JP7444600B2 - 検出装置および検出方法 - Google Patents
検出装置および検出方法 Download PDFInfo
- Publication number
- JP7444600B2 JP7444600B2 JP2019234003A JP2019234003A JP7444600B2 JP 7444600 B2 JP7444600 B2 JP 7444600B2 JP 2019234003 A JP2019234003 A JP 2019234003A JP 2019234003 A JP2019234003 A JP 2019234003A JP 7444600 B2 JP7444600 B2 JP 7444600B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- terminal device
- network
- identification information
- detection device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims description 61
- 230000004044 response Effects 0.000 claims description 27
- 239000000523 sample Substances 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 238000011835 investigation Methods 0.000 description 3
- 238000005336 cracking Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000000034 method Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000011895 specific detection Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/16—Arrangements for providing special services to substations
- H04L12/18—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
- H04L12/185—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast with management of multicast group membership
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/16—Arrangements for providing special services to substations
- H04L12/18—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
- H04L12/1863—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast comprising mechanisms for improved reliability, e.g. status reports
- H04L12/1877—Measures taken prior to transmission
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/16—Multipoint routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/256—NAT traversal
- H04L61/2571—NAT traversal for identification, e.g. for authentication or billing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5069—Address allocation for group communication, multicast communication or broadcast communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/308—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
- Environmental & Geological Engineering (AREA)
- Technology Law (AREA)
- Power Engineering (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、検出装置および検出方法に関し、特にIPv6環境においてネットワークに接続された機器を検出する技術に関する。
