[go: up one dir, main page]

JP7444600B2 - 検出装置および検出方法 - Google Patents

検出装置および検出方法 Download PDF

Info

Publication number
JP7444600B2
JP7444600B2 JP2019234003A JP2019234003A JP7444600B2 JP 7444600 B2 JP7444600 B2 JP 7444600B2 JP 2019234003 A JP2019234003 A JP 2019234003A JP 2019234003 A JP2019234003 A JP 2019234003A JP 7444600 B2 JP7444600 B2 JP 7444600B2
Authority
JP
Japan
Prior art keywords
packet
terminal device
network
identification information
detection device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019234003A
Other languages
English (en)
Other versions
JP2021103836A (ja
Inventor
貴彦 太田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Azbil Corp
Original Assignee
Azbil Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Azbil Corp filed Critical Azbil Corp
Priority to JP2019234003A priority Critical patent/JP7444600B2/ja
Priority to KR1020200176612A priority patent/KR20210082364A/ko
Priority to CN202011498504.2A priority patent/CN113037704B/zh
Publication of JP2021103836A publication Critical patent/JP2021103836A/ja
Application granted granted Critical
Publication of JP7444600B2 publication Critical patent/JP7444600B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • H04L12/185Arrangements for providing special services to substations for broadcast or conference, e.g. multicast with management of multicast group membership
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • H04L12/1863Arrangements for providing special services to substations for broadcast or conference, e.g. multicast comprising mechanisms for improved reliability, e.g. status reports
    • H04L12/1877Measures taken prior to transmission
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/16Multipoint routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2571NAT traversal for identification, e.g. for authentication or billing 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5069Address allocation for group communication, multicast communication or broadcast communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Environmental & Geological Engineering (AREA)
  • General Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • Health & Medical Sciences (AREA)
  • Technology Law (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、検出装置および検出方法に関し、特にIPv6環境においてネットワークに接続された機器を検出する技術に関する。
近年、IoTの普及により様々な機器がインターネットにつながるようになっており、管理者が知らないうちに見知らぬ機器や悪意ある機器がネットワークに接続してしまうことも発生している。そのため、ネットワークへの接続が許可されていない機器や悪意のある機器が不正アクセスを行い、クラッキングや情報漏えいなどが発生することへの対策が必要とされている。
そこで、このような不正アクセスを防止する従来技術として、IPネットワーク上で、IPアドレスとMACアドレスとの対応関係を指定するためのARP(Address Resolution Protocol)パケットを監視して、不正な機器を特定する技術が提案されている(例えば、特許文献1から3参照)。
ところが、近年インターネットにつながる機器の数が爆発的に増加したことにより、IPプロトコルネットワークで使用されるアドレス空間が拡張されるようになっている。従来のARPパケットの監視による不正アクセスの防止技術では、ネットワーク上の端末装置などの機器を把握するために、アドレス空間を総当たりで検索する。従来の技術では、多数の調査パケットを送信する必要があるので、ネットワーク負荷が増大し、また、検索にかかる時間も増加するという問題があった。
特開2005-079706号公報 特開2005-198090号公報 特開2008-227600号公報
本発明は、上述した課題を解決するためになされたものであり、ネットワークの負荷を低減しつつ、ネットワークへの接続が許可されていない端末装置を即座に検出することを目的とする。
上述した課題を解決するために、本発明に係る検出装置は、調査パケットをネットワークを介してオールノードマルチキャスト送信するように構成された送信部と、前記調査パケットに対する応答パケットを受信するように構成された受信部と、前記応答パケットに含まれる、前記応答パケットの送出元の端末装置のアドレス情報から、前記応答パケットの送出元の前記端末装置に固有の第1識別情報を取得するように構成された取得部と、前記ネットワークへの接続が許可されている端末装置に固有の第2識別情報を記憶するように構成された記憶部と、前記取得部によって取得された前記第1識別情報と前記第2識別情報とを比較して、前記第1識別情報と前記第2識別情報とが一致しない場合に、前記第1識別情報を有する前記端末装置は、前記ネットワークへの接続が許可されていない未許可の端末装置であると判断するように構成された判断部とを備える。
また、本発明に係る検出装置において、前記判断部による判断結果を提示するように構成された提示部をさらに備えていてもよい。
また、本発明に係る検出装置において、前記提示部は、前記判断結果、および、前記受信部で受信されたすべての前記応答パケットの送出元の端末装置に関する情報を提示してもよい。
また、本発明に係る検出装置において、前記調査パケットは、マルチキャストグループへの参加状況についての問い合わせを行うパケットであり、前記応答パケットは、前記調査パケットを受信した端末装置が参加しているマルチキャストグループを識別するマルチキャストアドレスを含むパケットあってもよい。
また、本発明に係る検出装置において、前記第1識別情報および前記第2識別情報は、前記応答パケットの送出元の端末装置および前記ネットワークへの接続が許可されている端末装置に割り当てられているMACアドレスを含んでいてもよい。
上述した課題を解決するために、本発明に係る検出方法は、調査パケットをネットワークを介してオールノードマルチキャスト送信する第1ステップと、前記調査パケットに対する応答パケットを受信する第2ステップと、前記応答パケットに含まれる、前記応答パケットの送出元の端末装置のアドレス情報から、前記応答パケットの送出元の前記端末装置に固有の第1識別情報を取得する第3ステップと、前記第3ステップで取得された前記第1識別情報と、記憶部に記憶されている前記ネットワークへの接続が許可されている端末装置に固有の第2識別情報とを比較して、前記第1識別情報と前記第2識別情報とが一致しない場合に、前記第1識別情報を有する前記端末装置は、前記ネットワークへの接続が許可されていない未許可の端末装置であると判断する第4ステップとを備える。
また、本発明に係る検出方法において、前記第4ステップでの判断結果を提示する第5ステップをさらに備えていてもよい。
本発明によれば、調査パケットをオールノードマルチキャスト送信し、調査パケットに対する応答パケットを受信して、応答パケットの送出元の端末装置に固有の第1識別情報を応答パケットから取得して、第1識別情報と記憶部に記憶されているネットワークへの接続が許可されている端末装置に固有の第2識別情報とを比較する。そのため、ネットワークの負荷を低減しつつ、ネットワークへの接続が許可されていない端末装置を即座に検出することができる。
図1は、本発明の実施の形態に係る検出装置を含むネットワークシステムの構成を示すブロック図である。 図2は、実施の形態に係る検出装置の構成を示すブロック図である。 図3は、実施の形態に係る検出装置のハードウェア構成を示すブロック図である。 図4は、実施の形態に係る検出方法を説明するためのフローチャートである。 図5は、実施の形態に係るネットワークシステムの動作を示すシーケンス図である。
以下、本発明の好適な実施の形態について、図1から図5を参照して詳細に説明する。
[ネットワークシステムの構成]
まず、本発明の実施の形態に係る検出装置1を備えるネットワークシステムの概要について説明する。図1に示すように、ネットワークシステムは検出装置1と、LANなどのネットワークNWを介して接続されている複数の端末装置2a、2bとを備える。ネットワークシステムは、例えば、BA(Building Automation)システムなどに設けられる。
端末装置2a、2bは、IPv6が動作するPCなどの機器である。本実施の形態では、端末装置2aは、ネットワークNWへの接続が許可された正規端末であり、端末装置2bは、例えば、ネットワークNWへの接続が許可されていない未許可端末であるものとする。なお、以下において、端末装置2a、2bを総称して「端末装置2」ということがある。
本実施の形態に係る検出装置1は、ネットワークNWに接続している端末装置2a、2bを検出し、さらに、予め用意されているホワイトリストを用いて、ネットワークNWへの接続が許可されていない未許可端末を検出する。
近年、ネットワークNWにつながる機器のほとんどはIPv6が有効となっている。このことに鑑み、本実施の形態に係る検出装置1は、ICMPv6のMulticast Listener Discovery(MLD)メッセージタイプ130によるMulticast Listener Query(MLQ)のうちのGeneral Query(以下、「一般MLQ」という。)をオールノードマルチキャスト送信する。
検出装置1は、送信する一般MLQパケットの宛先をオールノードマルチキャストアドレスにすることで、一般MLQパケットは、ローカルネットワーク(ネットワークNW)に接続されているIPv6が有効なノードによって受信されることになる。本実施の形態では、一般MLQパケットをネットワークNWに接続されている端末装置2の検出、およびネットワークNWへの接続が許可されていない未許可端末を検出するための調査パケットとして用いる。
MLQは、ルータがリスナーに対して受信を希望するマルチキャストグループが存在するかどうかを問い合わせることに用いられるメッセージである。また、General Queryは、リンクローカルスコープ内に存在するすべてのリスナーに対して、どのマルチキャストグループに参加しているのかを調べるクエリである。
一般MLQパケットを受信した端末装置2a、2bは、各々が参加しているマルチキャストグループを識別するマルチキャストアドレスを報告するための応答パケットを、送出元の検出装置1に送信する。応答パケットは、ICMPv6のMLDメッセージタイプ131によるMulticast Listener Report(MLR)である。
MLDメッセージであるMLRは、ICMPv6パケットのフォーマットが使用される。ICMPv6パケットは、IPv6ヘッダとICMPv6メッセージとで構成される。ICMPv6メッセージの領域には、自装置が参加しているマルチキャストグループを識別するマルチキャストアドレスを報告するMLRが格納される。また、IPv6ヘッダには、送信元アドレスとしてICMPv6パケットの送信元アドレス(アドレス情報)が格納される。送信元アドレスは、IPv6アドレス(128ビット)であり、例えば、ステートレスアドレス自動設定が有効な環境では、IPv6アドレスの下位64ビットは、EUI-64フォーマットに従って、自ノードの48ビットのMACアドレスから生成される。
以下において、ICMPv6パケットで送信されるMLRを「MLRパケット」という。
検出装置1は、MLRパケットをキャプチャすることで、MLRパケットの送出元の端末装置2に固有の識別情報としてMACアドレス情報(第1識別情報)を取得する。より具体的には、検出装置1は、MLRパケットにある送信元のMACアドレスを取得する。
また、検出装置1は、キャプチャしたMLRパケットより取得したMLRパケットの送出元のMACアドレスと、予め用意されているホワイトリストに登録された、ネットワークNWへの接続が許可されている端末装置2のMACアドレス(第2識別情報)とを比較して、未許可端末を検出する。
前述したように、従来の技術において、ホワイトリストを利用して未許可端末を検出する場合には、ARPが利用される。従来の技術では、例えば、IPアドレスの範囲[172.22.1.1]~[172.22.255.254]のホストに対して、6万回以上ものARPリクエストパケットを送信して検索するので、ネットワーク負荷がかかり、探索にも時間がかかる。
この点において、本発明の実施の形態に係る検出装置1は、一般MLQパケットをオールノードマルチキャスト送信するので、1回の調査パケットの送信で、ネットワークNWに接続されている端末装置2の検出、および未許可端末の検出をより短い探索時間で行うことができる。
[検出装置の機能ブロック]
検出装置1は、図2に示すように、例えば、送信部10、受信部11、記憶部12、取得部13、判断部14、および提示部15を備える。
送信部10は、一般MLQパケットを、ネットワークNWを介してオールノードマルチキャスト送信する。例えば、送信部10は、[FF02::1]を送信先とした一般MLQパケットを一定周期で送信することができる。
受信部11は、一般MLQパケットに対する応答パケットであるMLRパケットを受信する。本実施の形態では、受信部11は、図1に示すように、一般MLQパケットを受信した、ネットワークNWに接続されている正規端末および未許可端末を含む、すべての端末装置2からのMLRパケットを受信する。
記憶部12は、ネットワークNWへの接続が許可されている端末装置2(以下、「正規端末」ということがある。)に固有の識別情報としてMACアドレスが登録されたホワイトリストを記憶する。正規端末のMACアドレスは、ネットワークシステムが構築された際、および更新される際などに、例えば、図示されない入力装置によって受け付けられて、記憶部12のホワイトリストに登録される。
取得部13は、受信部11が受信したMLRパケットから、MLRパケットの送出元である端末装置2のMACアドレスを取得する。取得部13が取得するMACアドレスによって、正規端末および未許可端末を含む、ネットワークNWに接続されている端末装置2の検出情報が得られる。
判断部14は、取得部13が取得したMLRパケットの送出元のMACアドレスと、記憶部12に記憶されているホワイトリストに含まれる、ネットワークNWへの接続が許可されている端末装置2のMACアドレスとを比較する。判断部14は、MLRパケットの送出元を示すMACアドレスが、ホワイトリストに登録されているMACアドレスと一致しない場合には、MLRパケットの送出元の端末装置2はネットワークNWへの接続が許可されていない未許可の端末装置2であると判断する。
提示部15は、判断部14による判断結果を提示する。例えば、提示部15は、判断結果を外部の予め設定されたサーバなどに提示することができる。また、提示部15は、MLRパケットの送出元の端末装置2を示す検出情報を、同様に、外部の予め設定されたサーバなどに提示する構成とすることができる。
[検出装置のハードウェア構成]
次に、上述した機能を有する検出装置1を実現するハードウェア構成の一例について、図3を用いて説明する。
図3に示すように、検出装置1は、例えば、バス101を介して接続されるプロセッサ102、主記憶装置103、通信インターフェース104、補助記憶装置105、入出力I/O106を備えるコンピュータと、これらのハードウェア資源を制御するプログラムによって実現することができる。また、検出装置1は、バス101を介して接続される表示装置107を備えることができる。
主記憶装置103には、プロセッサ102が各種制御や演算を行うためのプログラムが予め格納されている。プロセッサ102と主記憶装置103とによって、図2に示した取得部13、判断部14など、検出装置1の各機能が実現される。
通信インターフェース104は、検出装置1と端末装置2や各種外部電子機器との間をネットワーク接続するためのインターフェース回路である。通信インターフェース104によって図2で示した送信部10、受信部11、および提示部15が実現される。
補助記憶装置105は、読み書き可能な記憶媒体と、その記憶媒体に対してプログラムやデータなどの各種情報を読み書きするための駆動装置とで構成されている。補助記憶装置105には、記憶媒体としてハードディスクやフラッシュメモリなどの半導体メモリを使用することができる。
補助記憶装置105は、検出装置1が、ネットワークNWに接続されている端末装置2を検出し、さらに、未許可端末を検出するための検出プログラムを格納するプログラム格納領域を有する。補助記憶装置105によって、図2で説明した記憶部12が実現される。さらには、例えば、上述したデータやプログラムやなどをバックアップするためのバックアップ領域などを有していてもよい。
入出力I/O106は、外部機器からの信号を入力したり、外部機器へ信号を出力したりするI/O端子により構成される。
表示装置107は、液晶ディスプレイなどによって構成される。表示装置107は、判断部14による判断結果を表示画面に表示することができる。表示装置107によっても図2で説明した提示部15を実現することができる。
[検出方法]
次に、上述した構成を有する検出装置1の動作について、図4のフローチャートを用いて説明する。なお、記憶部12には、ネットワークNWへの接続が許可されている端末装置2のMACアドレスが登録されたホワイトリストが記憶されているものとする。
まず、送信部10は、一般MLQパケットを、ネットワークNWを介してオールノードマルチキャスト送信する(ステップS1)。次に、受信部11は、一般MLQパケットを受信した端末装置2から、応答パケットであるMLRパケットを受信する(ステップS2)。
次に、取得部13は、ステップS2で受信されたMLRパケットから、送出元の端末装置2のMACアドレスを示す情報を取得する(ステップS3)。より詳細には、取得部13は、MLRパケットのヘッダに格納されているMLRパケットの送出元を示すIPv6アドレスより、送出元の端末装置2のMACアドレスを求める。ステップS3で取得されたMACアドレスより、正規端末および未許可端末を含むネットワークNWに接続されている端末装置2についてのより具体的な検出情報が得られる。
次に、判断部14は、ステップS3で取得されたMLRパケットの送出元のMACアドレスと、記憶部12に記憶されているホワイトリストに登録されているMACアドレスとを比較する(ステップS4)。判断部14は、MLRパケットから取得されたMACアドレスとホワイトリストに登録されているMACアドレスとが一致する場合には(ステップS5:YES)、MLRパケットの送出元の端末装置2は、正規の端末装置2であると判断する(ステップS6)。
一方、MLRパケットから取得されたMACアドレスが、ホワイトリストに登録されているMACアドレスのいずれとも一致しない場合には(ステップS5:NO)、判断部14は、MLRパケットの送出元の端末装置2は、ネットワークNWへの接続が許可されていない未許可の端末装置2であると判断する(ステップS7)。
その後、提示部15は、判断部14による判断結果を提示する(ステップS8)。例えば、提示部15は、ステップS7で検出されたネットワークNWへの接続が許可されていない未許可の端末装置2に関する情報を、外部の図示されない特定のサーバなどへ送出することができる。また、提示部15は、未許可の端末装置2に関する情報に加えて、ステップS3で検出されたネットワークNWに接続されている端末装置2a、2bに関する情報についてもサーバなどに通知してもよい。
[ネットワークシステムの動作シーケンス]
次に、上述した構成を有する検出装置1、および端末装置2a、2bを備えるネットワークシステムの動作について、図5のシーケンス図を参照して説明する。以下において、端末装置2aのMACアドレスは「G」、端末装置2bのMACアドレスは「H」であり、検出装置1が備えるホワイトリストには、ネットワークNWへの接続が許可されている端末装置2のMACアドレスとして「A、B、G、K」が予め登録されているものとする。
まず、検出装置1は、一般MLQパケットを、オールノードマルチキャスト送信する(ステップS100)。次に、端末装置2a、2bは、一般MLQパケットを受信すると、応答パケットとして、MLRパケットをそれぞれ送信する(ステップS101、S102)。
端末装置2a、2bがそれぞれ送信するMLRパケットには、各装置が参加するマルチキャストグループを識別するマルチキャストアドレスが格納され、また、ヘッダの送信元アドレスのフィールドには、自装置のIPv6アドレスが格納されている。検出装置1は、受信したMLRパケットのヘッダに格納されている送信元アドレスからMLRパケットの各々の送出元の端末装置2aのMACアドレス「G」、および端末装置2bのMACアドレス「H」を取得する。
次に、検出装置1は、取得したMLRパケットの送出元の端末装置2aのMACアドレス「G」と、ホワイトリストに登録されているMACアドレス「A、B、G、K」とを比較する(ステップS103)。MACアドレス「G」は、ホワイトリストに登録されているMACアドレスと一致するため、検出装置1は、MACアドレス「G」に対応する端末装置2aは、正規端末であると判断する(ステップS104)。
一方、検出装置1は、取得したMLRパケットの送出元の端末装置2bのMACアドレス「H」と、ホワイトリストに登録されているMACアドレスとを比較する(ステップS105)。MACアドレス「H」は、ホワイトリストに登録されていないため、検出装置1は、MACアドレス「H」に対応する端末装置2bは、未許可端末であると判断する(ステップS106)。
その後、検出装置1は、ネットワークNWに接続されているすべての端末装置2a、2bを示す情報、および端末装置2bが未許可端末であることを示す情報を提示する(ステップS107)。例えば、検出装置1は、判断結果を、外部の特定のサーバなどへ送出することができる。
以上説明したように、本実施の形態に係る検出装置1によれば、調査パケットとして一般MLQパケットをオールノードマルチキャスト宛に1回送信するだけで、ローカルネットにつながっている端末装置2を検出できる。また、検出装置1によれば、検出された端末装置2のMACアドレスとホワイトリストに登録されたMACアドレスとを比較して、端末装置2が未許可の端末装置であるか否かを判断する。そのため、ネットワークNWの負荷を低減しつつ、ネットワークNWへの接続が許可されていない端末装置を即座に検出することができる。
その結果として、未許可の端末装置や悪意のある端末装置などが不正アクセスにより、クラッキングや情報漏えいなどを行うことを防止することができる。
なお、説明した実施の形態では、応答パケットであるMLRパケットから送出元の端末装置2のMACアドレス情報を取得して、ホワイトリストに登録されているMACアドレスと比較して、未許可の端末装置2を検出する場合について説明した。しかし、ネットワークシステムが、制御システムなどであり、固定のIPv6アドレスが機器に割り当てられる環境においては、MACアドレス同士の比較だけでなく、IPv6アドレスも比較対象として用いることができる。
この場合において、取得部13は、MLRパケットのヘッダに含まれるIPv6アドレスをさらに取得して、MLRパケットの送信元IPv6アドレスおよびMACアドレスの組と、ホワイトリストに登録されているIPv6アドレスおよびMACアドレスの組とを比較する。判断部14は、IPv6アドレスおよびMACアドレスの組がホワイトリストに登録されている組と一致する場合には、MLRパケットの送出元の端末装置2は、正規の端末装置2であると判断する。一方、IPv6アドレスおよびMACアドレスの組がホワイトリストに登録されているIPv6アドレスおよびMACアドレスの組と一致しない場合、判断部14は、MLRパケットの送出元の端末装置2は、未許可の端末装置2であると判断する。
以上、本発明の検出装置および検出方法における実施の形態について説明したが、本発明は説明した実施の形態に限定されるものではなく、請求項に記載した発明の範囲において当業者が想定し得る各種の変形を行うことが可能である。
1…検出装置、2、2a、2b…端末装置、10…送信部、11…受信部、12…記憶部、13…取得部、14…判断部、15…提示部、101…バス、102…プロセッサ、103…主記憶装置、104…通信インターフェース、105…補助記憶装置、106…入出力I/O、107…表示装置、NW…ネットワーク。

Claims (5)

  1. 調査パケットをネットワークを介してオールノードマルチキャスト送信するように構成された送信部と、
    前記調査パケットに対する応答パケットを受信するように構成された受信部と、
    前記応答パケットに含まれる、前記応答パケットの送出元の端末装置のアドレス情報から、前記応答パケットの送出元の前記端末装置に固有の第1識別情報を取得するように構成された取得部と、
    前記ネットワークへの接続が許可されている端末装置に固有の第2識別情報を記憶するように構成された記憶部と、
    前記取得部によって取得された前記第1識別情報と前記第2識別情報とを比較して、前記第1識別情報と前記第2識別情報とが一致しない場合に、前記第1識別情報を有する前記端末装置は、前記ネットワークへの接続が許可されていない未許可の端末装置であると判断するように構成された判断部と
    を備える検出装置。
  2. 請求項1に記載の検出装置において、
    前記判断部による判断結果を提示するように構成された提示部をさらに備える
    ことを特徴とする検出装置。
  3. 請求項2に記載の検出装置において、
    前記提示部は、前記判断結果、および、前記受信部で受信されたすべての前記応答パケットの送出元の端末装置に関する情報を提示する
    ことを特徴とする検出装置。
  4. 請求項1から3のいずれか1項に記載の検出装置において、
    前記調査パケットは、マルチキャストグループへの参加状況についての問い合わせを行うパケットであり、
    前記応答パケットは、前記調査パケットを受信した端末装置が参加しているマルチキャストグループを識別するマルチキャストアドレスを含むパケットである
    ことを特徴とする検出装置。
  5. 請求項1から4のいずれか1項に記載の検出装置において、
    前記第1識別情報および前記第2識別情報は、前記応答パケットの送出元の端末装置および前記ネットワークへの接続が許可されている端末装置に割り当てられているMACアドレスを含む
    ことを特徴とする検出装置。
JP2019234003A 2019-12-25 2019-12-25 検出装置および検出方法 Active JP7444600B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2019234003A JP7444600B2 (ja) 2019-12-25 2019-12-25 検出装置および検出方法
KR1020200176612A KR20210082364A (ko) 2019-12-25 2020-12-16 검출 장치 및 검출 방법
CN202011498504.2A CN113037704B (zh) 2019-12-25 2020-12-17 检测装置以及检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019234003A JP7444600B2 (ja) 2019-12-25 2019-12-25 検出装置および検出方法

Publications (2)

Publication Number Publication Date
JP2021103836A JP2021103836A (ja) 2021-07-15
JP7444600B2 true JP7444600B2 (ja) 2024-03-06

Family

ID=76460477

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019234003A Active JP7444600B2 (ja) 2019-12-25 2019-12-25 検出装置および検出方法

Country Status (3)

Country Link
JP (1) JP7444600B2 (ja)
KR (1) KR20210082364A (ja)
CN (1) CN113037704B (ja)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002325077A (ja) 2001-04-25 2002-11-08 Hitachi Software Eng Co Ltd ネットワーク管理方法及びネットワーク管理装置
JP2006287299A (ja) 2005-03-31 2006-10-19 Nec Corp ネットワーク管理方法および装置並びに管理プログラム
JP2011217016A (ja) 2010-03-31 2011-10-27 Nec Corp 不正接続防止装置及びプログラム
US20170034004A1 (en) 2013-06-10 2017-02-02 Palo Alto Networks, Inc. Discovering network nodes
JP2017073721A (ja) 2015-10-09 2017-04-13 株式会社 インターコム 情報処理装置及びプログラム

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4174392B2 (ja) 2003-08-28 2008-10-29 日本電気株式会社 ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置
JP2005157968A (ja) * 2003-11-28 2005-06-16 Nec Soft Ltd 不正接続検知システム
JP4245486B2 (ja) 2004-01-08 2009-03-25 富士通株式会社 ネットワーク不正接続防止方法及び装置
JP2006222659A (ja) * 2005-02-09 2006-08-24 Oki Electric Ind Co Ltd 無線通信装置、無線通信システム及び方法
CN100499669C (zh) * 2005-09-09 2009-06-10 上海贝尔阿尔卡特股份有限公司 IPv6接入网络中网络地址重构方法
JP2007104396A (ja) * 2005-10-05 2007-04-19 Nippon Telegraph & Telephone East Corp 不正接続防止システムおよび方法、プログラム
JP2008227600A (ja) 2007-03-08 2008-09-25 Toshiba Corp 通信妨害装置及び通信妨害プログラム
CN106302188A (zh) * 2015-05-18 2017-01-04 中兴通讯股份有限公司 一种交换机设备的组播报文转发控制方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002325077A (ja) 2001-04-25 2002-11-08 Hitachi Software Eng Co Ltd ネットワーク管理方法及びネットワーク管理装置
JP2006287299A (ja) 2005-03-31 2006-10-19 Nec Corp ネットワーク管理方法および装置並びに管理プログラム
JP2011217016A (ja) 2010-03-31 2011-10-27 Nec Corp 不正接続防止装置及びプログラム
US20170034004A1 (en) 2013-06-10 2017-02-02 Palo Alto Networks, Inc. Discovering network nodes
JP2017073721A (ja) 2015-10-09 2017-04-13 株式会社 インターコム 情報処理装置及びプログラム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Gunjan Bansal et al.,Detection of NDP Based Attacks using MLD,SIN'12:Proceedings of the Fifth International Conference on Security of Information and Networks,2012年10月,pp.163-167,https://dl.acm.org/doi/pdf/10.1145/2388576.2388600

Also Published As

Publication number Publication date
KR20210082364A (ko) 2021-07-05
CN113037704A (zh) 2021-06-25
JP2021103836A (ja) 2021-07-15
CN113037704B (zh) 2023-10-31

Similar Documents

Publication Publication Date Title
US9722979B2 (en) System and method for automatic wireless connection between a portable terminal and a digital device
US8543669B2 (en) Network switch and method of preventing IP address collision
US7724679B2 (en) Device and method for automatically detecting network information
US8774188B2 (en) Communication apparatus and method of controlling same
CN101179515B (zh) 一种抑制黑洞路由的方法和装置
US7530100B2 (en) Apparatus for limiting use of particular network address
US10097418B2 (en) Discovering network nodes
US20200267116A1 (en) Internet protocol version six address management
JP7444600B2 (ja) 検出装置および検出方法
KR102425707B1 (ko) 부정 검출 장치 및 부정 검출 방법
CN108989173B (zh) 一种报文传输的方法及装置
US10015179B2 (en) Interrogating malware
JP7376289B2 (ja) アドレス監視装置およびアドレス監視方法
CN112291378B (zh) 地址管理装置及地址管理方法
US10298481B1 (en) Method and apparatus for testing VLAN
JP7232121B2 (ja) 監視装置および監視方法
JP2007104396A (ja) 不正接続防止システムおよび方法、プログラム
KR20040003977A (ko) 아이피 충돌 검출/차단 시스템 및 그 방법
KR101125612B1 (ko) 불법 dhcp 서버 감지 및 차단 방법
JP7376288B2 (ja) 特定装置および特定方法
JP3432449B2 (ja) 通信制御装置及びその方法
CN115604231A (zh) 网络地址的配置方法、路由设备、节点设备和存储介质
CN113992583A (zh) 一种表项维护方法及装置
Sekhar et al. A Novel Approach for Spoofing Media Access Control Address
JP2002237821A (ja) Ipネットワークにおけるプロミスキャスノードを発見する方法及び装置、並びにプロミスキャスノード発見プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220922

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230714

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230912

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231101

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240130

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240222

R150 Certificate of patent or registration of utility model

Ref document number: 7444600

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150