JP2013092998A - Access determination device, access determination method and program - Google Patents
Access determination device, access determination method and program Download PDFInfo
- Publication number
- JP2013092998A JP2013092998A JP2011236290A JP2011236290A JP2013092998A JP 2013092998 A JP2013092998 A JP 2013092998A JP 2011236290 A JP2011236290 A JP 2011236290A JP 2011236290 A JP2011236290 A JP 2011236290A JP 2013092998 A JP2013092998 A JP 2013092998A
- Authority
- JP
- Japan
- Prior art keywords
- access
- address
- determination
- authentication
- terminal device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
この発明は、端末装置がアクセスを要求するアクセス先のアドレスへのアクセス可否を判定するアクセス判定装置およびアクセス判定方法およびプログラムに関する。 The present invention relates to an access determination device, an access determination method, and a program for determining whether or not a terminal device can access an access destination address that requests access.
従来のマルウェア対策は、ウイルス対策ソフトウェアによる対策が主流である。しかし、近年、ユーザを巧みに騙してプログラムを実行又はダウンロードさせたり、未知の脆弱性を悪用したりといった手口により、標的として絞り込まれた組織内部や個人の端末装置へマルウェアを感染させ、機密情報の窃取や社内システムの破壊などを行うことを目的とした標的型攻撃が増えている。そして、標的型攻撃で用いられるマルウェアは、ウイルス対策ソフトによる検知を回避するように作られている。そのため、ウイルス対策ソフトウェアが標的型攻撃で用いられるマルウェアを検知することは難しい。 Conventional anti-malware measures are mainly anti-virus software measures. However, in recent years, malware has been infected in the organization or personal terminal devices targeted as targets by tricking the user into executing or downloading programs or exploiting unknown vulnerabilities. Targeted attacks aimed at stealing and destroying internal systems are increasing. The malware used in targeted attacks is designed to avoid detection by anti-virus software. Therefore, it is difficult for anti-virus software to detect malware used in targeted attacks.
標的型攻撃で用いられるマルウェアの特徴の1つに、マルウェアに感染した組織内部の端末装置が、インターネット上の指令サーバへ通信を行うことが挙げられる。指令サーバは、攻撃者がマルウェアに実行させたいコマンドをマルウェアへ伝える役割を持つ。これにより、攻撃者は、ファイアウォールなどで守られた組織内部の端末装置をインターネットから操作することが可能となる。 One of the characteristics of malware used in targeted attacks is that a terminal device inside an organization infected with malware communicates with a command server on the Internet. The command server has a role of transmitting commands that the attacker wants the malware to execute to the malware. Thereby, the attacker can operate the terminal device inside the organization protected by a firewall or the like from the Internet.
通常、マルウェアから指令サーバへの通信には、組織のセキュリティポリシで許可された通信(HTTP(HyperText Transfer Protocol)、HTTPS(HyperText Transfer Protocol over Secure Socket Layer)など)が用いられる。これらの通信は、一般的には、インターネット上の端末装置と組織内部の端末装置の通信を中継するプロキシ(例えばプロキシサーバ装置)を介して行われる。従って、ユーザ認証機能付きのプロキシを用いることによって、マルウェアの通信を遮断できる可能性がある。 Usually, communication (HTTP (Hyper Text Transfer Protocol), HTTPS (Hyper Text Transfer Protocol over Secure Socket Layer), etc.) permitted by an organization security policy is used for communication from the malware to the command server. Such communication is generally performed via a proxy (for example, a proxy server device) that relays communication between a terminal device on the Internet and a terminal device in the organization. Therefore, there is a possibility that malware communication can be blocked by using a proxy with a user authentication function.
従来のユーザ認証機能付きプロキシは、ユーザがプロキシを利用する場合に、ユーザがプロキシを利用してインターネット上のサービスへアクセスする権限があるか否かを、ユーザによって入力されたパスワードなどによってユーザ認証して、インターネットへの接続許可や、サービスへのアクセス許可を行っている。ここで、ユーザ認証とは、所定のインターネット上のサービスにアクセスする権限がある特定のユーザであるか否かを判定することである。
そして、インターネット上の異なるサービスへのシングルサインオンを目的として、ユーザ認証機能付きプロキシがプロキシサービスとセキュリティトークンサービスとを連携させて、ユーザが接続要求を行ったサービスに対して、その接続要求が正当なものかどうかを判定する方法が提案されている(例えば、特許文献1)。
In the conventional proxy with user authentication function, when a user uses a proxy, whether or not the user has authority to access services on the Internet using the proxy is authenticated by a password entered by the user. Then, permission to connect to the Internet and permission to access services are provided. Here, the user authentication is to determine whether or not a specific user is authorized to access a predetermined service on the Internet.
For the purpose of single sign-on to different services on the Internet, the proxy with the user authentication function links the proxy service and the security token service, and the connection request is issued to the service that the user has requested to connect. There has been proposed a method for determining whether or not it is legitimate (for example, Patent Document 1).
従来のユーザ認証機能付きプロキシでは、一度ユーザ認証が成功した後は、ブラウザのアクセス機能を使うことによって、マルウェアであってもプロキシを介して自由に通信ができてしまうという課題がある。
また、プロキシにアクセスする度にユーザ認証を求める方式も考えられるが、ユーザ認証にはパスワードの入力などのユーザによる処理が必要となる。そして、インターネットへの通信回数は、一人のユーザから1日で複数回発生するため、その度にユーザ認証を行うことは、ユーザによる処理が多くなり、ユーザへの負担が高く、著しく利便性を損なってしまうという課題がある。
また、どちらの場合においても、マルウェアによるキーロガーやパスワードの盗聴によってパスワードが解析されてしまうと、ユーザ認証が回避できてしまうという課題がある。
In the conventional proxy with a user authentication function, once the user authentication is successful, there is a problem that even if it is malware, communication can be freely performed by using the access function of the browser.
Also, a method of requesting user authentication every time the proxy is accessed can be considered, but user authentication requires processing by the user such as input of a password. And since the number of times of communication to the Internet occurs several times a day from one user, performing user authentication each time increases the processing by the user, increases the burden on the user, and significantly improves the convenience. There is a problem of losing.
In either case, there is a problem that user authentication can be avoided if a password is analyzed due to a keylogger or password eavesdropping by malware.
この発明は前記のような課題を解決することを主な目的とするもので、例えば、ユーザによる処理を軽減し、標的型攻撃で用いられるマルウェアの通信を検知することを主な目的とする。 The main object of the present invention is to solve the above-mentioned problems. For example, the main object of the present invention is to reduce the processing by the user and detect the communication of malware used in the targeted attack.
この発明に係るアクセス判定装置は、
正当であると認証されたアドレスである正当アドレスが示される正当アドレス情報を少なくとも一つ記憶する正当アドレス記憶部と、
端末装置がアクセスを試みるアクセス先のアドレスであるアクセス先アドレスが示されるアクセスコマンドを受信し、受信したアクセスコマンドに示されるアクセス先アドレスが前記正当アドレス記憶部により記憶されたいずれかの正当アドレス情報に示される正当アドレスと一致するか否かを判定するアドレス判定部と、
前記アドレス判定部により前記アクセス先アドレスが前記正当アドレスのいずれとも不一致であると判定された場合に、人間の操作により前記端末装置が前記アクセスコマンドを送信しているか否かを判定するアクセスコマンド判定部と
を備えたことを特徴とする。
The access determination device according to the present invention is:
A legitimate address storage unit that stores at least one legitimate address information indicating a legitimate address that is an authorized address;
Any valid address information in which an access command indicating an access destination address that is an access destination address that the terminal device attempts to access is received, and the access destination address indicated in the received access command is stored in the valid address storage unit An address determination unit that determines whether or not it matches the valid address shown in FIG.
Access command determination for determining whether or not the terminal device is transmitting the access command by a human operation when the address determination unit determines that the access destination address does not match any of the valid addresses And a section.
この発明に係るアクセス判定装置は、正当アドレスではないアドレスにアクセスを試みるアクセスコマンドのみに対して、人間の操作により端末装置がアクセスコマンドを送信しているか否かの判定を行う。このため、ユーザは、限られたアクセスコマンドのみに対して、ユーザ自身の操作によりアクセスコマンドが送信されたことを示す処理を行えばよく、ユーザによる処理は軽減される。
そして、人間の操作により送信されていないアクセスコマンドは、マルウェアにより送信されたアクセスコマンドである可能性が高いため、この発明に係るアクセス判定装置は、マルウェアの通信を検知することが可能である。
The access determination device according to the present invention determines whether or not the terminal device transmits an access command by a human operation only for an access command that attempts to access an address that is not a valid address. For this reason, the user only needs to perform processing indicating that the access command is transmitted by the user's own operation for only a limited access command, and the processing by the user is reduced.
Since an access command that has not been transmitted by a human operation is likely to be an access command transmitted by malware, the access determination device according to the present invention can detect malware communication.
実施の形態1.
(標的型攻撃対策装置の構成)
図1は、標的型攻撃対策装置の構成の例を示す図である。
ここで、標的型攻撃対策装置101は、アクセス判定装置に対応する。
(Configuration of targeted attack countermeasure device)
FIG. 1 is a diagram illustrating an example of a configuration of a target-type attack countermeasure device.
Here, the target-type
標的型攻撃対策装置101と、端末装置102と、プロキシ103と、ファイアウォール104とは、例えば会社等の組織内部の組織内ネットワーク106に接続されている。ここで、組織内ネットワーク106は、例えばLAN(Local Area Network)などで実現される。
そして、プロキシ103は、組織内ネットワーク106からインターネット105への通信を中継する、例えばプロキシサーバ装置などである。また、ファイアウォール104は、組織内ネットワーク106とインターネット105の境界に設置されている。プロキシ103は、転送部121を有しており、端末装置102からのアクセス要求をインターネット105上のサーバへ転送することができる。
The targeted
The
なお、図1では、標的型攻撃対策装置101をプロキシ103とは別の装置として記載しているが、プロキシ103内に標的型攻撃対策装置101の機能の一部もしくは全てを実装してもよい。
In FIG. 1, the target-type
標的型攻撃対策装置101は、受信部111、送信部112、認証部113、判定部114、認証管理DB115、URLアクセス履歴DB116から構成される。
The target-type
受信部111は、プロキシ103からの問い合わせを受信する。ここで、プロキシ103からの問い合わせとは、端末装置102がアクセスを試みるアクセス先のアドレスであるアクセス先アドレスが示されるアクセス要求をプロキシ103が受信し、受信したアクセス要求をプロキシ103が標的型攻撃対策装置101に転送したものである。
ここで、アクセス要求は、アクセスコマンドに対応する。
すなわち、受信部111は、端末装置102がアクセスを試みるアクセス先のアドレスであるアクセス先アドレスが示されるアクセスコマンド(アクセス要求)を受信する。
ここで、受信部111は、アクセスコマンド判定部とアドレス判定部とに対応する。
また、ここでアクセス先のアドレスとは、例えばインターネット105上でサービスを行うサーバなどのURL(Uniform Resource Locator)である。
The receiving unit 111 receives an inquiry from the
Here, the access request corresponds to an access command.
That is, the reception unit 111 receives an access command (access request) indicating an access destination address that is an access destination address to which the
Here, the reception unit 111 corresponds to an access command determination unit and an address determination unit.
Here, the access destination address is, for example, a URL (Uniform Resource Locator) of a server that performs services on the Internet 105.
送信部112は、プロキシ103からの問い合わせに対して応答を送信する。
ここで送信部112は、アクセスコマンド判定部に対応する。
The
Here, the
URLアクセス履歴DB116は、正当アドレス情報テーブル301を記憶する。詳細は、後述するが、正当アドレス情報テーブル301は、正当であると認証されたアドレスである正当アドレスが示される正当アドレス情報により構成されている。
ここで、URLアクセス履歴DB116は、正当アドレス記憶部に対応する。
The URL
Here, the URL
判定部114は、受信部111が受信したアクセス要求に示されるアクセス先アドレスがURLアクセス履歴DB116により記憶されたいずれかの正当アドレス情報に示される正当アドレスと一致するか否かを判定する。
そして、判定部114は、アクセス先アドレスが正当アドレスのいずれかと一致すると判定した場合、端末装置がアクセス先アドレスにアクセスすることを許可する。
ここで、判定部114はアドレス判定部とアクセスコマンド判定部とに対応する。
The
If the
Here, the
認証部113は、判定部114が端末装置102からのアクセス要求に認証が必要であると判定した場合に、端末装置102からのアクセス要求に対して認証を行う。
ここで、判定部114が端末装置102からのアクセス要求に認証を必要(以下、アクセス要求に認証が必要とされることを「要認証」と称する)であると判定した場合とは、判定部114によりアクセス先アドレスが正当アドレスのいずれとも不一致であると判定された場合である。
The
Here, when the
そして、認証部113が端末装置102に対して行う認証、もしくは、認証部113がアクセス要求に対して行う認証とは、人間の操作により端末装置102がアクセス要求を送信しているか否かを判定することである。すなわち、認証部113がアクセス要求に対して行う認証とは、前述のユーザ認証とは異なり、アクセスする権限がある特定のユーザであるか否かを判定するためのものではなく、端末装置102から送信されたURLへのアクセス要求が、人間の操作によるものか、プログラムによるものかを判定する目的で行う。
更に、「認証が成功と判定」とは、人間の操作により端末装置102がアクセス要求を送信していると判定されたことであり、「認証が失敗と判定」とは、人間の操作により端末装置102がアクセス要求を送信していると判定されなかったことである。
The authentication performed by the
Further, “determination that authentication is successful” means that the
具体的には、認証部113は、端末装置102へ認証画面を表示するように送信部112を介してプロキシ103へ要認証であることを示す応答を送信する。この要認証であることを示す応答を以降「要認証応答」と称する。ここで、認証部113は、プロキシ103を介さずに、直接端末装置102に要認証応答を送信しても良い。すなわち、認証部113は、要認証応答を生成し、生成した要認証応答を送信部112により端末装置102に対して送信する。
そして、認証部113は、認証情報(認証時に用いる情報)を認証管理DB115(後述で説明)に登録する。ここで、認証情報とは、アクセス要求を行った端末装置102に対して認証を行う場合に使用される例えばパスワードなどである。
ここで、認証部113は、アクセスコマンド判定部と正当アドレス情報更新部とに対応する。
Specifically, the
Then, the
Here, the
(要認証応答の説明)
ここで、要認証応答について説明する。
要認証応答は、端末装置102が送信したアクセス要求が人間の操作により行われたものであるか否かを判定するためにアクセス要求に対して行われる応答である。
要認証応答は、認証部113により生成された端末装置102に対して人間以外では理解出来ない形式にて問い合わせを行う問い合わせメッセージである。
(Description of authentication response required)
Here, the authentication required response will be described.
The authentication-required response is a response made to the access request in order to determine whether or not the access request transmitted by the
The authentication required response is an inquiry message for making an inquiry to the
要認証応答は、端末装置102の表示装置に認証画面を表示する為の情報でもあり、要認証応答を受信した端末装置102は、端末装置102の表示装置に認証画面を表示することが可能である。すなわち、認証画面を表示する為の情報も問い合わせメッセージに対応する。
The authentication required response is also information for displaying an authentication screen on the display device of the
ここで、認証画面とは、端末装置102を使用しているユーザに対し、要認証応答に対する応答情報の入力の要求を示す画面である。
そして、応答情報とは、送信部112が送信した要認証応答に対して端末装置102からの応答が示される、端末装置102が入力(送信)した認証情報である。
Here, the authentication screen is a screen that indicates a request for input of response information for a response requiring authentication to a user using the
The response information is authentication information input (transmitted) by the
ここで、認証部113が、人間の操作により端末装置102がアクセス要求を送信しているか否かを判定する方法(すなわち認証の方法)の具体例を説明する。
認証部113は、まず、認証情報を生成する。認証情報は、予め標的型攻撃対策装置101の記憶装置に記憶されていてもよい。
Here, a specific example of a method in which the
The
そして、認証部113は、人間であれば容易に回答できるがプログラムでは回答できない内容の質問を要認証応答として生成する。
ここで、人間であれば容易に回答できるがプログラムでは回答できない内容の質問として、既存のチャレンジ&レスポンス方式の認証を利用する。例えば、CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)技術や、ワンタイムパスワード技術などである。
And the
Here, existing challenge and response authentication is used as a question that can be answered easily by humans but cannot be answered by the program. For example, there is a CAPTCHA (Completely Automated Public Testing to tell Computers and Humans Apart) technology, a one-time password technology, and the like.
具体例として、CAPTCHA技術の例を示す。
認証部113が認証情報「1234」を生成したと想定する。その場合認証部113は、「この画像に表示されている番号を入力して下さい」という質問(指示)と共に、例えば「1234」の数字がゆがんだ文字として表示される画像データを生成する。ここで画像データは、「1234」のそれぞれの数字が重なり合って表示されたようなものでもよいし、「1234」の数字の背景や前景に他の画像データが重なり合って表示されたようなものでもよい。
そして、送信部112は、この質問及び画像データを要認証応答として端末装置102に送信する。この際に、送信部112は、プロキシ103を経由して要認証応答を端末装置102に送信してもよい。
そして、端末装置102は端末装置102の表示装置に認証画面としてこの質問と画像データを表示する。
As a specific example, an example of the CAPTCHA technique is shown.
It is assumed that the
Then, the
Then, the
端末装置102を操作しているのが人間であるならば、画像データに示されるゆがんだ文字を解読することが可能であり、端末装置102を操作している人間(ユーザ)は、端末装置102の入力装置を操作して、応答情報「1234」を入力することが可能である。
If the person operating the
そして、認証部113は、端末装置102からの応答が適切であれば、端末装置102が人間により操作されていると判定する。
ここで適切な応答とは、例えば応答情報に示される応答が、生成された認証情報と一致することである。(後述で説明するが、認証情報は、認証管理DB115に記憶されている。)すなわち、適切な応答とは、要認証応答に示される質問に対する応答情報に示される回答(応答)が正解である場合である。
認証情報「1234」に対して応答情報「1234」が得られた場合は、適切な応答である。
一方、適切でない応答とは、要認証応答に示される質問に対する応答情報に示される回答(応答)が不正解である場合である。
If the response from the
Here, an appropriate response is, for example, that the response indicated in the response information matches the generated authentication information. (As will be described later, the authentication information is stored in the
If response information “1234” is obtained for authentication information “1234”, this is an appropriate response.
On the other hand, an inappropriate response is a case where the answer (response) shown in the response information for the question shown in the authentication required response is incorrect.
例えば、認証情報が「1234」である場合の質問は「1233に1を加えた数値を入力して下さい」などであっても良い。
また、例えば認証画面に不整列な画像データが表示されており、「表示されている画像を整列して下さい」という質問であっても良い。そして、例えば、認証画面は、画像を整列させる為にユーザが入力した変位量に応じて、画像が変化して表示されるようになっている。この場合、応答情報にはユーザが入力した変位量などが示される。そして、認証部113は、この変位量が認証情報として生成された数値と一致するか否かを判定する。
また、質問は音声データであってもよい。
For example, the question when the authentication information is “1234” may be “Please input a numerical value obtained by adding 1 to 1233”.
Further, for example, unaligned image data is displayed on the authentication screen, and the question “Please align displayed images” may be used. For example, in the authentication screen, the image is changed and displayed according to the amount of displacement input by the user in order to align the images. In this case, the response information indicates the amount of displacement input by the user. And the
The question may be voice data.
(URLアクセス履歴DB116の説明)
図2は、正当アドレス情報テーブル301の例を示す図である。
URLアクセス履歴DB116は、前述の通り、正当アドレス情報テーブル301を記憶する。
ここで、例えば、図2の各行(例えばD301の行)が一つの正当アドレス情報であり、正当アドレス情報には例えば「http://www.aaa.com/」のような正当であると認証されたアドレスである正当アドレスが示される。
すなわち、URLアクセス履歴DB116は、正当であると認証されたアドレスである正当アドレスが示される正当アドレス情報を少なくとも一つ記憶する。
(Description of URL access history DB 116)
FIG. 2 is a diagram illustrating an example of the valid address information table 301.
The URL
Here, for example, each row in FIG. 2 (for example, row D301) is one valid address information, and the valid address information is authenticated as valid, for example, “http://www.aaa.com/”. The legitimate address that is the registered address is indicated.
That is, the URL
また、認証部113は、人間の操作により端末装置102がアクセス要求を送信していると認証(判定)したアクセス要求に示されるアクセス先アドレスを正当アドレスとして示す正当アドレス情報をURLアクセス履歴DB116に記憶する。
Further, the
この時、認証部113は、アクセス要求に示されるURL(アクセス先アドレス)の先頭から宛先ホスト部分までを切り出したものを正当アドレスとして登録する。
例えば、アクセス要求に示されるアクセス先アドレスが「http://www.aaa.com/menu/samples.html」の場合、認証部113は、「http://www.aaa.com/」の部分を正当アドレスとして登録する。
At this time, the
For example, when the access destination address indicated in the access request is “http://www.aaa.com/menu/samples.html”, the
宛先ホスト部分を正当アドレスとして登録することにより、同一ホストのコンテンツに端末装置102が複数アクセス要求を行う場合や、日々URLが変化するニュースサイトのようなサーバに対して無駄に認証がなされることを防ぐ。以降、特に断りがない限り、URL(アドレス)とは、アクセス要求のURLの先頭から宛先ホスト部分までを切り出したものを指す。
By registering the destination host part as a legitimate address, when the
なお、標的型攻撃対策装置101の導入時は、URLアクセス履歴DB116には、正当アドレスが何も登録されていない状態であってもよい。しかし、URLアクセス履歴DB116に登録されていないURLに対して端末装置102がアクセス要求を行う度に、認証部113は、端末装置102に対して認証を行う。そして、端末装置102を操作する人間が認証に対して応答情報(認証情報)を入力しなければならない。その為、人間が応答情報(認証情報)を入力しなければならない回数が増える。
Note that when the target-type
そこで、平常時(組織内ネットワーク106の端末装置102にマルウェアが存在しない状態)のある一定期間のURLアクセス要求を観測しておき、観測したURLアクセス要求に示されるURLをURLアクセス履歴DB116に登録される正当アドレスの初期値として利用することも可能である。このように利用することで、組織から頻繁にアクセスされるURLは、既にURLアクセス履歴DB116に登録されていることになる。すなわち、組織から頻繁にアクセスされるURLに関しては、認証部113による認証が行われないため、端末装置102を操作する人間が応答情報(認証情報)を入力する回数を減らすことが出来る。
Therefore, a URL access request for a certain period of time (a state in which no malware exists in the
(情標的型攻撃対策装置101の動作説明)
標的型攻撃対策装置101の動作について説明する。
(Explanation of the operation of the emotion target type attack countermeasure device 101)
The operation of the target-type
図3は、判定部114の判定処理および認証部113の認証処理の例を示すフローチャートである。
図4は、認証管理DBテーブル201の例を示す図である。
図5は、認証部113の正当アドレス登録処理およびアクセス要求拒否処理の例を示すフローチャートである。
FIG. 3 is a flowchart illustrating an example of the determination process of the
FIG. 4 is a diagram illustrating an example of the authentication management DB table 201.
FIG. 5 is a flowchart illustrating an example of a valid address registration process and an access request rejection process of the
標的型攻撃対策装置101の動作としては、2つの動作がある。
まず、端末装置102からプロキシ103へアクセス要求があった場合に、判定部114が、URLアクセス履歴DB116を参照してアクセス要求のあったURLへアクセスを許可するか否かを判定する動作(図3)がある。
そして、判定部114がアクセス要求のあったURLへアクセスを保留した場合(アクセス要求のあったURLへアクセスを許可すると判定しなかった場合)に、認証部113が、認証を行う動作(図3及び図5)がある。
There are two operations as the operation of the target-type
First, when there is an access request from the
Then, when the
まず、図3を用いて、判定部114がURLアクセス履歴DB116を参照してアクセス要求のあったURLへアクセスを許可するか否かを判定する動作を説明する。
First, referring to FIG. 3, an operation will be described in which the
まず、受信部111は、プロキシ103からの問い合わせを受信するまで図3のS401の処理を行う。
そして、受信部111がプロキシ103からの問い合わせを受信すると(図3のS401の処理において「YES」と判定されると)、判定部114は、例えば図2に示すような正当アドレス情報テーブル301を記憶したURLアクセス履歴DB116を参照する。そして、判定部114は、受信した問い合わせに含まれるURLがURLアクセス履歴DB116に登録されているか否かを判定する(図3のS402)。
First, the receiving unit 111 performs the process of S401 in FIG. 3 until an inquiry from the
When the reception unit 111 receives an inquiry from the proxy 103 (when it is determined “YES” in the process of S401 in FIG. 3), the
そして、判定部114は、URLアクセス履歴DB116に受信した問い合わせに含まれるURLが登録されていると判定した場合に(図3のS402の「YES」)、端末装置102からURLへのアクセス要求を許可する。すなわち判定部114は、アクセス要求に示されるアクセス先アドレスが正当アドレスのいずれかと一致すると判定した場合、端末装置102がアクセス先アドレスにアクセスすることを許可する。
そして、送信部112は、アクセス要求の許可をプロキシ103に応答(送信)する(図3のS403)。そして、受信部111は図3のS401の処理を引き続き行う。
If the
Then, the transmitting
一方、判定部114が、URLアクセス履歴DB116に受信した問い合わせに含まれるURLが登録されていないと判定した場合に(図3のS402の「NO」)、端末装置102からの端末装置からのアクセス要求を保留と判定する。
そして、判定部114により保留されたアクセス要求の処理は、認証部113によって行われる。
On the other hand, when the
Then, the access request suspended by the
引き続き、図3を用いて、認証部113の動作を説明する。
認証部113は、判定部114により保留されたアクセス要求に対応する認証情報を生成し、認証管理DB115に登録する(図3のS406)。この時、認証部113は、認証情報に認証番号と、認証期限(認証のタイムアウト時刻)とを付与する(図3のS404、S405)。認証番号と認証期限とは後述で説明する。
そして、送信部112は、アクセス要求を行った端末装置102に対して認証が必要(要認証)であることをプロキシへ応答する(図3のS407)。すなわち、送信部112は、アクセス要求に対する要認証応答をプロキシへ送信する。
ここで、送信部112は、認証部113が認証情報を認証管理DB115に登録する際に付与した認証番号を、認証番号を付与した認証情報に対応するアクセス要求に対する要認証応答に付与して送信する。また、送信部112は、認証情報を標的型攻撃対策装置101(認証部113)にしか解読出来ないように暗号化した上で要認証応答に含めて送信することも可能である。
また、送信部112は、プロキシ103を経由せず、直接、端末装置102に要認証応答を送信することも可能である。
Next, the operation of the
The
Then, the
Here, the
Further, the
ここで、認証管理DB115の説明を行う。
認証管理DB115は、図4に示すような認証管理DBテーブル201を記憶する。
図4の例えばD201に示すように認証情報「1234」には、認証番号「1」と認証期限「2011/08/20 12:10:56」とが付与されている。
ここで、認証番号は、認証部113が、複数のアクセス要求に関して認証を必要と応答(要認証応答を送信)した場合に、要認証応答を一意に識別するために用いる番号である。認証番号は、識別する認証別(要認証応答別)に連続した値を付与してもよいし、重複しないランダムな番号を付与するようにしてもよい。
つまり、認証管理DB115は、端末装置102に対して行った要認証応答の内容を要認証応答毎に対応付けて記憶している。
そして、認証期限は、認証のタイムアウト時刻であり、認証部113が要認証応答を送信してから予め設定された時間が加えられた時刻である。認証期限が示す時刻以前に認証が行われないと、認証部113は、認証が失敗したと判定する。
Here, the
The
For example, as shown in D201 of FIG. 4, the authentication information “1234” is given an authentication number “1” and an authentication time limit “2011/08/20 12:10:56”.
Here, the authentication number is a number used to uniquely identify the authentication required response when the
That is, the
The authentication deadline is a time-out time for authentication, and is a time when a preset time is added after the
次に、図5を用いて、認証部113が、認証を行う動作を説明する。
ここで説明する動作は、図3のS402において、判定部114によりアクセス許可の判定が保留されたアクセス要求(判定部114が、URLアクセス履歴DB116に正当アドレスとして登録されていないURLへのアクセスとして判定したアクセス要求)であって、図3のS404〜407の処理が成されたアクセス要求に対する処理となる。
Next, an operation in which the
The operation described here is an access request for which access permission determination is suspended by the
認証部113は、認証管理DB115を参照して、設定された認証期限に達した認証情報があるか否かを確認する(図5のS501)。すなわち、認証管理DB115は、認証の成否(成功/失敗)を判断する際に認証部113から参照される。
設定された認証期限に達した認証情報があった場合には(図5のS501の「YES」)、送信部112は、アクセス要求の拒否をプロキシ103へ応答する(図5のS506)。
The
If there is authentication information that has reached the set authentication time limit (“YES” in S501 in FIG. 5), the
そして、認証部113は、拒否したアクセス要求に対応する認証情報(認証番号、認証期限を含む)を削除する(図5の507)。
すなわち、認証部113は、要認証応答を端末装置102に対して送信してから(プロキシ103を経由して要認証応答を端末装置102に対して送信するものも含む)、予め設定された所定の時間が経過した認証情報を削除する。
ここで、後述の通り、認証部113は、認証が成功した認証情報も、認証管理DB115から削除する。よって、予め設定された所定の時間が経過しても認証管理DB115に認証情報が記憶されたままの場合とは、予め設定された所定の時間が経過しても要認証応答に対する応答情報を端末装置102から受信せず、認証部113によって認証が成功と判定されない場合である。
したがって、このような場合、認証部113は、人間の操作により端末装置102がアクセス要求を送信していないと判定する(すなわち認証部113は、認証が失敗と判定する)。
Then, the
In other words, the
Here, as will be described later, the
Therefore, in such a case, the
一方、設定された認証期限に達した認証情報が無かった場合には(図5のS501の「NO」)、認証部113は受信部111が端末装置102から応答情報を受信したか否かを判定する(図5のS502)。ここで、応答情報は、端末装置102からプロキシ103を経由して受信したものも含む。
On the other hand, if there is no authentication information that has reached the set authentication time limit (“NO” in S501 in FIG. 5), the
受信部111が端末装置102から応答情報を受信していなかった場合には(図5のS502の「NO」)、認証部113は図5のS501の処理を継続する。
If the reception unit 111 has not received response information from the terminal device 102 (“NO” in S502 of FIG. 5), the
そして、受信部111が端末装置102から応答情報を受信していた場合に(図5のS502の「YES」)、認証部113は、受信した応答情報に示される応答が要認証応答に対する適切な応答となっているか否かを判定する(図5のS503)。
ここで応答情報には、要認証応答に付与された認証番号がそのまま付与されており、認証部113は、同じ認証番号が付与された認証管理DB115の認証情報と比較を行う。
When the reception unit 111 has received response information from the terminal device 102 (“YES” in S502 in FIG. 5), the
Here, in the response information, the authentication number given to the authentication required response is given as it is, and the
認証部113は、応答情報に示される応答が要認証応答に対する適切な応答となっている場合、人間の操作により端末装置102がアクセス要求を送信していると判定する。すなわち、認証部113は、認証が成功と判定する(図5のS503の「YES」)。
When the response indicated in the response information is an appropriate response to the authentication required response, the
そして、認証部113は、認証が成功と判定したアクセス要求のURLをURLアクセス履歴DB116に登録する(図5のS504)。
すなわち、認証部113は、判定部114により、正当アドレスのいずれとも不一致であると判定されたURL(アクセス先アドレス)であって、認証が成功と判定したアクセス要求のURLをURLアクセス履歴DB116に登録する。
Then, the
That is, the
そして、認証部113は、アクセス要求の許可を、送信部112を介してプロキシ103へ応答する(図5のS505)。
すなわち、認証部113は、人間の操作により端末装置102がアクセス要求を送信していると判定した場合(認証が成功と判定した場合)に、端末装置102がアクセス先アドレスにアクセスすることを許可する。
そして、認証部113は、URLアクセス履歴DB116に登録したURLへのアクセス要求に対する認証情報を認証管理DB115から削除し(図5のS507)、図5のS501の処理を継続する。
Then, the
That is, the
Then, the
一方、認証部113は、応答情報に示される応答が要認証応答に対する適切な応答となっていない場合、人間の操作により端末装置102がアクセス要求を送信していないと判定する。すなわち、認証部113は、認証が失敗と判定する(図5のS503の「NO」)。
なお、図示は省略するが、人間の操作にミスが生じる可能性も有るので、認証部113は、認証が失敗と判定した場合に、認証の処理を所定の回数繰り返し行うことも可能である。すなわち、認証部113は、図3のS407の処理と図5のS501〜S503の処理とを所定の回数繰り返し行うことも可能である。
On the other hand, when the response indicated in the response information is not an appropriate response to the authentication required response, the
Although illustration is omitted, since there is a possibility that an error may occur in a human operation, the
そして、認証部113は、アクセス要求の拒否を、送信部112を介してプロキシ103へ応答する(図5のS506)。
すなわち、認証部113は、人間の操作により端末装置102がアクセス要求を送信していないと判定した場合(認証が失敗と判定した場合)に、端末装置102がアクセス先アドレスにアクセスすることを禁止する。
ここで、人間の操作によらず端末装置102が送信したアクセス要求とは、マルウェアにより(マルウェアの操作により)端末装置102が送信したアクセス要求と考えられる。よって、認証部113は、マルウェアにより(マルウェアの操作により)端末装置102が送信したと考えられるアクセス要求に示されるアクセス先アドレスへのアクセスを禁止(遮断)する。
Then, the
That is, the
Here, the access request transmitted by the
そして、認証部113は、アクセスを拒否したアクセス要求に対する認証情報を認証管理DB115から削除し(図5のS507)、図5のS501の処理を継続する。
Then, the
(シーケンス図を用いた情報の流れの説明)
端末装置102からURLへのアクセス要求が発行されてからの情報の流れについて、シーケンス図を用いて説明する。ここで端末装置102はインターネット105上のサーバにアクセス要求を行う例を想定する。
図6は、アクセス許可の場合の情報の流れの例を示すシーケンス図である。
図7は、認証成功後アクセス許可の場合の情報の流れの例を示すシーケンス図である。
図8は、認証失敗によるアクセス拒否の場合の情報の流れの例を示すシーケンス図である。
図9は、タイムアウトによるアクセス拒否の場合の情報の流れの例を示すシーケンス図である。
(Explanation of information flow using sequence diagram)
A flow of information after the access request to the URL is issued from the
FIG. 6 is a sequence diagram illustrating an example of information flow in the case of access permission.
FIG. 7 is a sequence diagram illustrating an example of the flow of information in the case of access permission after successful authentication.
FIG. 8 is a sequence diagram illustrating an example of the flow of information in the case of access refusal due to authentication failure.
FIG. 9 is a sequence diagram illustrating an example of information flow in the case of access refusal due to timeout.
なお、シーケンス図において端末装置102と標的型攻撃対策装置101間の情報の送受信は、一度、プロキシ103を介して行われるように示されている。しかし、前述のようにプロキシ103から標的型攻撃対策装置101へ問い合わせを行った後の通信は、標的型攻撃対策装置101と端末装置102間とで直接通信を行うことが可能である。そして、標的型攻撃対策装置101からは、プロキシ103からの問い合わせに対して、アクセス要求の許可もしくは拒否のみを応答として返すようにしてもよい。
In the sequence diagram, transmission / reception of information between the
(アクセス許可の場合の情報の流れの説明)
まず、アクセス許可の場合について図6を用いて説明する。
最初に、端末装置102からインターネット105上のサーバのURLへのアクセス要求が、プロキシ103に送信される。
端末装置102からアクセス要求を受信したプロキシ103は、URLへのアクセス要求を許可するか否か、標的型攻撃対策装置101へ問い合わせを送信する。問い合わせには、アクセス要求がなされたURLが含まれている。
標的型攻撃対策装置101は、問い合わせに含まれているURLを基に、URLアクセス履歴DB116を参照した結果、アクセス要求のあったURLがURLアクセス履歴DB116に登録されているため、応答として、アクセス要求の許可をプロキシ103へ送信する。
プロキシ103は、標的型攻撃対策装置101から、アクセス要求の許可を応答として受信し、端末装置102から送信されたアクセス要求をURLが表すインターネット105上のサーバへ送信する。
インターネット105上のサーバからは、アクセス要求に対する応答がプロキシ103へ送信され、プロキシ103は、インターネット105上のサーバからの応答を端末装置102へ送信する。
(Explanation of information flow when access is permitted)
First, the case of access permission will be described with reference to FIG.
First, an access request from the
The
The target-type
The
A response to the access request is transmitted from the server on the
(認証成功後アクセス許可の場合の情報の流れの説明)
次に、認証成功後のアクセス許可の場合について図7を用いて説明する。
端末装置102からインターネット105上のサーバのURLへのアクセス要求が、プロキシ103に送信され、標的型攻撃対策装置101にプロキシ103から問い合わせが行われるまでの流れは、アクセス許可の場合と同様である。
標的型攻撃対策装置101は、問い合わせに含まれているURLを基に、URLアクセス履歴DB116を参照した結果、URLアクセス履歴DB116にURLが登録されていないため、応答として、要認証であることをプロキシ103へ送信する(標的型攻撃対策装置101は、要認証応答を送信する)。要認証応答には、認証番号と、端末装置102へ送信する認証画面に表示する質問が含まれている。
プロキシ103は、要認証応答を受信した場合、端末装置102へ認証番号と認証画面を送信する。
端末装置102を操作しているユーザは、認証画面が表示された場合に、認証画面に表示された質問に対して回答を入力し、応答情報として認証番号とともにプロキシ103へ送信する。
プロキシ103は、端末装置102から受信した認証番号、および、応答情報を標的型攻撃対策装置101へ送信する。
標的型攻撃対策装置101は、認証番号を基に認証管理DB115を参照して、受信した応答情報を検証し、回答が正しいことを確認後、応答として、アクセス要求の許可をプロキシ103に送信する。
以降は、アクセス許可の場合と同様の流れで、インターネット105上のサーバから端末装置102へ応答が返る。
(Description of information flow when access is permitted after successful authentication)
Next, the case of access permission after successful authentication will be described with reference to FIG.
The flow from when the
The target-type
When the
When the authentication screen is displayed, the user operating the
The
The target-type
Thereafter, a response is returned from the server on the
(認証失敗によるアクセス拒否の場合の情報の流れの説明)
次に、認証失敗によるアクセス拒否の場合について図8を用いて説明する。
端末装置102からインターネット105上のサーバのURLへのアクセス要求が、プロキシ103に送信されてから、標的型攻撃対策装置101に認証情報が送信されるまでの流れは、認証成功後のアクセス許可の場合と同様である。
認証番号と認証情報とをプロキシ103から受信した標的型攻撃対策装置101は、受信した認証情報を検証した結果、正しい回答が得られなかったため、プロキシ103へアクセス要求の拒否を応答する。
アクセス要求の拒否の応答を受け取ったプロキシ103では、端末装置102から発信されたURLのアクセス要求を拒否する。
このため、端末装置102は、アクセス要求したURLが表すインターネット105上のサーバにはアクセスができない。
(Explanation of information flow when access is denied due to authentication failure)
Next, the case of access refusal due to authentication failure will be described with reference to FIG.
The flow from the time when the access request to the URL of the server on the
The target-type
The
For this reason, the
(タイムアウトによるアクセス拒否の場合の情報の流れの説明)
次に、タイムアウトによるアクセス拒否の場合について図9を用いて説明する。
端末装置102からインターネット105上のサーバのURLへのアクセス要求が、プロキシ103に送信されて、プロキシ103から端末装置102に認証画面が送信されるまでの流れは、認証成功後のアクセス許可の場合、および、認証失敗によるアクセス拒否の場合と同様である。
標的型攻撃対策装置101は、アクセス判定時、要認証であると判定された場合に、認証情報に認証期限を付与して認証管理DB115へ登録している。標的型攻撃対策装置101は、認証管理DB115を参照して認証期限を過ぎた認証情報が有るか否か判定し、認証期限に達した認証情報があった場合には、プロキシ103へアクセス要求の拒否を応答する。その後の流れは、認証失敗によるアクセス拒否の場合と同様である。
(Explanation of information flow when access is denied due to timeout)
Next, the case of access refusal due to timeout will be described with reference to FIG.
The flow from when the
The target-type
(実施の形態1の効果)
実施の形態1における標的型攻撃対策装置101は、端末装置102からインターネット105上のサーバへのアクセス要求を、URLアクセス履歴DB116に登録されているURLかどうかを判定する。そして、標的型攻撃対策装置101は、アクセス要求のURLがURLアクセス履歴DB116に登録されていない場合、URLへのアクセス要求が人間の操作によるものか否かを、人間であれば容易に回答できるがプログラムでは回答できない内容の質問によって認証することによって判定する。
すなわち、実施の形態1における標的型攻撃対策装置101は、正当アドレスではないアドレスにアクセスを試みるアクセス要求のみに対して認証を行うことで、ユーザによる認証処理を減らし、ユーザの利便性を損なうことなく、マルウェアによるインターネット105上のサーバへの通信を遮断することができる。
これにより、万が一、組織内部の端末装置102がマルウェアに感染した場合であっても、インターネット105上のサーバからインターネット105を介して端末装置102を操作されたり、機密情報を窃取されたりすることを防ぐことができる。
また、1つのページを表示するのに、複数のサーバへアクセスするようなWebページにおいて、端末装置102を操作しているユーザが、アクセスする必要がないサーバへのアクセスについては意図的に認証をキャンセルすることによって、ユーザが見たいコンテンツのみをWebブラウザへ表示させることができる。
(Effect of Embodiment 1)
The targeted
That is, the targeted
As a result, even if the
In addition, on a Web page that accesses a plurality of servers to display one page, the user operating the
以上、実施の形態1においては、以下の手段を備えた標的型攻撃対策装置101について説明した。
(1)インターネット上のサーバに対するアクセス要求を許可するか否かを、URLアクセス履歴DB116を参照して判定する手段;
(2)人間であれば容易に回答できるが、プログラムでは回答できない内容の質問によって認証する手段;
(3)送信した認証を認証番号で管理する手段;
(4)認証に成功した場合には、アクセス要求のあったURLをURLアクセス履歴DB116へ登録する手段;
(5)認証に失敗した場合には、アクセス要求を拒否すると判定する手段。
As described above, in the first embodiment, the target-type
(1) Means for determining whether to permit an access request to a server on the Internet with reference to the URL
(2) Means that can be answered easily by humans but cannot be answered by the program, and is authenticated by a question of content;
(3) Means for managing transmitted authentication with an authentication number;
(4) means for registering the URL requested to be accessed in the URL
(5) A means for determining that the access request is rejected when the authentication fails.
実施の形態2.
(実施の形態2における標的型攻撃対策装置101の概要)
実施の形態1における標的型攻撃対策装置101では、新規のURLへのアクセス要求が許可されるごとに、URLアクセス履歴DB116にURL(正当アドレス)が示される正当アドレス情報が登録された。一方、実施の形態2における標的型攻撃対策装置101では、登録される正当アドレス情報が増えることにより、URLアクセス履歴DB116のサイズが肥大化するような場合にURLアクセス履歴DB116のサイズを削減する実施形態を示す。
具体的には、実施の形態2の標的型攻撃対策装置101の認証部113は、URLアクセス履歴DB116により記憶されている正当アドレス情報の内、判定部114によりアクセス先アドレスと一致すると判定されることが少ない正当アドレスが示される正当アドレス情報を削除する。
なお、認証部113は、正当アドレス情報更新部に対応する。
(Outline of Targeted
In the target-type
Specifically, the
The
なお、実施の形態2の標的型攻撃対策装置101は、図1に示す実施の形態1の標的型攻撃対策装置101と同じ構成である。従って、実施の形態1と同じ構成要素と同じ処理内容とについては説明を省略する。
The target-type
(URLアクセス履歴DB116の説明)
図10は、正当アドレス情報テーブル301の例を示す図である。
実施の形態1における正当アドレス情報テーブル301の例(図2)と比較してアクセス回数と最終アクセス日とが追加されている。
そして、図2と同様に例えばD1001の行が一つの正当アドレス情報となる。
(Description of URL access history DB 116)
FIG. 10 is a diagram illustrating an example of the valid address information table 301.
Compared to the example (FIG. 2) of the valid address information table 301 in the first embodiment, the number of accesses and the last access date are added.
Similarly to FIG. 2, for example, the row of D1001 is one legitimate address information.
認証部113は、アクセス要求のあったURLが示される正当アドレス情報をURLアクセス履歴DB116へ新規に登録する際に、URLとともに、アクセス回数と最終アクセス日とを登録する。
The
ここで、アクセス回数は、判定部114がアクセス要求のあったURLへアクセスを許可した回数であり、新規登録時は「1」となる。そして、判定部114は、アクセス要求の判定の際に、URLアクセス履歴DB116を参照して、アクセス要求のあったURLが登録されていた場合、該当するURLへのアクセス回数を加算する。
すなわち、アクセス回数は、判定部114により正当アドレスがアクセス先アドレスと一致すると判定された累計の判定回数である。
そして、URLアクセス履歴DB116は、正当アドレスと、アクセス回数とが対応付けられて示される正当アドレス情報を少なくとも一つ記憶している。
Here, the number of accesses is the number of times the
That is, the access count is the cumulative number of determinations that the
The URL
また、最終アクセス日は、判定部114がアクセス要求のあったURLに対してアクセスを許可した時刻である。最終アクセス日は、標的型攻撃対策装置101に備えられた内部時計が示す日付であってもよい。なお、最終アクセス日は、日付のみが示されていてもよいし、日付に時刻(時、分、秒)の情報が付加されていてもよい(後述の初回アクセス日も同様である)。
そして、判定部114は、アクセス要求の判定の際に、URLアクセス履歴DB116を参照して、アクセス要求のあったURLが登録されていた場合、最終アクセス日を更新する。
すなわち、最終アクセス日は、判定部114により正当アドレスがアクセス先アドレスと一致すると最後に判定された最終判定時刻である。
そして、URLアクセス履歴DB116は、正当アドレスと、最終アクセス日とが対応付けられて示される正当アドレス情報を少なくとも一つ記憶している。
The last access date is the time when the
Then, when determining the access request, the
In other words, the last access date is the last determination time that is determined last by the
The URL
(情標的型攻撃対策装置101の動作説明)
図11は、認証部113による登録データ削除処理の例を示すフローチャートである。
認証部113は、最終アクセス日から、予め与えられた一定期間(閾値1)においてアクセスが無く、かつ、アクセス回数が予め与えられた値(閾値2)より低い登録データ(正当アドレス情報)をURLアクセス履歴DBから検索する(図11のS1101)。
(Explanation of the operation of the emotion target type attack countermeasure device 101)
FIG. 11 is a flowchart illustrating an example of registration data deletion processing by the
The authenticating
認証部113は、検索の結果、該当する登録データ(正当アドレス情報)がある場合には(図11のS1102の「YES」)、URLアクセス履歴DB116から登録データ(正当アドレス情報)を削除する(図11のS1103)。
If there is corresponding registration data (legitimate address information) as a result of the search (“YES” in S1102 in FIG. 11), the
すなわち、認証部113は、予め設定された判定回数(アクセス回数)の閾値よりも少ない判定回数(アクセス回数)が示される正当アドレス情報をURLアクセス履歴DB116から削除する。つまり、認証部113は、判定部114によりアクセス先アドレスと一致すると判定されることが少ない正当アドレスが示される正当アドレス情報を削除する。
That is, the
認証部113は、検索の結果、該当する登録データ(正当アドレス情報)が無かった場合(図11のS1102の「NO」)に、もしくは、図11のS1103で該当する登録データ(正当アドレス情報)を削除した後に、図11のS1104の処理を行う。
図11のS1104において、認証部113は、最終アクセス日から、別に与えられた一定期間(閾値3:閾値3は閾値1よりも長期間とする)が過ぎた登録データ(正当アドレス情報)をURLアクセス履歴DB116から検索する。
As a result of the search, the
In S1104 of FIG. 11, the
認証部113は、検索の結果、該当する登録データ(正当アドレス情報)がある場合には(図11のS1105の「YES」)、URLアクセス履歴DB116から登録データ(正当アドレス情報)を削除する(図11のS1106)。
When there is corresponding registration data (legitimate address information) as a result of the search (“YES” in S1105 in FIG. 11), the
すなわち、認証部113は、所定の時刻(例えば図11のS1104の検索処理時)において、所定の時刻から予め設定された有効期間分遡った時刻よりも古い最終判定時刻(最終アクセス日)が示される正当アドレス情報をURLアクセス履歴DB116から削除する。つまり、認証部113は、所定の時刻から予め設定された有効期間分遡った時刻において、判定部114によりアクセス先アドレスと一致すると判定されることが少ない正当アドレスが示される正当アドレス情報を削除する。
In other words, the
なお、図11のS1106において、認証部113は、該当する登録データ(正当アドレス情報)のアクセス回数が閾値2よりも大きい場合であっても、URLアクセス履歴DB116から登録データ(正当アドレス情報)を削除する。
In S1106 of FIG. 11, the
認証部113は、検索の結果、該当する登録データ(正当アドレス情報)が無かった場合(図11のS1105の「NO」)、もしくは、図11のS1106の処理で該当する登録データ(正当アドレス情報)を削除した後、図11に示す登録データ削除処理を終了する。
なお、図11には、認証部113が、S1101〜S1103の処理を行った後にS1104〜S1106の処理を行うことが図示されている。しかし、図示は省略するが、認証部113は、S1104〜S1106の処理を行った後にS1101〜S1103の処理を行うことも可能である。
If there is no corresponding registration data (legitimate address information) as a result of the search (“NO” in S1105 in FIG. 11), the
FIG. 11 illustrates that the
(実施の形態2の効果)
実施の形態2における標的型攻撃対策装置101は、URLアクセス履歴DB116の登録データ(正当アドレス情報)から、アクセス回数の閾値、および、最終アクセス日からの経過日数の閾値により、定期的にURLアクセス履歴DB116の登録データ(正当アドレス情報)を削除する。したがって、実施の形態2における標的型攻撃対策装置101は、URLアクセス履歴DB116のサイズが際限なく増加することを防ぐことができる。また、URLアクセス履歴DB116のサイズが小さいほど、URLアクセス履歴DB116の参照にかかる時間が短縮されるため、実施の形態2における標的型攻撃対策装置101は、処理を高速化することもできる。
(Effect of Embodiment 2)
The target-type
以上、実施の形態2においては、以下の手段を備えた標的型攻撃対策装置101について説明した。
(1)アクセス回数をカウントしてURLアクセス履歴DB116へ登録する手段;
(2)アクセスの最終日をURLアクセス履歴DB116へ登録する手段;
(3)アクセスの最終日から一定時間が経過し、かつ、アクセス回数が閾値以下のURLアクセス履歴DBの登録データを削除する手段;
(4)アクセスの最終日から長時間が経過したURLアクセス履歴DBの登録データを削除する手段。
As described above, in the second embodiment, the target-type
(1) A means for counting the number of accesses and registering it in the URL
(2) means for registering the last access date in the URL
(3) Means for deleting registration data in the URL access history DB in which a predetermined time has elapsed from the last access date and the number of accesses is equal to or less than a threshold value;
(4) Means for deleting registered data in the URL access history DB after a long time has passed since the last access day.
実施の形態3.
(実施の形態3における標的型攻撃対策装置101の概要)
実施の形態2における標的型攻撃対策装置101では、URLへのアクセス回数、および、最終アクセス日からの経過日数を基に、URLアクセス履歴DB116の登録データ(正当アドレス情報)数を削減した。一方、実施の形態3における標的型攻撃対策装置101では、URLへのアクセス頻度によって、URLアクセス履歴DBの登録データ(正当アドレス情報)を削除する実施の形態を示す。
具体的には、実施の形態3の標的型攻撃対策装置101の認証部113は、URLアクセス履歴DB116により記憶された正当アドレス情報毎に、所定の期間において、判定部114により正当アドレスがアクセス先アドレスと一致すると判定された判定頻度を演算し、演算した判定頻度が予め設定された判定頻度の閾値よりも少ない判定頻度が示される正当アドレス情報をURLアクセス履歴DB116から削除する。
なお、アクセス頻度の少ない正当アドレス情報を削除するということは、実施の形態2と同様に実施の形態3の標的型攻撃対策装置101の認証部113は、URLアクセス履歴DB116により記憶されている正当アドレス情報の内、判定部114によりアクセス先アドレスと一致すると判定されることが少ない正当アドレスが示される正当アドレス情報を削除することである。
(Outline of Targeted
In the targeted
Specifically, the
Note that deleting legitimate address information with a low access frequency means that the authenticating
なお、実施の形態3の標的型攻撃対策装置101は、図1に示す実施の形態1又は実施の形態2の標的型攻撃対策装置101と同じ構成である。従って、実施の形態1又は実施の形態2と同じ構成要素と同じ処理内容とについては説明を省略する。
The target type
(URLアクセス履歴DB116の説明)
図12は、正当アドレス情報テーブル301の例を示す図である。
実施の形態2における正当アドレス情報テーブル301の例(図10)と比較して初回アクセス日が追加されている。
そして、図2もしくは図10と同様に例えばD1201の行が一つの正当アドレス情報となる。
(Description of URL access history DB 116)
FIG. 12 is a diagram illustrating an example of the valid address information table 301.
Compared to the example of the valid address information table 301 in the second embodiment (FIG. 10), an initial access date is added.
Similarly to FIG. 2 or FIG. 10, for example, the row of D1201 is one legitimate address information.
認証部113は、アクセス要求のあったURLが示される正当アドレス情報をURLアクセス履歴DB116へ新規に登録する際に、URLとともに、アクセス回数と初回アクセス日と最終アクセス日とを登録する。
The
ここで、アクセス回数と最終アクセス日については、実施の形態2と同様である為、説明を省略する。
そして、初回アクセス日は、判定部114により正当アドレスがアクセス先アドレスと一致すると最初に判定された初回判定時刻である。あるいは、初回アクセス日は、認証部113により正当アドレス情報がURLアクセス履歴DB116へ新規に登録された時刻であってもよい。
そして、URLアクセス履歴DB116は、正当アドレスと、初回アクセス日と最終アクセス日とアクセス回数が対応付けられて示される正当アドレス情報を少なくとも一つ記憶している。
Here, since the number of accesses and the last access date are the same as those in the second embodiment, description thereof will be omitted.
The first access date is the first determination time when the
The URL
(情標的型攻撃対策装置101の動作説明)
図13は、認証部113による登録データ削除処理の例を示すフローチャートである。
認証部113は、初回アクセス日が最終アクセス日よりも過去であり、かつ、アクセス回数を最終アクセス日と初回アクセス日の差で割った値(アクセス頻度)が、予め与えられた値(閾値4)より低い登録データ(正当アドレス情報)をURLアクセス履歴DB116から検索する(図13のS1301)。
すなわち、認証部113は、URLアクセス履歴DB116により記憶された正当アドレス情報毎に、初回判定時刻(初回アクセス日)から最終判定時刻(最終アクセス日)までの時間を所定の期間として、累計の判定回数(アクセス回数)を所定の期間で除算した値である判定頻度(アクセス頻度)を演算する。
(Explanation of the operation of the emotion target type attack countermeasure device 101)
FIG. 13 is a flowchart illustrating an example of registration data deletion processing by the
The
That is, the
認証部113は、検索の結果、該当する登録データ(正当アドレス情報)がある場合には(図13のS1302の「YES」)、URLアクセス履歴DB116から登録データ(正当アドレス情報)を削除する(図13のS1303)。
If there is corresponding registration data (legitimate address information) as a result of the search (“YES” in S1302 in FIG. 13), the
すなわち、認証部113は、URLアクセス履歴DB116により記憶された正当アドレス情報毎に、所定の期間において、判定部114により正当アドレスがアクセス先アドレスと一致すると判定された判定頻度を演算し、演算した判定頻度が予め設定された判定頻度の閾値よりも少ない判定頻度が示される正当アドレス情報をURLアクセス履歴DB116から削除する。
That is, for each valid address information stored in the URL
認証部113は、検索の結果、該当する登録データ(正当アドレス情報)が無かった場合(図13のS1302の「NO」)、もしくは、図13のS1303の処理で該当する登録データ(正当アドレス情報)を削除した後、図13に示す登録データ削除処理を終了する。
If there is no corresponding registration data (valid address information) as a result of the search (“NO” in S1302 in FIG. 13), the
(実施の形態3の効果)
実施の形態3における標的型攻撃対策装置101は、URLアクセス履歴DB116の登録データ(正当アドレス情報)から、初回アクセス日から最終アクセス日までのアクセス頻度によって登録データを削除しているので、一時的に高いアクセス頻度でアクセスされ、その後のアクセス頻度が低いURLの登録データ(正当アドレス情報)を削除できる。したがって、実施の形態3における標的型攻撃対策装置101は、URLアクセス履歴DB116へアクセス頻度の高いURLの登録情報(正当アドレス情報)を優先的に残すことができる。これにより、実施の形態3における標的型攻撃対策装置101は、アクセス頻度の高いURLに対するアクセスの認証回数を抑えつつ、URLアクセス履歴DB116のサイズを抑えることができる。
(Effect of Embodiment 3)
Since the targeted
以上、実施の形態3においては、アクセス頻度が低いURLに関するURLアクセス履歴DBの登録データを削除する手段を備えた標的型攻撃対策装置101について説明した。
As described above, in the third embodiment, the target-type
(実施の形態1〜3の標的型攻撃対策装置101のハードウェア構成)
最後に、実施の形態1〜3に示した標的型攻撃対策装置101のハードウェア構成例について説明する。
図14は、本実施の形態に示した標的型攻撃対策装置101のハードウェア資源の一例を示す図である。
なお、図14の構成は、あくまでも標的型攻撃対策装置101のハードウェア構成の一例を示すものであり、標的型攻撃対策装置101のハードウェア構成は図14に記載の構成に限らず、他の構成であってもよい。
(Hardware Configuration of Targeted
Finally, a hardware configuration example of the target-type
FIG. 14 is a diagram illustrating an example of hardware resources of the target-type
14 is merely an example of the hardware configuration of the target-type
図14において、標的型攻撃対策装置101は、プログラムを実行するCPU911(Central Processing Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。
CPU911は、バス912を介して、例えば、ROM(Read Only Memory)913、RAM(Random Access Memory)914、通信ボード915、表示装置901、キーボード902、マウス903、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。
更に、CPU911は、FDD904(Flexible Disk Drive)、コンパクトディスク装置905(CDD)と接続していてもよい。また、磁気ディスク装置920の代わりに、SSD(Solid State Drive)、光ディスク装置、メモリカード(登録商標)読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置の一例である。
本実施の形態で説明した標的型攻撃対策装置101の記憶装置、認証管理DB115、URLアクセス履歴DB116は、磁気ディスク装置920等により実現される。
通信ボード915、キーボード902、マウス903、FDD904などは、入力装置の一例である。
また、通信ボード915、表示装置901などは、出力装置の一例である。
In FIG. 14, the targeted
The
Further, the
The
The storage device,
The
The
通信ボード915は、組織内ネットワーク106に接続されている。
The
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。
プログラム群923のプログラムは、CPU911がオペレーティングシステム921、ウィンドウシステム922を利用しながら実行する。
The
The programs in the
また、RAM914には、CPU911に実行させるオペレーティングシステム921のプログラムやアプリケーションプログラムの少なくとも一部が一時的に格納される。
また、RAM914には、CPU911による処理に必要な各種データが格納される。
The
The
また、ROM913には、BIOS(Basic Input Output System)プログラムが格納され、磁気ディスク装置920にはブートプログラムが格納されている。
標的型攻撃対策装置101の起動時には、ROM913のBIOSプログラム及び磁気ディスク装置920のブートプログラムが実行され、BIOSプログラム及びブートプログラムによりオペレーティングシステム921が起動される。
The
When the target-type
上記プログラム群923には、本実施の形態の説明において「〜部」(「〜記憶部」以外、以下同様)として説明している機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
The
ファイル群924には、本実施の形態の説明において、「〜の判断」、「〜の計算」、「〜の比較」、「〜の照合」、「〜の参照」、「〜の検索」、「〜の抽出」、「〜の検査」、「〜の生成」、「〜の設定」、「〜の登録」、「〜の選択」、「〜の入力」、「〜の受信」、「〜の判定」、「〜の定義」、「〜の算出」、「〜の更新」、「〜の登録」等として説明している処理の結果を示す情報やデータや信号値や変数値やパラメータが、「ファイル」や「データベース」の各項目として記憶されている。
「ファイル」や「データベース」は、ディスクやメモリなどの記録媒体に記憶される。
ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出される。
そして、読み出された情報やデータや信号値や変数値やパラメータは、抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示・制御・判定・識別・検知・判別・選択・算出・導出・更新・生成・取得・通知・指示・判断・区別・削除・登録・付与などのCPUの動作に用いられる。
抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示・制御・判定・識別・検知・判別・選択・算出・導出・更新・生成・取得・通知・指示・判断・区別・削除・登録・付与などのCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリ、レジスタ、キャッシュメモリ、バッファメモリ等に一時的に記憶される。
また、本実施の形態で説明しているフローチャートの矢印の部分は主としてデータや信号の入出力を示す。
データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD等の記録媒体に記録される。
また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
In the description of this embodiment, the
The “file” and “database” are stored in a recording medium such as a disk or a memory.
Information, data, signal values, variable values, and parameters stored in a storage medium such as a disk or memory are read out to the main memory or cache memory by the
The read information, data, signal values, variable values, and parameters are extracted, searched, referenced, compared, computed, calculated, processed, edited, output, printed, displayed, controlled, determined, identified, detected, identified. Used for CPU operations such as selection, calculation, derivation, update, generation, acquisition, notification, instruction, judgment, distinction, distinction, deletion, registration, and grant.
Extraction / Search / Reference / Comparison / Calculation / Processing / Edit / Output / Print / Display / Control / Judgment / Identification / Detection / Distinction / Selection / Calculation / Derivation / Update / Generation / Acquisition / Notification / Instruction / Judgment / Information, data, signal values, variable values, and parameters are temporarily stored in a main memory, a register, a cache memory, a buffer memory, and the like during CPU operations such as discrimination, deletion, registration, and assignment.
In addition, the arrows in the flowchart described in this embodiment mainly indicate input / output of data and signals.
Data and signal values are recorded on a recording medium such as a memory of the
Data and signals are transmitted online via a bus 912, signal lines, cables, or other transmission media.
また、本実施の形態の説明において「〜部」として説明しているものは、「〜回路」、「〜装置」、「〜機器」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。
すなわち、本実施の形態で説明したフローチャートに示すステップ、手順、処理により、本発明に係る情報処理方法を実現することができる。
また、「〜部」として説明しているものは、ROM913に記憶されたファームウェアで実現されていても構わない。
或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。
ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。
プログラムはCPU911により読み出され、CPU911により実行される。
すなわち、プログラムは、本実施の形態の「〜部」としてコンピュータを機能させるものである。あるいは、本実施の形態の「〜部」の手順や方法をコンピュータに実行させるものである。
In addition, what is described as “˜unit” in the description of the present embodiment may be “˜circuit”, “˜device”, “˜device”, and “˜step”, “˜”. “Procedure” and “˜Process” may be used.
That is, the information processing method according to the present invention can be realized by the steps, procedures, and processes shown in the flowchart described in this embodiment.
Further, what is described as “˜unit” may be realized by firmware stored in the
Alternatively, it may be implemented only by software, or only by hardware such as elements, devices, substrates, and wirings, by a combination of software and hardware, or by a combination of firmware.
Firmware and software are stored as programs in a recording medium such as a magnetic disk, a flexible disk, an optical disk, a compact disk, a mini disk, and a DVD.
The program is read by the
In other words, the program causes the computer to function as “to part” of the present embodiment. Alternatively, the procedure or method of “˜unit” in the present embodiment is executed by a computer.
このように、本実施の形態に示す標的型攻撃対策装置101は、処理装置たるCPU、記憶装置たるメモリ、磁気ディスク等、入力装置たるキーボード、マウス、通信ボード等、出力装置たる表示装置、通信ボード等を備えるコンピュータである。
そして、上記したように「〜部」として示された機能をこれら処理装置、記憶装置、入力装置、出力装置を用いて実現するものである。
As described above, the target-type
Then, as described above, the functions indicated as “˜units” are realized using these processing devices, storage devices, input devices, and output devices.
101 標的型攻撃対策装置、102 端末装置、103 プロキシ、104 ファイアウォール、105 インターネット、106 組織内ネットワーク、111 受信部、112 送信部、113 認証部、114 判定部、115 認証管理DB、116 URLアクセス履歴DB、121 転送部、201 認証管理DBテーブル、301 正当アドレス情報テーブル、901 表示装置、902 キーボード、903 マウス、904 FDD、905 コンパクトディスク装置、911 CPU、912 バス、913 ROM、914 RAM、915 通信ボード、920 磁気ディスク装置、921 オペレーティングシステム、922 ウィンドウシステム、923 プログラム群、924 ファイル群。 101 Target Attack Countermeasure Device, 102 Terminal Device, 103 Proxy, 104 Firewall, 105 Internet, 106 Intra-organizational Network, 111 Receiving Unit, 112 Transmitting Unit, 113 Authentication Unit, 114 Judgment Unit, 115 Authentication Management DB, 116 URL Access History DB, 121 transfer unit, 201 authentication management DB table, 301 valid address information table, 901 display device, 902 keyboard, 903 mouse, 904 FDD, 905 compact disk device, 911 CPU, 912 bus, 913 ROM, 914 RAM, 915 communication Board, 920 magnetic disk unit, 921 operating system, 922 window system, 923 program group, 924 file group.
Claims (14)
端末装置がアクセスを試みるアクセス先のアドレスであるアクセス先アドレスが示されるアクセスコマンドを受信し、受信したアクセスコマンドに示されるアクセス先アドレスが前記正当アドレス記憶部により記憶されたいずれかの正当アドレス情報に示される正当アドレスと一致するか否かを判定するアドレス判定部と、
前記アドレス判定部により前記アクセス先アドレスが前記正当アドレスのいずれとも不一致であると判定された場合に、人間の操作により前記端末装置が前記アクセスコマンドを送信しているか否かを判定するアクセスコマンド判定部と
を備えることを特徴とするアクセス判定装置。 A legitimate address storage unit that stores at least one legitimate address information indicating a legitimate address that is an authorized address;
Any valid address information in which an access command indicating an access destination address that is an access destination address that the terminal device attempts to access is received, and the access destination address indicated in the received access command is stored in the valid address storage unit An address determination unit that determines whether or not it matches the valid address shown in FIG.
Access command determination for determining whether or not the terminal device is transmitting the access command by a human operation when the address determination unit determines that the access destination address does not match any of the valid addresses An access determination device.
前記端末装置に対して人間以外では理解出来ない形式にて問い合わせを行う問い合わせメッセージを生成し、生成した問い合わせメッセージを前記端末装置に対して送信し、
送信した問い合わせメッセージに対して前記端末装置からの応答が示される応答情報を受信し、受信した応答情報に示される応答が前記問い合わせメッセージに対する適切な応答となっている場合に、人間の操作により前記端末装置が前記アクセスコマンドを送信していると判定し、
受信した応答情報に示される応答が前記問い合わせメッセージに対する適切な応答となっていない場合に、人間の操作により前記端末装置が前記アクセスコマンドを送信していないと判定することを特徴とする請求項1記載のアクセス判定装置。 The access command determination unit
Generate an inquiry message for making an inquiry to the terminal device in a format that cannot be understood by anyone other than humans, and send the generated inquiry message to the terminal device.
When response information indicating a response from the terminal device is received in response to the transmitted inquiry message, and the response indicated in the received response information is an appropriate response to the inquiry message, It is determined that the terminal device is transmitting the access command,
2. The apparatus according to claim 1, wherein when the response indicated by the received response information is not an appropriate response to the inquiry message, the terminal device determines that the access command is not transmitted by a human operation. The access determination device according to the description.
アドレス判定部により前記アクセス先アドレスが前記正当アドレスのいずれかと一致すると判定された場合、又は、人間の操作により前記端末装置が前記アクセスコマンドを送信していると判定した場合に、前記端末装置が前記アクセス先アドレスにアクセスすることを許可し、
人間の操作により前記端末装置が前記アクセスコマンドを送信していないと判定した場合に、前記端末装置が前記アクセス先アドレスにアクセスすることを禁止することを特徴とする請求項1又は2記載のアクセス判定装置。 The access command determination unit
When it is determined by the address determination unit that the access destination address matches any of the valid addresses, or when it is determined that the terminal device is transmitting the access command by a human operation, the terminal device Permit access to the access address;
3. The access according to claim 1, wherein when the terminal device determines that the access command is not transmitted by a human operation, the terminal device is prohibited from accessing the access destination address. Judgment device.
CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)技術を用いて人間の操作により前記端末装置が前記アクセスコマンドを送信しているか否かを判定することを特徴とする請求項1〜3いずれか記載のアクセス判定装置。 The access command determination unit
Any one of Claims 1-3 which determines whether the said terminal device is transmitting the said access command by human operation using the CAPTCHA (Completely Automated Public Testing to tell Computers and Humans Apart) technique. Or an access determination device.
ワンタイムパスワード技術を用いて人間の操作により前記端末装置が前記アクセスコマンドを送信しているか否かを判定することを特徴とする請求項1〜3いずれか記載のアクセス判定装置。 The access command determination unit
4. The access determination device according to claim 1, wherein the terminal device determines whether or not the terminal device is transmitting the access command by a human operation using a one-time password technique.
前記正当アドレス記憶部により記憶されている正当アドレス情報の内、前記アドレス判定部によりアクセス先アドレスと一致すると判定されることが少ない正当アドレスが示される正当アドレス情報を削除する正当アドレス情報更新部を
備えることを特徴とする請求項1〜5いずれか記載のアクセス判定装置。 The access determination device further includes:
A legitimate address information updating unit for deleting legitimate address information indicating a legitimate address that is rarely determined to be coincident with the access destination address by the address determination unit among the legitimate address information stored in the legitimate address storage unit; The access determination apparatus according to claim 1, further comprising:
正当アドレスと、前記アドレス判定部により前記正当アドレスがアクセス先アドレスと一致すると最後に判定された最終判定時刻とが対応付けられて示される正当アドレス情報を少なくとも一つ記憶し、
前記正当アドレス情報更新部は、
所定の時刻において、所定の時刻から予め設定された有効期間分遡った時刻よりも古い最終判定時刻が示される正当アドレス情報を前記正当アドレス記憶部から削除することを特徴とする請求項6記載のアクセス判定装置。 The valid address storage unit
Storing at least one legitimate address information in which the legitimate address and the last judgment time determined when the legitimate address matches the access destination address by the address determination unit are associated with each other;
The valid address information update unit
7. The valid address information indicating a final determination time that is older than a time that is set in advance by a preset effective period from the predetermined time is deleted from the valid address storage unit at a predetermined time. Access determination device.
正当アドレスと、前記アドレス判定部により前記正当アドレスがアクセス先アドレスと一致すると判定された累計の判定回数とが対応付けられて示される正当アドレス情報を少なくとも一つ記憶し、
前記正当アドレス情報更新部は、
予め設定された判定回数の閾値よりも少ない判定回数が示される正当アドレス情報を前記正当アドレス記憶部から削除することを特徴とする請求項6記載のアクセス判定装置。 The valid address storage unit
Storing at least one legitimate address information in which the legitimate address and the cumulative determination number determined by the address determination unit to match the access destination address are associated with each other;
The valid address information update unit
The access determination apparatus according to claim 6, wherein valid address information indicating a determination count smaller than a predetermined determination count threshold is deleted from the valid address storage unit.
前記正当アドレス記憶部により記憶された正当アドレス情報毎に、所定の期間において、前記アドレス判定部により前記正当アドレスがアクセス先アドレスと一致すると判定された判定頻度を演算し、演算した判定頻度が予め設定された判定頻度の閾値よりも少ない判定頻度が示される正当アドレス情報を前記正当アドレス記憶部から削除することを特徴とする請求項6記載のアクセス判定装置。 The valid address information update unit
For each legitimate address information stored by the legitimate address storage unit, a judgment frequency is determined that the legitimate address is determined to match the access destination address by the address judgment unit during a predetermined period. The access determination apparatus according to claim 6, wherein valid address information indicating a determination frequency lower than a set determination frequency threshold is deleted from the valid address storage unit.
正当アドレスと、前記アドレス判定部により前記正当アドレスがアクセス先アドレスと一致すると最初に判定された初回判定時刻と、前記アドレス判定部により前記正当アドレスがアクセス先アドレスと一致すると最後に判定された最終判定時刻と、前記アドレス判定部により前記正当アドレスがアクセス先アドレスと一致すると判定された累計の判定回数とが対応付けられて示される正当アドレス情報を少なくとも一つ記憶し、
前記正当アドレス情報更新部は、
前記正当アドレス記憶部により記憶された正当アドレス情報毎に、初回判定時刻から最終判定時刻までの時間を前記所定の期間として、累計の判定回数を前記所定の期間で除算した値である判定頻度を演算することを特徴とする請求項9記載のアクセス判定装置。 The valid address storage unit
The first address that is determined first when the valid address matches the access destination address by the address determination unit, and the last time that is determined last by the address determination unit when the valid address matches the access destination address. Storing at least one legitimate address information in which the judgment time and the cumulative judgment number at which the legitimate address is determined to match the access destination address are associated with each other by the address judgment unit;
The valid address information update unit
For each valid address information stored by the valid address storage unit, a determination frequency that is a value obtained by dividing the total number of determinations by the predetermined period, with the time from the initial determination time to the final determination time being the predetermined period. The access determination apparatus according to claim 9, wherein the access determination apparatus performs calculation.
前記アドレス判定部により正当アドレスのいずれとも不一致であると判定されたアクセス先アドレスであって、人間の操作により前記端末装置がアクセスコマンドを送信していると判定したアクセスコマンドに示されるアクセス先アドレスを正当アドレスとして示す正当アドレス情報を前記正当アドレス記憶部に記憶することを特徴とする請求項1〜10いずれか記載のアクセス判定装置。 The access command determination unit
The access destination address determined by the address determination unit to be inconsistent with any of the valid addresses, and the access destination address indicated in the access command determined that the terminal device is transmitting the access command by a human operation The access determination apparatus according to claim 1, wherein valid address information indicating a valid address is stored in the valid address storage unit.
前記問い合わせメッセージを前記端末装置に対して送信してから、予め設定された所定の時間内に前記問い合わせメッセージに対する応答情報を前記端末装置から受信しない場合に、人間の操作により前記端末装置が前記アクセスコマンドを送信していないと判定することを特徴とした請求項2記載のアクセス判定装置。 The access command determination unit
When the terminal device does not receive response information for the inquiry message from the terminal device within a predetermined time after the inquiry message is transmitted to the terminal device, the terminal device performs the access by a human operation. 3. The access determination apparatus according to claim 2, wherein it is determined that a command has not been transmitted.
コンピュータが、端末装置がアクセスを試みるアクセス先のアドレスであるアクセス先アドレスが示されるアクセスコマンドを受信し、受信したアクセスコマンドに示されるアクセス先アドレスが前記所定の記憶領域により記憶されたいずれかの正当アドレス情報に示される正当アドレスと一致するか否かを判定するアドレス判定ステップと、
コンピュータが、前記アドレス判定ステップにより前記アクセス先アドレスが前記正当アドレスのいずれとも不一致であると判定された場合に、人間の操作により前記端末装置が前記アクセスコマンドを送信しているか否かを判定するアクセスコマンド判定ステップと
を備えることを特徴とするアクセス判定方法。 A legitimate address storage step in which the computer stores at least one legitimate address information indicating a legitimate address that is an authorized address;
The computer receives an access command indicating an access destination address that is an access destination address to which the terminal device tries to access, and the access destination address indicated in the received access command is stored in any one of the predetermined storage areas An address determination step for determining whether or not the address matches the correct address indicated in the correct address information;
When the computer determines that the access address does not match any of the valid addresses in the address determination step, the computer determines whether or not the terminal device is transmitting the access command by a human operation An access determination method comprising: an access command determination step.
端末装置がアクセスを試みるアクセス先のアドレスであるアクセス先アドレスが示されるアクセスコマンドを受信し、受信したアクセスコマンドに示されるアクセス先アドレスが前記所定の記憶領域により記憶されたいずれかの正当アドレス情報に示される正当アドレスと一致するか否かを判定するアドレス判定ステップと、
前記アドレス判定ステップにより前記アクセス先アドレスが前記正当アドレスのいずれとも不一致であると判定された場合に、人間の操作により前記端末装置が前記アクセスコマンドを送信しているか否かを判定するアクセスコマンド判定ステップと
をコンピュータに実行させることを特徴とするプログラム。 A legitimate address storage step of storing at least one legitimate address information indicating a legitimate address which is an address authenticated as legitimate in a predetermined storage area;
Any valid address information in which an access command indicating an access destination address that is an access destination address that the terminal device tries to access is received, and the access destination address indicated in the received access command is stored in the predetermined storage area An address determination step for determining whether or not it matches the valid address shown in FIG.
Access command determination for determining whether or not the terminal device transmits the access command by a human operation when it is determined in the address determination step that the access destination address does not match any of the valid addresses A program that causes a computer to execute the steps.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011236290A JP2013092998A (en) | 2011-10-27 | 2011-10-27 | Access determination device, access determination method and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011236290A JP2013092998A (en) | 2011-10-27 | 2011-10-27 | Access determination device, access determination method and program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2013092998A true JP2013092998A (en) | 2013-05-16 |
Family
ID=48616055
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011236290A Pending JP2013092998A (en) | 2011-10-27 | 2011-10-27 | Access determination device, access determination method and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2013092998A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015170219A (en) * | 2014-03-07 | 2015-09-28 | 株式会社日立システムズ | access management method and access management system |
CN112765502A (en) * | 2021-01-13 | 2021-05-07 | 上海派拉软件股份有限公司 | Malicious access detection method and device, electronic equipment and storage medium |
-
2011
- 2011-10-27 JP JP2011236290A patent/JP2013092998A/en active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015170219A (en) * | 2014-03-07 | 2015-09-28 | 株式会社日立システムズ | access management method and access management system |
CN112765502A (en) * | 2021-01-13 | 2021-05-07 | 上海派拉软件股份有限公司 | Malicious access detection method and device, electronic equipment and storage medium |
CN112765502B (en) * | 2021-01-13 | 2024-03-19 | 上海派拉软件股份有限公司 | Malicious access detection method, device, electronic equipment and storage medium |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11716324B2 (en) | Systems and methods for location-based authentication | |
US11019048B2 (en) | Password state machine for accessing protected resources | |
US10038690B2 (en) | Multifactor authentication processing using two or more devices | |
EP3345087B1 (en) | Method, device, and system for access control of a cloud hosting service | |
KR101721032B1 (en) | Security challenge assisted password proxy | |
RU2571721C2 (en) | System and method of detecting fraudulent online transactions | |
EP2462532B1 (en) | Application authentication system and method | |
US10630676B2 (en) | Protecting against malicious discovery of account existence | |
EP3970040B1 (en) | Mitigation of ransomware in integrated, isolated applications | |
US8452980B1 (en) | Defeating real-time trojan login attack with delayed interaction with fraudster | |
US11729168B2 (en) | System and method for managing security credentials of a user in a computing environment | |
US20230315890A1 (en) | Call location based access control of query to database | |
JP2013092998A (en) | Access determination device, access determination method and program | |
US11736512B1 (en) | Methods for automatically preventing data exfiltration and devices thereof | |
JP2022094009A (en) | Authentication device, authentication method and authentication program | |
RU2807463C2 (en) | Ransomware mitigation in integrated isolated applications | |
JP7120033B2 (en) | Web server, login determination method and program | |
US20230283633A1 (en) | Credential input detection and threat analysis |