近年、IoTの普及により様々な機器がインターネットにつながるようになっており、管理者が知らないうちに見知らぬ機器や悪意ある機器がネットワークに接続してしまうことも発生している。そのため、ネットワークへの接続が許可されていない機器や悪意のある機器が不正アクセスを行い、クラッキングや情報漏えいなどが発生することへの対策が必要とされている。
そこで、このような不正アクセスを防止する従来技術として、IPネットワーク上で、IPアドレスとMACアドレスとの対応関係を指定するためのARP(Address Resolution Protocol)パケットを監視して、不正な機器を特定する技術が提案されている(例えば、特許文献1から3参照)。
ところが、近年インターネットにつながる機器の数が爆発的に増加したことにより、IPプロトコルネットワークで使用されるアドレス空間が拡張されるようになっている。従来のARPパケットの監視による不正アクセスの防止技術では、ネットワーク上の端末装置などの機器を把握するために、アドレス空間を総当たりで検索する。従来の技術では、多数の調査パケットを送信する必要があるので、ネットワーク負荷が増大し、また、検索にかかる時間も増加するという問題があった。
本発明は、上述した課題を解決するためになされたものであり、ネットワークの負荷を低減しつつ、ネットワークへの接続が許可されていない端末装置を即座に検出することを目的とする。
上述した課題を解決するために、本発明に係る検出装置は、調査パケットをネットワークを介してオールノードマルチキャスト送信するように構成された送信部と、前記調査パケットに対する応答パケットを受信するように構成された受信部と、前記応答パケットに含まれる、前記応答パケットの送出元の端末装置のアドレス情報から、前記応答パケットの送出元の前記端末装置に固有の第1識別情報を取得するように構成された取得部と、前記ネットワークへの接続が許可されている端末装置に固有の第2識別情報を記憶するように構成された記憶部と、前記取得部によって取得された前記第1識別情報と前記第2識別情報とを比較して、前記第1識別情報と前記第2識別情報とが一致しない場合に、前記第1識別情報を有する前記端末装置は、前記ネットワークへの接続が許可されていない未許可の端末装置であると判断するように構成された判断部とを備える。
また、本発明に係る検出装置において、前記判断部による判断結果を提示するように構成された提示部をさらに備えていてもよい。
また、本発明に係る検出装置において、前記提示部は、前記判断結果、および、前記受信部で受信されたすべての前記応答パケットの送出元の端末装置に関する情報を提示してもよい。
また、本発明に係る検出装置において、前記調査パケットは、マルチキャストグループへの参加状況についての問い合わせを行うパケットであり、前記応答パケットは、前記調査パケットを受信した端末装置が参加しているマルチキャストグループを識別するマルチキャストアドレスを含むパケットあってもよい。
また、本発明に係る検出装置において、前記第1識別情報および前記第2識別情報は、前記応答パケットの送出元の端末装置および前記ネットワークへの接続が許可されている端末装置に割り当てられているMACアドレスを含んでいてもよい。
上述した課題を解決するために、本発明に係る検出方法は、調査パケットをネットワークを介してオールノードマルチキャスト送信する第1ステップと、前記調査パケットに対する応答パケットを受信する第2ステップと、前記応答パケットに含まれる、前記応答パケットの送出元の端末装置のアドレス情報から、前記応答パケットの送出元の前記端末装置に固有の第1識別情報を取得する第3ステップと、前記第3ステップで取得された前記第1識別情報と、記憶部に記憶されている前記ネットワークへの接続が許可されている端末装置に固有の第2識別情報とを比較して、前記第1識別情報と前記第2識別情報とが一致しない場合に、前記第1識別情報を有する前記端末装置は、前記ネットワークへの接続が許可されていない未許可の端末装置であると判断する第4ステップとを備える。
また、本発明に係る検出方法において、前記第4ステップでの判断結果を提示する第5ステップをさらに備えていてもよい。
本発明によれば、調査パケットをオールノードマルチキャスト送信し、調査パケットに対する応答パケットを受信して、応答パケットの送出元の端末装置に固有の第1識別情報を応答パケットから取得して、第1識別情報と記憶部に記憶されているネットワークへの接続が許可されている端末装置に固有の第2識別情報とを比較する。そのため、ネットワークの負荷を低減しつつ、ネットワークへの接続が許可されていない端末装置を即座に検出することができる。
以下、本発明の好適な実施の形態について、図1から図5を参照して詳細に説明する。
[ネットワークシステムの構成]
まず、本発明の実施の形態に係る検出装置1を備えるネットワークシステムの概要について説明する。図1に示すように、ネットワークシステムは検出装置1と、LANなどのネットワークNWを介して接続されている複数の端末装置2a、2bとを備える。ネットワークシステムは、例えば、BA(Building Automation)システムなどに設けられる。
[ネットワークシステムの構成]
