【0001】
【発明の属する技術分野】
本発明は,ケーブルモデム等の中継装置を介してCATV(ケーブルテレビ)回線等の基幹通信回線にアクセスする計算機やルータ等のノードの不正アクセスを検知する通信監視装置に関するものである。
【0002】
【従来の技術】
従来,例えば特開2001−177572号公報に示される「CATV網を利用したデータ通信システム」のように,CATV網(回線)等の基幹通信回線を利用したデータ通信システムがある。前記公報に示されるデータ通信システムでは,CATV網の下位側に接続された複数のケーブルモデム(前記中継装置の一例)それぞれにパーソナルコンピュータ等の端末が接続され,該端末は,前記ケーブルモデム,CATV網,及びCATV網の上位側に接続されたヘッドエンド装置(ヘッドエンドモデム)を介してインターネットプロトコル(IP)を用いてインターネット網にアクセスできるよう構成されている。さらに,前記ヘッドエンド装置にはDHCP(Dynamic Host Configuration Protocol)サーバが接続され,前記端末がCATV網にアクセスする際,前記端末それぞれにIPアドレス(前記ノード識別情報の一例)が動的に割り当てられる。そして,前記ケーブルモデムは,前記DHCPサーバによって前記端末に割り当てられたIPアドレスを記憶し,該IPアドレスを有する通信データ(パケット)のみを通過させるフィルタ機能を備えており,該フィルタ機能によって不正なIPアドレスを使用してCATV網にアクセスするいわゆる「なりすまし」等の不正アクセスが防止される。即ち,このシステムでは,前記ケーブルモデムに接続される前記端末が,前記DHCPサーバからIPアドレスを動的に割り当てられることが前提となっている。
【0003】
【発明が解決しようとする課題】
しかしながら,前記ケーブルモデムに接続される装置(ノード)は,パーソナルコンピュータのようなDHCPによりIPアドレスを動的に取得できる端末のみならず,ローカルなネットワーク(LAN)をCATV網に接続するためのルータ等である場合もある。このようなルータ等には,前記DHCPサーバから動的にIPアドレスを取得できないものもあり,その場合は,前記ルータ等のノードに対して予め(静的に)IPアドレスが設定される(割り当てられる)ので,前述したようなDHCPを前提とした不正アクセス防止は行えないという問題点があった。そのため,誤って或いは故意に前記ノードに設定されたIPアドレスが,他のケーブルモデムに接続されたノードに設定され或いは割り当てられたIPアドレスと重複(一致)している場合には,該他のケーブルモデムに接続された正規の利用者のノードが本来のサービスを受けられないばかりか,該正規の利用者(のノード)の個人情報等が不正に盗聴されてしまうという問題点があった。
また,IPでの通信データには,前記各ノードが備えるネットワークインターフェースカード(NIC)等に設定されたそれぞれ固有の物理アドレスであるMACアドレス(Media Access Control Address)も含められるため,前記正規の利用者の用いる機器のMACアドレスを予め登録しておく等により,これと異なるMACアドレスでのアクセスを不正アクセスとして検知することも考えられるが,このMACアドレスも,特殊な装置を用いて前記NIC等の設定を変更したり,IP通信を行うドライバソフトを改造して任意のMACアドレスに変更する等が行われる可能性があり,この場合には不正アクセスを防止できない。
従って,本発明は上記事情に鑑みてなされたものであり,その目的とするところは,不正なノード識別情報やMACアドレスを用いて行うなりすまし等の不正アクセスを検知する通信監視システムを提供することにある。
【0004】
【課題を解決するための手段】
上記目的を達成するために本発明は,所定の基幹通信回線に接続された複数の中継装置それぞれを介して前記基幹通信回線にアクセスする各ノードの不正アクセスを所定の通信監視手段により監視する通信監視システムであって,前記中継装置が,前記ノードから送出される通信データが有する前記ノードそれぞれに割り当てられたノード識別情報及び/又は前記ノードそれぞれに設定されたMACアドレスを記憶するアクセス情報記憶手段を具備し,前記通信監視手段が,前記基幹通信回線を介して前記中継装置それぞれから前記アクセス情報記憶手段内の情報を取得する手段と,該取得した情報に基づいて同一の前記ノード識別情報及び/又は前記MACアドレスが異なる前記中継装置の前記アクセス情報記憶手段から取得された場合に不正アクセスありと判別する不正アクセス検知手段とを具備してなることを特徴とする通信監視システムとして構成されるものである。
このように,前記中継装置により,前記ノードから送出された通信データが基幹通信回線に入る前に,その通信データが有する前記ノード識別情報や前記MACアドレスが抽出されて記憶されるので,各通信データの送出元である前記ノードを特定でき,本来あってはならない不正なアクセス状況,即ち,異なる前記ノードから同じ前記ノード識別情報や同じ前記MACアドレスを有する通信データが送出される状況を検知できる。さらに,例えば,CATV網への接続を中継するケーブルモデム等である前記中継装置は,一般に前記基幹通信回線の提供者により提供又は管理される装置であるので,これに前記アクセス情報記憶手段を設けることは,利用者の管理下にある前記ノードに設けるよりも実用的である。
【0005】
ここで,前記通信監視システムの適用対象としては,例えば,前記基幹通信回線がCATV回線であり,前記中継装置がケーブルモデムであるものや,前記ノードが前記基幹通信回線に通信接続する際の通信プロトコルがインターネットプロトコルであり,前記ノード識別情報がIPアドレスであるもの等が考えられる。
【0006】
【発明の実施の形態】
以下添付図面を参照しながら,本発明の実施の形態及び実施例について説明し,本発明の理解に供する。尚,以下の実施の形態及び実施例は,本発明を具体化した一例であって,本発明の技術的範囲を限定する性格のものではない。
ここに,図1は本発明の実施の形態に係る通信監視システムXを有する通信システムの構成を表すブロック図,図2は本発明の実施の形態に係る通信監視システムXにおける不正アクセス検知方法を説明する図,図3は本発明の実施例に係る通信監視システムYを有する通信システムの構成を表すブロック図である。
【0007】
まず,図1を用いて,本発明の実施の形態に係る通信監視システムXの構成について説明する。本通信監視システムXは,パーソナルコンピュータ等の端末やルータ(に接続された端末)からCATV網を介してインターネット網に通信接続する通信システムに適用されるものである。
図1に示すように,本通信監視システムXが適用される通信システムは,各利用者の家庭や事務所に設置される前記端末やルータ等である複数のノード5及び該ノード5それぞれに接続された複数のケーブルモデム4と,該ケーブルモデム4にCATV網3を介して接続され,該CATV網3とその上位のLAN7とを中継するヘッドエンド装置2と,該ヘッドエンド装置と前記LAN7により接続された計算機等である不正アクセス検出装置6とを有している。さらに,前記LAN7には,不図示のインターネットサーバ等が接続されており,前記各ノード5は,前記ケーブルモデム4,CATV網3,前記ヘッドエンド装置2,及び前記インターネットサーバ(不図示)を介してインターネットプロトコル(IP)によりインターネット網1にアクセス可能に構成されている。そして,前記ケーブルモデム4及び前記不正アクセス検出装置6により本通信監視システムXが構成されている。
前記ケーブルモデム4は,一般的なケーブルモデムが有するモデム回路41等に加え,前記ノード5から送出され当該ケーブルモデム4が中継する通信データ(IPパケット)から,該通信データが有するIPアドレス,及び接続された前記ノード5のMACアドレスを抽出し,これらを対応づけてSRAM等の記憶部へ記憶(記録)するアドレス記録保持部42(前記アクセス情報記憶手段の一例)を具備している。さらに,前記不正アクセス検出装置6は,前記LAN7,前記ヘッドエンド装置2,及び前記CATV網3を介して全ての前記ケーブルモデム4に対して定期的に所定のアドレス情報要求信号を送信することにより,これに応じて前記ケーブルモデム4それぞれから送信される所定のアドレス情報を受信(取得)するアドレス情報取得部61,及び取得された前記アドレス情報に基づいて不正アクセスを検知するアドレス重複検出部62を具備している。前記アドレス情報には,前記アドレス記録保持部42に記憶された前記ノード5それぞれの前記IPアドレス及び前記MACアドレスと,該アドレス情報を送信する前記ケーブルモデム4の識別情報である該ケーブルモデム4のMACアドレスとが含まれており,これにより,前記不正アクセス検出装置6は,受信した前記アドレス情報がいずれの前記ノード5から受信したかを識別する。ここで,いずれの前記ノード5から前記アドレス情報を受信したかを識別する方法としては,前記不正アクセス検出装置6側から前記ノード5それぞれを所定の識別情報により指定して前記アドレス情報要求を送信し,これに応じて所定時間内に返信された前記IPアドレス及び前記MACアドレスを,指定した前記ケーブルモデム4から送信されたものとする等,他の方法であってもよい。
【0008】
次に,図2を用いて,前記不正アクセス検出装置4による不正アクセスの検出方法を具体例により説明する。
図2(a)〜(e)は,それぞれ,前記不正アクセス検出手段4により取得された前記アドレス情報,即ち,前記ケーブルモデムのMACアドレスd1,前記ノード5のMACアドレスd2,及び前記ノード5のIPアドレスd3の組み合わせを列記したものである。
図2(a),(b)はいずれも,前記ノード5のMACアドレスd2及び前記IPアドレスd3のいずれもが,異なる前記ケーブルモデム4(即ち,そのMACアドレスd1が異なる)間で重複しておらず,不正アクセスのなかった通常の通信状態であったことを表す。
図2(c)は,図2(b)の状態から,新たに前記アドレス情報が取得され追加された状態を示す。図2(c)の破線枠で示すように,異なる前記ケーブルモデム4から同一の前記IPアドレスd3(前記ノード5のIPアドレス)が重複して取得されており,そのいずれかの前記ケーブルモデム4に接続された前記ノード5が不正アクセスを行っていたことがわかる。
また,図2(d)は,同じく図2(b)の状態から,新たに前記アドレス情報が取得及び追加され,破線枠で示すように,異なる前記ケーブルモデム4から同一の前記MACアドレスd2(前記ノード5のMACアドレス)が重複して取得されており,そのいずれかの前記ケーブルモデム4に接続された前記ノード5が不正アクセスを行っていたことがわかる。
さらに,図2(e)も,図2(b)の状態から,新たに前記アドレス情報が取得され追加され,破線枠で示すように,異なる前記ケーブルモデム4から同一の前記MACアドレスd2及び前記IPアドレスd3の組み合わせが重複して取得されており,そのいずれかの前記ケーブルモデム4に接続された前記ノード5が不正アクセスを行っていたことがわかる。
前記不正アクセス検出装置6は,図2(c)〜(e)に示すようなアドレスの重複状態を検知した場合に,その表示装置等により不正アクセスが検知された旨を通知する。これにより,不正なIPアドレスやMACアドレスを用いて行うなりすまし等の不正アクセスを検知することが可能となる。
【0009】
【実施例】
前記通信監視システムXでは,前記CATV網3の上位側のLAN7に接続された前記不正アクセス検出装置6により,前記アドレス情報の取得及び不正アクセスの検出が行われたが,これに限るものでなく,例えば図3に示すように,前記不正アクセス検出装置6を前記ヘッドエンド装置2内に組み込まれた通信監視システムY等,他の構成であっても何ら問題はない。
【0010】
【発明の効果】
以上説明したように,本発明によれば,不正なノード識別情報(IPアドレス等)やMACアドレスを用いて基幹通信回線にアクセスを行うなりすまし等の不正アクセスを検知することが可能となる。
【図面の簡単な説明】
【図1】本発明の実施の形態に係る通信監視システムXを有する通信システムの構成を表すブロック図。
【図2】本発明の実施の形態に係る通信監視システムXにおける不正アクセス検知方法を説明する図。
【図3】本発明の実施例に係る通信監視システムYを有する通信システムの構成を表すブロック図。
【符号の説明】
1…インターネット網
2…ヘッドエンド装置
3…CATV網(基幹通信回線)
4…ケーブルモデム(中継装置)
5…ノード
6…不正アクセス検出装置
7…LAN[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a communication monitoring device that detects unauthorized access of a node such as a computer or a router that accesses a backbone communication line such as a CATV (cable television) line via a relay device such as a cable modem.
[0002]
[Prior art]
2. Description of the Related Art Conventionally, there is a data communication system using a backbone communication line such as a CATV network (line), such as a “data communication system using a CATV network” disclosed in JP-A-2001-177572. In the data communication system disclosed in the above publication, a terminal such as a personal computer is connected to each of a plurality of cable modems (an example of the relay device) connected to a lower side of a CATV network. It is configured to be able to access the Internet network using Internet Protocol (IP) via a network and a head-end device (head-end modem) connected to the upper side of the CATV network. Furthermore, a Dynamic Host Configuration Protocol (DHCP) server is connected to the headend device, and when the terminals access the CATV network, an IP address (an example of the node identification information) is dynamically assigned to each of the terminals. . The cable modem has a filter function for storing an IP address assigned to the terminal by the DHCP server, and passing only communication data (packets) having the IP address. Unauthorized access such as so-called "spoofing" for accessing the CATV network using the IP address is prevented. That is, in this system, it is assumed that the terminal connected to the cable modem is dynamically assigned an IP address from the DHCP server.
[0003]
[Problems to be solved by the invention]
However, a device (node) connected to the cable modem is not only a terminal such as a personal computer that can dynamically acquire an IP address by DHCP, but also a router for connecting a local network (LAN) to a CATV network. And so on. Some of such routers cannot dynamically acquire an IP address from the DHCP server. In such a case, an IP address is previously (statically) set (assigned) to a node such as the router. Therefore, there has been a problem that unauthorized access cannot be prevented on the premise of DHCP as described above. Therefore, if the IP address set to the node by mistake or intentionally overlaps (coincides) with the IP address set or assigned to the node connected to another cable modem, the other There is a problem that not only the legitimate user node connected to the cable modem cannot receive the original service, but also the personal information of the legitimate user (node) is illegally eavesdropped.
Further, the communication data in the IP includes a MAC address (Media Access Control Address) which is a unique physical address set in a network interface card (NIC) or the like provided in each of the nodes. By registering the MAC address of the device used by the user in advance, it is conceivable to detect an access with a different MAC address as an unauthorized access, but this MAC address can also be detected using a special device. May be changed, or the driver software for performing IP communication may be modified to change to an arbitrary MAC address. In this case, unauthorized access cannot be prevented.
Accordingly, the present invention has been made in view of the above circumstances, and an object of the present invention is to provide a communication monitoring system for detecting unauthorized access such as spoofing using unauthorized node identification information or a MAC address. It is in.
[0004]
[Means for Solving the Problems]
In order to achieve the above object, the present invention provides a communication system in which a predetermined communication monitoring unit monitors unauthorized access of each node accessing the main communication line via a plurality of relay devices connected to the predetermined main communication line. A monitoring system, wherein the relay device stores node identification information assigned to each of the nodes and / or a MAC address set for each of the nodes in communication data transmitted from the node; Wherein the communication monitoring means acquires information in the access information storage means from each of the relay devices via the trunk communication line, and the same node identification information and the same information based on the acquired information. And / or when the MAC address is obtained from the access information storage unit of the relay device that is different By comprising; and a fraudulent access detection means for discriminating the positive access is with is constituted as a communication monitoring system according to claim.
As described above, before the communication data sent from the node enters the trunk communication line, the node identification information and the MAC address included in the communication data are extracted and stored by the relay device. The node that is the source of the data can be specified, and an unauthorized access situation that should not exist, that is, a situation where communication data having the same node identification information or the same MAC address is transmitted from different nodes can be detected. . Furthermore, since the relay device such as a cable modem for relaying connection to a CATV network is generally provided or managed by a provider of the backbone communication line, the access information storage means is provided in the relay device. This is more practical than providing the node under the control of the user.
[0005]
Here, the communication monitoring system is applied to, for example, a communication system in which the trunk communication line is a CATV line and the relay device is a cable modem, or a communication device in which the node is connected to the trunk communication line. It is conceivable that the protocol is an Internet protocol and the node identification information is an IP address.
[0006]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments and examples of the present invention will be described with reference to the accompanying drawings to provide an understanding of the present invention. The following embodiments and examples are mere examples embodying the present invention, and do not limit the technical scope of the present invention.
Here, FIG. 1 is a block diagram showing a configuration of a communication system having a communication monitoring system X according to an embodiment of the present invention, and FIG. 2 shows an unauthorized access detection method in the communication monitoring system X according to the embodiment of the present invention. FIG. 3 is a block diagram showing a configuration of a communication system having a communication monitoring system Y according to an embodiment of the present invention.
[0007]
First, the configuration of the communication monitoring system X according to the embodiment of the present invention will be described with reference to FIG. The communication monitoring system X is applied to a communication system in which a terminal such as a personal computer or a router (terminal connected to) is connected to the Internet network via a CATV network.
As shown in FIG. 1, a communication system to which the present communication monitoring system X is applied has a plurality of nodes 5 such as the terminals and routers installed in each user's home or office and a connection to each of the nodes 5. A plurality of cable modems 4, a head end device 2 connected to the cable modem 4 via the CATV network 3, and relaying the CATV network 3 and a higher-level LAN 7, and the head end device 2 and the LAN 7. And an unauthorized access detection device 6 which is a connected computer or the like. Further, an Internet server or the like (not shown) is connected to the LAN 7, and each of the nodes 5 is connected via the cable modem 4, the CATV network 3, the head-end device 2, and the Internet server (not shown). It is configured to be able to access the Internet network 1 by Internet Protocol (IP). The communication monitoring system X is constituted by the cable modem 4 and the unauthorized access detection device 6.
The cable modem 4 receives, from a communication data (IP packet) transmitted from the node 5 and relayed by the cable modem 4, an IP address of the communication data, in addition to a modem circuit 41 of a general cable modem. An address record holding unit 42 (an example of the access information storage unit) is provided which extracts the MAC addresses of the connected nodes 5 and stores (records) the MAC addresses in a storage unit such as an SRAM in association with the extracted MAC addresses. Further, the unauthorized access detection device 6 periodically transmits a predetermined address information request signal to all the cable modems 4 via the LAN 7, the head end device 2, and the CATV network 3. In response to this, an address information acquisition unit 61 that receives (acquires) predetermined address information transmitted from each of the cable modems 4, and an address duplication detection unit 62 that detects unauthorized access based on the acquired address information. Is provided. The address information includes the IP address and the MAC address of each of the nodes 5 stored in the address record holding unit 42 and the identification information of the cable modem 4 transmitting the address information. MAC address is included, whereby the unauthorized access detection device 6 identifies from which node 5 the received address information is received. Here, as a method of identifying which of the nodes 5 has received the address information, the unauthorized access detection device 6 transmits the address information request by designating each of the nodes 5 with predetermined identification information. In response, the IP address and the MAC address returned within a predetermined time may be transmitted from the specified cable modem 4 or another method.
[0008]
Next, a method for detecting an unauthorized access by the unauthorized access detection device 4 will be described with reference to FIG.
FIGS. 2A to 2E respectively show the address information acquired by the unauthorized access detection means 4, that is, the MAC address d1, the MAC address d2 of the node 5, and the MAC address d2 of the node 5. It is a list of combinations of IP addresses d3.
2A and 2B, both the MAC address d2 and the IP address d3 of the node 5 are duplicated between the different cable modems 4 (that is, the MAC addresses d1 are different). This indicates that the communication status was normal and no unauthorized access was made.
FIG. 2C shows a state where the address information is newly acquired and added from the state of FIG. 2B. As shown by the broken line frame in FIG. 2C, the same IP address d3 (IP address of the node 5) is obtained from different cable modems 4 in duplicate, and any one of the cable modems 4 is obtained. It can be understood that the node 5 connected to is performing unauthorized access.
2 (d), the address information is newly obtained and added from the state of FIG. 2 (b), and the same MAC address d2 ( It can be seen that the MAC address of the node 5) has been obtained in duplicate, and that the node 5 connected to any one of the cable modems 4 has performed unauthorized access.
2 (e), the address information is newly acquired and added from the state of FIG. 2 (b), and the same MAC address d2 and the same MAC address It can be seen that the combination of the IP addresses d3 has been acquired redundantly, and that the node 5 connected to any one of the cable modems 4 has performed unauthorized access.
When the unauthorized access detection device 6 detects an address duplication state as shown in FIGS. 2C to 2E, the display device or the like notifies that the unauthorized access has been detected. As a result, it is possible to detect unauthorized access such as spoofing using an unauthorized IP address or MAC address.
[0009]
【Example】
In the communication monitoring system X, the acquisition of the address information and the detection of the unauthorized access are performed by the unauthorized access detection device 6 connected to the LAN 7 on the upper side of the CATV network 3, but the present invention is not limited to this. For example, as shown in FIG. 3, there is no problem even if the unauthorized access detection device 6 has another configuration such as a communication monitoring system Y incorporated in the head end device 2.
[0010]
【The invention's effect】
As described above, according to the present invention, it is possible to detect improper access such as spoofing for accessing a backbone communication line using improper node identification information (such as an IP address) or a MAC address.
[Brief description of the drawings]
FIG. 1 is a block diagram illustrating a configuration of a communication system having a communication monitoring system X according to an embodiment of the present invention.
FIG. 2 is a view for explaining an unauthorized access detection method in the communication monitoring system X according to the embodiment of the present invention.
FIG. 3 is a block diagram showing a configuration of a communication system having a communication monitoring system Y according to the embodiment of the present invention.
[Explanation of symbols]
DESCRIPTION OF SYMBOLS 1 ... Internet network 2 ... Head end device 3 ... CATV network (backbone communication line)
4: Cable modem (relay device)
5 Node 6 Unauthorized access detection device 7 LAN