서, 상기 회신 패킷은 ICMPv6에 의한 파라미터 부정 메시지를 포함할 수도 있다. Further, in the monitoring apparatus according to the present invention, the reply packet may include a parameter denial message according to ICMPv6.

또한, 본 발명에 관한 감시 장치에 있어서, 상기 식별 정보는 MAC 어드레스일 수도 있다. Further, in the monitoring apparatus according to the present invention, the identification information may be a MAC address.

또한, 본 발명에 관한 감시 장치에 있어서, 상기 취득부는, 상기 통신 네트워크에 접속되어 있는 단말을 검출하고, 그 단말의 정보로서 IP 어드레스 및 MAC 어드레스 중 적어도 어느 것을 취득하고, 상기 판단부는, 검출된 상기 단말의 정보 및 상기 대조부의 대조 결과에 기초하여, 상기 송신원의 상기 단말이 상기 통신 네트워크에 부정하게 접속하는 단말인지 아닌지를 판단해도 좋다. Further, in the monitoring apparatus according to the present invention, the acquisition unit detects a terminal connected to the communication network, and acquires at least any of an IP address and a MAC address as information of the terminal, and the determination unit includes: Based on the information on the terminal and the matching result of the matching unit, it may be determined whether or not the terminal of the transmission source is a terminal illegally connecting to the communication network.

전술한 과제를 해결하기 위해, 본 발명에 관한 감시 방법은, 미리 설정된 부정한 헤더를 포함하는 송신 패킷을 생성하는 생성 단계와, 상기 송신 패킷을 통신 네트워크를 통해 올노드 멀티캐스트 송신하는 송신 단계와, 상기 송신 패킷을 수신한 단말로부터의 에러 메시지를 포함하는 회신 패킷을 상기 통신 네트워크를 통해 수신하는 수신 단계와, 상기 회신 패킷에 포함되는, 상기 회신 패킷의 송신원인 상기 단말을 식별하는 고유의 식별 정보를 취득하는 취득 단계와, 취득된 상기 식별 정보를, 기억부에 기억되어 있는 식별 정보의 리스트와 대조하는 대조 단계와, 상기 대조 단계에서의 대조 결과에 기초하여, 상기 송신원의 상기 단말이 상기 통신 네트워크에 부정하게 접속하는 단말인지 아닌지를 판단하는 판단 단계를 포함한다. In order to solve the above problems, a monitoring method according to the present invention includes a generating step of generating a transmission packet including a preset illegal header, a transmission step of transmitting the transmission packet by all-node multicast transmission through a communication network; a receiving step of receiving a reply packet including an error message from the terminal that has received the transmit packet through the communication network; an acquisition step of acquiring and a determination step of determining whether the terminal is illegally accessing the network or not.

본 발명에 의하면, 미리 설정된 부정한 헤더를 포함하는 송신 패킷을 올노드 멀티캐스트 송신하고, 그 송신 패킷을 수신한 단말로부터의 에러 메시지를 포함하는 회신 패킷에 포함되는 단말의 식별 정보를 취득하여, 식별 정보의 리스트와 대조하기 때문에, 네트워크 내에 흐르는 ICMPv6 패킷의 감시 부담을 경감하면서, IPv6 환경에서 부정 단말을 검출할 수 있다. According to the present invention, all-node multicast transmission of a transmission packet including a preset illegal header is performed, and identification information of a terminal included in a reply packet including an error message from a terminal that has received the transmission packet is acquired and identified By collating the list of information, it is possible to detect illegal terminals in the IPv6 environment while reducing the burden of monitoring ICMPv6 packets flowing in the network.

도 1은, 본 발명의 실시형태에 관한 감시 장치를 포함하는 부정 접속 감시 시스템의 구성을 나타내는 블록도이다.
도 2는, 본 실시형태에 관한 감시 장치의 구성을 나타내는 블록도이다.
도 3은, 본 실시형태에 관한 감시 장치의 하드웨어 구성을 나타내는 블록도이다.
도 4는, 본 실시형태에 관한 감시 장치의 동작을 설명하기 위한 플로우차트이다.
도 5는, 본 실시형태에 관한 화이트 리스트의 데이터 구조의 일례를 나타내는 도면이다. 1 is a block diagram showing the configuration of an illegal connection monitoring system including a monitoring device according to an embodiment of the present invention.
Fig. 2 is a block diagram showing the configuration of a monitoring device according to the present embodiment.
Fig. 3 is a block diagram showing the hardware configuration of the monitoring device according to the present embodiment.
4 is a flowchart for explaining the operation of the monitoring device according to the present embodiment.
Fig. 5 is a diagram showing an example of a data structure of a white list according to the present embodiment.

이하, 본 발명의 바람직한 실시형태에 관해, 도 1 내지 도 5를 참조하여 상세하게 설명한다. Hereinafter, preferred embodiments of the present invention will be described in detail with reference to FIGS. 1 to 5 .

[부정 접속 감시 시스템의 구성][Configuration of fraudulent access monitoring system]

본 발명의 실시형태에 관한 부정 접속 감시 시스템은, 부정 액세스에 의해 네트워크(NW)에 부정하게 접속하는 부정 단말(3)을 탐색한다. 부정 접속 감시 시스템에는, 도 1에 나타낸 바와 같이, 감시 장치(1), 정규 단말(2) 및 부정 단말(3)이 포함된다. An illegal access monitoring system according to an embodiment of the present invention searches for an illegal terminal 3 that is illegally connected to a network NW by unauthorized access. The illegal access monitoring system includes a monitoring device 1 , a regular terminal 2 , and an illegal terminal 3 as shown in FIG. 1 .