まず、本発明の実施の形態に係る検出装置1を備えるネットワークシステムの概要について説明する。図1に示すように、ネットワークシステムは検出装置1と、LANなどのネットワークNWを介して接続されている複数の端末装置2a、2bとを備える。ネットワークシステムは、例えば、BA(Building Automation)システムなどに設けられる。
端末装置2a、2bは、IPv6が動作するPCなどの機器である。本実施の形態では、端末装置2aは、ネットワークNWへの接続が許可された正規端末であり、端末装置2bは、例えば、ネットワークNWへの接続が許可されていない未許可端末であるものとする。なお、以下において、端末装置2a、2bを総称して「端末装置2」ということがある。
本実施の形態に係る検出装置1は、ネットワークNWに接続している端末装置2a、2bを検出し、さらに、予め用意されているホワイトリストを用いて、ネットワークNWへの接続が許可されていない未許可端末を検出する。
近年、ネットワークNWにつながる機器のほとんどはIPv6が有効となっている。このことに鑑み、本実施の形態に係る検出装置1は、ICMPv6のMulticast Listener Discovery(MLD)メッセージタイプ130によるMulticast Listener Query(MLQ)のうちのGeneral Query(以下、「一般MLQ」という。)をオールノードマルチキャスト送信する。
検出装置1は、送信する一般MLQパケットの宛先をオールノードマルチキャストアドレスにすることで、一般MLQパケットは、ローカルネットワーク(ネットワークNW)に接続されているIPv6が有効なノードによって受信されることになる。本実施の形態では、一般MLQパケットをネットワークNWに接続されている端末装置2の検出、およびネットワークNWへの接続が許可されていない未許可端末を検出するための調査パケットとして用いる。
MLQは、ルータがリスナーに対して受信を希望するマルチキャストグループが存在するかどうかを問い合わせることに用いられるメッセージである。また、General Queryは、リンクローカルスコープ内に存在するすべてのリスナーに対して、どのマルチキャストグループに参加しているのかを調べるクエリである。
一般MLQパケットを受信した端末装置2a、2bは、各々が参加しているマルチキャストグループを識別するマルチキャストアドレスを報告するための応答パケットを、送出元の検出装置1に送信する。応答パケットは、ICMPv6のMLDメッセージタイプ131によるMulticast Listener Report(MLR)である。
MLDメッセージであるMLRは、ICMPv6パケットのフォーマットが使用される。ICMPv6パケットは、IPv6ヘッダとICMPv6メッセージとで構成される。ICMPv6メッセージの領域には、自装置が参加しているマルチキャストグループを識別するマルチキャストアドレスを報告するMLRが格納される。また、IPv6ヘッダには、送信元アドレスとしてICMPv6パケットの送信元アドレス(アドレス情報)が格納される。送信元アドレスは、IPv6アドレス(128ビット)であり、例えば、ステートレスアドレス自動設定が有効な環境では、IPv6アドレスの下位64ビットは、EUI-64フォーマットに従って、自ノードの48ビットのMACアドレスから生成される。
以下において、ICMPv6パケットで送信されるMLRを「MLRパケット」という。
検出装置1は、MLRパケットをキャプチャすることで、MLRパケットの送出元の端末装置2に固有の識別情報としてMACアドレス情報(第1識別情報)を取得する。より具体的には、検出装置1は、MLRパケットにある送信元のMACアドレスを取得する。
また、検出装置1は、キャプチャしたMLRパケットより取得したMLRパケットの送出元のMACアドレスと、予め用意されているホワイトリストに登録された、ネットワークNWへの接続が許可されている端末装置2のMACアドレス(第2識別情報)とを比較して、未許可端末を検出する。
前述したように、従来の技術において、ホワイトリストを利用して未許可端末を検出する場合には、ARPが利用される。従来の技術では、例えば、IPアドレスの範囲[172.22.1.1]~[172.22.255.254]のホストに対して、6万回以上ものARPリクエストパケットを送信して検索するので、ネットワーク負荷がかかり、探索にも時間がかかる。
この点において、本発明の実施の形態に係る検出装置1は、一般MLQパケットをオールノードマルチキャスト送信するので、1回の調査パケットの送信で、ネットワークNWに接続されている端末装置2の検出、および未許可端末の検出をより短い探索時間で行うことができる。
[検出装置の機能ブロック]
検出装置1は、図2に示すように、例えば、送信部10、受信部11、記憶部12、取得部13、判断部14、および提示部15を備える。
検出装置1は、図2に示すように、例えば、送信部10、受信部11、記憶部12、取得部13、判断部14、および提示部15を備える。
送信部10は、一般MLQパケットを、ネットワークNWを介してオールノードマルチキャスト送信する。例えば、送信部10は、[FF02::1]を送信先とした一般MLQパケットを一定周期で送信することができる。
受信部11は、一般MLQパケットに対する応答パケットであるMLRパケットを受信する。本実施の形態では、受信部11は、図1に示すように、一般MLQパケットを受信した、ネットワークNWに接続されている正規端末および未許可端末を含む、すべての端末装置2からのMLRパケットを受信する。
記憶部12は、ネットワークNWへの接続が許可されている端末装置2(以下、「正規端末」ということがある。)に固有の識別情報としてMACアドレスが登録されたホワイトリストを記憶する。正規端末のMACアドレスは、ネットワークシステムが構築された際、および更新される際などに、例えば、図示されない入力装置によって受け付けられて、記憶部12のホワイトリストに登録される。
取得部13は、受信部11が受信したMLRパケットから、MLRパケットの送出元である端末装置2のMACアドレスを取得する。取得部13が取得するMACアドレスによって、正規端末および未許可端末を含む、ネットワークNWに接続されている端末装置2の検出情報が得られる。
判断部14は、取得部13が取得したMLRパケットの送出元のMACアドレスと、記憶部12に記憶されているホワイトリストに含まれる、ネットワークNWへの接続が許可されている端末装置2のMACアドレスとを比較する。判断部14は、MLRパケットの送出元を示すMACアドレスが、ホワイトリストに登録されているMACアドレスと一致しない場合には、MLRパケットの送出元の端末装置2はネットワークNWへの接続が許可されていない未許可の端末装置2であると判断する。
提示部15は、判断部14による判断結果を提示する。例えば、提示部15は、判断結果を外部の予め設定されたサーバなどに提示することができる。また、提示部15は、MLRパケットの送出元の端末装置2を示す検出情報を、同様に、外部の予め設定されたサーバなどに提示する構成とすることができる。
[検出装置のハードウェア構成]
次に、上述した機能を有する検出装置1を実現するハードウェア構成の一例について、図3を用いて説明する。
次に、上述した機能を有する検出装置1を実現するハードウェア構成の一例について、図3を用いて説明する。
図3に示すように、検出装置1は、例えば、バス101を介して接続されるプロセッサ102、主記憶装置103、通信インターフェース104、補助記憶装置105、入出力I/O106を備えるコンピュータと、これらのハードウェア資源を制御するプログラムによって実現することができる。また、検出装置1は、バス101を介して接続される表示装置107を備えることができる。
主記憶装置103には、プロセッサ102が各種制御や演算を行うためのプログラムが予め格納されている。プロセッサ102と主記憶装置103とによって、図2に示した取得部13、判断部14など、検出装置1の各機能が実現される。
通信インターフェース104は、検出装置1と端末装置2や各種外部電子機器との間をネットワーク接続するためのインターフェース回路である。通信インターフェース104によって図2で示した送信部10、受信部11、および提示部15が実現される。
補助記憶装置105は、読み書き可能な記憶媒体と、その記憶媒体に対してプログラムやデータなどの各種情報を読み書きするための駆動装置とで構成されている。補助記憶装置105には、記憶媒体としてハードディスクやフラッシュメモリなどの半導体メモリを使用することができる。
補助記憶装置105は、検出装置1が、ネットワークNWに接続されている端末装置2を検出し、さらに、未許可端末を検出するための検出プログラムを格納するプログラム格納領域を有する。補助記憶装置105によって、図2で説明した記憶部12が実現される。さらには、例えば、上述したデータやプログラムやなどをバックアップするためのバックアップ領域などを有していてもよい。
入出力I/O106は、外部機器からの信号を入力したり、外部機器へ信号を出力したりするI/O端子により構成される。
表示装置107は、液晶ディスプレイなどによって構成される。表示装置107は、判断部14による判断結果を表示画面に表示することができる。表示装置107によっても図2で説明した提示部15を実現することができる。
[検出方法]
次に、上述した構成を有する検出装置1の動作について、図4のフローチャートを用いて説明する。なお、記憶部12には、ネットワークNWへの接続が許可されている端末装置2のMACアドレスが登録されたホワイトリストが記憶されているものとする。
次に、上述した構成を有する検出装置1の動作について、図4のフローチャートを用いて説明する。なお、記憶部12には、ネットワークNWへの接続が許可されている端末装置2のMACアドレスが登録されたホワイトリストが記憶されているものとする。
まず、送信部10は、一般MLQパケットを、ネットワークNWを介してオールノードマルチキャスト送信する(ステップS1)。次に、受信部11は、一般MLQパケットを受信した端末装置2から、応答パケットであるMLRパケットを受信する(ステップS2)。
次に、取得部13は、ステップS2で受信されたMLRパケットから、送出元の端末装置2のMACアドレスを示す情報を取得する(ステップS3)。より詳細には、取得部13は、MLRパケットのヘッダに格納されているMLRパケットの送出元を示すIPv6アドレスより、送出元の端末装置2のMACアドレスを求める。ステップS3で取得されたMACアドレスより、正規端末および未許可端末を含むネットワークNWに接続されている端末装置2についてのより具体的な検出情報が得られる。
次に、判断部14は、ステップS3で取得されたMLRパケットの送出元のMACアドレスと、記憶部12に記憶されているホワイトリストに登録されているMACアドレスとを比較する(ステップS4)。判断部14は、MLRパケットから取得されたMACアドレスとホワイトリストに登録されているMACアドレスとが一致する場合には(ステップS5:YES)、MLRパケットの送出元の端末装置2は、正規の端末装置2であると判断する(ステップS6)。
一方、MLRパケットから取得されたMACアドレスが、ホワイトリストに登録されているMACアドレスのいずれとも一致しない場合には(ステップS5:NO)、判断部14は、MLRパケットの送出元の端末装置2は、ネットワークNWへの接続が許可されていない未許可の端末装置2であると判断する(ステップS7)。
その後、提示部15は、判断部14による判断結果を提示する(ステップS8)。例えば、提示部15は、ステップS7で検出されたネットワークNWへの接続が許可されていない未許可の端末装置2に関する情報を、外部の図示されない特定のサーバなどへ送出することができる。また、提示部15は、未許可の端末装置2に関する情報に加えて、ステップS3で検出されたネットワークNWに接続されている端末装置2a、2bに関する情報についてもサーバなどに通知してもよい。
[ネットワークシステムの動作シーケンス]
次に、上述した構成を有する検出装置1、および端末装置2a、2bを備えるネットワークシステムの動作について、図5のシーケンス図を参照して説明する。以下において、端末装置2aのMACアドレスは「G」、端末装置2bのMACアドレスは「H」であり、検出装置1が備えるホワイトリストには、ネットワークNWへの接続が許可されている端末装置2のMACアドレスとして「A、B、G、K」が予め登録されているものとする。
次に、上述した構成を有する検出装置1、および端末装置2a、2bを備えるネットワークシステムの動作について、図5のシーケンス図を参照して説明する。以下において、端末装置2aのMACアドレスは「G」、端末装置2bのMACアドレスは「H」であり、検出装置1が備えるホワイトリストには、ネットワークNWへの接続が許可されている端末装置2のMACアドレスとして「A、B、G、K」が予め登録されているものとする。
まず、検出装置1は、一般MLQパケットを、オールノードマルチキャスト送信する(ステップS100)。次に、端末装置2a、2bは、一般MLQパケットを受信すると、応答パケットとして、MLRパケットをそれぞれ送信する(ステップS101、S102)。
端末装置2a、2bがそれぞれ送信するMLRパケットには、各装置が参加するマルチキャストグループを識別するマルチキャストアドレスが格納され、また、ヘッダの送信元アドレスのフィールドには、自装置のIPv6アドレスが格納されている。検出装置1は、受信したMLRパケットのヘッダに格納されている送信元アドレスからMLRパケットの各々の送出元の端末装置2aのMACアドレス「G」、および端末装置2bのMACアドレス「H」を取得する。
次に、検出装置1は、取得したMLRパケットの送出元の端末装置2aのMACアドレス「G」と、ホワイトリストに登録されているMACアドレス「A、B、G、K」とを比較する(ステップS103)。MACアドレス「G」は、ホワイトリストに登録されているMACアドレスと一致するため、検出装置1は、MACアドレス「G」に対応する端末装置2aは、正規端末であると判断する(ステップS104)。
一方、検出装置1は、取得したMLRパケットの送出元の端末装置2bのMACアドレス「H」と、ホワイトリストに登録されているMACアドレスとを比較する(ステップS105)。MACアドレス「H」は、ホワイトリストに登録されていないため、検出装置1は、MACアドレス「H」に対応する端末装置2bは、未許可端末であると判断する(ステップS106)。
その後、検出装置1は、ネットワークNWに接続されているすべての端末装置2a、2bを示す情報、および端末装置2bが未許可端末であることを示す情報を提示する(ステップS107)。例えば、検出装置1は、判断結果を、外部の特定のサーバなどへ送出することができる。
以上説明したように、本実施の形態に係る検出装置1によれば、調査パケットとして一般MLQパケットをオールノードマルチキャスト宛に1回送信するだけで、ローカルネットにつながっている端末装置2を検出できる。また、検出装置1によれば、検出された端末装置2のMACアドレスとホワイトリストに登録されたMACアドレスとを比較して、端末装置2が未許可の端末装置であるか否かを判断する。そのため、ネットワークNWの負荷を低減しつつ、ネットワークNWへの接続が許可されていない端末装置を即座に検出することができる。
その結果として、未許可の端末装置や悪意のある端末装置などが不正アクセスにより、クラッキングや情報漏えいなどを行うことを防止することができる。
なお、説明した実施の形態では、応答パケットであるMLRパケットから送出元の端末装置2のMACアドレス情報を取得して、ホワイトリストに登録されているMACアドレスと比較して、未許可の端末装置2を検出する場合について説明した。しかし、ネットワークシステムが、制御システムなどであり、固定のIPv6アドレスが機器に割り当てられる環境においては、MACアドレス同士の比較だけでなく、IPv6アドレスも比較対象として用いることができる。
この場合において、取得部13は、MLRパケットのヘッダに含まれるIPv6アドレスをさらに取得して、MLRパケットの送信元IPv6アドレスおよびMACアドレスの組と、ホワイトリストに登録されているIPv6アドレスおよびMACアドレスの組とを比較する。判断部14は、IPv6アドレスおよびMACアドレスの組がホワイトリストに登録されている組と一致する場合には、MLRパケットの送出元の端末装置2は、正規の端末装置2であると判断する。一方、IPv6アドレスおよびMACアドレスの組がホワイトリストに登録されているIPv6アドレスおよびMACアドレスの組と一致しない場合、判断部14は、MLRパケットの送出元の端末装置2は、未許可の端末装置2であると判断する。
以上、本発明の検出装置および検出方法における実施の形態について説明したが、本発明は説明した実施の形態に限定されるものではなく、請求項に記載した発明の範囲において当業者が想定し得る各種の変形を行うことが可能である。
1…検出装置、2、2a、2b…端末装置、10…送信部、11…受信部、12…記憶部、13…取得部、14…判断部、15…提示部、101…バス、102…プロセッサ、103…主記憶装置、104…通信インターフェース、105…補助記憶装置、106…入出力I/O、107…表示装置、NW…ネットワーク。
Claims (5)
- 調査パケットをネットワークを介してオールノードマルチキャスト送信するように構成された送信部と、
前記調査パケットに対する応答パケットを受信するように構成された受信部と、
前記応答パケットに含まれる、前記応答パケットの送出元の端末装置のアドレス情報から、前記応答パケットの送出元の前記端末装置に固有の第1識別情報を取得するように構成された取得部と、
前記ネットワークへの接続が許可されている端末装置に固有の第2識別情報を記憶するように構成された記憶部と、
前記取得部によって取得された前記第1識別情報と前記第2識別情報とを比較して、前記第1識別情報と前記第2識別情報とが一致しない場合に、前記第1識別情報を有する前記端末装置は、前記ネットワークへの接続が許可されていない未許可の端末装置であると判断するように構成された判断部と
を備える検出装置。 - 請求項1に記載の検出装置において、
前記判断部による判断結果を提示するように構成された提示部をさらに備える
ことを特徴とする検出装置。 - 請求項2に記載の検出装置において、
前記提示部は、前記判断結果、および、前記受信部で受信されたすべての前記応答パケットの送出元の端末装置に関する情報を提示する
ことを特徴とする検出装置。 - 請求項1から3のいずれか1項に記載の検出装置において、
前記調査パケットは、マルチキャストグループへの参加状況についての問い合わせを行うパケットであり、
前記応答パケットは、前記調査パケットを受信した端末装置が参加しているマルチキャストグループを識別するマルチキャストアドレスを含むパケットである
ことを特徴とする検出装置。 - 請求項1から4のいずれか1項に記載の検出装置において、
前記第1識別情報および前記第2識別情報は、前記応答パケットの送出元の端末装置および前記ネットワークへの接続が許可されている端末装置に割り当てられているMACアドレスを含む
ことを特徴とする検出装置。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019234003A JP7444600B2 (ja) | 2019-12-25 | 2019-12-25 | 検出装置および検出方法 |
| KR1020200176612A KR20210082364A (ko) | 2019-12-25 | 2020-12-16 | 검출 장치 및 검출 방법 |
| CN202011498504.2A CN113037704B (zh) | 2019-12-25 | 2020-12-17 | 检测装置以及检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019234003A JP7444600B2 (ja) | 2019-12-25 | 2019-12-25 | 検出装置および検出方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2021103836A JP2021103836A (ja) | 2021-07-15 |
| JP7444600B2 true JP7444600B2 (ja) | 2024-03-06 |
Family
ID=76460477
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019234003A Active JP7444600B2 (ja) | 2019-12-25 | 2019-12-25 | 検出装置および検出方法 |
Country Status (3)
| Country | Link |
|---|---|
| JP (1) | JP7444600B2 (ja) |
| KR (1) | KR20210082364A (ja) |
| CN (1) | CN113037704B (ja) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002325077A (ja) | 2001-04-25 | 2002-11-08 | Hitachi Software Eng Co Ltd | ネットワーク管理方法及びネットワーク管理装置 |
| JP2006287299A (ja) | 2005-03-31 | 2006-10-19 | Nec Corp | ネットワーク管理方法および装置並びに管理プログラム |
| JP2011217016A (ja) | 2010-03-31 | 2011-10-27 | Nec Corp | 不正接続防止装置及びプログラム |
| US20170034004A1 (en) | 2013-06-10 | 2017-02-02 | Palo Alto Networks, Inc. | Discovering network nodes |
| JP2017073721A (ja) | 2015-10-09 | 2017-04-13 | 株式会社 インターコム | 情報処理装置及びプログラム |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4174392B2 (ja) | 2003-08-28 | 2008-10-29 | 日本電気株式会社 | ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置 |
| JP2005157968A (ja) * | 2003-11-28 | 2005-06-16 | Nec Soft Ltd | 不正接続検知システム |
| JP4245486B2 (ja) | 2004-01-08 | 2009-03-25 | 富士通株式会社 | ネットワーク不正接続防止方法及び装置 |
| JP2006222659A (ja) * | 2005-02-09 | 2006-08-24 | Oki Electric Ind Co Ltd | 無線通信装置、無線通信システム及び方法 |
| CN100499669C (zh) * | 2005-09-09 | 2009-06-10 | 上海贝尔阿尔卡特股份有限公司 | IPv6接入网络中网络地址重构方法 |
| JP2007104396A (ja) * | 2005-10-05 | 2007-04-19 | Nippon Telegraph & Telephone East Corp | 不正接続防止システムおよび方法、プログラム |
| JP2008227600A (ja) | 2007-03-08 | 2008-09-25 | Toshiba Corp | 通信妨害装置及び通信妨害プログラム |
| CN106302188A (zh) * | 2015-05-18 | 2017-01-04 | 中兴通讯股份有限公司 | 一种交换机设备的组播报文转发控制方法及装置 |
-
2019
- 2019-12-25 JP JP2019234003A patent/JP7444600B2/ja active Active
-
2020
- 2020-12-16 KR KR1020200176612A patent/KR20210082364A/ko not_active Application Discontinuation
- 2020-12-17 CN CN202011498504.2A patent/CN113037704B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002325077A (ja) | 2001-04-25 | 2002-11-08 | Hitachi Software Eng Co Ltd | ネットワーク管理方法及びネットワーク管理装置 |
| JP2006287299A (ja) | 2005-03-31 | 2006-10-19 | Nec Corp | ネットワーク管理方法および装置並びに管理プログラム |
| JP2011217016A (ja) | 2010-03-31 | 2011-10-27 | Nec Corp | 不正接続防止装置及びプログラム |
| US20170034004A1 (en) | 2013-06-10 | 2017-02-02 | Palo Alto Networks, Inc. | Discovering network nodes |
| JP2017073721A (ja) | 2015-10-09 | 2017-04-13 | 株式会社 インターコム | 情報処理装置及びプログラム |
Non-Patent Citations (1)
| Title |
|---|
| Gunjan Bansal et al.,Detection of NDP Based Attacks using MLD,SIN'12:Proceedings of the Fifth International Conference on Security of Information and Networks,2012年10月,pp.163-167,https://dl.acm.org/doi/pdf/10.1145/2388576.2388600 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2021103836A (ja) | 2021-07-15 |
| KR20210082364A (ko) | 2021-07-05 |
| CN113037704A (zh) | 2021-06-25 |
| CN113037704B (zh) | 2023-10-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10505908B2 (en) | System and method for automatic wireless connection between a portable terminal and a digital device | |
| US8543669B2 (en) | Network switch and method of preventing IP address collision | |
| US7724679B2 (en) | Device and method for automatically detecting network information | |
| US20060209700A1 (en) | Tracing an access point in a wireless network | |
| US8774188B2 (en) | Communication apparatus and method of controlling same | |
| CN101179515B (zh) | 一种抑制黑洞路由的方法和装置 | |
| US7530100B2 (en) | Apparatus for limiting use of particular network address | |
| US10097418B2 (en) | Discovering network nodes | |
| JP2007104396A (ja) | 不正接続防止システムおよび方法、プログラム | |
| JP7444600B2 (ja) | 検出装置および検出方法 | |
| US20200267116A1 (en) | Internet protocol version six address management | |
| US10015179B2 (en) | Interrogating malware | |
| JP7376289B2 (ja) | アドレス監視装置およびアドレス監視方法 | |
| CN112601229B (zh) | 检测非法的装置和检测非法的方法 | |
| JP7359586B2 (ja) | アドレス管理装置およびアドレス管理方法 | |
| US10298481B1 (en) | Method and apparatus for testing VLAN | |
| JP7232121B2 (ja) | 監視装置および監視方法 | |
| KR101125612B1 (ko) | 불법 dhcp 서버 감지 및 차단 방법 | |
| JP3432449B2 (ja) | 通信制御装置及びその方法 | |
| JP2021044655A (ja) | 特定装置および特定方法 | |
| CN115604231A (zh) | 网络地址的配置方法、路由设备、节点设备和存储介质 | |
| CN113992583A (zh) | 一种表项维护方法及装置 | |
| JP2002237821A (ja) | Ipネットワークにおけるプロミスキャスノードを発見する方法及び装置、並びにプロミスキャスノード発見プログラム | |
| Sekhar et al. | A Novel Approach for Spoofing Media Access Control Address |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220922 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230714 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230912 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231101 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240130 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240222 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7444600 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |