不正接続検知システム
【課題】 接続権限を有さない不正な端末装置がIPアドレス等を書換えたなりすまし等によりネットワークへの不正接続を行った場合、これを検知して対処するための不正接続検知システムを提供する。
【解決手段】 ネットワークへの接続権限を有する端末装置には専用の監視プログラムが格納されていて、接続開始から定期的な通知や、端末装置のIPアドレスの書換え等のなりすましの可能性のあるイベントの通知等を実行する。なりすましにより不正に接続された端末装置は当該監視プログラムを備えていないため、IPアドレス等の照合からは接続が許諾された場合であっても、監視プログラムからの定期的な通知が受け付けられない場合は、当該端末装置の通信の中断処理を実行する。監視プログラムを備えた端末装置でIPアドレスの書換え等の不正ななりすまし行為が行われた場合にも、これを検知して対応することができる。
【解決手段】 ネットワークへの接続権限を有する端末装置には専用の監視プログラムが格納されていて、接続開始から定期的な通知や、端末装置のIPアドレスの書換え等のなりすましの可能性のあるイベントの通知等を実行する。なりすましにより不正に接続された端末装置は当該監視プログラムを備えていないため、IPアドレス等の照合からは接続が許諾された場合であっても、監視プログラムからの定期的な通知が受け付けられない場合は、当該端末装置の通信の中断処理を実行する。監視プログラムを備えた端末装置でIPアドレスの書換え等の不正ななりすまし行為が行われた場合にも、これを検知して対応することができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、接続権限を有さない不正な端末装置によるネットワークへの不正接続を検知するための不正接続検知システムに関するものである。
【背景技術】
【0002】
社内LAN等のクローズドなネットワークでの重要情報の管理においては、ネットワークの外部からの不正な侵入を防止することとあわせて、ネットワーク内部における不正な操作による情報の持ち出しへの対策が重要な課題となっている。不正な情報の持ち出し等が行われる場合には、ネットワークに正規に接続された端末を用いると不正操作の痕跡を残したり不正操作者が特定されたりする恐れがあるために、不正操作者が自ら所有する端末をネットワークに接続して不正な情報の持ち出し等が行われることがある。
【0003】
このような不正操作に対応するために、ネットワークに接続された端末を特定するための管理サーバをネットワーク内に設け、管理サーバにはネットワークへの接続が許可された端末の識別情報を記憶させておき、ネットワークに端末が接続されると当該端末の識別情報を取得してネットワークへの接続権限を確認し、接続権限を有していない端末がネットワークに接続された場合に、当該端末に対して不正操作を停止させることが行われている。ネットワークに接続されている端末を特定するための識別情報には、一般に端末に付与されたIPアドレスやMACアドレスが用いられている。
【0004】
端末に付与されたIPアドレスやMACアドレスを取得して端末が正規なものか否かを判定する方法としては、端末を起動してネットワークへの接続が開始されたときに、端末からIPアドレスやMACアドレスを含むブロードキャスト信号を送信し、これを受信した管理サーバに記憶されたものと照合する方法(例えば、特許文献1参照。)や、IPアドレスをキーにARPを用いてMACアドレスを取得し、IPアドレスとMACアドレスの組合せを管理サーバに記憶されたものと照合する方法(例えば、特許文献2参照。)などが開示されている。
【特許文献1】特開平6−334671号
【特許文献2】特開2000−201143号
【発明の開示】
【発明が解決しようとする課題】
【0005】
上記の方法により、接続権限を有しない端末がネットワークに接続された場合には、管理サーバが記憶していないIPアドレスやMACアドレスを検出することにより、不正な接続を検知してネットワークからの切断等の対処を行うことができる。しかしながら、この方法が有効なのは、IPアドレスやMACアドレスが個々の端末と紐付けられていることが前提であり、IPアドレスやMACアドレスが書き換えられてしまった場合には、不正な接続であることを検知することができない。
【0006】
実際に不正接続が行われるケースでは、接続権限を持つ端末をネットワークから切り離し、一方で不正接続を行うために別の端末を持ち込んで、当該端末のIPアドレスやMACアドレスを、接続権限を有する端末のIPアドレスやMACアドレスに書き換えて接続するいわゆる「なりすまし」が行われることがある。なりすましが行われた場合、IPアドレスやMACアドレス自体は接続権限を有する正規のものが用いられるので、不正であることを発見できないという問題がある。
【0007】
なりすましによる情報の流出を防止するためには、重要情報が存在する端末へのアクセスの認証を強化するなど、他の方法と併用することが考えられるが、何らかの方法で端末へのアクセスを制御したとしても、ネットワーク上に不正な端末が接続された状態を許容してしまうと、パケット盗聴(スニーフィング)が行われた場合にもこれを検知できないという問題が生じる。従って、接続権限を有さない不正な端末がネットワークに接続された場合には、なりすましが行われている場合であってもこれをいち早く検出して対処を行うことが必要である。
【0008】
本発明は、このような課題に対応するためになされたものであり、接続権限を有さない不正な端末装置がIPアドレスやMACアドレスを書き換えたなりすまし等によりネットワークへの不正接続を行った場合、これを検知して対処するための不正接続検知システムを提供することを目的とするものである。
【課題を解決するための手段】
【0009】
以下に説明する本発明においては、いずれもネットワークへの接続権限を有する正規の端末には専用の監視プログラムが格納されており、当該端末のネットワークへの接続時には当該監視プログラムが所定の動作を行ってネットワークを管理する管理サーバに所定の情報を送信するよう構成することにより、当該情報の有無や内容によって、接続権限を有さない不正な端末のネットワークへの接続を検知することができる。
【0010】
尚、以下の発明において、ネットワークとはLANなどアクセス権限を有するもののみが接続可能なクローズドなネットワークが該当する。端末装置には通常はパーソナルコンピュータなどのコンピュータ機器が該当するが、ネットワークに接続が可能なものであれば、ルータやゲートウェイなどのネットワーク機器、Webサーバ等のサーバ、PDA等のモバイル端末などどのようなものであってもよい。
【0011】
前述の課題を解決する本発明は、接続権限を有さない端末装置のネットワークへの不正接続を検知するための、前記端末装置に格納された監視プログラムと前記ネットワークへの接続を管理する管理サーバからなる不正接続検知システムであって、前記監視プログラムは、前記ネットワークへの接続権限を有する正規の端末装置のみに格納され、前記端末装置がネットワークに接続されると、所定の間隔で前記端末装置に関する情報を前記管理サーバに送信するとともに、不正操作と定義された所定のイベントを検知すると前記イベントの発生通知を前記管理サーバに送信し、前記管理サーバには、前記ネットワークに接続されている端末装置を検出する接続端末検出手段と、前記正規の端末装置に格納された監視プログラムから送信された前記端末装置に関する情報を受信する端末情報受信手段と、前記正規の端末装置に格納された監視プログラムから送信された前記イベントの発生通知を受信する発生通知受信手段と、前記接続端末検出手段が前記ネットワークに接続中であると検出した端末装置について、前記端末情報受信手段が前記監視プログラムに設定された所定の間隔で前記端末装置に関する情報を受信したかを確認し、前記端末装置に関する情報を前記所定の間隔で受信していない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第1の不正接続判定手段と、前記接続端末検出手段が前記ネットワークに接続中であると検出した端末装置について、前記発生通知受信手段が発生通知を受信した場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第2の不正接続判定手段と、前記第1の不正接続判定手段又は前記第2の不正接続判定手段が不正に接続されていると判定した端末装置について、前記端末装置又は前記端末装置の通信対象となっている端末装置に対して通信を阻害するためのパケット、若しくは前記端末装置と前記端末装置の通信対象となっている端末装置の間のセッションを切断するためのパケットを送信するパケット送信手段と、が備えられていることを特徴とする不正接続検知システムである。
【0012】
また、本発明は、前記管理サーバには、前記正規の端末装置について、前記端末装置の正規の識別情報又は前記端末装置の前記ネットワークへの正規の接続状態に関する情報の少なくとも一つに関する第1の端末情報を格納する端末情報格納手段と、前記端末情報受信手段が受信した端末装置に関する情報から、前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つに関する第2の端末情報を検出する端末情報検出手段と、が備えられていて、前記監視プログラムは、前記端末装置に関する情報として前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つについて、前記端末装置の最新の情報を検出して前記不正接続検知システムに送信し、前記第1の不正接続判定手段は、前記端末情報検出手段が検出した第2の端末情報が、前記端末装置に関する前記端末情報格納手段に格納された第1の端末情報と一致しない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定することを特徴とすることもできる。
【0013】
本発明では、監視プログラムはネットワークに接続されている間は所定の間隔で端末に関する情報を送信するため、IPアドレス等によりネットワークへの接続が確認された端末について管理サーバが所定の間隔で端末に関する情報を受信しないと、当該端末では本来は存在するべき監視プログラムが動作しておらず、IPアドレス等が書き換えられた不正な端末であると判定することが可能になる。
【0014】
また、例えばなりすましのために正規の端末装置のIPアドレスが書き換えられるなど不正操作の可能性がある動作をイベントとして予め設定し、正規の端末装置においてはかかる動作を監視するプログラムを格納することにより、不正操作の可能性がある場合には速やかに管理サーバに通知して、所定の対処を行うことが可能になる。
【0015】
さらに、接続権限を有する正規の端末装置についてのIPアドレスやMACアドレス等の端末の識別情報、ゲートウェイやDHCPサーバのIPアドレスなど端末の接続状態に関する情報を予め管理サーバに記憶させておき、接続開始通知として接続時の端末のIPアドレス等の識別情報やゲートウェイのIPアドレス等の接続状態に関する情報を合わせて受信して照合することにより、端末の状態が正常であるか否かを確認して不正な接続でないかを判定するよう構成してもよい。
【0016】
さらに、本発明の他の実施形態は、接続権限を有さない不正な端末装置のネットワークへの接続を検知するための不正接続検知システムであって、前記ネットワークへの接続権限を有する正規の端末装置には、前記不正接続検知システムからのリクエストに対して、所定のレスポンスを返信する監視プログラムが格納されていて、前記ネットワークに接続されている端末装置を検出する接続端末検出手段と、前記接続端末検出手段が前記ネットワークに接続中であると検出した端末装置に対して、前記リクエストを送信するリクエスト送信手段と、前記正規の端末装置に格納された監視プログラムから送信された前記リクエストに対するレスポンスを受信するレスポンス受信手段と、前記リクエスト送信手段がリクエストを送信した端末装置について、前記レスポンス受信手段が前記端末装置から前記リクエストに対するレスポンスを受信しない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第4の不正接続判定手段と、前記第4の不正接続判定手段が不正に接続されていると判定した端末装置について、前記端末装置又は前記端末装置の通信対象となっている端末装置に対して通信を阻害するためのパケット、若しくは前記端末装置と前記端末装置の通信対象となっている端末装置の間のセッションを切断するためのパケットを送信するパケット送信手段と、を備えることを特徴とする不正接続検知システムである。
【0017】
前記実施形態においては、前記正規の端末装置について、前記端末装置の正規の識別情報又は前記端末装置の前記ネットワークへの正規の接続状態に関する情報の少なくとも一つに関する第1の端末情報を格納する端末情報格納手段と、前記レスポンス受信手段が受信したレスポンスから、前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つに関する第2の端末情報を検出する端末情報検出手段と、を備えていて、前記監視プログラムは、前記レスポンスとして前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つについて、前記端末装置の最新の情報を検出して前記不正接続検知システムに送信し、前記第4の不正接続判定手段は、前記端末情報検出手段が検出した第2の端末情報が、前記端末装置に関する前記端末情報格納手段に格納された第1の端末情報と一致しない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定することを特徴とすることもできる。
【0018】
前記実施形態では、管理サーバからはIPアドレス等から接続中であると検出した端末装置に対して所定のリクエストを送信し、接続権限を有する正規の端末装置は予め格納された監視プログラムでリクエストに対する所定のレスポンスを応答するが、なりすまし等により不正に接続された端末装置はかかる監視プログラムを備えていないためにレスポンスの応答ができず、レスポンスの有無からIPアドレス等が書き換えられた不正な端末であると判定することが可能になる。
【0019】
また、接続権限を有する正規の端末装置についてのIPアドレスやMACアドレス等の端末の識別情報、ゲートウェイやDHCPサーバのIPアドレスなど端末の接続状態に関する情報を予め管理サーバに記憶させておき、端末からのレスポンスとして接続時の端末のIPアドレス等の識別情報やゲートウェイのIPアドレス等の接続状態に関する情報を合わせて受信して照合することにより、端末の状態が正常であるか否かを確認して不正な接続でないかを判定するよう構成してもよい。
【0020】
本発明は、本発明にかかる不正接続検知システムに対応して、不正接続検知システムの各々の構成により実施される不正接続検知方法として発明を特定することもできる。
【0021】
つまり、本発明に対応する不正接続検知方法は、接続権限を有さない端末装置のネットワークへの不正接続を検知するために、監視プログラムが格納された端末装置と、前記ネットワークへの接続を管理する管理サーバによって実行される不正接続検知方法であって、前記監視プログラムは、前記ネットワークへの接続権限を有する正規の端末装置のみに格納されていて、前記ネットワークへの接続権限を有する正規の端末装置が、前記ネットワークへの接続処理を起動するステップと、前記正規の端末装置が、前記ネットワークへの接続を確立すると、前記監視プログラムによって、所定の間隔で前記端末装置に関する情報を前記管理サーバに送信する端末情報送信ステップと、前記管理サーバが、前記ネットワークに接続された端末装置を検出する端末検出ステップと、前記管理サーバが、前記端末検出ステップで新たに前記ネットワークに接続中であると検出した端末装置について、前記監視プログラムに設定された所定の間隔で前記端末装置に関する情報を受信したかを確認し、前記端末装置に関する情報を前記所定の間隔で受信していない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第1の判定ステップと、前記正規の端末装置が、前記監視プログラムによって、前記正規の端末装置において不正操作と定義された所定のイベントを検知するステップと、前記正規の端末装置が、前記所定のイベントを検知すると、前記監視プログラムによって、前記イベントの発生通知を前記管理サーバに送信するステップと、前記管理サーバが、前記端末検出ステップで新たに前記ネットワークに接続中であると検出した端末装置について、前記発生通知を受信した場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第2の判定ステップと、前記第1の判定ステップ又は前記第2の判定ステップで不正に接続されていると判定した端末装置について、前記端末装置又は前記端末装置の通信対象となっている端末装置に対して通信を阻害するためのパケット、若しくは前記端末装置と前記端末装置の通信対象となっている端末装置の間のセッションを切断するためのパケットを送信するステップと、を有することを特徴とする不正接続検知方法である。
【0022】
本発明に対応する不正接続検知方法は、前記端末情報送信ステップにおいて、前記正規の端末装置は、前記監視プログラムによって、前記端末装置に関する情報として前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つについて、前記正規の端末装置の最新の情報を検出して前記管理サーバに送信し、前記管理サーバが、前記接続開始通知から前記新たな端末装置の識別情報又は前記新たな端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つに関する第2の端末情報を検出するステップと、前記管理サーバが、前記第2の端末情報が、前記正規の端末装置について前記端末装置の正規の識別情報又は前記端末装置の前記ネットワークへの正規の接続状態に関する情報の少なくとも一つに関する第1の端末情報を格納する端末情報格納部に格納された第1の端末情報と一致しない場合は、前記新たな端末装置が前記ネットワークに不正に接続されていると判定する第3の判定ステップと、を有していて、前記パケットを送信するステップにおいては、前記第3の判定ステップにおいて不正に接続されていると判定した端末装置について、前記端末装置又は前記端末装置の通信対象となっている端末装置に対して通信を阻害するためのパケット、若しくは前記端末装置と前記端末装置の通信対象となっている端末装置の間のセッションを切断するためのパケットを送信することを特徴とすることもできる。
【0023】
この他にも、本発明は、本発明にかかる不正接続検知システムの他の実施形態に対応して、不正接続検知システムの各々の実施形態により実施される不正接続検知方法として発明を特定することもできる。
【発明の効果】
【0024】
IPアドレスやMACアドレスを書き換えたなりすまし等によって接続権限を有さない不正な端末装置によるネットワークへの不正接続を行われた場合、従来のIPアドレスやMACアドレスをキーに付与された接続権限の確認のみでは対応することができないが、本発明により監視プログラムからの応答の有無により不正を検知して対処することが可能になる。
【発明を実施するための最良の形態】
【0025】
本発明を実施するための最良の形態について、図面を用いて以下に詳細に説明する。尚、以下では主としてIPアドレスの書き換えによるなりすましに対応する例について説明するが、本発明はかかる実施形態に限定されるものではない。
【0026】
図1は、本発明にかかる不正接続検知システムの設定の一例を示す図である。図2は、本発明にかかる不正接続検知システムに用いられるネットワーク管理サーバと端末装置の構成を示すブロック図である。図3は、本発明にかかる不正接続検知システムに記録される正規の端末からの通知記録の例を示す図である。図4は、本発明にかかる不正接続検知システムにおいて、接続権限を有する正規の端末装置が接続された場合の管理サーバの動作の例を示す図である。図5は、本発明にかかる不正接続検知システムにおいて、接続権限を有しない不正な端末装置が接続された場合の管理サーバの動作の第1の例を示す図である。図6は、本発明にかかる不正接続検知システムにおいて、接続権限を有しない不正な端末装置が接続された場合の管理サーバの動作の第2の例を示す図である。図7は、本発明にかかる不正接続検知システムにおける端末の起動時の管理サーバのフローを示すフローチャートである。図8は、本発明にかかる不正接続検知システムにおける端末からの定時連絡を受ける管理サーバの第1の監視フローを示すフローチャートである。図9は、本発明にかかる不正接続検知システムにおける端末からの定時連絡を受ける管理サーバの第2の監視フローを示すフローチャートである。図10は、本発明にかかる不正接続検知システムにおける端末側の監視プログラムの第1のフローを示すフローチャートである。図11は、本発明にかかる不正接続検知システムにおける端末側の監視プログラムの第2のフローを示すフローチャートである。
【0027】
図1の例では、本発明にかかる不正接続検知システムは、ルータ20の内側のクローズドなネットワークを監視するネットワーク管理サーバ10に備えられている。ネットワーク管理サーバ10では、端末情報格納部11においてネットワークへの接続権限が与えられた正規の端末装置30、40についてのIPアドレスやMACアドレス等の識別情報、ゲートウェイやDHCPサーバのIPアドレス等のネットワークへの接続状態に関する情報などの端末情報が格納されている。
【0028】
尚、ネットワーク管理サーバ10はネットワークに接続された端末装置を所定の間隔で検出し、端末情報格納部11に格納された通常の状態との対比や、端末情報格納部11への接続状態等の履歴情報の書き込みを行うが、かかる機能は本発明にかかる不正接続検知システムとして動作するネットワーク管理サーバ10と物理的に同一のコンピュータが用いられてもよいし、分離された2以上のコンピュータによってこれらの機能を果すものであってもよい。特に前者の機能については、一般に用いられているネットワーク管理用のサーバを用いることが可能である。
【0029】
また、端末情報格納部11に情報が格納される対象となる端末装置は、通常はネットワークを利用するユーザーが操作するコンピュータが対象となる他、ルータやDHCPサーバ、Webサーバなど、クローズドなネットワーク内に接続されている全てのノードを含むことができる。
【0030】
ネットワークへの接続権限が与えられた正規の端末装置30、40には、それぞれネットワーク内での不正接続等の監視に用いられる監視プログラム31、41が格納されている。監視プログラム31、41は、コンピュータのオペレーションシステム等に含まれる一般的なネットワーク接続用のプログラムとは別に設けられていて、正規の端末装置30、40にのみインストールされる。従って、なりすましのために不正に持ち込まれたネットワークへの接続権限が与えられていない端末装置50には、監視プログラムは格納されていない。
【0031】
従って、監視プログラム31、41によって、ネットワークへの接続時にネットワーク管理サーバ10に接続開始通知の送信、ネットワークに接続している間にネットワーク管理サーバに定期的に端末装置内の情報を送信するなどの動作を実行させることにより、ネットワーク管理サーバ10においてネットワークに接続中であると検出された端末装置については、ネットワーク管理サーバ10がかかる通知等を受信することになる。監視プログラム31、41から送信される通知等は、ネットワーク管理サーバ10からのリクエストに対して応答するものであってもよい。ネットワークに接続中でありながらもネットワーク管理サーバ10が通知等を受信しない端末装置については、監視プログラムがインストールされていないと推測されることから、なりすまし等により不正にネットワークに接続された端末装置であると判定することができる。
【0032】
この構成をさらに具体的に説明すると、ネットワーク管理サーバ10と正規の端末装置30は、図2のように構成されている。図2の例では、ネットワーク管理サーバ10は、端末情報格納部11を備えた1台のコンピュータで構成されている。ネットワーク管理サーバ10の起動時には、ROM103に記憶された入力制御や出力制御などのハードウェア制御のための基本的な各種プログラムを起動するとともに、HDD104からコンピュータのオペレーションシステムを読み出してネットワークの監視を開始する。続いて、HDD104からネットワークへの不正接続を検知するための動作を実行するためのプログラムを読み出して、RAM102をワークエリアとして機能させながら、CPU101が演算処理を行って、ネットワークの監視を実行する。
【0033】
一方、正規の端末装置30の起動時には、ROM303に記憶された入力制御や出力制御などのハードウェア制御のための基本的な各種プログラムを起動するとともに、HDD304からコンピュータのオペレーションシステムが読み出される。続いて、HDD304からネットワークへの不正接続を検知するために格納された監視プログラム31が読み出されて、RAM302をワークエリアとして機能させながら、CPU301が演算処理を行って、監視プログラム31によって定義された接続開始通知の送信などネットワーク管理サーバ10に対する所定の動作等を実行する。
【0034】
例えば、監視プログラム31において、ネットワークへの接続時に接続開始通知を送信し、その後に所定の間隔で接続通知を送信するよう設定されている場合は、接続開始時や所定の時間到来時にはRAM302とCPU301で演算処理を行って、NIC(ネットワークインターフェイスカード)305から、LANを経由してネットワーク管理サーバ10に接続開始通知等のデータが送信される。ネットワーク管理サーバ10ではNIC105でこれを受け付けて、RAM102とCPU101で演算処理を行って受け付けたデータを解釈し、接続開始通知等の受信をHDD104の端末情報格納部11に記録する。HDDに監視プログラムが格納されていない場合には、かかるネットワーク管理サーバ10に対するデータの送信が行われないため、ネットワーク管理サーバ10では接続開始通知の不受理等から不正なネットワークへの接続を検知することができる。
【0035】
図3は、本発明にかかる不正接続検知システムにおいて、ネットワーク管理サーバ10の端末情報格納部11に記録される正規の端末毎に設けられた通知記録を記録するテーブルの一例を示している。図3の例では、ネットワークへの接続権限を有する端末装置それぞれに端末IDを付与し、端末ID毎に設けられたテーブルに、当該端末装置を特定する識別情報であるIPアドレスとMACアドレスが記録されている。また、当該端末装置のネットワークへの接続記録と、当該端末に備えられた監視プログラムからの通知記録が記録されている。
【0036】
このうち、端末の識別情報であるIPアドレスとMACアドレスについては、ネットワークに接続された端末装置の接続権限を判定するキーとして用いることができる。つまり、ネットワーク管理サーバ10がネットワークに新たな端末装置が接続されたことを検出すると、当該端末装置のIPアドレス又はMACアドレスを取得して、当該アドレスが端末情報格納部11に接続権限を有するとして記録されている正規の端末装置のIPアドレス又はMACアドレスと対比する。同一のIPアドレス又はMACアドレスが存在しない場合は、接続権限のない端末装置である可能性があるので、ネットワーク管理サーバ10はネットワークからの切断させるための何らかの処理を実行する。
【0037】
尚、上記のIPアドレス又はMACアドレスを用いた判定は、いずれか一方をキーに判定してもよいし、双方の組合せが正規の端末装置と一致することを承認の条件としてもよい。また、このようにネットワークに接続されている端末装置からIPアドレス又はMACアドレスを取得しての接続権限の判定については、ネットワーク管理サーバ10とは別のコンピュータにおいて、オペレーションシステムの機能等を用いて動作させることとしてもよいし、本発明にかかる不正接続検知システムとともにネットワーク管理サーバ10において実行することとしてもよい。
【0038】
ネットワークへの接続記録については、図3の例では過去のログも含めて記録されているが、かかるログは必須のものではなく、本発明にかかる不正接続検知システムを動作させるためには、少なくとも端末IDやIPアドレス等により特定される端末装置がネットワークに接続中であるか否かを判定できる情報が記録されていればよく、ネットワークに接続中であることを示すフラグ等を用いることとしてもよい。
【0039】
監視プログラムからの通知記録については、図3の例では過去のログも含めて記録されているが、かかるログは必須のものではなく、例えば直前の通知記録に関する情報のみを記録してそこからの経過時間を測定するなど、ネットワークに接続中の間に所定の間隔で通知記録を受け付けているかどうかを確認できるよう構成されていればよい。また、図3の例では応答時の端末装置のIPアドレスなどの情報が併せて記録されているが、このように端末装置の識別情報や接続状態に関する情報についても記録するよう構成すれば、応答の有無を確認するだけでなく、IPアドレスが書き換えられるなど端末装置に何らかの変化が生じた場合に、これを検出して不正な操作を特定することが可能になる。
【0040】
次に、図4乃至図6を用いて、本発明にかかる不正接続検知システムにおけるネットワーク管理サーバ10の動作について説明する。図4は、接続権限を有する正規の端末装置が接続された場合の例を、図5と図6は、接続権限を有しない不正な端末装置が接続された場合の例を示している。
【0041】
図4において、ネットワークへの接続権限を有する正規の端末装置40に電源が入れられると、端末装置40のオペレーティングシステムが起動されてネットワークへの接続処理が行われる。端末装置40にパーソナルコンピュータ等が用いられると、通常はオペレーディングシステムによりルータやゲートウェイ、ファイルサーバなどのネットワーク内のノードに関する情報が集められ、ネットワークへの接続状態を把握する。
【0042】
一方、ネットワーク管理サーバ10も随時ネットワークに接続されているノードを検出してIPアドレス等の情報を集めており、ネットワークに接続されているノードを把握している。また、ネットワーク管理サーバ10にはネットワークへの接続権限を有する端末装置のIPアドレス等の識別情報が記憶されており、ネットワーク管理サーバ10はネットワークに接続されていることを検出した端末装置のIPアドレス等と接続権限を有する端末装置のIPアドレス等を対比して、接続権限を有していない端末装置がネットワークに接続された場合に、これを検知することができる。
【0043】
図4においては、ネットワーク管理サーバ10は端末装置40がネットワークに検出されたことを検出し、端末装置40からIPアドレス〔123.456.789.123〕を取得する。一方、ネットワーク管理サーバ10には、端末装置40がネットワークへの接続権限を有する端末装置であって、IPアドレスが〔123.456.789.123〕であることが記憶されており、端末装置40から取得したIPアドレスと一致するため、端末装置40が接続権限を有する端末装置であることが確認できる。
【0044】
ネットワークへの接続権限を有する端末装置40には、ネットワークへの不正接続を検知するために用いられる専用の監視プログラム41が格納されている。端末装置40の電源が入れられてオペレーティングシステムが起動すると、監視プログラム41も起動されてネットワークへの接続開始を通知する固有の信号をネットワーク管理サーバ10に送信する。つまり、ネットワークへの接続権限を有する正規の端末装置がネットワークに接続された場合には、ネットワーク管理サーバ10は必ず接続開始を通知する監視プログラム固有の信号を受信することになる。図4では、ネットワークへの接続開始が9時であるとすると、監視プログラムからの最初の通知を9時に受信しているので、ネットワークに接続された端末装置は、確かにネットワークへの接続権限を有する端末装置40であると確認することができる。
【0045】
また、監視プログラム41は、端末装置40がネットワークに接続されている間は、定期的に接続が継続されていることを通知する固有の信号をネットワーク管理サーバ10に送信する。かかる信号の送信は、ネットワーク管理サーバ側から所定の間隔で接続中の端末に監視プログラム41によってのみ応答可能なリクエストを送信し、監視プログラム41からのレスポンスを受け付けることとしてもよい。いずれの方法であっても、ネットワークへの接続権限を有する正規の端末装置がネットワークに接続されている間は、ネットワーク管理サーバ10は必ず接続が継続されていることを通知する監視プログラム固有の信号を受信することになる。図4では、ネットワークへの接続が開始された9時から1時間後の10時に正常に通知を受けたことが記録されており、ネットワークへの接続権限を有する端末装置40が正常な状態でネットワークへの接続を継続していることが確認できる。
【0046】
尚、上記の接続が継続されていることを示す通知には、端末装置40の最新の状態に関する情報を含むこととして、ネットワーク管理サーバ10に記憶された正常な状態と対比するよう構成してもよい。端末装置40の最新の状態には、IPアドレスやMACアドレス等の端末の識別情報の他に、ゲートウェイやDHCPサーバのIPアドレスなど端末の接続状態に関する情報を用いてもよい。これらの情報が正常な状態と一致しない場合、例えばIPアドレスやMACアドレスが一致しない場合はアドレスが書き換えられた可能性があり、不正な操作が行われたと判定することができる。
【0047】
図5において、端末装置50はネットワークへの接続権限を有しておらず、IPアドレスを書き換えたなりすましによってネットワークへの接続を試みようとしている。接続権限を有する正規の端末装置40になりすましを行うために、IPアドレスは端末装置40のIPアドレス〔123.456.789.123〕に書き換えられている。尚、端末装置50はネットワークへの接続権限を有する正規の端末装置ではないので、専用の監視プログラムは格納されていない。端末装置50に電源が入れられると、端末装置50のオペレーティングシステムが起動されてネットワークへの接続処理が行われる。
【0048】
ネットワーク管理サーバ10は端末装置50がネットワークに検出されたことを検出し、端末装置50からIPアドレス〔123.456.789.123〕を取得する。一方、ネットワーク管理サーバ10には、ネットワークへの接続権限を有する端末装置のIPアドレスとして〔123.456.789.123〕が記憶されており、端末装置50から取得したIPアドレスと一致するため、IPアドレスによる判定のみからでは、端末装置50はネットワークへの接続権限を有する正規の端末装置であると誤認されることになってしまう。
【0049】
一方、端末装置50には専用の監視プログラムが備えられていないため、ネットワークへの接続が開始されたとしても、接続開始を通知する固有の信号は送出されない。従って、ネットワーク管理サーバ10において端末装置40はネットワークに接続中のステータスとなっているものの、接続通知の記録がなされないため、端末装置40以外の接続権限を有していない不正な端末装置が端末装置40になりすましてネットワークに接続されているものと判定することができる。
【0050】
また、接続が継続されている間についても、専用の監視プログラムが備えられていないため、正規の端末装置からは定期的に送出される接続が継続されていることを通知する固有の信号も送出されない。一方、ネットワーク管理サーバ10において端末装置40はネットワークに接続中のステータスとなっているため、かかる通知が受信されないことからも、接続権限を有していない不正な端末装置が端末装置40になりすましてネットワークに接続されているものと判定することができる。
【0051】
図6は、図5のケースにおいて、端末装置50が端末装置40になりすますために、端末装置40のIPアドレスを他のIPアドレスに書き換える場合を示している。端末装置40が起動された時点では正常に接続が行われ、監視プログラム41から接続開始通知や接続が継続している間の端末からの情報等が送出される。このような状態であれば、ネットワーク管理サーバ10は接続が正常であると判定するが、端末装置50によるなりすましを行うために、端末装置40のIPアドレスが他の接続権限を有する端末装置30のIPアドレス〔123.456.789.100〕に書き換えられたとする。ここで端末装置50がIPアドレス〔123.456.789.123〕になりすまして接続すると、監視プログラム41から接続が継続している間の端末からの情報等が送出されるため、なりすましが検知されない場合がある。
【0052】
そこで、監視プログラム41には、IPアドレスやMACアドレスの変更など、なりすましに関連する所定の動作が実行された場合には、ネットワーク管理サーバ10に通知する処理を実行させるよう設定することが好ましい。このように設定すると、端末装置40のIPアドレスが書き換えられると、監視プログラム41がその旨を通知する固有の信号をネットワーク管理サーバ10に送出するため、ネットワーク管理サーバ10では端末装置40に関連して何らかの不正操作が行われた可能性があることを検知することができる。また、監視プログラム41は、ネットワークを使用不可にする等のアクションを端末装置40において実行するよう設定すると、端末装置40側からもネットワークとの遮断操作を実行できるので、尚好ましい。
【0053】
図5や図6の例の結果、ネットワークに接続されている端末が接続権限を有していない不正な端末装置であると判定されると、ネットワーク管理サーバ10は端末装置50の通信を切断するための処理を実行する。具体的には、例えば端末装置50と通信対象端末の間にTCPセッションが張られている場合であれば、そのセッションに対してリセットパケット又は終了パケットを送信して、セッションを切断することができる。
【0054】
又は、端末装置50に対して偽装ARPリダイレクトパケットを送信して、端末装置50の送信パケットが通信対象端末に到達することを回避してもよい。端末装置50の通信対象端末に対して偽装ARPリダイレクトパケットを送信して、端末装置50と通信対象端末の間の通信を阻害することとしてもよい。
【0055】
上記のような通信の切断処理に際しては、ネットワーク管理サーバ10は、管理者に対してメールを送信する、不正操作やそれに対する対処のログを記録するなどその他の動作を行うこととしてもよい。
【0056】
続いて、図7乃至図11のフローチャートを用いて、本発明にかかる不正接続検知システムのフローについて説明する。図7乃至図9はネットワーク管理サーバ側のフローであって、図7は端末装置の起動時のフローを、図8及び図9は端末装置からの定時連絡を受けるネットワーク管理サーバのフローの2通りのパターンを示している。図10及び図11は端末装置側の監視プログラムのフローの2通りのパターンを示している。
【0057】
図7を用いて、端末装置が起動してネットワークに接続されたときの、ネットワーク管理サーバ側のフローについて説明する。ある端末装置が起動されてクローズドなネットワークに接続されると、ネットワーク管理サーバは新たな端末装置が接続されたことを検出し(S01)、当該端末装置のIPアドレスを特定する(S02)。ここでネットワークに接続された端末装置を検出してIPアドレスを特定する方法は、ネットワーク管理サーバには予めネットワークへの接続が承認された端末装置についてのIPアドレスが記憶されているため、これらのIPアドレス宛にpingを送信して応答を受けることとすればよいが、その他にネットワーク監視やコンピュータのオペレーションシステムで通常利用される技術を用いればよく、特に限定されるものではない。例えば、ネットワーク上のパケットを盗聴するsnoopingの手段を用いて、全てのネットワーク上に流れるパケットを監視し、受信した各々のパケットについて、送信元IPアドレス、送信先IPアドレス、送信元MACアドレス(同一セグメント内の場合は送信元端末のMACアドレス、セグメントが異なる場合はルータのMACアドレス等)、送信先MACアドレス等の情報を取得することもできる。
【0058】
新たな端末装置の接続が検出されて承認されたIPアドレス宛にpingを送信した場合、pingに対する応答の有無によって当該端末装置のIPアドレスが予め承認されたものであるか否かを判定する(S03)。つまり、pingに応答があれば承認されたIPアドレスであり、応答がない場合は承認されていないIPアドレスの端末装置が接続されたことになる。IPアドレスが承認されたものでない場合は、偽装ARPリダイレクトパケットの送信など、当該端末装置の通信を中断させるための処理を実行する(S09)。
【0059】
次に、新たに接続された端末装置のMACアドレスを取得する(S04)。MACアドレスを直接特定できない場合には、IPアドレスからARPを用いて特定することとしてもよい。ネットワーク管理サーバには、予めネットワークへの接続が承認された端末装置についてのMACアドレスが記憶されており、新たに接続された端末装置から取得したMACアドレスが接続権限を有するものであるか否か、承認されたMACアドレスが記憶されたテーブルを参照して確認する(S05)。MACアドレスが承認されたものでない場合は、偽装ARPリダイレクトパケットの送信など、当該端末装置の通信を中断させるための処理を実行する(S09)。
【0060】
ネットワーク管理サーバには、予めネットワークへの接続が承認された端末装置についてのIPアドレスとMACアドレスの組合せを記憶されておくこともできる。この場合、新たに接続された端末装置から取得したIPアドレスとMACアドレスの組合せが接続権限を有するものであるか否か、承認されたIPアドレスとMACアドレスの組合せが記憶されたテーブルを参照して確認する(S06)。IPアドレスとMACアドレスの組合せが承認されたものでない場合は、偽装ARPリダイレクトパケットの送信など、当該端末装置の通信を中断させるための処理を実行する(S09)。
【0061】
尚、ここまでのフローは通常のネットワーク監視において用いられているものであるが、本発明においてはネットワークに接続中の端末装置を識別するために、これらのフローによりネットワークに接続中の端末装置がIPアドレス等の識別情報をキーにして特定された状態にあることを前提としている。従って、ネットワークに接続中の端末装置が特定できれば、IPアドレスとMACアドレスのいずれか一方又は双方の組合せ、若しくはその他の端末装置を識別できる識別情報のいずれにより特定するものであってもよい。
【0062】
続いて、IPアドレスとMACアドレスの組合せの承認まで確認された場合は、当該端末装置から監視プログラムからの接続開始通知を受けたか否かを確認する(S07)。監視プログラムは接続権限を有する正規の端末装置にしか格納されていないので、IPアドレスやMACアドレスが偽装されたものである場合は、接続開始通知を受信することはない。従って、接続開始通知を所定の時間内に受信しない場合には、なりすましの可能性があると判定して、偽装ARPリダイレクトパケットの送信など、当該端末装置の通信を中断させるための処理を実行する(S09)。
【0063】
一方、接続開始通知を受信した場合は、接続権限を有する正規の端末装置であると判定して、ネットワークへの接続を許容するとともに、当該端末装置がネットワークに接続されている間に不正操作が行われないことを監視するために、端末装置に格納された監視プログラムからの定時連絡についての連絡記録を開始する(S08)。
【0064】
ネットワーク管理サーバにおける端末装置に格納された監視プログラムからの提示連絡の受信による不正操作の判定は、図8又は図9のように行われる。図8はネットワークに接続されている端末の特定を先に行うパターンで、まずネットワーク内に接続中の端末装置をIPアドレス等を取得して特定し(S10)、各々の端末装置から所定のタイミングで定時連絡を受け付けたか否かを確認する(S11)。
【0065】
定時連絡は接続権限を有する正規の端末装置にのみ格納された監視プログラムを起動して送信されるので、IPアドレス等からはネットワークに接続中と判定されながら所定のタイミングで定時連絡を受け付けていない場合は、IPアドレス等のなりすましによる不正な接続が行われている可能性がある。従って、所定のタイミングで定時連絡を受け付けていない場合は、なりすましの可能性があると判定して、偽装ARPリダイレクトパケットの送信など、当該端末装置の通信を中断させるための処理を実行する(S13)。
【0066】
一方、定時連絡を受け付けている場合は、当該定時連絡に含まれる端末装置から送信されたIPアドレスやMACアドレス等の識別情報、ゲートウェイサーバやDHCPサーバのIPアドレス等のネットワークへの接続状態に関する情報などを検出し、これらの最新情報が予めネットワーク管理サーバに記憶された通常の接続情報と異なるものでないか否かを確認する(S12)。接続情報に異常が生じている場合は、当該端末装置の接続状態に何らかの不正操作が行われている可能性があると判定して、偽装ARPリダイレクトパケットの送信など、当該端末装置の通信を中断させるための処理を実行する(S13)。接続情報に異常がない場合は、監視を継続する。
【0067】
図9は、定時連絡の確認を先に行うパターンである。ネットワーク管理サーバはネットワークに接続中の端末装置から所定のタイミングで送信される定時連絡の受け付けるよう待機し(S14)、所定のタイミングになると定時連絡を受けたか否かを確認する(S15)。尚、このように所定のタイミングで定時連絡を受けるためには、接続権限を有する正規の端末装置にのみ格納された監視プログラムに定時連絡を実行するプログラムを含ませることとしてもよいし、ネットワーク管理サーバから所定のタイミングで監視プログラムのみで応答可能なリクエストを送信し、監視プログラムからのレスポンスとして定時連絡を受け付けることとしてもよい。
【0068】
定時連絡を受けた場合には、当該定時連絡に含まれる端末装置から送信されたIPアドレスやMACアドレス等の識別情報、ゲートウェイサーバやDHCPサーバのIPアドレス等のネットワークへの接続状態に関する情報などを検出し、これらの最新情報が予めネットワーク管理サーバに記憶された通常の接続情報と異なるものでないか否かを確認する(S16)。接続情報に異常が生じている場合は、当該端末装置の接続状態に何らかの不正操作が行われている可能性があると判定して、偽装ARPリダイレクトパケットの送信など、当該端末装置の通信を中断させるための処理を実行する(S18)。接続情報に異常がない場合は、監視を継続する。
【0069】
一方、定時連絡を受けなかった場合は、当該端末装置がネットワークに接続中であるか否かを確認する(S17)。接続中か否かの確認は、他のネットワーク監視システムで管理するデータを参照することとしてもよいし、pingの送信等により確認することとしてもよい。端末装置が接続されていない場合は、当該端末装置の電源がオフになるなど既に操作が終了していると判定できるので、監視を中止する。端末装置が接続されている場合は、接続中であるにもかかわらず定時連絡が行われないのは、監視プログラムを備えていない不正な端末装置が接続されている可能性があるため、なりすましの可能性があると判定して、偽装ARPリダイレクトパケットの送信など、当該端末装置の通信を中断させるための処理を実行する(S18)。
【0070】
図10のフローチャートを用いて、端末装置側の監視プログラムで、ネットワーク管理サーバに対してネットワークへの接続開始時に接続開始通知を送信し、その後に所定のイベントが発生した場合にも通知を送信するフローについて説明する。まず、端末装置を起動してネットワークへの接続処理が実行されると(S21)、ネットワークへの接続権限を有する正規の端末装置にのみ格納された監視プログラムを起動して(S22)、ネットワーク管理サーバに所定の接続開始通知を送信する(S23)。当該接続開始通知はネットワークへの接続権限を有する正規の端末装置にのみ格納された監視プログラムにより生成され、固有のデータ形式の採用、非公開のヘッダーの付与などにより、当該監視プログラムを備えていないと生成できないデータとして送信される。接続開始通知を受信したネットワーク管理サーバは、先に説明したフローにより、当該端末装置の接続の可否についての判定を行う。
【0071】
ネットワーク管理サーバにおいてネットワークへの接続が許容されると、IPアドレスの変更など、なりすまし等の不正操作の可能性がある所定の操作が実行されることを監視する(S24、S25)。所定の操作が実行されない場合はそのまま監視が継続されるが、所定の操作の実行を検出した場合は、当該端末装置において異常が発生したことの通知をネットワーク管理サーバに送信する(S26)。通知を受けたネットワーク管理サーバは、不正操作の可能性があるとして、当該端末装置のネットワークへの接続を切断する処理等を実行する。尚、所定の操作の実行を検出した場合には、端末装置上においてネットワークを使用不可にする等のアクションを実行することとしてもよい。
【0072】
図11のフローチャートを用いて、端末装置側の監視プログラムで、ネットワーク管理サーバに対してネットワークへ接続中に定時連絡を送信するフローについて説明する。まず、端末装置を起動してネットワークへの接続処理が実行されると(S31)、ネットワークへの接続権限を有する正規の端末装置にのみ格納された監視プログラムを起動して(S32)、ネットワーク管理サーバに所定の接続開始通知を送信する(S33)。当該接続開始通知はネットワークへの接続権限を有する正規の端末装置にのみ格納された監視プログラムにより生成され、固有のデータ形式の採用、非公開のヘッダーの付与などにより、当該監視プログラムを備えていないと生成できないデータとして送信される。接続開始通知を受信したネットワーク管理サーバは、先に説明したフローにより、当該端末装置の接続の可否についての判定を行う。
【0073】
当該端末装置では接続開始通知の送信から定時までの所定の時間の経過をカウントし、定時になると当該端末装置の最新のIPアドレス等の接続情報を取得する(S34)。当該接続情報は定時連絡として所定のタイミングでネットワーク管理サーバに送信されるが(S35)、当該定時連絡はネットワークへの接続権限を有する正規の端末装置にのみ格納された監視プログラムにより生成され、固有のデータ形式の採用、非公開のヘッダーの付与などにより、当該監視プログラムを備えていないと生成できないデータとして送信される。定時連絡を受信したネットワーク管理サーバは、先に説明したフローにより、当該端末装置の接続継続の可否についての判定を行う。
【0074】
当該定時連絡の送信により、ネットワーク管理サーバが当該端末装置の接続継続を不可と判定すると、当該端末装置のネットワークへの切断が切断される。ネットワークへの切断が実行された場合には(S36)、当該端末装置の監視プログラムも停止する(S37)。一方、ネットワーク管理サーバが当該端末装置の接続継続を可と判定すると、ネットワークへの切断は実行されずに(S36)、定時連絡のための待機が継続される。
【図面の簡単な説明】
【0075】
【図1】本発明にかかる不正接続検知システムの設定の一例を示す図である。
【図2】本発明にかかる不正接続検知システムに用いられるネットワーク管理サーバと端末装置の構成を示すブロック図である。
【図3】本発明にかかる不正接続検知システムに記録される正規の端末からの通知記録の例を示す図である。
【図4】本発明にかかる不正接続検知システムにおいて、接続権限を有する正規の端末装置が接続された場合の管理サーバの動作の例を示す図である。
【図5】本発明にかかる不正接続検知システムにおいて、接続権限を有しない不正な端末装置が接続された場合の管理サーバの動作の第1の例を示す図である。
【図6】本発明にかかる不正接続検知システムにおいて、接続権限を有しない不正な端末装置が接続された場合の管理サーバの動作の第2の例を示す図である。
【図7】本発明にかかる不正接続検知システムにおける端末の起動時の管理サーバのフローを示すフローチャートである。
【図8】本発明にかかる不正接続検知システムにおける端末からの定時連絡を受ける管理サーバの第1の監視フローを示すフローチャートである。
【図9】本発明にかかる不正接続検知システムにおける端末からの定時連絡を受ける管理サーバの第2の監視フローを示すフローチャートである。
【図10】本発明にかかる不正接続検知システムにおける端末側の監視プログラムの第1のフローを示すフローチャートである。
【図11】本発明にかかる不正接続検知システムにおける端末側の監視プログラムの第2のフローを示すフローチャートである。
【符号の説明】
【0076】
10 ネットワーク管理サーバ
11 端末情報格納部
20 ルータ
30 端末装置
31 監視プログラム
40 端末装置
41 監視プログラム
50 端末装置
【技術分野】
【0001】
本発明は、接続権限を有さない不正な端末装置によるネットワークへの不正接続を検知するための不正接続検知システムに関するものである。
【背景技術】
【0002】
社内LAN等のクローズドなネットワークでの重要情報の管理においては、ネットワークの外部からの不正な侵入を防止することとあわせて、ネットワーク内部における不正な操作による情報の持ち出しへの対策が重要な課題となっている。不正な情報の持ち出し等が行われる場合には、ネットワークに正規に接続された端末を用いると不正操作の痕跡を残したり不正操作者が特定されたりする恐れがあるために、不正操作者が自ら所有する端末をネットワークに接続して不正な情報の持ち出し等が行われることがある。
【0003】
このような不正操作に対応するために、ネットワークに接続された端末を特定するための管理サーバをネットワーク内に設け、管理サーバにはネットワークへの接続が許可された端末の識別情報を記憶させておき、ネットワークに端末が接続されると当該端末の識別情報を取得してネットワークへの接続権限を確認し、接続権限を有していない端末がネットワークに接続された場合に、当該端末に対して不正操作を停止させることが行われている。ネットワークに接続されている端末を特定するための識別情報には、一般に端末に付与されたIPアドレスやMACアドレスが用いられている。
【0004】
端末に付与されたIPアドレスやMACアドレスを取得して端末が正規なものか否かを判定する方法としては、端末を起動してネットワークへの接続が開始されたときに、端末からIPアドレスやMACアドレスを含むブロードキャスト信号を送信し、これを受信した管理サーバに記憶されたものと照合する方法(例えば、特許文献1参照。)や、IPアドレスをキーにARPを用いてMACアドレスを取得し、IPアドレスとMACアドレスの組合せを管理サーバに記憶されたものと照合する方法(例えば、特許文献2参照。)などが開示されている。
【特許文献1】特開平6−334671号
【特許文献2】特開2000−201143号
【発明の開示】
【発明が解決しようとする課題】
【0005】
上記の方法により、接続権限を有しない端末がネットワークに接続された場合には、管理サーバが記憶していないIPアドレスやMACアドレスを検出することにより、不正な接続を検知してネットワークからの切断等の対処を行うことができる。しかしながら、この方法が有効なのは、IPアドレスやMACアドレスが個々の端末と紐付けられていることが前提であり、IPアドレスやMACアドレスが書き換えられてしまった場合には、不正な接続であることを検知することができない。
【0006】
実際に不正接続が行われるケースでは、接続権限を持つ端末をネットワークから切り離し、一方で不正接続を行うために別の端末を持ち込んで、当該端末のIPアドレスやMACアドレスを、接続権限を有する端末のIPアドレスやMACアドレスに書き換えて接続するいわゆる「なりすまし」が行われることがある。なりすましが行われた場合、IPアドレスやMACアドレス自体は接続権限を有する正規のものが用いられるので、不正であることを発見できないという問題がある。
【0007】
なりすましによる情報の流出を防止するためには、重要情報が存在する端末へのアクセスの認証を強化するなど、他の方法と併用することが考えられるが、何らかの方法で端末へのアクセスを制御したとしても、ネットワーク上に不正な端末が接続された状態を許容してしまうと、パケット盗聴(スニーフィング)が行われた場合にもこれを検知できないという問題が生じる。従って、接続権限を有さない不正な端末がネットワークに接続された場合には、なりすましが行われている場合であってもこれをいち早く検出して対処を行うことが必要である。
【0008】
本発明は、このような課題に対応するためになされたものであり、接続権限を有さない不正な端末装置がIPアドレスやMACアドレスを書き換えたなりすまし等によりネットワークへの不正接続を行った場合、これを検知して対処するための不正接続検知システムを提供することを目的とするものである。
【課題を解決するための手段】
【0009】
以下に説明する本発明においては、いずれもネットワークへの接続権限を有する正規の端末には専用の監視プログラムが格納されており、当該端末のネットワークへの接続時には当該監視プログラムが所定の動作を行ってネットワークを管理する管理サーバに所定の情報を送信するよう構成することにより、当該情報の有無や内容によって、接続権限を有さない不正な端末のネットワークへの接続を検知することができる。
【0010】
尚、以下の発明において、ネットワークとはLANなどアクセス権限を有するもののみが接続可能なクローズドなネットワークが該当する。端末装置には通常はパーソナルコンピュータなどのコンピュータ機器が該当するが、ネットワークに接続が可能なものであれば、ルータやゲートウェイなどのネットワーク機器、Webサーバ等のサーバ、PDA等のモバイル端末などどのようなものであってもよい。
【0011】
前述の課題を解決する本発明は、接続権限を有さない端末装置のネットワークへの不正接続を検知するための、前記端末装置に格納された監視プログラムと前記ネットワークへの接続を管理する管理サーバからなる不正接続検知システムであって、前記監視プログラムは、前記ネットワークへの接続権限を有する正規の端末装置のみに格納され、前記端末装置がネットワークに接続されると、所定の間隔で前記端末装置に関する情報を前記管理サーバに送信するとともに、不正操作と定義された所定のイベントを検知すると前記イベントの発生通知を前記管理サーバに送信し、前記管理サーバには、前記ネットワークに接続されている端末装置を検出する接続端末検出手段と、前記正規の端末装置に格納された監視プログラムから送信された前記端末装置に関する情報を受信する端末情報受信手段と、前記正規の端末装置に格納された監視プログラムから送信された前記イベントの発生通知を受信する発生通知受信手段と、前記接続端末検出手段が前記ネットワークに接続中であると検出した端末装置について、前記端末情報受信手段が前記監視プログラムに設定された所定の間隔で前記端末装置に関する情報を受信したかを確認し、前記端末装置に関する情報を前記所定の間隔で受信していない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第1の不正接続判定手段と、前記接続端末検出手段が前記ネットワークに接続中であると検出した端末装置について、前記発生通知受信手段が発生通知を受信した場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第2の不正接続判定手段と、前記第1の不正接続判定手段又は前記第2の不正接続判定手段が不正に接続されていると判定した端末装置について、前記端末装置又は前記端末装置の通信対象となっている端末装置に対して通信を阻害するためのパケット、若しくは前記端末装置と前記端末装置の通信対象となっている端末装置の間のセッションを切断するためのパケットを送信するパケット送信手段と、が備えられていることを特徴とする不正接続検知システムである。
【0012】
また、本発明は、前記管理サーバには、前記正規の端末装置について、前記端末装置の正規の識別情報又は前記端末装置の前記ネットワークへの正規の接続状態に関する情報の少なくとも一つに関する第1の端末情報を格納する端末情報格納手段と、前記端末情報受信手段が受信した端末装置に関する情報から、前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つに関する第2の端末情報を検出する端末情報検出手段と、が備えられていて、前記監視プログラムは、前記端末装置に関する情報として前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つについて、前記端末装置の最新の情報を検出して前記不正接続検知システムに送信し、前記第1の不正接続判定手段は、前記端末情報検出手段が検出した第2の端末情報が、前記端末装置に関する前記端末情報格納手段に格納された第1の端末情報と一致しない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定することを特徴とすることもできる。
【0013】
本発明では、監視プログラムはネットワークに接続されている間は所定の間隔で端末に関する情報を送信するため、IPアドレス等によりネットワークへの接続が確認された端末について管理サーバが所定の間隔で端末に関する情報を受信しないと、当該端末では本来は存在するべき監視プログラムが動作しておらず、IPアドレス等が書き換えられた不正な端末であると判定することが可能になる。
【0014】
また、例えばなりすましのために正規の端末装置のIPアドレスが書き換えられるなど不正操作の可能性がある動作をイベントとして予め設定し、正規の端末装置においてはかかる動作を監視するプログラムを格納することにより、不正操作の可能性がある場合には速やかに管理サーバに通知して、所定の対処を行うことが可能になる。
【0015】
さらに、接続権限を有する正規の端末装置についてのIPアドレスやMACアドレス等の端末の識別情報、ゲートウェイやDHCPサーバのIPアドレスなど端末の接続状態に関する情報を予め管理サーバに記憶させておき、接続開始通知として接続時の端末のIPアドレス等の識別情報やゲートウェイのIPアドレス等の接続状態に関する情報を合わせて受信して照合することにより、端末の状態が正常であるか否かを確認して不正な接続でないかを判定するよう構成してもよい。
【0016】
さらに、本発明の他の実施形態は、接続権限を有さない不正な端末装置のネットワークへの接続を検知するための不正接続検知システムであって、前記ネットワークへの接続権限を有する正規の端末装置には、前記不正接続検知システムからのリクエストに対して、所定のレスポンスを返信する監視プログラムが格納されていて、前記ネットワークに接続されている端末装置を検出する接続端末検出手段と、前記接続端末検出手段が前記ネットワークに接続中であると検出した端末装置に対して、前記リクエストを送信するリクエスト送信手段と、前記正規の端末装置に格納された監視プログラムから送信された前記リクエストに対するレスポンスを受信するレスポンス受信手段と、前記リクエスト送信手段がリクエストを送信した端末装置について、前記レスポンス受信手段が前記端末装置から前記リクエストに対するレスポンスを受信しない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第4の不正接続判定手段と、前記第4の不正接続判定手段が不正に接続されていると判定した端末装置について、前記端末装置又は前記端末装置の通信対象となっている端末装置に対して通信を阻害するためのパケット、若しくは前記端末装置と前記端末装置の通信対象となっている端末装置の間のセッションを切断するためのパケットを送信するパケット送信手段と、を備えることを特徴とする不正接続検知システムである。
【0017】
前記実施形態においては、前記正規の端末装置について、前記端末装置の正規の識別情報又は前記端末装置の前記ネットワークへの正規の接続状態に関する情報の少なくとも一つに関する第1の端末情報を格納する端末情報格納手段と、前記レスポンス受信手段が受信したレスポンスから、前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つに関する第2の端末情報を検出する端末情報検出手段と、を備えていて、前記監視プログラムは、前記レスポンスとして前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つについて、前記端末装置の最新の情報を検出して前記不正接続検知システムに送信し、前記第4の不正接続判定手段は、前記端末情報検出手段が検出した第2の端末情報が、前記端末装置に関する前記端末情報格納手段に格納された第1の端末情報と一致しない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定することを特徴とすることもできる。
【0018】
前記実施形態では、管理サーバからはIPアドレス等から接続中であると検出した端末装置に対して所定のリクエストを送信し、接続権限を有する正規の端末装置は予め格納された監視プログラムでリクエストに対する所定のレスポンスを応答するが、なりすまし等により不正に接続された端末装置はかかる監視プログラムを備えていないためにレスポンスの応答ができず、レスポンスの有無からIPアドレス等が書き換えられた不正な端末であると判定することが可能になる。
【0019】
また、接続権限を有する正規の端末装置についてのIPアドレスやMACアドレス等の端末の識別情報、ゲートウェイやDHCPサーバのIPアドレスなど端末の接続状態に関する情報を予め管理サーバに記憶させておき、端末からのレスポンスとして接続時の端末のIPアドレス等の識別情報やゲートウェイのIPアドレス等の接続状態に関する情報を合わせて受信して照合することにより、端末の状態が正常であるか否かを確認して不正な接続でないかを判定するよう構成してもよい。
【0020】
本発明は、本発明にかかる不正接続検知システムに対応して、不正接続検知システムの各々の構成により実施される不正接続検知方法として発明を特定することもできる。
【0021】
つまり、本発明に対応する不正接続検知方法は、接続権限を有さない端末装置のネットワークへの不正接続を検知するために、監視プログラムが格納された端末装置と、前記ネットワークへの接続を管理する管理サーバによって実行される不正接続検知方法であって、前記監視プログラムは、前記ネットワークへの接続権限を有する正規の端末装置のみに格納されていて、前記ネットワークへの接続権限を有する正規の端末装置が、前記ネットワークへの接続処理を起動するステップと、前記正規の端末装置が、前記ネットワークへの接続を確立すると、前記監視プログラムによって、所定の間隔で前記端末装置に関する情報を前記管理サーバに送信する端末情報送信ステップと、前記管理サーバが、前記ネットワークに接続された端末装置を検出する端末検出ステップと、前記管理サーバが、前記端末検出ステップで新たに前記ネットワークに接続中であると検出した端末装置について、前記監視プログラムに設定された所定の間隔で前記端末装置に関する情報を受信したかを確認し、前記端末装置に関する情報を前記所定の間隔で受信していない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第1の判定ステップと、前記正規の端末装置が、前記監視プログラムによって、前記正規の端末装置において不正操作と定義された所定のイベントを検知するステップと、前記正規の端末装置が、前記所定のイベントを検知すると、前記監視プログラムによって、前記イベントの発生通知を前記管理サーバに送信するステップと、前記管理サーバが、前記端末検出ステップで新たに前記ネットワークに接続中であると検出した端末装置について、前記発生通知を受信した場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第2の判定ステップと、前記第1の判定ステップ又は前記第2の判定ステップで不正に接続されていると判定した端末装置について、前記端末装置又は前記端末装置の通信対象となっている端末装置に対して通信を阻害するためのパケット、若しくは前記端末装置と前記端末装置の通信対象となっている端末装置の間のセッションを切断するためのパケットを送信するステップと、を有することを特徴とする不正接続検知方法である。
【0022】
本発明に対応する不正接続検知方法は、前記端末情報送信ステップにおいて、前記正規の端末装置は、前記監視プログラムによって、前記端末装置に関する情報として前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つについて、前記正規の端末装置の最新の情報を検出して前記管理サーバに送信し、前記管理サーバが、前記接続開始通知から前記新たな端末装置の識別情報又は前記新たな端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つに関する第2の端末情報を検出するステップと、前記管理サーバが、前記第2の端末情報が、前記正規の端末装置について前記端末装置の正規の識別情報又は前記端末装置の前記ネットワークへの正規の接続状態に関する情報の少なくとも一つに関する第1の端末情報を格納する端末情報格納部に格納された第1の端末情報と一致しない場合は、前記新たな端末装置が前記ネットワークに不正に接続されていると判定する第3の判定ステップと、を有していて、前記パケットを送信するステップにおいては、前記第3の判定ステップにおいて不正に接続されていると判定した端末装置について、前記端末装置又は前記端末装置の通信対象となっている端末装置に対して通信を阻害するためのパケット、若しくは前記端末装置と前記端末装置の通信対象となっている端末装置の間のセッションを切断するためのパケットを送信することを特徴とすることもできる。
【0023】
この他にも、本発明は、本発明にかかる不正接続検知システムの他の実施形態に対応して、不正接続検知システムの各々の実施形態により実施される不正接続検知方法として発明を特定することもできる。
【発明の効果】
【0024】
IPアドレスやMACアドレスを書き換えたなりすまし等によって接続権限を有さない不正な端末装置によるネットワークへの不正接続を行われた場合、従来のIPアドレスやMACアドレスをキーに付与された接続権限の確認のみでは対応することができないが、本発明により監視プログラムからの応答の有無により不正を検知して対処することが可能になる。
【発明を実施するための最良の形態】
【0025】
本発明を実施するための最良の形態について、図面を用いて以下に詳細に説明する。尚、以下では主としてIPアドレスの書き換えによるなりすましに対応する例について説明するが、本発明はかかる実施形態に限定されるものではない。
【0026】
図1は、本発明にかかる不正接続検知システムの設定の一例を示す図である。図2は、本発明にかかる不正接続検知システムに用いられるネットワーク管理サーバと端末装置の構成を示すブロック図である。図3は、本発明にかかる不正接続検知システムに記録される正規の端末からの通知記録の例を示す図である。図4は、本発明にかかる不正接続検知システムにおいて、接続権限を有する正規の端末装置が接続された場合の管理サーバの動作の例を示す図である。図5は、本発明にかかる不正接続検知システムにおいて、接続権限を有しない不正な端末装置が接続された場合の管理サーバの動作の第1の例を示す図である。図6は、本発明にかかる不正接続検知システムにおいて、接続権限を有しない不正な端末装置が接続された場合の管理サーバの動作の第2の例を示す図である。図7は、本発明にかかる不正接続検知システムにおける端末の起動時の管理サーバのフローを示すフローチャートである。図8は、本発明にかかる不正接続検知システムにおける端末からの定時連絡を受ける管理サーバの第1の監視フローを示すフローチャートである。図9は、本発明にかかる不正接続検知システムにおける端末からの定時連絡を受ける管理サーバの第2の監視フローを示すフローチャートである。図10は、本発明にかかる不正接続検知システムにおける端末側の監視プログラムの第1のフローを示すフローチャートである。図11は、本発明にかかる不正接続検知システムにおける端末側の監視プログラムの第2のフローを示すフローチャートである。
【0027】
図1の例では、本発明にかかる不正接続検知システムは、ルータ20の内側のクローズドなネットワークを監視するネットワーク管理サーバ10に備えられている。ネットワーク管理サーバ10では、端末情報格納部11においてネットワークへの接続権限が与えられた正規の端末装置30、40についてのIPアドレスやMACアドレス等の識別情報、ゲートウェイやDHCPサーバのIPアドレス等のネットワークへの接続状態に関する情報などの端末情報が格納されている。
【0028】
尚、ネットワーク管理サーバ10はネットワークに接続された端末装置を所定の間隔で検出し、端末情報格納部11に格納された通常の状態との対比や、端末情報格納部11への接続状態等の履歴情報の書き込みを行うが、かかる機能は本発明にかかる不正接続検知システムとして動作するネットワーク管理サーバ10と物理的に同一のコンピュータが用いられてもよいし、分離された2以上のコンピュータによってこれらの機能を果すものであってもよい。特に前者の機能については、一般に用いられているネットワーク管理用のサーバを用いることが可能である。
【0029】
また、端末情報格納部11に情報が格納される対象となる端末装置は、通常はネットワークを利用するユーザーが操作するコンピュータが対象となる他、ルータやDHCPサーバ、Webサーバなど、クローズドなネットワーク内に接続されている全てのノードを含むことができる。
【0030】
ネットワークへの接続権限が与えられた正規の端末装置30、40には、それぞれネットワーク内での不正接続等の監視に用いられる監視プログラム31、41が格納されている。監視プログラム31、41は、コンピュータのオペレーションシステム等に含まれる一般的なネットワーク接続用のプログラムとは別に設けられていて、正規の端末装置30、40にのみインストールされる。従って、なりすましのために不正に持ち込まれたネットワークへの接続権限が与えられていない端末装置50には、監視プログラムは格納されていない。
【0031】
従って、監視プログラム31、41によって、ネットワークへの接続時にネットワーク管理サーバ10に接続開始通知の送信、ネットワークに接続している間にネットワーク管理サーバに定期的に端末装置内の情報を送信するなどの動作を実行させることにより、ネットワーク管理サーバ10においてネットワークに接続中であると検出された端末装置については、ネットワーク管理サーバ10がかかる通知等を受信することになる。監視プログラム31、41から送信される通知等は、ネットワーク管理サーバ10からのリクエストに対して応答するものであってもよい。ネットワークに接続中でありながらもネットワーク管理サーバ10が通知等を受信しない端末装置については、監視プログラムがインストールされていないと推測されることから、なりすまし等により不正にネットワークに接続された端末装置であると判定することができる。
【0032】
この構成をさらに具体的に説明すると、ネットワーク管理サーバ10と正規の端末装置30は、図2のように構成されている。図2の例では、ネットワーク管理サーバ10は、端末情報格納部11を備えた1台のコンピュータで構成されている。ネットワーク管理サーバ10の起動時には、ROM103に記憶された入力制御や出力制御などのハードウェア制御のための基本的な各種プログラムを起動するとともに、HDD104からコンピュータのオペレーションシステムを読み出してネットワークの監視を開始する。続いて、HDD104からネットワークへの不正接続を検知するための動作を実行するためのプログラムを読み出して、RAM102をワークエリアとして機能させながら、CPU101が演算処理を行って、ネットワークの監視を実行する。
【0033】
一方、正規の端末装置30の起動時には、ROM303に記憶された入力制御や出力制御などのハードウェア制御のための基本的な各種プログラムを起動するとともに、HDD304からコンピュータのオペレーションシステムが読み出される。続いて、HDD304からネットワークへの不正接続を検知するために格納された監視プログラム31が読み出されて、RAM302をワークエリアとして機能させながら、CPU301が演算処理を行って、監視プログラム31によって定義された接続開始通知の送信などネットワーク管理サーバ10に対する所定の動作等を実行する。
【0034】
例えば、監視プログラム31において、ネットワークへの接続時に接続開始通知を送信し、その後に所定の間隔で接続通知を送信するよう設定されている場合は、接続開始時や所定の時間到来時にはRAM302とCPU301で演算処理を行って、NIC(ネットワークインターフェイスカード)305から、LANを経由してネットワーク管理サーバ10に接続開始通知等のデータが送信される。ネットワーク管理サーバ10ではNIC105でこれを受け付けて、RAM102とCPU101で演算処理を行って受け付けたデータを解釈し、接続開始通知等の受信をHDD104の端末情報格納部11に記録する。HDDに監視プログラムが格納されていない場合には、かかるネットワーク管理サーバ10に対するデータの送信が行われないため、ネットワーク管理サーバ10では接続開始通知の不受理等から不正なネットワークへの接続を検知することができる。
【0035】
図3は、本発明にかかる不正接続検知システムにおいて、ネットワーク管理サーバ10の端末情報格納部11に記録される正規の端末毎に設けられた通知記録を記録するテーブルの一例を示している。図3の例では、ネットワークへの接続権限を有する端末装置それぞれに端末IDを付与し、端末ID毎に設けられたテーブルに、当該端末装置を特定する識別情報であるIPアドレスとMACアドレスが記録されている。また、当該端末装置のネットワークへの接続記録と、当該端末に備えられた監視プログラムからの通知記録が記録されている。
【0036】
このうち、端末の識別情報であるIPアドレスとMACアドレスについては、ネットワークに接続された端末装置の接続権限を判定するキーとして用いることができる。つまり、ネットワーク管理サーバ10がネットワークに新たな端末装置が接続されたことを検出すると、当該端末装置のIPアドレス又はMACアドレスを取得して、当該アドレスが端末情報格納部11に接続権限を有するとして記録されている正規の端末装置のIPアドレス又はMACアドレスと対比する。同一のIPアドレス又はMACアドレスが存在しない場合は、接続権限のない端末装置である可能性があるので、ネットワーク管理サーバ10はネットワークからの切断させるための何らかの処理を実行する。
【0037】
尚、上記のIPアドレス又はMACアドレスを用いた判定は、いずれか一方をキーに判定してもよいし、双方の組合せが正規の端末装置と一致することを承認の条件としてもよい。また、このようにネットワークに接続されている端末装置からIPアドレス又はMACアドレスを取得しての接続権限の判定については、ネットワーク管理サーバ10とは別のコンピュータにおいて、オペレーションシステムの機能等を用いて動作させることとしてもよいし、本発明にかかる不正接続検知システムとともにネットワーク管理サーバ10において実行することとしてもよい。
【0038】
ネットワークへの接続記録については、図3の例では過去のログも含めて記録されているが、かかるログは必須のものではなく、本発明にかかる不正接続検知システムを動作させるためには、少なくとも端末IDやIPアドレス等により特定される端末装置がネットワークに接続中であるか否かを判定できる情報が記録されていればよく、ネットワークに接続中であることを示すフラグ等を用いることとしてもよい。
【0039】
監視プログラムからの通知記録については、図3の例では過去のログも含めて記録されているが、かかるログは必須のものではなく、例えば直前の通知記録に関する情報のみを記録してそこからの経過時間を測定するなど、ネットワークに接続中の間に所定の間隔で通知記録を受け付けているかどうかを確認できるよう構成されていればよい。また、図3の例では応答時の端末装置のIPアドレスなどの情報が併せて記録されているが、このように端末装置の識別情報や接続状態に関する情報についても記録するよう構成すれば、応答の有無を確認するだけでなく、IPアドレスが書き換えられるなど端末装置に何らかの変化が生じた場合に、これを検出して不正な操作を特定することが可能になる。
【0040】
次に、図4乃至図6を用いて、本発明にかかる不正接続検知システムにおけるネットワーク管理サーバ10の動作について説明する。図4は、接続権限を有する正規の端末装置が接続された場合の例を、図5と図6は、接続権限を有しない不正な端末装置が接続された場合の例を示している。
【0041】
図4において、ネットワークへの接続権限を有する正規の端末装置40に電源が入れられると、端末装置40のオペレーティングシステムが起動されてネットワークへの接続処理が行われる。端末装置40にパーソナルコンピュータ等が用いられると、通常はオペレーディングシステムによりルータやゲートウェイ、ファイルサーバなどのネットワーク内のノードに関する情報が集められ、ネットワークへの接続状態を把握する。
【0042】
一方、ネットワーク管理サーバ10も随時ネットワークに接続されているノードを検出してIPアドレス等の情報を集めており、ネットワークに接続されているノードを把握している。また、ネットワーク管理サーバ10にはネットワークへの接続権限を有する端末装置のIPアドレス等の識別情報が記憶されており、ネットワーク管理サーバ10はネットワークに接続されていることを検出した端末装置のIPアドレス等と接続権限を有する端末装置のIPアドレス等を対比して、接続権限を有していない端末装置がネットワークに接続された場合に、これを検知することができる。
【0043】
図4においては、ネットワーク管理サーバ10は端末装置40がネットワークに検出されたことを検出し、端末装置40からIPアドレス〔123.456.789.123〕を取得する。一方、ネットワーク管理サーバ10には、端末装置40がネットワークへの接続権限を有する端末装置であって、IPアドレスが〔123.456.789.123〕であることが記憶されており、端末装置40から取得したIPアドレスと一致するため、端末装置40が接続権限を有する端末装置であることが確認できる。
【0044】
ネットワークへの接続権限を有する端末装置40には、ネットワークへの不正接続を検知するために用いられる専用の監視プログラム41が格納されている。端末装置40の電源が入れられてオペレーティングシステムが起動すると、監視プログラム41も起動されてネットワークへの接続開始を通知する固有の信号をネットワーク管理サーバ10に送信する。つまり、ネットワークへの接続権限を有する正規の端末装置がネットワークに接続された場合には、ネットワーク管理サーバ10は必ず接続開始を通知する監視プログラム固有の信号を受信することになる。図4では、ネットワークへの接続開始が9時であるとすると、監視プログラムからの最初の通知を9時に受信しているので、ネットワークに接続された端末装置は、確かにネットワークへの接続権限を有する端末装置40であると確認することができる。
【0045】
また、監視プログラム41は、端末装置40がネットワークに接続されている間は、定期的に接続が継続されていることを通知する固有の信号をネットワーク管理サーバ10に送信する。かかる信号の送信は、ネットワーク管理サーバ側から所定の間隔で接続中の端末に監視プログラム41によってのみ応答可能なリクエストを送信し、監視プログラム41からのレスポンスを受け付けることとしてもよい。いずれの方法であっても、ネットワークへの接続権限を有する正規の端末装置がネットワークに接続されている間は、ネットワーク管理サーバ10は必ず接続が継続されていることを通知する監視プログラム固有の信号を受信することになる。図4では、ネットワークへの接続が開始された9時から1時間後の10時に正常に通知を受けたことが記録されており、ネットワークへの接続権限を有する端末装置40が正常な状態でネットワークへの接続を継続していることが確認できる。
【0046】
尚、上記の接続が継続されていることを示す通知には、端末装置40の最新の状態に関する情報を含むこととして、ネットワーク管理サーバ10に記憶された正常な状態と対比するよう構成してもよい。端末装置40の最新の状態には、IPアドレスやMACアドレス等の端末の識別情報の他に、ゲートウェイやDHCPサーバのIPアドレスなど端末の接続状態に関する情報を用いてもよい。これらの情報が正常な状態と一致しない場合、例えばIPアドレスやMACアドレスが一致しない場合はアドレスが書き換えられた可能性があり、不正な操作が行われたと判定することができる。
【0047】
図5において、端末装置50はネットワークへの接続権限を有しておらず、IPアドレスを書き換えたなりすましによってネットワークへの接続を試みようとしている。接続権限を有する正規の端末装置40になりすましを行うために、IPアドレスは端末装置40のIPアドレス〔123.456.789.123〕に書き換えられている。尚、端末装置50はネットワークへの接続権限を有する正規の端末装置ではないので、専用の監視プログラムは格納されていない。端末装置50に電源が入れられると、端末装置50のオペレーティングシステムが起動されてネットワークへの接続処理が行われる。
【0048】
ネットワーク管理サーバ10は端末装置50がネットワークに検出されたことを検出し、端末装置50からIPアドレス〔123.456.789.123〕を取得する。一方、ネットワーク管理サーバ10には、ネットワークへの接続権限を有する端末装置のIPアドレスとして〔123.456.789.123〕が記憶されており、端末装置50から取得したIPアドレスと一致するため、IPアドレスによる判定のみからでは、端末装置50はネットワークへの接続権限を有する正規の端末装置であると誤認されることになってしまう。
【0049】
一方、端末装置50には専用の監視プログラムが備えられていないため、ネットワークへの接続が開始されたとしても、接続開始を通知する固有の信号は送出されない。従って、ネットワーク管理サーバ10において端末装置40はネットワークに接続中のステータスとなっているものの、接続通知の記録がなされないため、端末装置40以外の接続権限を有していない不正な端末装置が端末装置40になりすましてネットワークに接続されているものと判定することができる。
【0050】
また、接続が継続されている間についても、専用の監視プログラムが備えられていないため、正規の端末装置からは定期的に送出される接続が継続されていることを通知する固有の信号も送出されない。一方、ネットワーク管理サーバ10において端末装置40はネットワークに接続中のステータスとなっているため、かかる通知が受信されないことからも、接続権限を有していない不正な端末装置が端末装置40になりすましてネットワークに接続されているものと判定することができる。
【0051】
図6は、図5のケースにおいて、端末装置50が端末装置40になりすますために、端末装置40のIPアドレスを他のIPアドレスに書き換える場合を示している。端末装置40が起動された時点では正常に接続が行われ、監視プログラム41から接続開始通知や接続が継続している間の端末からの情報等が送出される。このような状態であれば、ネットワーク管理サーバ10は接続が正常であると判定するが、端末装置50によるなりすましを行うために、端末装置40のIPアドレスが他の接続権限を有する端末装置30のIPアドレス〔123.456.789.100〕に書き換えられたとする。ここで端末装置50がIPアドレス〔123.456.789.123〕になりすまして接続すると、監視プログラム41から接続が継続している間の端末からの情報等が送出されるため、なりすましが検知されない場合がある。
【0052】
そこで、監視プログラム41には、IPアドレスやMACアドレスの変更など、なりすましに関連する所定の動作が実行された場合には、ネットワーク管理サーバ10に通知する処理を実行させるよう設定することが好ましい。このように設定すると、端末装置40のIPアドレスが書き換えられると、監視プログラム41がその旨を通知する固有の信号をネットワーク管理サーバ10に送出するため、ネットワーク管理サーバ10では端末装置40に関連して何らかの不正操作が行われた可能性があることを検知することができる。また、監視プログラム41は、ネットワークを使用不可にする等のアクションを端末装置40において実行するよう設定すると、端末装置40側からもネットワークとの遮断操作を実行できるので、尚好ましい。
【0053】
図5や図6の例の結果、ネットワークに接続されている端末が接続権限を有していない不正な端末装置であると判定されると、ネットワーク管理サーバ10は端末装置50の通信を切断するための処理を実行する。具体的には、例えば端末装置50と通信対象端末の間にTCPセッションが張られている場合であれば、そのセッションに対してリセットパケット又は終了パケットを送信して、セッションを切断することができる。
【0054】
又は、端末装置50に対して偽装ARPリダイレクトパケットを送信して、端末装置50の送信パケットが通信対象端末に到達することを回避してもよい。端末装置50の通信対象端末に対して偽装ARPリダイレクトパケットを送信して、端末装置50と通信対象端末の間の通信を阻害することとしてもよい。
【0055】
上記のような通信の切断処理に際しては、ネットワーク管理サーバ10は、管理者に対してメールを送信する、不正操作やそれに対する対処のログを記録するなどその他の動作を行うこととしてもよい。
【0056】
続いて、図7乃至図11のフローチャートを用いて、本発明にかかる不正接続検知システムのフローについて説明する。図7乃至図9はネットワーク管理サーバ側のフローであって、図7は端末装置の起動時のフローを、図8及び図9は端末装置からの定時連絡を受けるネットワーク管理サーバのフローの2通りのパターンを示している。図10及び図11は端末装置側の監視プログラムのフローの2通りのパターンを示している。
【0057】
図7を用いて、端末装置が起動してネットワークに接続されたときの、ネットワーク管理サーバ側のフローについて説明する。ある端末装置が起動されてクローズドなネットワークに接続されると、ネットワーク管理サーバは新たな端末装置が接続されたことを検出し(S01)、当該端末装置のIPアドレスを特定する(S02)。ここでネットワークに接続された端末装置を検出してIPアドレスを特定する方法は、ネットワーク管理サーバには予めネットワークへの接続が承認された端末装置についてのIPアドレスが記憶されているため、これらのIPアドレス宛にpingを送信して応答を受けることとすればよいが、その他にネットワーク監視やコンピュータのオペレーションシステムで通常利用される技術を用いればよく、特に限定されるものではない。例えば、ネットワーク上のパケットを盗聴するsnoopingの手段を用いて、全てのネットワーク上に流れるパケットを監視し、受信した各々のパケットについて、送信元IPアドレス、送信先IPアドレス、送信元MACアドレス(同一セグメント内の場合は送信元端末のMACアドレス、セグメントが異なる場合はルータのMACアドレス等)、送信先MACアドレス等の情報を取得することもできる。
【0058】
新たな端末装置の接続が検出されて承認されたIPアドレス宛にpingを送信した場合、pingに対する応答の有無によって当該端末装置のIPアドレスが予め承認されたものであるか否かを判定する(S03)。つまり、pingに応答があれば承認されたIPアドレスであり、応答がない場合は承認されていないIPアドレスの端末装置が接続されたことになる。IPアドレスが承認されたものでない場合は、偽装ARPリダイレクトパケットの送信など、当該端末装置の通信を中断させるための処理を実行する(S09)。
【0059】
次に、新たに接続された端末装置のMACアドレスを取得する(S04)。MACアドレスを直接特定できない場合には、IPアドレスからARPを用いて特定することとしてもよい。ネットワーク管理サーバには、予めネットワークへの接続が承認された端末装置についてのMACアドレスが記憶されており、新たに接続された端末装置から取得したMACアドレスが接続権限を有するものであるか否か、承認されたMACアドレスが記憶されたテーブルを参照して確認する(S05)。MACアドレスが承認されたものでない場合は、偽装ARPリダイレクトパケットの送信など、当該端末装置の通信を中断させるための処理を実行する(S09)。
【0060】
ネットワーク管理サーバには、予めネットワークへの接続が承認された端末装置についてのIPアドレスとMACアドレスの組合せを記憶されておくこともできる。この場合、新たに接続された端末装置から取得したIPアドレスとMACアドレスの組合せが接続権限を有するものであるか否か、承認されたIPアドレスとMACアドレスの組合せが記憶されたテーブルを参照して確認する(S06)。IPアドレスとMACアドレスの組合せが承認されたものでない場合は、偽装ARPリダイレクトパケットの送信など、当該端末装置の通信を中断させるための処理を実行する(S09)。
【0061】
尚、ここまでのフローは通常のネットワーク監視において用いられているものであるが、本発明においてはネットワークに接続中の端末装置を識別するために、これらのフローによりネットワークに接続中の端末装置がIPアドレス等の識別情報をキーにして特定された状態にあることを前提としている。従って、ネットワークに接続中の端末装置が特定できれば、IPアドレスとMACアドレスのいずれか一方又は双方の組合せ、若しくはその他の端末装置を識別できる識別情報のいずれにより特定するものであってもよい。
【0062】
続いて、IPアドレスとMACアドレスの組合せの承認まで確認された場合は、当該端末装置から監視プログラムからの接続開始通知を受けたか否かを確認する(S07)。監視プログラムは接続権限を有する正規の端末装置にしか格納されていないので、IPアドレスやMACアドレスが偽装されたものである場合は、接続開始通知を受信することはない。従って、接続開始通知を所定の時間内に受信しない場合には、なりすましの可能性があると判定して、偽装ARPリダイレクトパケットの送信など、当該端末装置の通信を中断させるための処理を実行する(S09)。
【0063】
一方、接続開始通知を受信した場合は、接続権限を有する正規の端末装置であると判定して、ネットワークへの接続を許容するとともに、当該端末装置がネットワークに接続されている間に不正操作が行われないことを監視するために、端末装置に格納された監視プログラムからの定時連絡についての連絡記録を開始する(S08)。
【0064】
ネットワーク管理サーバにおける端末装置に格納された監視プログラムからの提示連絡の受信による不正操作の判定は、図8又は図9のように行われる。図8はネットワークに接続されている端末の特定を先に行うパターンで、まずネットワーク内に接続中の端末装置をIPアドレス等を取得して特定し(S10)、各々の端末装置から所定のタイミングで定時連絡を受け付けたか否かを確認する(S11)。
【0065】
定時連絡は接続権限を有する正規の端末装置にのみ格納された監視プログラムを起動して送信されるので、IPアドレス等からはネットワークに接続中と判定されながら所定のタイミングで定時連絡を受け付けていない場合は、IPアドレス等のなりすましによる不正な接続が行われている可能性がある。従って、所定のタイミングで定時連絡を受け付けていない場合は、なりすましの可能性があると判定して、偽装ARPリダイレクトパケットの送信など、当該端末装置の通信を中断させるための処理を実行する(S13)。
【0066】
一方、定時連絡を受け付けている場合は、当該定時連絡に含まれる端末装置から送信されたIPアドレスやMACアドレス等の識別情報、ゲートウェイサーバやDHCPサーバのIPアドレス等のネットワークへの接続状態に関する情報などを検出し、これらの最新情報が予めネットワーク管理サーバに記憶された通常の接続情報と異なるものでないか否かを確認する(S12)。接続情報に異常が生じている場合は、当該端末装置の接続状態に何らかの不正操作が行われている可能性があると判定して、偽装ARPリダイレクトパケットの送信など、当該端末装置の通信を中断させるための処理を実行する(S13)。接続情報に異常がない場合は、監視を継続する。
【0067】
図9は、定時連絡の確認を先に行うパターンである。ネットワーク管理サーバはネットワークに接続中の端末装置から所定のタイミングで送信される定時連絡の受け付けるよう待機し(S14)、所定のタイミングになると定時連絡を受けたか否かを確認する(S15)。尚、このように所定のタイミングで定時連絡を受けるためには、接続権限を有する正規の端末装置にのみ格納された監視プログラムに定時連絡を実行するプログラムを含ませることとしてもよいし、ネットワーク管理サーバから所定のタイミングで監視プログラムのみで応答可能なリクエストを送信し、監視プログラムからのレスポンスとして定時連絡を受け付けることとしてもよい。
【0068】
定時連絡を受けた場合には、当該定時連絡に含まれる端末装置から送信されたIPアドレスやMACアドレス等の識別情報、ゲートウェイサーバやDHCPサーバのIPアドレス等のネットワークへの接続状態に関する情報などを検出し、これらの最新情報が予めネットワーク管理サーバに記憶された通常の接続情報と異なるものでないか否かを確認する(S16)。接続情報に異常が生じている場合は、当該端末装置の接続状態に何らかの不正操作が行われている可能性があると判定して、偽装ARPリダイレクトパケットの送信など、当該端末装置の通信を中断させるための処理を実行する(S18)。接続情報に異常がない場合は、監視を継続する。
【0069】
一方、定時連絡を受けなかった場合は、当該端末装置がネットワークに接続中であるか否かを確認する(S17)。接続中か否かの確認は、他のネットワーク監視システムで管理するデータを参照することとしてもよいし、pingの送信等により確認することとしてもよい。端末装置が接続されていない場合は、当該端末装置の電源がオフになるなど既に操作が終了していると判定できるので、監視を中止する。端末装置が接続されている場合は、接続中であるにもかかわらず定時連絡が行われないのは、監視プログラムを備えていない不正な端末装置が接続されている可能性があるため、なりすましの可能性があると判定して、偽装ARPリダイレクトパケットの送信など、当該端末装置の通信を中断させるための処理を実行する(S18)。
【0070】
図10のフローチャートを用いて、端末装置側の監視プログラムで、ネットワーク管理サーバに対してネットワークへの接続開始時に接続開始通知を送信し、その後に所定のイベントが発生した場合にも通知を送信するフローについて説明する。まず、端末装置を起動してネットワークへの接続処理が実行されると(S21)、ネットワークへの接続権限を有する正規の端末装置にのみ格納された監視プログラムを起動して(S22)、ネットワーク管理サーバに所定の接続開始通知を送信する(S23)。当該接続開始通知はネットワークへの接続権限を有する正規の端末装置にのみ格納された監視プログラムにより生成され、固有のデータ形式の採用、非公開のヘッダーの付与などにより、当該監視プログラムを備えていないと生成できないデータとして送信される。接続開始通知を受信したネットワーク管理サーバは、先に説明したフローにより、当該端末装置の接続の可否についての判定を行う。
【0071】
ネットワーク管理サーバにおいてネットワークへの接続が許容されると、IPアドレスの変更など、なりすまし等の不正操作の可能性がある所定の操作が実行されることを監視する(S24、S25)。所定の操作が実行されない場合はそのまま監視が継続されるが、所定の操作の実行を検出した場合は、当該端末装置において異常が発生したことの通知をネットワーク管理サーバに送信する(S26)。通知を受けたネットワーク管理サーバは、不正操作の可能性があるとして、当該端末装置のネットワークへの接続を切断する処理等を実行する。尚、所定の操作の実行を検出した場合には、端末装置上においてネットワークを使用不可にする等のアクションを実行することとしてもよい。
【0072】
図11のフローチャートを用いて、端末装置側の監視プログラムで、ネットワーク管理サーバに対してネットワークへ接続中に定時連絡を送信するフローについて説明する。まず、端末装置を起動してネットワークへの接続処理が実行されると(S31)、ネットワークへの接続権限を有する正規の端末装置にのみ格納された監視プログラムを起動して(S32)、ネットワーク管理サーバに所定の接続開始通知を送信する(S33)。当該接続開始通知はネットワークへの接続権限を有する正規の端末装置にのみ格納された監視プログラムにより生成され、固有のデータ形式の採用、非公開のヘッダーの付与などにより、当該監視プログラムを備えていないと生成できないデータとして送信される。接続開始通知を受信したネットワーク管理サーバは、先に説明したフローにより、当該端末装置の接続の可否についての判定を行う。
【0073】
当該端末装置では接続開始通知の送信から定時までの所定の時間の経過をカウントし、定時になると当該端末装置の最新のIPアドレス等の接続情報を取得する(S34)。当該接続情報は定時連絡として所定のタイミングでネットワーク管理サーバに送信されるが(S35)、当該定時連絡はネットワークへの接続権限を有する正規の端末装置にのみ格納された監視プログラムにより生成され、固有のデータ形式の採用、非公開のヘッダーの付与などにより、当該監視プログラムを備えていないと生成できないデータとして送信される。定時連絡を受信したネットワーク管理サーバは、先に説明したフローにより、当該端末装置の接続継続の可否についての判定を行う。
【0074】
当該定時連絡の送信により、ネットワーク管理サーバが当該端末装置の接続継続を不可と判定すると、当該端末装置のネットワークへの切断が切断される。ネットワークへの切断が実行された場合には(S36)、当該端末装置の監視プログラムも停止する(S37)。一方、ネットワーク管理サーバが当該端末装置の接続継続を可と判定すると、ネットワークへの切断は実行されずに(S36)、定時連絡のための待機が継続される。
【図面の簡単な説明】
【0075】
【図1】本発明にかかる不正接続検知システムの設定の一例を示す図である。
【図2】本発明にかかる不正接続検知システムに用いられるネットワーク管理サーバと端末装置の構成を示すブロック図である。
【図3】本発明にかかる不正接続検知システムに記録される正規の端末からの通知記録の例を示す図である。
【図4】本発明にかかる不正接続検知システムにおいて、接続権限を有する正規の端末装置が接続された場合の管理サーバの動作の例を示す図である。
【図5】本発明にかかる不正接続検知システムにおいて、接続権限を有しない不正な端末装置が接続された場合の管理サーバの動作の第1の例を示す図である。
【図6】本発明にかかる不正接続検知システムにおいて、接続権限を有しない不正な端末装置が接続された場合の管理サーバの動作の第2の例を示す図である。
【図7】本発明にかかる不正接続検知システムにおける端末の起動時の管理サーバのフローを示すフローチャートである。
【図8】本発明にかかる不正接続検知システムにおける端末からの定時連絡を受ける管理サーバの第1の監視フローを示すフローチャートである。
【図9】本発明にかかる不正接続検知システムにおける端末からの定時連絡を受ける管理サーバの第2の監視フローを示すフローチャートである。
【図10】本発明にかかる不正接続検知システムにおける端末側の監視プログラムの第1のフローを示すフローチャートである。
【図11】本発明にかかる不正接続検知システムにおける端末側の監視プログラムの第2のフローを示すフローチャートである。
【符号の説明】
【0076】
10 ネットワーク管理サーバ
11 端末情報格納部
20 ルータ
30 端末装置
31 監視プログラム
40 端末装置
41 監視プログラム
50 端末装置
【特許請求の範囲】
【請求項1】
接続権限を有さない端末装置のネットワークへの不正接続を検知するための、前記端末装置に格納された監視プログラムと前記ネットワークへの接続を管理する管理サーバからなる不正接続検知システムであって、
前記監視プログラムは、前記ネットワークへの接続権限を有する正規の端末装置のみに格納され、前記端末装置がネットワークに接続されると、所定の間隔で前記端末装置に関する情報を前記管理サーバに送信するとともに、不正操作と定義された所定のイベントを検知すると前記イベントの発生通知を前記管理サーバに送信し、
前記管理サーバには、
前記ネットワークに接続されている端末装置を検出する接続端末検出手段と、
前記正規の端末装置に格納された監視プログラムから送信された前記端末装置に関する情報を受信する端末情報受信手段と、
前記正規の端末装置に格納された監視プログラムから送信された前記イベントの発生通知を受信する発生通知受信手段と、
前記接続端末検出手段が前記ネットワークに接続中であると検出した端末装置について、前記端末情報受信手段が前記監視プログラムに設定された所定の間隔で前記端末装置に関する情報を受信したかを確認し、前記端末装置に関する情報を前記所定の間隔で受信していない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第1の不正接続判定手段と、
前記接続端末検出手段が前記ネットワークに接続中であると検出した端末装置について、前記発生通知受信手段が発生通知を受信した場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第2の不正接続判定手段と、
前記第1の不正接続判定手段又は前記第2の不正接続判定手段が不正に接続されていると判定した端末装置について、前記端末装置又は前記端末装置の通信対象となっている端末装置に対して通信を阻害するためのパケット、若しくは前記端末装置と前記端末装置の通信対象となっている端末装置の間のセッションを切断するためのパケットを送信するパケット送信手段と、
が備えられていること
を特徴とする不正接続検知システム。
【請求項2】
前記管理サーバには、
前記正規の端末装置について、前記端末装置の正規の識別情報又は前記端末装置の前記ネットワークへの正規の接続状態に関する情報の少なくとも一つに関する第1の端末情報を格納する端末情報格納手段と、
前記端末情報受信手段が受信した端末装置に関する情報から、前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つに関する第2の端末情報を検出する端末情報検出手段と、
が備えられていて、
前記監視プログラムは、前記端末装置に関する情報として前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つについて、前記端末装置の最新の情報を検出して前記不正接続検知システムに送信し、
前記第1の不正接続判定手段は、前記端末情報検出手段が検出した第2の端末情報が、前記端末装置に関する前記端末情報格納手段に格納された第1の端末情報と一致しない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定すること
を特徴とする請求項1記載の不正接続検知システム。
【請求項3】
接続権限を有さない端末装置のネットワークへの不正接続を検知するために、監視プログラムが格納された端末装置と、前記ネットワークへの接続を管理する管理サーバによって実行される不正接続検知方法であって、
前記監視プログラムは、前記ネットワークへの接続権限を有する正規の端末装置のみに格納されていて、
前記ネットワークへの接続権限を有する正規の端末装置が、前記ネットワークへの接続処理を起動するステップと、
前記正規の端末装置が、前記ネットワークへの接続を確立すると、前記監視プログラムによって、所定の間隔で前記端末装置に関する情報を前記管理サーバに送信する端末情報送信ステップと、
前記管理サーバが、前記ネットワークに接続された端末装置を検出する端末検出ステップと、
前記管理サーバが、前記端末検出ステップで新たに前記ネットワークに接続中であると検出した端末装置について、前記監視プログラムに設定された所定の間隔で前記端末装置に関する情報を受信したかを確認し、前記端末装置に関する情報を前記所定の間隔で受信していない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第1の判定ステップと、
前記正規の端末装置が、前記監視プログラムによって、前記正規の端末装置において不正操作と定義された所定のイベントを検知するステップと、
前記正規の端末装置が、前記所定のイベントを検知すると、前記監視プログラムによって、前記イベントの発生通知を前記管理サーバに送信するステップと、
前記管理サーバが、前記端末検出ステップで新たに前記ネットワークに接続中であると検出した端末装置について、前記発生通知を受信した場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第2の判定ステップと、
前記第1の判定ステップ又は前記第2の判定ステップで不正に接続されていると判定した端末装置について、前記端末装置又は前記端末装置の通信対象となっている端末装置に対して通信を阻害するためのパケット、若しくは前記端末装置と前記端末装置の通信対象となっている端末装置の間のセッションを切断するためのパケットを送信するステップと、
を有することを特徴とする不正接続検知方法。
【請求項4】
前記端末情報送信ステップにおいて、前記正規の端末装置は、前記監視プログラムによって、前記端末装置に関する情報として前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つについて、前記正規の端末装置の最新の情報を検出して前記管理サーバに送信し、
前記管理サーバが、前記接続開始通知から前記新たな端末装置の識別情報又は前記新たな端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つに関する第2の端末情報を検出するステップと、
前記管理サーバが、前記第2の端末情報が、前記正規の端末装置について前記端末装置の正規の識別情報又は前記端末装置の前記ネットワークへの正規の接続状態に関する情報の少なくとも一つに関する第1の端末情報を格納する端末情報格納部に格納された第1の端末情報と一致しない場合は、前記新たな端末装置が前記ネットワークに不正に接続されていると判定する第3の判定ステップと、を有していて、
前記パケットを送信するステップにおいては、前記第3の判定ステップにおいて不正に接続されていると判定した端末装置について、前記端末装置又は前記端末装置の通信対象となっている端末装置に対して通信を阻害するためのパケット、若しくは前記端末装置と前記端末装置の通信対象となっている端末装置の間のセッションを切断するためのパケットを送信すること
を特徴とする請求項3記載の不正接続検知方法。
【請求項1】
接続権限を有さない端末装置のネットワークへの不正接続を検知するための、前記端末装置に格納された監視プログラムと前記ネットワークへの接続を管理する管理サーバからなる不正接続検知システムであって、
前記監視プログラムは、前記ネットワークへの接続権限を有する正規の端末装置のみに格納され、前記端末装置がネットワークに接続されると、所定の間隔で前記端末装置に関する情報を前記管理サーバに送信するとともに、不正操作と定義された所定のイベントを検知すると前記イベントの発生通知を前記管理サーバに送信し、
前記管理サーバには、
前記ネットワークに接続されている端末装置を検出する接続端末検出手段と、
前記正規の端末装置に格納された監視プログラムから送信された前記端末装置に関する情報を受信する端末情報受信手段と、
前記正規の端末装置に格納された監視プログラムから送信された前記イベントの発生通知を受信する発生通知受信手段と、
前記接続端末検出手段が前記ネットワークに接続中であると検出した端末装置について、前記端末情報受信手段が前記監視プログラムに設定された所定の間隔で前記端末装置に関する情報を受信したかを確認し、前記端末装置に関する情報を前記所定の間隔で受信していない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第1の不正接続判定手段と、
前記接続端末検出手段が前記ネットワークに接続中であると検出した端末装置について、前記発生通知受信手段が発生通知を受信した場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第2の不正接続判定手段と、
前記第1の不正接続判定手段又は前記第2の不正接続判定手段が不正に接続されていると判定した端末装置について、前記端末装置又は前記端末装置の通信対象となっている端末装置に対して通信を阻害するためのパケット、若しくは前記端末装置と前記端末装置の通信対象となっている端末装置の間のセッションを切断するためのパケットを送信するパケット送信手段と、
が備えられていること
を特徴とする不正接続検知システム。
【請求項2】
前記管理サーバには、
前記正規の端末装置について、前記端末装置の正規の識別情報又は前記端末装置の前記ネットワークへの正規の接続状態に関する情報の少なくとも一つに関する第1の端末情報を格納する端末情報格納手段と、
前記端末情報受信手段が受信した端末装置に関する情報から、前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つに関する第2の端末情報を検出する端末情報検出手段と、
が備えられていて、
前記監視プログラムは、前記端末装置に関する情報として前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つについて、前記端末装置の最新の情報を検出して前記不正接続検知システムに送信し、
前記第1の不正接続判定手段は、前記端末情報検出手段が検出した第2の端末情報が、前記端末装置に関する前記端末情報格納手段に格納された第1の端末情報と一致しない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定すること
を特徴とする請求項1記載の不正接続検知システム。
【請求項3】
接続権限を有さない端末装置のネットワークへの不正接続を検知するために、監視プログラムが格納された端末装置と、前記ネットワークへの接続を管理する管理サーバによって実行される不正接続検知方法であって、
前記監視プログラムは、前記ネットワークへの接続権限を有する正規の端末装置のみに格納されていて、
前記ネットワークへの接続権限を有する正規の端末装置が、前記ネットワークへの接続処理を起動するステップと、
前記正規の端末装置が、前記ネットワークへの接続を確立すると、前記監視プログラムによって、所定の間隔で前記端末装置に関する情報を前記管理サーバに送信する端末情報送信ステップと、
前記管理サーバが、前記ネットワークに接続された端末装置を検出する端末検出ステップと、
前記管理サーバが、前記端末検出ステップで新たに前記ネットワークに接続中であると検出した端末装置について、前記監視プログラムに設定された所定の間隔で前記端末装置に関する情報を受信したかを確認し、前記端末装置に関する情報を前記所定の間隔で受信していない場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第1の判定ステップと、
前記正規の端末装置が、前記監視プログラムによって、前記正規の端末装置において不正操作と定義された所定のイベントを検知するステップと、
前記正規の端末装置が、前記所定のイベントを検知すると、前記監視プログラムによって、前記イベントの発生通知を前記管理サーバに送信するステップと、
前記管理サーバが、前記端末検出ステップで新たに前記ネットワークに接続中であると検出した端末装置について、前記発生通知を受信した場合は、前記端末装置が前記ネットワークに不正に接続されていると判定する第2の判定ステップと、
前記第1の判定ステップ又は前記第2の判定ステップで不正に接続されていると判定した端末装置について、前記端末装置又は前記端末装置の通信対象となっている端末装置に対して通信を阻害するためのパケット、若しくは前記端末装置と前記端末装置の通信対象となっている端末装置の間のセッションを切断するためのパケットを送信するステップと、
を有することを特徴とする不正接続検知方法。
【請求項4】
前記端末情報送信ステップにおいて、前記正規の端末装置は、前記監視プログラムによって、前記端末装置に関する情報として前記端末装置の識別情報又は前記端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つについて、前記正規の端末装置の最新の情報を検出して前記管理サーバに送信し、
前記管理サーバが、前記接続開始通知から前記新たな端末装置の識別情報又は前記新たな端末装置の前記ネットワークへの接続状態に関する情報の少なくとも一つに関する第2の端末情報を検出するステップと、
前記管理サーバが、前記第2の端末情報が、前記正規の端末装置について前記端末装置の正規の識別情報又は前記端末装置の前記ネットワークへの正規の接続状態に関する情報の少なくとも一つに関する第1の端末情報を格納する端末情報格納部に格納された第1の端末情報と一致しない場合は、前記新たな端末装置が前記ネットワークに不正に接続されていると判定する第3の判定ステップと、を有していて、
前記パケットを送信するステップにおいては、前記第3の判定ステップにおいて不正に接続されていると判定した端末装置について、前記端末装置又は前記端末装置の通信対象となっている端末装置に対して通信を阻害するためのパケット、若しくは前記端末装置と前記端末装置の通信対象となっている端末装置の間のセッションを切断するためのパケットを送信すること
を特徴とする請求項3記載の不正接続検知方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2006−320024(P2006−320024A)
【公開日】平成18年11月24日(2006.11.24)
【国際特許分類】
【出願番号】特願2006−222091(P2006−222091)
【出願日】平成18年8月16日(2006.8.16)
【分割の表示】特願2005−1104(P2005−1104)の分割
【原出願日】平成16年7月9日(2004.7.9)
【出願人】(397067853)株式会社インテリジェントウェイブ (20)
【Fターム(参考)】
【公開日】平成18年11月24日(2006.11.24)
【国際特許分類】
【出願日】平成18年8月16日(2006.8.16)
【分割の表示】特願2005−1104(P2005−1104)の分割
【原出願日】平成16年7月9日(2004.7.9)
【出願人】(397067853)株式会社インテリジェントウェイブ (20)
【Fターム(参考)】
[ Back to top ]