Nothing Special   »   [go: up one dir, main page]

KR20200130180A - Monitoring apparatus and monitoring method - Google Patents

Monitoring apparatus and monitoring method Download PDF

Info

Publication number
KR20200130180A
KR20200130180A KR1020200055059A KR20200055059A KR20200130180A KR 20200130180 A KR20200130180 A KR 20200130180A KR 1020200055059 A KR1020200055059 A KR 1020200055059A KR 20200055059 A KR20200055059 A KR 20200055059A KR 20200130180 A KR20200130180 A KR 20200130180A
Authority
KR
South Korea
Prior art keywords
terminal
transmission
packet
identification information
unit
Prior art date
Application number
KR1020200055059A
Other languages
Korean (ko)
Other versions
KR102387010B1 (en
Inventor
다카히코 오오타
Original Assignee
아즈빌주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 아즈빌주식회사 filed Critical 아즈빌주식회사
Publication of KR20200130180A publication Critical patent/KR20200130180A/en
Application granted granted Critical
Publication of KR102387010B1 publication Critical patent/KR102387010B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • H04L12/1863Arrangements for providing special services to substations for broadcast or conference, e.g. multicast comprising mechanisms for improved reliability, e.g. status reports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • H04L61/2069
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5069Address allocation for group communication, multicast communication or broadcast communication
    • H04L61/6022
    • H04L61/6059
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/659Internet protocol version 6 [IPv6] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 네트워크 내에 흐르는 ICMPv6 패킷의 감시 부담을 경감하면서, IPv6 환경에서 부정 단말을 검지할 수 있는 감시 기술을 제공하는 것을 목적으로 한다.
감시 장치(1)는, 미리 설정된 부정한 헤더를 포함하는 송신 패킷을 생성하는 생성부(11)와, 송신 패킷을 네트워크(NW)를 통해 올노드 멀티캐스트 송신하고, 송신 패킷을 수신한 단말로부터의 에러 메시지를 포함하는 회신 패킷을 네트워크(NW)를 통해 수신하는 송수신부(10)와, 회신 패킷에 포함되는, 회신 패킷의 송신원인 단말을 식별하는 고유의 식별 정보를 취득하는 취득부(13)와, 취득된 식별 정보를, 기억부(12)에 기억되어 있는 식별 정보의 화이트 리스트와 대조하는 대조부(14)와, 대조부(14)의 대조 결과에 기초하여, 회신 패킷의 송신원의 단말이 네트워크(NW)에 부정하게 접속하는 단말인지 아닌지를 판단하는 판단부(15)를 구비한다. An object of the present invention is to provide a monitoring technique capable of detecting an illegal terminal in an IPv6 environment while reducing the burden of monitoring ICMPv6 packets flowing in a network.
The monitoring device 1 includes a generator 11 for generating a transmission packet including a preset illegal header, and an all-node multicast transmission of the transmission packet through a network NW, and from a terminal receiving the transmission packet. A transmission/reception unit 10 for receiving a reply packet including an error message via a network (NW), and an acquisition unit 13 for acquiring unique identification information for identifying a terminal from which the reply packet is transmitted, included in the reply packet. Wow, based on the matching result of the matching unit 14 and the matching unit 14, which collates the acquired identification information with a white list of identification information stored in the storage unit 12, the terminal of the sender of the reply packet A determination unit 15 is provided for determining whether or not the terminal is connected to the network NW illegally.

Description

감시 장치 및 감시 방법{MONITORING APPARATUS AND MONITORING METHOD}Monitoring device and monitoring method {MONITORING APPARATUS AND MONITORING METHOD}

본 발명은, 감시 장치 및 감시 방법에 관한 것이며, 특히 IPv6 환경에서의 네트워크에 대한 부정 접속을 감시하는 기술에 관한 것이다. TECHNICAL FIELD [0001] The present invention relates to a monitoring apparatus and a monitoring method, and more particularly, to a technique for monitoring illegal access to a network in an IPv6 environment.

최근, Iot의 보급에 의해 여러가지 기기가 인터넷에 연결되게 되었다. 이에 따라, 인터넷에 연결되는 기기의 수도 폭발적으로 증가하여, 종래 인터넷 프로토콜로서 이용되어 온 IPv4로부터, 새롭게 128 비트의 어드레스 길이를 갖는 프로토콜로서 IPv6로의 이행이 진행되고 있다. 또한, 네트워크 감시 장치 등의 많은 네트워크 시큐리티 제품에 있어서도, IPv6에 대응한 것이 급속하게 요구되고 있다. Recently, with the spread of IoT, various devices have been connected to the Internet. Accordingly, the number of devices connected to the Internet has exploded, and the transition from IPv4, which has been conventionally used as an Internet protocol, to IPv6 as a protocol having an address length of 128 bits is progressing. Further, in many network security products such as network monitoring devices, there is a rapid demand for IPv6 support.

종래부터, 네트워크 내의 단말을 파악하는 경우, 각 단말에 에이전트(SW)를 넣거나, IPv4에서 사용되는 통신 프로토콜인 ARP(Address Resolution Protocol) 등을 이용하거나 하고 있다. Conventionally, when determining a terminal in a network, an agent (SW) is put in each terminal, or an address resolution protocol (ARP), which is a communication protocol used in IPv4, is used.

그러나, 특히 내장 기기(예컨대 카메라)에 에이전트를 넣는 것은 어렵고, 여러가지 기기가 네트워크에 연결되도록 된 상황에서, 네트워크 상의 특정한 기기나 단말을 파악할 수 없는 경우도 있을 수 있다. 또한, 네트워크에 부정 접속하는 단말의 탐색에서도, ARP는 IPv4의 프로토콜에 기초한 것이며, IPv6 환경에서는 부정 단말의 탐색이 어렵다. However, in particular, it is difficult to put an agent in a built-in device (eg, a camera), and in a situation where various devices are connected to a network, there may be cases where it is not possible to identify a specific device or terminal on the network. In addition, even in the search for a terminal that has unauthorized access to the network, ARP is based on the IPv4 protocol, and it is difficult to search for an illegal terminal in the IPv6 environment.

따라서, 종래부터 IPv6 환경에서의 네트워크에 대한 부정 접속을 방지하는 기술이 제안되어 있다. 예컨대, 특허문헌 1은, 네트워크에 감시 장치를 설치하여, 네트워크 내에 흐르는 NS(Neighbor Solicitation) 패킷을 감시하고, NS 패킷의 송신원 어드레스나 MAC 어드레스를 바탕으로, 네트워크에 대한 접속이 허가되어 있는 단말인지 아닌지를 판단한다. Therefore, techniques for preventing unauthorized access to a network in an IPv6 environment have been proposed. For example, in Patent Document 1, a monitoring device is installed in a network to monitor NS (Neighbor Solicitation) packets flowing in the network, and whether the terminal is permitted to access the network based on the source address or MAC address of the NS packet. Determine whether or not.

일본 특허 공개 제2007-104396호 공보Japanese Patent Publication No. 2007-104396

그러나, 특허문헌 1에 기재된 기술에서는, 도청 목적으로 네트워크에 부정하게 접속하는 단말(이하, 「부정 단말」이라고 함)이 NS 패킷 등을 스스로 송신하지 않은 경우, 부정 단말을 검출할 수 없다. However, in the technique described in Patent Literature 1, when a terminal (hereinafter referred to as "an unauthorized terminal") that connects to a network illegally for eavesdropping purposes does not transmit an NS packet or the like by itself, the illegal terminal cannot be detected.

본 발명은, 전술한 과제를 해결하기 위해 이루어진 것으로, 네트워크 내에 흐르는 ICMPv6 패킷의 감시 부담을 경감하면서, IPv6 환경에서 부정 단말을 검지할 수 있는 감시 기술을 제공하는 것을 목적으로 한다. The present invention has been made to solve the above-described problems, and an object of the present invention is to provide a monitoring technology capable of detecting an illegal terminal in an IPv6 environment while reducing the burden of monitoring ICMPv6 packets flowing in a network.

전술한 과제를 해결하기 위해, 본 발명에 관한 감시 장치는, 미리 설정된 부정한 헤더를 포함하는 송신 패킷을 생성하도록 구성된 생성부와, 상기 송신 패킷을 통신 네트워크를 통해 올노드 멀티캐스트 송신하도록 구성된 송신부와, 상기 송신 패킷을 수신한 단말로부터의 에러 메시지를 포함하는 회신 패킷을 상기 통신 네트워크를 통해 수신하도록 구성된 수신부와, 상기 회신 패킷에 포함되는, 상기 회신 패킷의 송신원인 상기 단말을 식별하는 고유의 식별 정보를 취득하도록 구성된 취득부와, 취득된 상기 식별 정보를, 기억부에 기억되어 있는 식별 정보의 리스트와 대조하도록 구성된 대조부와, 상기 대조부의 대조 결과에 기초하여, 상기 송신원의 상기 단말이 상기 통신 네트워크에 부정하게 접속하는 단말인지 아닌지를 판단하도록 구성된 판단부를 구비한다. In order to solve the above-described problem, the monitoring apparatus according to the present invention includes a generator configured to generate a transmission packet including a preset illegal header, a transmission unit configured to transmit the transmission packet all-node multicast through a communication network. , A receiving unit configured to receive a reply packet including an error message from the terminal receiving the transmission packet through the communication network, and a unique identification identifying the terminal, which is the source of the reply packet, included in the reply packet An acquisition unit configured to acquire information, a verification unit configured to collate the acquired identification information with a list of identification information stored in a storage unit, and a verification result of the verification unit, the terminal of the transmission source And a determination unit configured to determine whether or not the terminal is unauthorized access to the communication network.

또한, 본 발명에 관한 감시 장치에 있어서, 상기 리스트는, 상기 통신 네트워크에 대한 접속이 허가되어 있는 단말의 고유 식별 정보를 포함하고, 상기 판단부는, 상기 취득부에 의해 취득된 상기 식별 정보가 상기 리스트에 포함되어 있지 않은 경우에, 그 단말이 상기 통신 네트워크에 부정하게 접속하는 단말이라고 판단할 수도 있다. Further, in the monitoring apparatus according to the present invention, the list includes unique identification information of terminals permitted to access the communication network, and the determination unit includes the identification information acquired by the acquisition unit. If it is not included in the list, it may be determined that the terminal is a terminal that illegally accesses the communication network.

또한, 본 발명에 관한 감시 장치에 있어서, 상기 판단부에 의한 판단 결과를 통지하도록 구성된 통지부를 더 구비하고 있어도 좋다. Further, in the monitoring device according to the present invention, a notification unit configured to notify a result of the determination by the determination unit may be further provided.

또한, 본 발명에 관한 감시 장치에 있어서, 상기 통신 네트워크는 IPv6에 대응한 통신 네트워크이고, 상기 송신 패킷은, 상기 송신 패킷을 수신한 단말이, 패킷에 문제가 있다고 판단하는 부정한 IPv6 헤더를 포함할 수도 있다.Further, in the monitoring apparatus according to the present invention, the communication network is a communication network corresponding to IPv6, and the transmission packet includes an illegal IPv6 header that the terminal receiving the transmission packet determines that there is a problem with the packet. May be.

또한, 본 발명에 관한 감시 장치에 있어서, 상기 회신 패킷은 ICMPv6에 의한 파라미터 부정 메시지를 포함할 수도 있다. Further, in the monitoring apparatus according to the present invention, the reply packet may include a parameter negation message by ICMPv6.

또한, 본 발명에 관한 감시 장치에 있어서, 상기 식별 정보는 MAC 어드레스일 수도 있다. Further, in the monitoring apparatus according to the present invention, the identification information may be a MAC address.

또한, 본 발명에 관한 감시 장치에 있어서, 상기 취득부는, 상기 통신 네트워크에 접속되어 있는 단말을 검출하고, 그 단말의 정보로서 IP 어드레스 및 MAC 어드레스 중 적어도 어느 것을 취득하고, 상기 판단부는, 검출된 상기 단말의 정보 및 상기 대조부의 대조 결과에 기초하여, 상기 송신원의 상기 단말이 상기 통신 네트워크에 부정하게 접속하는 단말인지 아닌지를 판단해도 좋다. Further, in the monitoring device according to the present invention, the acquisition unit detects a terminal connected to the communication network, acquires at least any of an IP address and a MAC address as information of the terminal, and the determination unit includes the detected Based on the information of the terminal and the verification result of the verification unit, it may be determined whether or not the terminal of the transmission source is a terminal that illegally connects to the communication network.

전술한 과제를 해결하기 위해, 본 발명에 관한 감시 방법은, 미리 설정된 부정한 헤더를 포함하는 송신 패킷을 생성하는 생성 단계와, 상기 송신 패킷을 통신 네트워크를 통해 올노드 멀티캐스트 송신하는 송신 단계와, 상기 송신 패킷을 수신한 단말로부터의 에러 메시지를 포함하는 회신 패킷을 상기 통신 네트워크를 통해 수신하는 수신 단계와, 상기 회신 패킷에 포함되는, 상기 회신 패킷의 송신원인 상기 단말을 식별하는 고유의 식별 정보를 취득하는 취득 단계와, 취득된 상기 식별 정보를, 기억부에 기억되어 있는 식별 정보의 리스트와 대조하는 대조 단계와, 상기 대조 단계에서의 대조 결과에 기초하여, 상기 송신원의 상기 단말이 상기 통신 네트워크에 부정하게 접속하는 단말인지 아닌지를 판단하는 판단 단계를 포함한다. In order to solve the above-described problem, the monitoring method according to the present invention includes a generating step of generating a transmission packet including a preset illegal header, a transmission step of transmitting the transmission packet all-node multicast through a communication network, A receiving step of receiving a reply packet including an error message from a terminal receiving the transmission packet through the communication network, and unique identification information for identifying the terminal, which is the source of the reply packet, included in the reply packet An acquisition step of acquiring an acquisition step, a verification step of collating the acquired identification information with a list of identification information stored in a storage unit, and a verification result in the verification step, the terminal of the source transmits the communication And a determining step of determining whether or not the terminal is accessing the network illegally.

본 발명에 의하면, 미리 설정된 부정한 헤더를 포함하는 송신 패킷을 올노드 멀티캐스트 송신하고, 그 송신 패킷을 수신한 단말로부터의 에러 메시지를 포함하는 회신 패킷에 포함되는 단말의 식별 정보를 취득하여, 식별 정보의 리스트와 대조하기 때문에, 네트워크 내에 흐르는 ICMPv6 패킷의 감시 부담을 경감하면서, IPv6 환경에서 부정 단말을 검출할 수 있다. According to the present invention, an all-node multicast transmission of a transmission packet including a preset illegal header, acquisition of identification information of a terminal included in a reply packet including an error message from a terminal receiving the transmission packet, and identification Since the information is collated with the list, it is possible to detect an illegal terminal in the IPv6 environment while reducing the burden of monitoring ICMPv6 packets flowing in the network.

도 1은, 본 발명의 실시형태에 관한 감시 장치를 포함하는 부정 접속 감시 시스템의 구성을 나타내는 블록도이다.
도 2는, 본 실시형태에 관한 감시 장치의 구성을 나타내는 블록도이다.
도 3은, 본 실시형태에 관한 감시 장치의 하드웨어 구성을 나타내는 블록도이다.
도 4는, 본 실시형태에 관한 감시 장치의 동작을 설명하기 위한 플로우차트이다.
도 5는, 본 실시형태에 관한 화이트 리스트의 데이터 구조의 일례를 나타내는 도면이다. 1 is a block diagram showing a configuration of an unauthorized connection monitoring system including a monitoring device according to an embodiment of the present invention.
2 is a block diagram showing the configuration of a monitoring device according to the present embodiment.
3 is a block diagram showing the hardware configuration of the monitoring device according to the present embodiment.
4 is a flowchart for explaining the operation of the monitoring device according to the present embodiment.
5 is a diagram showing an example of a data structure of a white list according to the present embodiment.

이하, 본 발명의 바람직한 실시형태에 관해, 도 1 내지 도 5를 참조하여 상세하게 설명한다. Hereinafter, preferred embodiments of the present invention will be described in detail with reference to FIGS. 1 to 5.

[부정 접속 감시 시스템의 구성][Configuration of illegal access monitoring system]

본 발명의 실시형태에 관한 부정 접속 감시 시스템은, 부정 액세스에 의해 네트워크(NW)에 부정하게 접속하는 부정 단말(3)을 탐색한다. 부정 접속 감시 시스템에는, 도 1에 나타낸 바와 같이, 감시 장치(1), 정규 단말(2) 및 부정 단말(3)이 포함된다. The illegal connection monitoring system according to the embodiment of the present invention searches for an illegal terminal 3 that is illegally connected to the network NW by illegal access. The illegal connection monitoring system includes a monitoring device 1, a regular terminal 2, and an illegal terminal 3 as shown in FIG. 1.

감시 장치(1), 정규 단말(2) 및 부정 단말(3)은 LAN 등의 네트워크(NW)를 통해 서로 접속 가능하게 되어 있다. 도 1에서, 정규 단말(2)은, 네트워크(NW)에 대한 접속이 허가된 IPv6가 동작하는 PC 등의 단말이다. 한편, 부정 단말(3)은, 네트워크(NW)에 대한 접속이 허가되지 않은 IPv6가 동작하는 PC 등의 단말이다. The monitoring device 1, the regular terminal 2, and the unauthorized terminal 3 can be connected to each other through a network NW such as a LAN. In Fig. 1, the regular terminal 2 is a terminal such as a PC running IPv6, which is permitted to connect to the network NW. On the other hand, the illegal terminal 3 is a terminal such as a PC running IPv6 that is not permitted to connect to the network NW.

본 실시형태에서는, 부정 접속 감시 시스템은, 링크 로컬의 동일 세그멘트 상에서의 네트워크(NW)에 대한 부정한 접속을 행하는 부정 단말(3)을 탐색 및 검출한다. 도 1의 예에서는, 3개의 정규 단말(2)의 각각은, IPv6 어드레스 「1」, 「2」, 「3」이 할당되어 있고, 또한, MAC 어드레스 「A」, 「B」, 「C」를 갖는다. 또한, 부정 단말(3)은, IPv6 어드레스 「4」 및 MAC 어드레스 「D」를 갖는다. 또한, 부정 접속 감시 시스템에 있어서 링크 로컬 어드레스 「a」가 할당되어 있다. In this embodiment, the illegal connection monitoring system searches for and detects the illegal terminal 3 that performs illegal connection to the network NW on the same segment of the link local. In the example of Fig. 1, each of the three regular terminals 2 is assigned IPv6 addresses "1", "2", and "3", and MAC addresses "A", "B", and "C" Has. Further, the illegal terminal 3 has an IPv6 address "4" and a MAC address "D". Further, in the illegal connection monitoring system, a link local address "a" is assigned.

본 실시형태에 관한 부정 접속 감시 시스템은, IPv6에서의 인터넷 통신 메시지 프로토콜(ICMP)의 사양에 정해진 ICMPv6 파라미터 부정 메시지(ICMP Parameter Problem)에 관한 약정을 이용하여, 링크 로컬에 있어서의 부정 단말(3)을 검출한다. The illegal access monitoring system according to the present embodiment uses the agreement regarding the ICMPv6 parameter negation message (ICMP Parameter Problem) specified in the specifications of the Internet Communication Message Protocol (ICMP) in IPv6, and uses the illegal terminal 3 in the link local. ) Is detected.

[감시 장치의 기능 블록][Function block of monitoring device]

도 2에 나타낸 바와 같이, 감시 장치(1)는, 송수신부(송신부, 수신부)(10), 생성부(11), 기억부(12), 취득부(13), 대조부(14), 판단부(15) 및 통지부(16)를 구비한다. As shown in Fig. 2, the monitoring device 1 includes a transmission/reception unit (transmitting unit, receiving unit) 10, a generation unit 11, a storage unit 12, an acquisition unit 13, a verification unit 14, and determination. A unit 15 and a notification unit 16 are provided.

송수신부(10)는, 네트워크(NW)를 통해, 정규 단말(2) 및 부정 단말(3)에 대하여 패킷을 올노드 멀티캐스트 송신한다. 또한, 송수신부(10)는, 정규 단말(2) 및 부정 단말(3)로부터 네트워크(NW)를 통해 보내는 패킷을 수신한다. 보다 상세하게는, 송수신부(10)는, 후술하는 부정한 IPv6 헤더를 포함하는 멀티캐스트 패킷을 올노드 멀티캐스트 어드레스로 송신한다. 또한, 송수신부(10)는, 멀티캐스트 패킷에 대한 회신으로서, 네트워크(NW) 내의 단말의 각각으로부터 회신되는 후술하는 ICMPv6 에러 메시지를 수신한다. The transmission/reception unit 10 transmits all-node multicast packets to the regular terminal 2 and the unauthorized terminal 3 via the network NW. Further, the transmission/reception unit 10 receives packets sent from the regular terminal 2 and the unauthorized terminal 3 through the network NW. More specifically, the transmission/reception unit 10 transmits a multicast packet including an illegal IPv6 header described later to an all-node multicast address. Further, the transmission/reception unit 10 receives an ICMPv6 error message to be described later, which is returned from each terminal in the network NW as a reply to the multicast packet.

생성부(11)는, 미리 설정된 부정한 헤더를 포함하는 올노드 멀티캐스트 어드레스로 보내는 멀티캐스트 패킷(송신 패킷)을 생성한다. 미리 설정된 부정한 헤더란, IPv6 노드인 정규 단말(2) 및 부정 단말(3)에 의해 패킷에 문제가 있다고 판단되는 IPv6 헤더나, 문제가 있는 필드가 확장 헤더에 포함되는 IPv6 헤더를 말한다. The generation unit 11 generates a multicast packet (transmission packet) sent to an all-node multicast address including an invalid header set in advance. The preset invalid header refers to an IPv6 header that is judged to have a problem in a packet by the normal terminal 2 and the invalid terminal 3, which are IPv6 nodes, or an IPv6 header in which a problem field is included in the extension header.

여기서, IPv6용의 ICMP의 사양서(RFC)에서 이하의 약정이 있다. RFC에 의하면, 패킷을 처리하는 IPv6 노드가, 완전히 그 패킷을 처리하는 것이 불가능한 IPv6 헤더, 혹은 확장 헤더에 포함되는 문제가 있는 필드를 발견하면, 그 패킷은 파기해야 한다고 되어 있다. 또한, IPv6 노드는, 패킷의 발신원에 타입과 문제 개소를 나타낸 ICMPv6 파라미터 부정 메시지를 송신해야 한다고 되어 있다. Here, in the ICMP specification sheet (RFC) for IPv6, there are the following agreements. According to the RFC, when an IPv6 node processing a packet finds an IPv6 header in which it is impossible to completely process the packet, or a field with a problem included in the extension header, the packet should be discarded. Further, it is said that the IPv6 node should transmit an ICMPv6 parameter negation message indicating the type and problem point to the origin of the packet.

생성부(11)는, 네트워크(NW) 상의 정규 단말(2) 및 부정 단말(3)로부터 ICMPv6 파라미터 부정 메시지(ICMP Parameter Problem)(이하, 「ICMPv6 에러 메시지」라고 하는 경우가 있음)의 회신이 오는 부정한 헤더를 갖는 멀티캐스트 패킷을 생성한다. The generation unit 11 receives an ICMPv6 parameter negation message (hereinafter, referred to as ``ICMPv6 error message'' in some cases) from the regular terminal 2 and the illegal terminal 3 on the network NW. Generates a multicast packet with an invalid header coming.

예컨대, 생성부(11)는, IPv6 헤더 내의 홉바이홉 옵션(Hop-by-Hop Option)의 값을 IPv6 노드에 의해 인식할 수 없는 IPv6 확장 헤더의 데이터인 멀티캐스트 패킷을 생성할 수 있다. 또, 생성부(11)는, 미리 준비되어 있는 부정한 헤더를 기억부(12)로부터 리드아웃(reak-out)하는 구성으로 해도 좋다. For example, the generation unit 11 may generate a multicast packet, which is data of an IPv6 extension header whose value of a hop-by-hop option in the IPv6 header cannot be recognized by the IPv6 node. Further, the generation unit 11 may be configured to read out an invalid header prepared in advance from the storage unit 12.

기억부(12)는, 네트워크(NW)에 대한 접속이 허가된 정규 단말(2)의 고유 식별 정보를 기억하고 있다. 기억부(12)는, 예컨대, 정규 단말(2)의 MAC 어드레스가 등록된 화이트 리스트를 기억하고 있다. The storage unit 12 stores unique identification information of the regular terminal 2 that is permitted to connect to the network NW. The storage unit 12 stores, for example, a white list in which the MAC address of the regular terminal 2 is registered.

취득부(13)는, 송수신부(10)에 의해 수신된 네트워크(NW) 내의 정규 단말(2) 및 부정 단말(3)로부터의 회신 패킷에 포함되는 송신원을 나타내는 고유의 식별 정보를 취득한다. 취득부(13)는, 예컨대, ICMPv6 에러 메시지의 패킷에 있어서 소정의 위치에 있는 송신원의 MAC 어드레스를 취득할 수 있다. The acquisition unit 13 acquires unique identification information indicating a transmission source included in the reply packets from the normal terminal 2 and the unauthorized terminal 3 in the network NW received by the transmission/reception unit 10. The acquisition unit 13 can acquire, for example, the MAC address of the sender at a predetermined position in the packet of the ICMPv6 error message.

또한, 취득부(13)는, 네트워크(NW)에 접속되어 있는 정규 단말(2), 부정 단말(3)을 포함하는 기기를 검출하고, 이들 기기의 정보를 취득할 수 있다. 예컨대, 취득부(13)는, 네트워크(NW) 상의 기기의 IP 어드레스 및 MAC 어드레스 중 적어도 어느 하나를 검출할 수 있다. Further, the acquisition unit 13 can detect devices including the regular terminal 2 and the illegal terminal 3 connected to the network NW, and acquire information on these devices. For example, the acquisition unit 13 can detect at least one of an IP address and a MAC address of a device on the network NW.

대조부(14)는, 취득부(13)에 의해 취득된 ICMPv6 에러 메시지의 패킷에 포함되는 송신원의 식별 정보를, 기억부(12)에 미리 등록되어 있는 정규 단말(2)의 식별 정보와 대조한다. 보다 상세하게는, 대조부(14)는, ICMPv6 에러 메시지의 패킷에 포함되는 MAC 어드레스를, 화이트 리스트에 등록되어 있는 MAC 어드레스와 대조한다. The matching unit 14 collates the identification information of the sender included in the packet of the ICMPv6 error message acquired by the acquisition unit 13 with the identification information of the regular terminal 2 registered in advance in the storage unit 12 do. More specifically, the matching unit 14 checks the MAC address included in the packet of the ICMPv6 error message with the MAC address registered in the white list.

판단부(15)는, 대조부(14)의 대조 결과에 기초하여, ICMPv6 에러 메시지의 송신원의 단말이 네트워크(NW)에 부정하게 접속하는 단말인지 아닌지를 판단한다. 구체적으로는, 판단부(15)는, ICMPv6 에러 메시지의 패킷에 포함되는 MAC 어드레스 중, 화이트 리스트에 등록되어 있는 MAC 어드레스의 어디에도 해당하지 않은 경우에는, 그 MAC 어드레스를 갖는 단말은 부정 단말(3)이라고 판단한다. The determination unit 15 determines whether or not the terminal from which the ICMPv6 error message is transmitted is a terminal that connects to the network NW illegally, based on the verification result of the verification unit 14. Specifically, when the determination unit 15 does not correspond to any of the MAC addresses registered in the white list among the MAC addresses included in the packet of the ICMPv6 error message, the terminal having the MAC address is an illegal terminal 3 ).

또, 판단부(15)는, 취득부(13)에 의해 검출되어 취득된 네트워크(NW) 상의 기기의 정보 및 대조부(14)의 대조 결과에 기초하여 상기 판단을 행해도 좋다. Further, the determination unit 15 may perform the above determination based on the information of the device on the network NW detected and acquired by the acquisition unit 13 and the verification result of the verification unit 14.

통지부(16)는, 판단부(15)에 의한 판단 결과를 출력한다. 예컨대, 판단부(15)에 의해 부정 단말(3)이라고 판단된 단말의 식별 정보를 표시 장치(107)에 표시시킬 수 있다. 또한, 인터넷 등의 통신 네트워크를 통해 접속되어 있는 도시되지 않은 외부의 서버 등에, 부정 단말(3)이 검출된 것 및 부정 단말(3)의 식별 정보를 통지할 수 있다. The notification unit 16 outputs a result of the determination by the determination unit 15. For example, the identification information of the terminal determined by the determination unit 15 as the illegal terminal 3 can be displayed on the display device 107. Further, it is possible to notify the detection of the illegal terminal 3 and the identification information of the illegal terminal 3 to an external server (not shown) connected through a communication network such as the Internet.

[감시 장치의 하드웨어 구성][Hardware configuration of monitoring device]

다음으로 전술한 기능을 갖는 감시 장치(1)의 하드웨어 구성의 일례에 관해, 도 3을 이용하여 설명한다. Next, an example of the hardware configuration of the monitoring device 1 having the above-described function will be described with reference to FIG. 3.

도 3에 나타낸 바와 같이, 감시 장치(1)는, 예컨대 버스(101)를 통해 접속되는 프로세서(102), 주기억 장치(103), 통신 인터페이스(104), 보조 기억 장치(105), 입출력 I/O(106)을 구비하는 컴퓨터와, 이들 하드웨어 자원을 제어하는 프로그램에 의해 실현할 수 있다. As shown in Fig. 3, the monitoring device 1 includes, for example, a processor 102 connected through a bus 101, a main memory device 103, a communication interface 104, an auxiliary storage device 105, and input/output I/ This can be realized by a computer having O 106 and a program that controls these hardware resources.

주기억 장치(103)에는, 프로세서(102)가 각종 제어나 연산을 행하기 위한 프로그램이 미리 저장되어 있다. 프로세서(102)와 주기억 장치(103)에 의해, 도 2에 나타낸 생성부(11), 취득부(13), 대조부(14), 판단부(15) 등, 감시 장치(1)의 각 기능이 실현된다. In the main memory device 103, a program for the processor 102 to perform various controls and calculations is stored in advance. Each function of the monitoring device 1, such as the generation unit 11, the acquisition unit 13, the verification unit 14, the determination unit 15, and the like shown in Fig. 2, by the processor 102 and the main memory device 103 Is realized.

통신 인터페이스(104)는, 감시 장치(1)와 정규 단말(2) 및 부정 단말(3), 각종 외부 전자 기기와의 사이를 네트워크 접속하기 위한 인터페이스 회로이다. The communication interface 104 is an interface circuit for network connection between the monitoring device 1 and the regular terminal 2 and the unauthorized terminal 3 and various external electronic devices.

보조 기억 장치(105)는, 리드/라이트(read/write) 가능한 기억 매체와, 그 기억 매체에 대하여 프로그램이나 데이터 등의 각종 정보를 리드/라이트하기 위한 구동 장치로 구성되어 있다. 보조 기억 장치(105)에는, 기억 매체로서 하드디스크나 플래시메모리 등의 반도체 메모리를 사용할 수 있다. The auxiliary storage device 105 is configured with a storage medium capable of being read/written, and a driving device for reading/writing various types of information such as programs and data to the storage medium. In the auxiliary storage device 105, a semiconductor memory such as a hard disk or a flash memory can be used as a storage medium.

보조 기억 장치(105)는, 감시 장치(1)가 부정 단말(3)의 검출 처리를 실행하기 위한 프로그램을 저장하는 프로그램 저장 영역을 갖는다. 또한, 보조 기억 장치(105)는, 네트워크(NW)에 접속이 허가되어 있는 정규 단말(2)의 화이트 리스트를 기억하고 있다. 보조 기억 장치(105)에 의해, 도 2에서 설명한 기억부(12)가 실현된다. 나아가, 예컨대, 전술한 데이터나 프로그램 등을 백업하기 위한 백업 영역 등을 갖고 있어도 좋다. The auxiliary storage device 105 has a program storage area in which a program for the monitoring device 1 to execute the detection process of the illegal terminal 3 is stored. Further, the auxiliary storage device 105 stores a white list of the regular terminals 2 that are allowed to connect to the network NW. With the auxiliary storage device 105, the storage unit 12 described in Fig. 2 is realized. Further, for example, it may have a backup area for backing up the above-described data and programs.

입출력 I/O(106)은, 외부 기기로부터의 신호를 입력하거나, 외부 기기로 신호를 출력하거나 하는 I/O 단자에 의해 구성된다. The input/output I/O 106 is constituted by an I/O terminal for inputting a signal from an external device or outputting a signal to an external device.

표시 장치(107)는, 액정 디스플레이 등에 의해 구성된다. 표시 장치(107)는, 도 2에서 설명한 통지부(16)를 실현한다. 통지부(16)에 의한 통지는 표시 장치(107)에 표시된다. The display device 107 is constituted by a liquid crystal display or the like. The display device 107 realizes the notification unit 16 described in FIG. 2. The notification by the notification unit 16 is displayed on the display device 107.

[감시 방법][Monitoring method]

다음으로 전술한 구성을 갖는 감시 장치(1)의 동작에 관해 도 4의 플로우차트를 참조하여 설명한다. 이하 전제로서, 기억부(12)에는, 미리 네트워크(NW)에 접속하는 것이 허가된 단말의 식별 정보를 포함하는 화이트 리스트가 기억되어 있는 것으로 한다. Next, the operation of the monitoring device 1 having the above-described configuration will be described with reference to the flowchart of FIG. 4. As a premise below, it is assumed that the storage unit 12 stores a white list including identification information of terminals permitted to connect to the network NW in advance.

우선, 생성부(11)는, 네트워크(NW) 상의 정규 단말(2) 및 부정 단말(3)로부터 ICMPv6 파라미터 부정 메시지(ICMP Parameter Problem)의 회신이 오는 부정한 헤더를 갖는 패킷을 생성한다(단계 S1). 구체적으로는, 생성부(11)는, IPv6 헤더 내의 홉바이홉 옵션(Hop-by-Hop Option)의 값을 IPv6 노드에 의해 인식할 수 없는 IPv6 확장 헤더의 데이터인 멀티캐스트 패킷을 생성할 수 있다. First, the generation unit 11 generates a packet having an illegal header from which a reply of an ICMPv6 parameter negation message (ICMP Parameter Problem) comes from the normal terminal 2 and the illegal terminal 3 on the network NW (step S1). ). Specifically, the generation unit 11 can generate a multicast packet that is data of an IPv6 extension header that cannot be recognized by an IPv6 node with a value of a hop-by-hop option in the IPv6 header. have.

다음으로, 송수신부(10)는, 생성된 부정한 헤더를 갖는 멀티캐스트 패킷을 올노드 멀티캐스트에 송신한다(단계 S2). 구체적으로는, 도 1에 나타낸 바와 같이, 송수신부(10)는, 네트워크(NW)를 통해, 3개의 정규 단말(2) 및 부정 단말(3)에 멀티캐스트 패킷을 올노드 멀티캐스트(예컨대 「FE02::1」)에 송신한다. Next, the transmission/reception unit 10 transmits the generated multicast packet with an invalid header to all-node multicast (step S2). Specifically, as shown in Fig. 1, the transmission/reception unit 10 transmits a multicast packet to the three regular terminals 2 and the unauthorized terminals 3 via a network NW, all-node multicast (for example, " FE02::1").

그 후, 송수신부(10)는, 부정한 헤더를 갖는 멀티캐스트 패킷을 수신한 정규 단말(2) 및 부정 단말(3)로부터, 회신 패킷으로서 ICMPv6 에러 메시지를 수신한다(단계 S3). 다음으로, 취득부(13)는, 수신한 ICMPv6 에러 메시지의 패킷에 포함되는 송신원을 나타내는 고유의 식별 정보를 취득한다(단계 S4). 예컨대, 취득부(13)는, 고유의 식별 정보로서 송신원의 MAC 어드레스를 취득할 수 있다. Thereafter, the transmission/reception unit 10 receives the ICMPv6 error message as a reply packet from the normal terminal 2 and the illegal terminal 3 which have received the multicast packet having an invalid header (step S3). Next, the acquisition unit 13 acquires unique identification information indicating the transmission source included in the packet of the received ICMPv6 error message (step S4). For example, the acquisition unit 13 can acquire the MAC address of the transmission source as unique identification information.

다음으로, 대조부(14)는, 취득부(13)가 취득한 고유의 식별 정보를, 기억부(12)에 기억되어 있는 화이트 리스트와 대조한다(단계 S5). 구체적으로는, 대조부(14)는, ICMPv6 에러 메시지의 패킷에 포함되는 송신원의 MAC 어드레스를, 화이트 리스트에 등록되어 있는 MAC 어드레스와 대조한다. Next, the verification unit 14 collates the unique identification information acquired by the acquisition unit 13 with the white list stored in the storage unit 12 (step S5). Specifically, the verification unit 14 verifies the MAC address of the sender included in the packet of the ICMPv6 error message with the MAC address registered in the white list.

도 5는, 기억부(12)에 기억되어 있는 화이트 리스트의 일례를 나타내고 있다. 미리 준비되어 있는 화이트 리스트에는, MAC 어드레스 「A」, 「B」, 「C」가 등록되어 있다. 대조부(14)는, ICMPv6 에러 메시지의 패킷에 포함되는 MAC 어드레스가 「A」, 「B」, 「C」와 일치하는지 아닌가를 대조 결과로서 출력한다. 5 shows an example of a white list stored in the storage unit 12. In the white list prepared in advance, MAC addresses "A", "B" and "C" are registered. The verification unit 14 outputs as a verification result whether the MAC address included in the packet of the ICMPv6 error message matches "A", "B", and "C".

ICMPv6 에러 메시지의 패킷에 포함되는 MAC 어드레스가 화이트 리스트에 존재하는 경우(단계 S6 : YES), 취득된 모든 MAC 어드레스가 화이트 리스트와 대조될 때까지(단계 S8 : NO), 단계 S3으로부터 단계 S6을 반복한다. When the MAC address included in the packet of the ICMPv6 error message exists in the white list (step S6: YES), until all the acquired MAC addresses are collated with the white list (step S8: NO), step S3 to step S6 is performed. Repeat.

한편, ICMPv6 에러 메시지의 패킷에 포함되는 MAC 어드레스가 화이트 리스트에 존재하지 않는 경우에는(단계 S6 : NO), 판단부(15)는, 대조한 MAC 어드레스를 갖는 단말은 부정 단말(3)이라고 판단한다(단계 S7). On the other hand, if the MAC address included in the packet of the ICMPv6 error message does not exist in the white list (step S6: NO), the determination unit 15 determines that the terminal having the matched MAC address is an illegal terminal 3 (Step S7).

그 후, 통지부(16)는, 부정 단말(3)이 존재하는 것, 및 부정 단말의 MAC 어드레스를 통지한다(단계 S9). 예컨대, 통지부(16)는, 표시 장치(107)에 부정 단말(3)의 MAC 어드레스 등을 표시시킬 수 있다. 또한, 통지부(16)는, 부정 단말(3)이 검출되지 않은 경우에는, 그 취지를 나타내는 통지를 행해도 좋다. After that, the notification unit 16 notifies the presence of the illegal terminal 3 and the MAC address of the illegal terminal (step S9). For example, the notification unit 16 can cause the display device 107 to display the MAC address of the illegal terminal 3 or the like. In addition, when the illegal terminal 3 is not detected, the notification unit 16 may provide a notification indicating the effect.

이상 설명한 바와 같이, 본 실시형태에 관한 감시 장치(1)에 의하면, 부정한 헤더를 포함하는 멀티캐스트 패킷을 네트워크(NW) 내의 단말에 올노드 멀티캐스트 송신하고, 그 후 단말에서 회신되는 ICMPv6 에러 메시지의 패킷에 포함되는 송신원의 고유 식별 정보를 이용하여 부정 단말(3)을 검출한다. 그 때문에, 네트워크(NW) 내의 각 단말이 NS 패킷을 송신하는 것을 기다리지 않고, IPv6 환경에서 링크 로컬에 접속되어 있는 부정 단말(3)을 검출할 수 있다. As described above, according to the monitoring device 1 according to the present embodiment, an all-node multicast transmission of a multicast packet including an illegal header to a terminal in the network NW, and then an ICMPv6 error message returned from the terminal The unauthorized terminal 3 is detected using the unique identification information of the source included in the packet of. Therefore, it is possible to detect the illegal terminal 3 connected to the link local in the IPv6 environment without waiting for each terminal in the network NW to transmit the NS packet.

또한, ICMPv6 에러 메시지의 패킷에 포함되는 정보를 이용하기 때문에, 보다 적은 양의 탐색 패킷의 송신에 의해, 보다 짧은 시간에 부정 단말(3)을 검출할 수 있다. In addition, since the information contained in the packet of the ICMPv6 error message is used, it is possible to detect the illegal terminal 3 in a shorter time by transmitting a smaller amount of search packets.

또, 설명한 실시형태에서는, 네트워크(NW) 내의 단말의 고유 식별 정보로서 MAC 어드레스를 이용한 경우를 예시했다. 그러나, 고유의 식별 정보로서 이용하는 정보는, 이것에 한정되지 않는다. 예컨대, IPv6 어드레스와 MAC 어드레스의 조합 등을 이용해도 좋다. In addition, in the embodiment described, the case of using the MAC address as the unique identification information of the terminal in the network NW has been illustrated. However, information used as unique identification information is not limited to this. For example, a combination of an IPv6 address and a MAC address may be used.

이상, 본 발명의 감시 장치 및 감시 방법에서의 실시형태에 관해 설명했지만, 본 발명은 설명한 실시형태에 한정되는 것이 아니며, 청구범위에 기재한 발명의 범위에서 당업자가 상정할 수 있는 각종 변형을 행하는 것이 가능하다. As described above, embodiments of the monitoring device and monitoring method of the present invention have been described, but the present invention is not limited to the described embodiments, and various modifications that can be conceived by those skilled in the art within the scope of the invention described in the claims are made. It is possible.

1 : 감시 장치, 2 : 정규 단말, 3 : 부정 단말, 10 : 송수신부, 11 : 생성부, 12 : 기억부, 13 : 취득부, 14 : 대조부, 15 : 판단부, 16 : 통지부, 101 : 버스, 102 : 프로세서, 103 : 주기억 장치, 104 : 통신 인터페이스, 105 : 보조 기억 장치, 106 : 입출력 I/O, 107 : 표시 장치, NW : 네트워크. 1: monitoring device, 2: regular terminal, 3: illegal terminal, 10: transmitting/receiving unit, 11: generating unit, 12: storing unit, 13: acquiring unit, 14: checking unit, 15: judging unit, 16: notifying unit, 101: bus, 102: processor, 103: main memory, 104: communication interface, 105: auxiliary memory, 106: input/output I/O, 107: display, NW: network.

Claims (8)

미리 설정된 부정한 헤더를 포함하는 송신 패킷을 생성하도록 구성된 생성부와,
상기 송신 패킷을 통신 네트워크를 통해 올노드 멀티캐스트 송신하도록 구성된 송신부와,
상기 송신 패킷을 수신한 단말로부터의 에러 메시지를 포함하는 회신 패킷을 상기 통신 네트워크를 통해 수신하도록 구성된 수신부와,
상기 회신 패킷에 포함되는, 상기 회신 패킷의 송신원인 상기 단말을 식별하는 고유의 식별 정보를 취득하도록 구성된 취득부와,
취득된 상기 식별 정보를, 기억부에 기억되어 있는 식별 정보의 리스트와 대조하도록 구성된 대조부와,
상기 대조부의 대조 결과에 기초하여, 상기 송신원의 상기 단말이 상기 통신 네트워크에 부정하게 접속하는 단말인지 아닌지를 판단하도록 구성된 판단부
를 구비하는 감시 장치. A generator configured to generate a transmission packet including a preset invalid header,
A transmission unit configured to transmit the transmission packet through an all-node multicast transmission through a communication network,
A receiving unit configured to receive a reply packet including an error message from a terminal receiving the transmission packet through the communication network,
An acquisition unit configured to acquire unique identification information that identifies the terminal that is a transmission source of the reply packet, included in the reply packet;
A matching unit configured to collate the acquired identification information with a list of identification information stored in the storage unit,
A determination unit configured to determine whether or not the terminal of the source is a terminal accessing the communication network illegally, based on the verification result of the verification unit
Monitoring device comprising a. 제1항에 있어서,
상기 리스트는, 상기 통신 네트워크에 대한 접속이 허가된 단말의 고유 식별 정보를 포함하고,
상기 판단부는, 상기 취득부에 의해 취득된 상기 식별 정보가 상기 리스트에 포함되어 있지 않은 경우에, 그 단말이 상기 통신 네트워크에 부정하게 접속하는 단말이라고 판단하는 것을 특징으로 하는 감시 장치. The method of claim 1,
The list includes unique identification information of terminals permitted to access the communication network,
And when the identification information acquired by the acquisition unit is not included in the list, the determination unit determines that the terminal is a terminal that illegally connects to the communication network. 제1항 또는 제2항에 있어서,
상기 판단부에 의한 판단 결과를 통지하도록 구성된 통지부를 더 구비하는 것을 특징으로 하는 감시 장치. The method according to claim 1 or 2,
And a notification unit configured to notify a result of the determination by the determination unit. 제1항 또는 제2항에 있어서,
상기 통신 네트워크는 IPv6에 대응한 통신 네트워크이고,
상기 송신 패킷은, 상기 송신 패킷을 수신한 단말이, 패킷에 문제가 있다고 판단하는 부정한 IPv6 헤더를 포함하는 것을 특징으로 하는 감시 장치. The method according to claim 1 or 2,
The communication network is a communication network corresponding to IPv6,
And the transmission packet includes an illegal IPv6 header for determining that a problem exists in the packet by a terminal receiving the transmission packet. 제1항 또는 제2항에 있어서,
상기 회신 패킷은 ICMPv6에 의한 파라미터 부정 메시지를 포함하는 것을 특징으로 하는 감시 장치. The method according to claim 1 or 2,
And the reply packet includes a parameter negation message according to ICMPv6. 제1항 또는 제2항에 있어서,
상기 식별 정보는 MAC 어드레스인 것을 특징으로 하는 감시 장치. The method according to claim 1 or 2,
The identification information is a monitoring device, characterized in that the MAC address. 제1항 또는 제2항에 있어서,
상기 취득부는, 상기 통신 네트워크에 접속되어 있는 단말을 검출하고, 그 단말의 정보로서 IP 어드레스 및 MAC 어드레스 중 적어도 어느 것을 취득하고,
상기 판단부는, 검출된 상기 단말의 정보 및 상기 대조부의 대조 결과에 기초하여, 상기 송신원의 상기 단말이 상기 통신 네트워크에 부정하게 접속하는 단말인지 아닌지를 판단하는 것을 특징으로 하는 감시 장치. The method according to claim 1 or 2,
The acquisition unit detects a terminal connected to the communication network, acquires at least one of an IP address and a MAC address as information of the terminal,
And the determination unit, based on the detected information of the terminal and a result of the verification by the matching unit, determines whether the terminal of the source is a terminal accessing the communication network illegally. 미리 설정된 부정한 헤더를 포함하는 송신 패킷을 생성하는 생성 단계와,
상기 송신 패킷을 통신 네트워크를 통해 올노드 멀티캐스트 송신하는 송신 단계와,
상기 송신 패킷을 수신한 단말로부터의 에러 메시지를 포함하는 회신 패킷을 상기 통신 네트워크를 통해 수신하는 수신 단계와,
상기 회신 패킷에 포함되는, 상기 회신 패킷의 송신원인 상기 단말을 식별하는 고유의 식별 정보를 취득하는 취득 단계와,
취득된 상기 식별 정보를, 기억부에 기억되어 있는 식별 정보의 리스트와 대조하는 대조 단계와,
상기 대조 단계에서의 대조 결과에 기초하여, 상기 송신원의 상기 단말이 상기 통신 네트워크에 부정하게 접속하는 단말인지 아닌지를 판단하는 판단 단계
를 포함하는 감시 방법.A generating step of generating a transmission packet including a preset illegal header,
A transmission step of transmitting the transmission packet through an all-node multicast through a communication network,
A receiving step of receiving a reply packet including an error message from a terminal receiving the transmission packet through the communication network,
An acquisition step of acquiring unique identification information that identifies the terminal that is a transmission source of the reply packet, included in the reply packet;
A collating step of collating the acquired identification information with a list of identification information stored in a storage unit;
A determination step of determining whether or not the terminal of the source is a terminal unauthorized access to the communication network, based on the verification result in the verification step
Monitoring method comprising a.
KR1020200055059A 2019-05-10 2020-05-08 Monitoring apparatus and monitoring method KR102387010B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JPJP-P-2019-089668 2019-05-10
JP2019089668A JP7232121B2 (en) 2019-05-10 2019-05-10 Monitoring device and monitoring method

Publications (2)

Publication Number Publication Date
KR20200130180A true KR20200130180A (en) 2020-11-18
KR102387010B1 KR102387010B1 (en) 2022-04-18

Family

ID=73223310

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200055059A KR102387010B1 (en) 2019-05-10 2020-05-08 Monitoring apparatus and monitoring method

Country Status (3)

Country Link
JP (1) JP7232121B2 (en)
KR (1) KR102387010B1 (en)
CN (1) CN111917703B (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006211698A (en) * 2006-02-27 2006-08-10 Brother Ind Ltd IP address setting device, IP address setting method, and network system
JP2006287299A (en) * 2005-03-31 2006-10-19 Nec Corp Network control method and device, and control program
JP2007104396A (en) 2005-10-05 2007-04-19 Nippon Telegraph & Telephone East Corp Unauthorized connection prevention system and method, program

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004241831A (en) 2003-02-03 2004-08-26 Rbec Corp Network management system
JP4487948B2 (en) 2006-02-17 2010-06-23 パナソニック株式会社 Packet transmission method, relay node, and reception node
JP4777461B2 (en) * 2007-09-07 2011-09-21 株式会社サイバー・ソリューションズ Network security monitoring device and network security monitoring system
KR100908320B1 (en) * 2009-03-20 2009-07-17 (주)넷맨 How to block and discover hosts in an IPv6 network
CN102970306B (en) * 2012-12-18 2015-07-15 中国科学院计算机网络信息中心 Intrusion detection system under Internet protocol version 6 (IPv6) network environment
JP2014150504A (en) * 2013-02-04 2014-08-21 Nec Corp Network monitoring device, network monitoring method, and computer program
CN108881211B (en) * 2018-06-11 2021-10-08 杭州盈高科技有限公司 Illegal external connection detection method and device

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006287299A (en) * 2005-03-31 2006-10-19 Nec Corp Network control method and device, and control program
JP2007104396A (en) 2005-10-05 2007-04-19 Nippon Telegraph & Telephone East Corp Unauthorized connection prevention system and method, program
JP2006211698A (en) * 2006-02-27 2006-08-10 Brother Ind Ltd IP address setting device, IP address setting method, and network system

Also Published As

Publication number Publication date
KR102387010B1 (en) 2022-04-18
CN111917703B (en) 2023-05-09
JP2020188303A (en) 2020-11-19
JP7232121B2 (en) 2023-03-02
CN111917703A (en) 2020-11-10

Similar Documents

Publication Publication Date Title
US7729292B2 (en) Method and apparatus for detecting a router that improperly responds to ARP requests
US20120304294A1 (en) Network Monitoring Apparatus and Network Monitoring Method
US20080072289A1 (en) Unauthorized Connection Detection System and Unauthorized Connection Detection Method
CN111159709A (en) File type identification method, device, equipment and storage medium
US7916733B2 (en) Data communication apparatus, data communication method, program, and storage medium
CN110619022B (en) Node detection method, device, equipment and storage medium based on block chain network
US10097418B2 (en) Discovering network nodes
JPWO2007077615A1 (en) Software execution management apparatus, method and program thereof
KR102387010B1 (en) Monitoring apparatus and monitoring method
CN112565174B (en) Address monitoring device and address monitoring method
US10015179B2 (en) Interrogating malware
CN112217784B (en) Apparatus and method for attack identification in a computer network
CN110113202B (en) IPsec diagnosis method and device and home terminal equipment
CN110611678B (en) Method for identifying message and access network equipment
US20150237059A1 (en) Information processing apparatus, information processing method, and non-transitory computer readable medium
US10623422B2 (en) Protocol to detect a foreign device connected between network modules
KR20180005359A (en) Method for examining change of dns address and terminal apparatus for the same
CN112601229A (en) Apparatus and method for detecting illegal
CN112565092B (en) Determining apparatus and determining method
CN109787969B (en) Host's identity legitimacy detection method, detection device and identity detection device
CN112565005B (en) Network serial line detection method and device, equipment and medium
CN115914046B (en) VoIP gateway identification method, device, equipment and storage medium
US10951650B2 (en) Detection of network sniffing activity
JP3856368B2 (en) Method and apparatus for discovering promiscuous nodes in an IP network, and promiscuous node discovery program
KR20210082364A (en) Detection device and detection method

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20200508

PA0201 Request for examination
PG1501 Laying open of application
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20211019

Patent event code: PE09021S01D

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20220112

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20220412

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20220413

End annual number: 3

Start annual number: 1

PG1601 Publication of registration