감시 장치(1), 정규 단말(2) 및 부정 단말(3)은 LAN 등의 네트워크(NW)를 통해 서로 접속 가능하게 되어 있다. 도 1에서, 정규 단말(2)은, 네트워크(NW)에 대한 접속이 허가된 IPv6가 동작하는 PC 등의 단말이다. 한편, 부정 단말(3)은, 네트워크(NW)에 대한 접속이 허가되지 않은 IPv6가 동작하는 PC 등의 단말이다. The monitoring device 1, the regular terminal 2, and the illegal terminal 3 are mutually connectable via a network NW, such as LAN. In Fig. 1, a regular terminal 2 is a terminal such as a PC in which IPv6 connection to the network NW is permitted operates. On the other hand, the unauthorized terminal 3 is a terminal such as a PC in which IPv6 is not permitted to connect to the network NW.

본 실시형태에서는, 부정 접속 감시 시스템은, 링크 로컬의 동일 세그멘트 상에서의 네트워크(NW)에 대한 부정한 접속을 행하는 부정 단말(3)을 탐색 및 검출한다. 도 1의 예에서는, 3개의 정규 단말(2)의 각각은, IPv6 어드레스 「1」, 「2」, 「3」이 할당되어 있고, 또한, MAC 어드레스 「A」, 「B」, 「C」를 갖는다. 또한, 부정 단말(3)은, IPv6 어드레스 「4」 및 MAC 어드레스 「D」를 갖는다. 또한, 부정 접속 감시 시스템에 있어서 링크 로컬 어드레스 「a」가 할당되어 있다. In the present embodiment, the fraudulent connection monitoring system searches for and detects the fraudulent terminal 3 performing an illegal connection to the network NW on the same segment in the link local area. In the example of FIG. 1 , IPv6 addresses "1", "2", and "3" are assigned to each of the three regular terminals 2, and MAC addresses "A", "B", and "C" has In addition, the illegal terminal 3 has an IPv6 address "4" and a MAC address "D". In addition, a link local address "a" is assigned in the illegal connection monitoring system.

본 실시형태에 관한 부정 접속 감시 시스템은, IPv6에서의 인터넷 통신 메시지 프로토콜(ICMP)의 사양에 정해진 ICMPv6 파라미터 부정 메시지(ICMP Parameter Problem)에 관한 약정을 이용하여, 링크 로컬에 있어서의 부정 단말(3)을 검출한다. The illegal connection monitoring system according to the present embodiment uses the agreement regarding the ICMPv6 Parameter Problem (ICMP Parameter Problem) specified in the specification of the Internet Communication Message Protocol (ICMP) in IPv6, and the illegal terminal 3 in the link local ) is detected.

[감시 장치의 기능 블록][Function Block of Supervisor]

도 2에 나타낸 바와 같이, 감시 장치(1)는, 송수신부(송신부, 수신부)(10), 생성부(11), 기억부(12), 취득부(13), 대조부(14), 판단부(15) 및 통지부(16)를 구비한다. As shown in FIG. 2 , the monitoring device 1 includes a transmission/reception unit (transmission unit, reception unit) 10 , a generation unit 11 , a storage unit 12 , an acquisition unit 13 , a matching unit 14 , and a judgment A unit 15 and a notification unit 16 are provided.

송수신부(10)는, 네트워크(NW)를 통해, 정규 단말(2) 및 부정 단말(3)에 대하여 패킷을 올노드 멀티캐스트 송신한다. 또한, 송수신부(10)는, 정규 단말(2) 및 부정 단말(3)로부터 네트워크(NW)를 통해 보내는 패킷을 수신한다. 보다 상세하게는, 송수신부(10)는, 후술하는 부정한 IPv6 헤더를 포함하는 멀티캐스트 패킷을 올노드 멀티캐스트 어드레스로 송신한다. 또한, 송수신부(10)는, 멀티캐스트 패킷에 대한 회신으로서, 네트워크(NW) 내의 단말의 각각으로부터 회신되는 후술하는 ICMPv6 에러 메시지를 수신한다. Transceiver unit 10 all-node multicast transmission of packets to regular terminal 2 and illegal terminal 3 via network NW. In addition, the transceiver 10 receives packets sent from the regular terminal 2 and the illegal terminal 3 through the network NW. More specifically, the transceiver 10 transmits a multicast packet including an illegal IPv6 header, which will be described later, to an all-node multicast address. In addition, the transceiver 10 receives, as a reply to the multicast packet, an ICMPv6 error message, which will be described later, returned from each terminal in the network NW.

생성부(11)는, 미리 설정된 부정한 헤더를 포함하는 올노드 멀티캐스트 어드레스로 보내는 멀티캐스트 패킷(송신 패킷)을 생성한다. 미리 설정된 부정한 헤더란, IPv6 노드인 정규 단말(2) 및 부정 단말(3)에 의해 패킷에 문제가 있다고 판단되는 IPv6 헤더나, 문제가 있는 필드가 확장 헤더에 포함되는 IPv6 헤더를 말한다. The generation unit 11 generates a multicast packet (transmission packet) to be sent to an all-node multicast address including an illegal header set in advance. The preset illegal header refers to an IPv6 header that is determined to have a problem in a packet by the regular terminal 2 and the illegal terminal 3 that are IPv6 nodes, or an IPv6 header in which a problematic field is included in the extended header.

여기서, IPv6용의 ICMP의 사양서(RFC)에서 이하의 약정이 있다. RFC에 의하면, 패킷을 처리하는 IPv6 노드가, 완전히 그 패킷을 처리하는 것이 불가능한 IPv6 헤더, 혹은 확장 헤더에 포함되는 문제가 있는 필드를 발견하면, 그 패킷은 파기해야 한다고 되어 있다. 또한, IPv6 노드는, 패킷의 발신원에 타입과 문제 개소를 나타낸 ICMPv6 파라미터 부정 메시지를 송신해야 한다고 되어 있다. Here, in the specification (RFC) of ICMP for IPv6, there are the following agreements. According to the RFC, when an IPv6 node processing a packet finds a problematic field included in an IPv6 header or extended header that cannot completely process the packet, the packet should be discarded. In addition, it is said that the IPv6 node should transmit an ICMPv6 parameter negation message indicating the type and problem location to the source of the packet.

생성부(11)는, 네트워크(NW) 상의 정규 단말(2) 및 부정 단말(3)로부터 ICMPv6 파라미터 부정 메시지(ICMP Parameter Problem)(이하, 「ICMPv6 에러 메시지」라고 하는 경우가 있음)의 회신이 오는 부정한 헤더를 갖는 멀티캐스트 패킷을 생성한다. The generating unit 11 sends a reply of an ICMPv6 parameter invalid message (ICMPv6 error message) from the regular terminal 2 and the illegal terminal 3 on the network NW (hereinafter sometimes referred to as "ICMPv6 error message") This creates a multicast packet with an invalid header.

예컨대, 생성부(11)는, IPv6 헤더 내의 홉바이홉 옵션(Hop-by-Hop Option)의 값을 IPv6 노드에 의해 인식할 수 없는 IPv6 확장 헤더의 데이터인 멀티캐스트 패킷을 생성할 수 있다. 또, 생성부(11)는, 미리 준비되어 있는 부정한 헤더를 기억부(12)로부터 리드아웃(reak-out)하는 구성으로 해도 좋다. For example, the generator 11 may generate a multicast packet that is data of an IPv6 extension header in which the value of the Hop-by-Hop Option in the IPv6 header cannot be recognized by the IPv6 node. Moreover, the generation unit 11 may be configured to read out an illegal header prepared in advance from the storage unit 12 .

기억부(12)는, 네트워크(NW)에 대한 접속이 허가된 정규 단말(2)의 고유 식별 정보를 기억하고 있다. 기억부(12)는, 예컨대, 정규 단말(2)의 MAC 어드레스가 등록된 화이트 리스트를 기억하고 있다. The memory|storage part 12 memorize|stores the unique identification information of the regular terminal 2 by which the connection to the network NW was permitted. The storage unit 12 stores, for example, a white list in which the MAC addresses of the regular terminals 2 are registered.

취득부(13)는, 송수신부(10)에 의해 수신된 네트워크(NW) 내의 정규 단말(2) 및 부정 단말(3)로부터의 회신 패킷에 포함되는 송신원을 나타내는 고유의 식별 정보를 취득한다. 취득부(13)는, 예컨대, ICMPv6 에러 메시지의 패킷에 있어서 소정의 위치에 있는 송신원의 MAC 어드레스를 취득할 수 있다. The acquisition unit 13 acquires unique identification information indicating the transmission source included in the reply packet from the regular terminal 2 and the illegal terminal 3 in the network NW received by the transmission/reception unit 10 . The acquisition unit 13 can acquire, for example, the MAC address of the sender at a predetermined position in the packet of the ICMPv6 error message.

또한, 취득부(13)는, 네트워크(NW)에 접속되어 있는 정규 단말(2), 부정 단말(3)을 포함하는 기기를 검출하고, 이들 기기의 정보를 취득할 수 있다. 예컨대, 취득부(13)는, 네트워크(NW) 상의 기기의 IP 어드레스 및 MAC 어드레스 중 적어도 어느 하나를 검출할 수 있다. Moreover, the acquisition part 13 can detect the apparatus containing the regular terminal 2 and the illegal terminal 3 connected to the network NW, and can acquire the information of these apparatuses. For example, the acquisition unit 13 can detect at least one of an IP address and a MAC address of a device on the network NW.

대조부(14)는, 취득부(13)에 의해 취득된 ICMPv6 에러 메시지의 패킷에 포함되는 송신원의 식별 정보를, 기억부(12)에 미리 등록되어 있는 정규 단말(2)의 식별 정보와 대조한다. 보다 상세하게는, 대조부(14)는, ICMPv6 에러 메시지의 패킷에 포함되는 MAC 어드레스를, 화이트 리스트에 등록되어 있는 MAC 어드레스와 대조한다. The collation unit 14 collates the identification information of the sender included in the packet of the ICMPv6 error message acquired by the acquisition unit 13 with the identification information of the regular terminal 2 registered in advance in the storage unit 12 . do. More specifically, the collation unit 14 collates the MAC address included in the packet of the ICMPv6 error message with the MAC address registered in the white list.

판단부(15)는, 대조부(14)의 대조 결과에 기초하여, ICMPv6 에러 메시지의 송신원의 단말이 네트워크(NW)에 부정하게 접속하는 단말인지 아닌지를 판단한다. 구체적으로는, 판단부(15)는, ICMPv6 에러 메시지의 패킷에 포함되는 MAC 어드레스 중, 화이트 리스트에 등록되어 있는 MAC 어드레스의 어디에도 해당하지 않은 경우에는, 그 MAC 어드레스를 갖는 단말은 부정 단말(3)이라고 판단한다. The determination unit 15 determines whether or not the terminal that is the source of the ICMPv6 error message is a terminal that connects to the network NW illegally, based on the verification result of the collation unit 14 . Specifically, the determination unit 15 is configured to, if none of the MAC addresses included in the packet of the ICMPv6 error message correspond to the MAC addresses registered in the white list, the terminal having the MAC address is an illegal terminal 3 ) is judged to be

또, 판단부(15)는, 취득부(13)에 의해 검출되어 취득된 네트워크(NW) 상의 기기의 정보 및 대조부(14)의 대조 결과에 기초하여 상기 판단을 행해도 좋다. Further, the determination unit 15 may make the above determination based on the information of the device on the network NW detected and acquired by the acquisition unit 13 and the result of the verification of the matching unit 14 .

통지부(16)는, 판단부(15)에 의한 판단 결과를 출력한다. 예컨대, 판단부(15)에 의해 부정 단말(3)이라고 판단된 단말의 식별 정보를 표시 장치(107)에 표시시킬 수 있다. 또한, 인터넷 등의 통신 네트워크를 통해 접속되어 있는 도시되지 않은 외부의 서버 등에, 부정 단말(3)이 검출된 것 및 부정 단말(3)의 식별 정보를 통지할 수 있다. The notification unit 16 outputs the determination result by the determination unit 15 . For example, identification information of the terminal determined to be the illegal terminal 3 by the determination unit 15 may be displayed on the display device 107 . In addition, it is possible to notify an external server (not shown) connected via a communication network such as the Internet or the like that the fraudulent terminal 3 has been detected and identification information of the fraudulent terminal 3 .

[감시 장치의 하드웨어 구성][Hardware configuration of the monitoring device]

다음으로 전술한 기능을 갖는 감시 장치(1)의 하드웨어 구성의 일례에 관해, 도 3을 이용하여 설명한다. Next, an example of the hardware configuration of the monitoring device 1 having the above-described functions will be described with reference to FIG. 3 .

도 3에 나타낸 바와 같이, 감시 장치(1)는, 예컨대 버스(101)를 통해 접속되는 프로세서(102), 주기억 장치(103), 통신 인터페이스(104), 보조 기억 장치(105), 입출력 I/O(106)을 구비하는 컴퓨터와, 이들 하드웨어 자원을 제어하는 프로그램에 의해 실현할 수 있다. As shown in FIG. 3 , the monitoring device 1 includes, for example, a processor 102 connected via a bus 101 , a main memory device 103 , a communication interface 104 , an auxiliary storage device 105 , and input/output I/ It can be realized by a computer including O(106) and a program for controlling these hardware resources.

주기억 장치(103)에는, 프로세서(102)가 각종 제어나 연산을 행하기 위한 프로그램이 미리 저장되어 있다. 프로세서(102)와 주기억 장치(103)에 의해, 도 2에 나타낸 생성부(11), 취득부(13), 대조부(14), 판단부(15) 등, 감시 장치(1)의 각 기능이 실현된다. In the main memory device 103, a program for the processor 102 to perform various kinds of control and arithmetic is stored in advance. Each function of the monitoring device 1, such as the generation unit 11, the acquisition unit 13, the collation unit 14, and the determination unit 15, shown in Fig. 2 by the processor 102 and the main memory unit 103 This is realized.

통신 인터페이스(104)는, 감시 장치(1)와 정규 단말(2) 및 부정 단말(3), 각종 외부 전자 기기와의 사이를 네트워크 접속하기 위한 인터페이스 회로이다. The communication interface 104 is an interface circuit for network connection between the monitoring device 1, the regular terminal 2, the illegal terminal 3, and various external electronic devices.

보조 기억 장치(105)는, 리드/라이트(read/write) 가능한 기억 매체와, 그 기억 매체에 대하여 프로그램이나 데이터 등의 각종 정보를 리드/라이트하기 위한 구동 장치로 구성되어 있다. 보조 기억 장치(105)에는, 기억 매체로서 하드디스크나 플래시메모리 등의 반도체 메모리를 사용할 수 있다. The auxiliary storage device 105 includes a read/write storage medium and a drive device for reading/writing various types of information such as programs and data to the storage medium. For the auxiliary storage device 105, a semiconductor memory such as a hard disk or a flash memory can be used as a storage medium.

보조 기억 장치(105)는, 감시 장치(1)가 부정 단말(3)의 검출 처리를 실행하기 위한 프로그램을 저장하는 프로그램 저장 영역을 갖는다. 또한, 보조 기억 장치(105)는, 네트워크(NW)에 접속이 허가되어 있는 정규 단말(2)의 화이트 리스트를 기억하고 있다. 보조 기억 장치(105)에 의해, 도 2에서 설명한 기억부(12)가 실현된다. 나아가, 예컨대, 전술한 데이터나 프로그램 등을 백업하기 위한 백업 영역 등을 갖고 있어도 좋다. The auxiliary storage device 105 has a program storage area in which the monitoring device 1 stores a program for executing the detection process of the illegal terminal 3 . Further, the auxiliary storage device 105 stores a white list of the regular terminals 2 that are permitted to connect to the network NW. The auxiliary storage device 105 realizes the storage unit 12 described in FIG. 2 . Further, for example, a backup area for backing up the above-described data, programs, or the like may be provided.

입출력 I/O(106)은, 외부 기기로부터의 신호를 입력하거나, 외부 기기로 신호를 출력하거나 하는 I/O 단자에 의해 구성된다. The input/output I/O 106 is constituted by I/O terminals for inputting a signal from an external device or outputting a signal to the external device.

표시 장치(107)는, 액정 디스플레이 등에 의해 구성된다. 표시 장치(107)는, 도 2에서 설명한 통지부(16)를 실현한다. 통지부(16)에 의한 통지는 표시 장치(107)에 표시된다. The display device 107 is constituted by a liquid crystal display or the like. The display device 107 implements the notification unit 16 described with reference to FIG. 2 . The notification by the notification unit 16 is displayed on the display device 107 .

[감시 방법][Monitoring method]

다음으로 전술한 구성을 갖는 감시 장치(1)의 동작에 관해 도 4의 플로우차트를 참조하여 설명한다. 이하 전제로서, 기억부(12)에는, 미리 네트워크(NW)에 접속하는 것이 허가된 단말의 식별 정보를 포함하는 화이트 리스트가 기억되어 있는 것으로 한다. Next, the operation of the monitoring device 1 having the above-described configuration will be described with reference to the flowchart of FIG. 4 . As a premise below, it is assumed that a white list including identification information of terminals permitted to connect to the network NW in advance is stored in the storage unit 12 .

우선, 생성부(11)는, 네트워크(NW) 상의 정규 단말(2) 및 부정 단말(3)로부터 ICMPv6 파라미터 부정 메시지(ICMP Parameter Problem)의 회신이 오는 부정한 헤더를 갖는 패킷을 생성한다(단계 S1). 구체적으로는, 생성부(11)는, IPv6 헤더 내의 홉바이홉 옵션(Hop-by-Hop Option)의 값을 IPv6 노드에 의해 인식할 수 없는 IPv6 확장 헤더의 데이터인 멀티캐스트 패킷을 생성할 수 있다. First, the generation unit 11 generates a packet having an illegal header to which a reply of an ICMPv6 parameter illegal message (ICMP Parameter Problem) is received from the regular terminal 2 and the illegal terminal 3 on the network NW (step S1) ). Specifically, the generation unit 11 may generate a multicast packet that is data of an IPv6 extension header in which the value of the Hop-by-Hop Option in the IPv6 header cannot be recognized by the IPv6 node. there is.

다음으로, 송수신부(10)는, 생성된 부정한 헤더를 갖는 멀티캐스트 패킷을 올노드 멀티캐스트에 송신한다(단계 S2). 구체적으로는, 도 1에 나타낸 바와 같이, 송수신부(10)는, 네트워크(NW)를 통해, 3개의 정규 단말(2) 및 부정 단말(3)에 멀티캐스트 패킷을 올노드 멀티캐스트(예컨대 「FE02::1」)에 송신한다. Next, the transceiver 10 transmits the generated multicast packet having an illegal header to all-node multicast (step S2). Specifically, as shown in Fig. 1, the transceiver 10 transmits multicast packets to the three regular terminals 2 and the illegal terminal 3 via the network NW to all-node multicast (for example, " FE02::1”).

그 후, 송수신부(10)는, 부정한 헤더를 갖는 멀티캐스트 패킷을 수신한 정규 단말(2) 및 부정 단말(3)로부터, 회신 패킷으로서 ICMPv6 에러 메시지를 수신한다(단계 S3). 다음으로, 취득부(13)는, 수신한 ICMPv6 에러 메시지의 패킷에 포함되는 송신원을 나타내는 고유의 식별 정보를 취득한다(단계 S4). 예컨대, 취득부(13)는, 고유의 식별 정보로서 송신원의 MAC 어드레스를 취득할 수 있다. Thereafter, the transmitting/receiving unit 10 receives an ICMPv6 error message as a reply packet from the regular terminal 2 and the illegal terminal 3 that have received the multicast packet having an illegal header (step S3). Next, the acquisition unit 13 acquires unique identification information indicating the transmission source included in the packet of the received ICMPv6 error message (step S4). For example, the acquisition unit 13 can acquire the MAC address of the transmission source as unique identification information.

다음으로, 대조부(14)는, 취득부(13)가 취득한 고유의 식별 정보를, 기억부(12)에 기억되어 있는 화이트 리스트와 대조한다(단계 S5). 구체적으로는, 대조부(14)는, ICMPv6 에러 메시지의 패킷에 포함되는 송신원의 MAC 어드레스를, 화이트 리스트에 등록되어 있는 MAC 어드레스와 대조한다. Next, the matching unit 14 collates the unique identification information acquired by the acquisition unit 13 with the white list stored in the storage unit 12 (step S5). Specifically, the collation unit 14 collates the MAC address of the sender included in the packet of the ICMPv6 error message with the MAC address registered in the white list.

도 5는, 기억부(12)에 기억되어 있는 화이트 리스트의 일례를 나타내고 있다. 미리 준비되어 있는 화이트 리스트에는, MAC 어드레스 「A」, 「B」, 「C」가 등록되어 있다. 대조부(14)는, ICMPv6 에러 메시지의 패킷에 포함되는 MAC 어드레스가 「A」, 「B」, 「C」와 일치하는지 아닌가를 대조 결과로서 출력한다. 5 shows an example of the white list stored in the storage unit 12 . MAC addresses "A", "B", and "C" are registered in the white list prepared in advance. The matching unit 14 outputs, as a matching result, whether or not the MAC address included in the packet of the ICMPv6 error message matches "A", "B", or "C".

ICMPv6 에러 메시지의 패킷에 포함되는 MAC 어드레스가 화이트 리스트에 존재하는 경우(단계 S6 : YES), 취득된 모든 MAC 어드레스가 화이트 리스트와 대조될 때까지(단계 S8 : NO), 단계 S3으로부터 단계 S6을 반복한다. If the MAC address included in the packet of the ICMPv6 error message exists in the white list (step S6: YES), proceed from step S3 to step S6 until all obtained MAC addresses are collated with the white list (step S8: NO) Repeat.

한편, ICMPv6 에러 메시지의 패킷에 포함되는 MAC 어드레스가 화이트 리스트에 존재하지 않는 경우에는(단계 S6 : NO), 판단부(15)는, 대조한 MAC 어드레스를 갖는 단말은 부정 단말(3)이라고 판단한다(단계 S7). On the other hand, when the MAC address included in the packet of the ICMPv6 error message does not exist in the white list (step S6: NO), the determination unit 15 determines that the terminal having the matched MAC address is the invalid terminal 3 . do (step S7).

그 후, 통지부(16)는, 부정 단말(3)이 존재하는 것, 및 부정 단말의 MAC 어드레스를 통지한다(단계 S9). 예컨대, 통지부(16)는, 표시 장치(107)에 부정 단말(3)의 MAC 어드레스 등을 표시시킬 수 있다. 또한, 통지부(16)는, 부정 단말(3)이 검출되지 않은 경우에는, 그 취지를 나타내는 통지를 행해도 좋다. Thereafter, the notification unit 16 notifies the existence of the illegal terminal 3 and the MAC address of the illegal terminal (step S9). For example, the notification unit 16 can display the MAC address of the illegal terminal 3 or the like on the display device 107 . In addition, the notification unit 16 may perform a notification indicating that, when the illegal terminal 3 is not detected.

이상 설명한 바와 같이, 본 실시형태에 관한 감시 장치(1)에 의하면, 부정한 헤더를 포함하는 멀티캐스트 패킷을 네트워크(NW) 내의 단말에 올노드 멀티캐스트 송신하고, 그 후 단말에서 회신되는 ICMPv6 에러 메시지의 패킷에 포함되는 송신원의 고유 식별 정보를 이용하여 부정 단말(3)을 검출한다. 그 때문에, 네트워크(NW) 내의 각 단말이 NS 패킷을 송신하는 것을 기다리지 않고, IPv6 환경에서 링크 로컬에 접속되어 있는 부정 단말(3)을 검출할 수 있다. As described above, according to the monitoring apparatus 1 according to the present embodiment, an ICMPv6 error message returned from the terminal after all-node multicast transmission of a multicast packet including an illegal header to a terminal in the network NW is performed. The fraudulent terminal 3 is detected using the unique identification information of the sender included in the packet of . Therefore, it is possible to detect the illegal terminal 3 connected to the link local in the IPv6 environment without waiting for each terminal in the network NW to transmit the NS packet.

또한, ICMPv6 에러 메시지의 패킷에 포함되는 정보를 이용하기 때문에, 보다 적은 양의 탐색 패킷의 송신에 의해, 보다 짧은 시간에 부정 단말(3)을 검출할 수 있다. In addition, since the information contained in the packet of the ICMPv6 error message is used, it is possible to detect the fraudulent terminal 3 in a shorter time by transmitting a smaller amount of discovery packets.

또, 설명한 실시형태에서는, 네트워크(NW) 내의 단말의 고유 식별 정보로서 MAC 어드레스를 이용한 경우를 예시했다. 그러나, 고유의 식별 정보로서 이용하는 정보는, 이것에 한정되지 않는다. 예컨대, IPv6 어드레스와 MAC 어드레스의 조합 등을 이용해도 좋다. In addition, in the described embodiment, the case where the MAC address was used as unique identification information of the terminal in the network NW was illustrated. However, the information used as unique identification information is not limited to this. For example, a combination of an IPv6 address and a MAC address may be used.

이상, 본 발명의 감시 장치 및 감시 방법에서의 실시형태에 관해 설명했지만, 본 발명은 설명한 실시형태에 한정되는 것이 아니며, 청구범위에 기재한 발명의 범위에서 당업자가 상정할 수 있는 각종 변형을 행하는 것이 가능하다. As mentioned above, although embodiment in the monitoring apparatus and monitoring method of this invention was described, this invention is not limited to the described embodiment, It is the scope of the invention described in the claim, and various modifications which those skilled in the art can assume are made. it is possible

1 : 감시 장치, 2 : 정규 단말, 3 : 부정 단말, 10 : 송수신부, 11 : 생성부, 12 : 기억부, 13 : 취득부, 14 : 대조부, 15 : 판단부, 16 : 통지부, 101 : 버스, 102 : 프로세서, 103 : 주기억 장치, 104 : 통신 인터페이스, 105 : 보조 기억 장치, 106 : 입출력 I/O, 107 : 표시 장치, NW : 네트워크. DESCRIPTION OF SYMBOLS 1: Monitoring device, 2: Regular terminal, 3: Improper terminal, 10: Transceiver unit, 11: Generation|generation part, 12: Memory|storage part, 13: Acquisition unit, 14: Verification unit, 15: Judgment unit, 16: Notification unit, 101: bus, 102: processor, 103: main memory, 104: communication interface, 105: auxiliary storage, 106: input/output I/O, 107: display device, NW: network.

Claims (8)

미리 설정된 부정한 헤더를 포함하는 송신 패킷을 생성하도록 구성된 생성부와,
상기 송신 패킷을 통신 네트워크를 통해 올노드 멀티캐스트 송신하도록 구성된 송신부와,
상기 송신 패킷을 수신한 단말로부터의 에러 메시지를 포함하는 회신 패킷을 상기 통신 네트워크를 통해 수신하도록 구성된 수신부와,
상기 회신 패킷에 포함되는, 상기 회신 패킷의 송신원인 상기 단말을 식별하는 고유의 식별 정보를 취득하도록 구성된 취득부와,
취득된 상기 식별 정보를, 기억부에 기억되어 있는 식별 정보의 리스트와 대조하도록 구성된 대조부와,
상기 대조부의 대조 결과에 기초하여, 상기 송신원의 상기 단말이 상기 통신 네트워크에 부정하게 접속하는 단말인지 아닌지를 판단하도록 구성된 판단부
를 구비하는 감시 장치. a generating unit configured to generate a transmission packet including a preset illegal header;
a transmission unit configured to transmit the transmission packet through an all-node multicast transmission network;
a receiving unit configured to receive a reply packet including an error message from a terminal that has received the transmit packet through the communication network;
an acquisition unit configured to acquire unique identification information for identifying the terminal, which is a transmission source of the reply packet, included in the reply packet;
a collating unit configured to collate the acquired identification information with a list of identification information stored in the storage unit;
a judging unit configured to judge whether or not the terminal of the transmitting source is a terminal illegally accessing the communication network, based on a matching result of the matching unit
A monitoring device comprising a. 제1항에 있어서,
상기 리스트는, 상기 통신 네트워크에 대한 접속이 허가된 단말의 고유 식별 정보를 포함하고,
상기 판단부는, 상기 취득부에 의해 취득된 상기 식별 정보가 상기 리스트에 포함되어 있지 않은 경우에, 그 단말이 상기 통신 네트워크에 부정하게 접속하는 단말이라고 판단하는 것을 특징으로 하는 감시 장치. According to claim 1,
The list includes unique identification information of a terminal permitted to access the communication network,
and the determination unit determines that the terminal is a terminal illegally accessing the communication network when the identification information acquired by the acquisition unit is not included in the list. 제1항 또는 제2항에 있어서,
상기 판단부에 의한 판단 결과를 통지하도록 구성된 통지부를 더 구비하는 것을 특징으로 하는 감시 장치. 3. The method of claim 1 or 2,
and a notification unit configured to notify a result of determination by the determination unit. 제1항 또는 제2항에 있어서,
상기 통신 네트워크는 IPv6에 대응한 통신 네트워크이고,
상기 송신 패킷은, 상기 송신 패킷을 수신한 단말이, 패킷에 문제가 있다고 판단하는 부정한 IPv6 헤더를 포함하는 것을 특징으로 하는 감시 장치. 3. The method of claim 1 or 2,
The communication network is a communication network corresponding to IPv6,
The transmission packet includes an illegal IPv6 header that the terminal that has received the transmission packet determines that there is a problem with the packet. 제1항 또는 제2항에 있어서,
상기 회신 패킷은 ICMPv6에 의한 파라미터 부정 메시지를 포함하는 것을 특징으로 하는 감시 장치. 3. The method of claim 1 or 2,
The reply packet includes an ICMPv6 parameter denial message. 제1항 또는 제2항에 있어서,
상기 식별 정보는 MAC 어드레스인 것을 특징으로 하는 감시 장치. 3. The method of claim 1 or 2,
The monitoring device, characterized in that the identification information is a MAC address. 제1항 또는 제2항에 있어서,
상기 취득부는, 상기 통신 네트워크에 접속되어 있는 단말을 검출하고, 그 단말의 정보로서 IP 어드레스 및 MAC 어드레스 중 적어도 어느 것을 취득하고,
상기 판단부는, 검출된 상기 단말의 정보 및 상기 대조부의 대조 결과에 기초하여, 상기 송신원의 상기 단말이 상기 통신 네트워크에 부정하게 접속하는 단말인지 아닌지를 판단하는 것을 특징으로 하는 감시 장치. 3. The method of claim 1 or 2,
The acquisition unit detects a terminal connected to the communication network, and acquires at least any one of an IP address and a MAC address as information of the terminal;
The judging unit determines whether or not the terminal of the transmitting source is a terminal illegally accessing the communication network, based on the detected information on the terminal and a matching result of the matching unit. 미리 설정된 부정한 헤더를 포함하는 송신 패킷을 생성하는 생성 단계와,
상기 송신 패킷을 통신 네트워크를 통해 올노드 멀티캐스트 송신하는 송신 단계와,
상기 송신 패킷을 수신한 단말로부터의 에러 메시지를 포함하는 회신 패킷을 상기 통신 네트워크를 통해 수신하는 수신 단계와,
상기 회신 패킷에 포함되는, 상기 회신 패킷의 송신원인 상기 단말을 식별하는 고유의 식별 정보를 취득하는 취득 단계와,
취득된 상기 식별 정보를, 기억부에 기억되어 있는 식별 정보의 리스트와 대조하는 대조 단계와,
상기 대조 단계에서의 대조 결과에 기초하여, 상기 송신원의 상기 단말이 상기 통신 네트워크에 부정하게 접속하는 단말인지 아닌지를 판단하는 판단 단계
를 포함하는 감시 방법.A generating step of generating a transmission packet including a preset illegal header;
A transmission step of transmitting the transmission packet through an all-node multicast transmission network;
a receiving step of receiving a reply packet including an error message from the terminal receiving the transmit packet through the communication network;
an acquisition step of acquiring unique identification information for identifying the terminal, which is a transmission source of the reply packet, included in the reply packet;
a collation step of collating the acquired identification information with a list of identification information stored in a storage unit;
A judgment step of judging whether or not the terminal of the sender is a terminal illegally accessing the communication network based on the matching result in the matching step
A monitoring method comprising a.
KR1020200055059A 2019-05-10 2020-05-08 Monitoring apparatus and monitoring method KR102387010B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JPJP-P-2019-089668 2019-05-10
JP2019089668A JP7232121B2 (en) 2019-05-10 2019-05-10 Monitoring device and monitoring method

Publications (2)

Publication Number Publication Date
KR20200130180A KR20200130180A (en) 2020-11-18
KR102387010B1 true KR102387010B1 (en) 2022-04-18

Family

ID=73223310

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200055059A KR102387010B1 (en) 2019-05-10 2020-05-08 Monitoring apparatus and monitoring method

Country Status (3)

Country Link
JP (1) JP7232121B2 (en)
KR (1) KR102387010B1 (en)
CN (1) CN111917703B (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006211698A (en) * 2006-02-27 2006-08-10 Brother Ind Ltd Ip address setting apparatus, ip address setting method, and network system
JP2006287299A (en) * 2005-03-31 2006-10-19 Nec Corp Network control method and device, and control program
JP2007104396A (en) * 2005-10-05 2007-04-19 Nippon Telegraph & Telephone East Corp Unjust connection preventing system, method, and program

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004241831A (en) 2003-02-03 2004-08-26 Rbec Corp Network management system
JP4487948B2 (en) 2006-02-17 2010-06-23 パナソニック株式会社 Packet transmission method, relay node, and reception node
JP4777461B2 (en) * 2007-09-07 2011-09-21 株式会社サイバー・ソリューションズ Network security monitoring device and network security monitoring system
KR100908320B1 (en) * 2009-03-20 2009-07-17 (주)넷맨 Method for protecting and searching host in internet protocol version 6 network
CN102970306B (en) * 2012-12-18 2015-07-15 中国科学院计算机网络信息中心 Intrusion detection system under Internet protocol version 6 (IPv6) network environment
JP2014150504A (en) * 2013-02-04 2014-08-21 Nec Corp Network monitoring device, network monitoring method, and computer program
CN108881211B (en) * 2018-06-11 2021-10-08 杭州盈高科技有限公司 Illegal external connection detection method and device

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006287299A (en) * 2005-03-31 2006-10-19 Nec Corp Network control method and device, and control program
JP2007104396A (en) * 2005-10-05 2007-04-19 Nippon Telegraph & Telephone East Corp Unjust connection preventing system, method, and program
JP2006211698A (en) * 2006-02-27 2006-08-10 Brother Ind Ltd Ip address setting apparatus, ip address setting method, and network system

Also Published As

Publication number Publication date
JP7232121B2 (en) 2023-03-02
KR20200130180A (en) 2020-11-18
JP2020188303A (en) 2020-11-19
CN111917703A (en) 2020-11-10
CN111917703B (en) 2023-05-09

Similar Documents

Publication Publication Date Title
TWI436631B (en) Method and apparatus for detecting port scans with fake source address
US7440406B2 (en) Apparatus for displaying network status
US10097418B2 (en) Discovering network nodes
CN109617972B (en) Connection establishing method and device, electronic equipment and storage medium
US7916733B2 (en) Data communication apparatus, data communication method, program, and storage medium
CN111131548B (en) Information processing method, apparatus and computer readable storage medium
JP2007104396A (en) Unjust connection preventing system, method, and program
KR102387010B1 (en) Monitoring apparatus and monitoring method
CN112565174B (en) Address monitoring device and address monitoring method
US10015179B2 (en) Interrogating malware
JP4484190B2 (en) Router search system, router search method, and router search program
CN110995738B (en) Violent cracking behavior identification method and device, electronic equipment and readable storage medium
JP2019041176A (en) Unauthorized connection blocking device and unauthorized connection blocking method
CN112565092B (en) Determining apparatus and determining method
CN113037704B (en) Detection device and detection method
CN112565005B (en) Network serial line detection method and device, equipment and medium
CN116015876B (en) Access control method, device, electronic equipment and storage medium
CN113872953B (en) Access message processing method and device
CN107959939B (en) Method and device for identifying connectivity of wireless Access Point (AP)
JP3856368B2 (en) Method and apparatus for discovering promiscuous nodes in an IP network, and promiscuous node discovery program
Bykasov et al. Trust Model for Active Scanning Methods, Ensuring Their Secure Interaction with Automated Process Control Networks
CN117527655A (en) NAT type detection method and device and electronic equipment
JP2022096796A (en) Information processing device, determination method, and determination program
JP2020123004A (en) Identification apparatus and identification method

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant