JP2018097660A - Monitoring server, security countermeasure method and program - Google Patents
Monitoring server, security countermeasure method and program Download PDFInfo
- Publication number
- JP2018097660A JP2018097660A JP2016242289A JP2016242289A JP2018097660A JP 2018097660 A JP2018097660 A JP 2018097660A JP 2016242289 A JP2016242289 A JP 2016242289A JP 2016242289 A JP2016242289 A JP 2016242289A JP 2018097660 A JP2018097660 A JP 2018097660A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- account
- password
- log
- processing unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
Description
本発明は、監視サーバ、セキュリティ対策方法およびプログラムに関する。 The present invention relates to a monitoring server, a security countermeasure method, and a program.
近年、サイバー攻撃の巧妙化が進んでいる。この攻撃を突き止めるには、詳細なログの解析が必要となる。ログを詳細に解析するには、手動のログ解析が主流となり、その対策に時間がかかってしまう。
そこで、端末装置のログインの時刻とログアウトの時刻との差分に基づいて、その端末装置が詐称端末であることを検知するシステムが考えられている(例えば、特許文献1参照。)。
In recent years, cyber attacks have become more sophisticated. Detailed log analysis is required to identify this attack. In order to analyze the log in detail, manual log analysis becomes the mainstream, and it takes time to take countermeasures.
Therefore, a system that detects that the terminal device is a misrepresentation terminal based on the difference between the login time and the logout time of the terminal device has been considered (for example, see Patent Document 1).
特許文献1に記載された技術においては、正規の端末装置のログアウトが実施されないと、不正の端末装置を検知することができず、不正のアクセスに対して即時の対策を実施することができないという問題点がある。
In the technique described in
本発明の目的は、上述した課題を解決する監視サーバ、通信システム、セキュリティ対策方法およびプログラムを提供することである。 An object of the present invention is to provide a monitoring server, a communication system, a security countermeasure method, and a program that solve the above-described problems.
本発明の監視サーバは、
認証サーバから認証ログを取得するログ取得部と、
前記ログ取得部が取得した認証ログに含まれるアカウント情報があらかじめ設定されたものとは異なる場合、認証に用いるパスワードを変更し、該パスワードの変更を前記認証サーバへ通知するアカウント処理部と、
前記アカウント処理部が前記パスワードを変更した場合、該変更前のパスワードを用いてログインされているアカウントに対して強制ログアウトを実施するログイン処理部とを有する。
また、認証サーバから認証ログを取得するログ取得部と、
前記ログ取得部が取得した認証ログにて、互いに同一のIPアドレスが付与された装置から所定の期間にログイン要求が行われた回数が閾値を超えたかどうかを判定するアカウント処理部と、
前記アカウント処理部が、前記回数が前記閾値を超えたと判定した場合、該IPアドレスが付与された装置からのログイン要求を拒否するログイン処理部とを有する。
また、本発明のセキュリティ対策方法は、
認証サーバから認証ログを取得する処理と、
前記取得した認証ログに含まれるアカウント情報があらかじめ設定されたものとは異なる場合、認証に用いるパスワードを変更する処理と、
前記パスワードの変更を前記認証サーバへ通知する処理と、
前記パスワードを変更した場合、該変更前のパスワードを用いてログインされているアカウントに対して強制ログアウトを実施する処理とを行う。
また、認証サーバから認証ログを取得する処理と、
前記取得した認証ログにて、互いに同一のIPアドレスが付与された装置から所定の期間にログイン要求が行われた回数が閾値を超えたかどうかを判定する処理と、
前記回数が前記閾値を超えた場合、該IPアドレスが付与された装置からのログイン要求を拒否する処理とを行う。
また、本発明のプログラムは、
コンピュータに実行させるためのプログラムであって、
認証サーバから認証ログを取得する手順と、
前記取得した認証ログに含まれるアカウント情報があらかじめ設定されたものとは異なる場合、認証に用いるパスワードを変更する手順と、
前記パスワードの変更を前記認証サーバへ通知する手順と、
前記パスワードを変更した場合、該変更前のパスワードを用いてログインされているアカウントに対して強制ログアウトを実施する手順とをコンピュータに実行させる。
また、認証サーバから認証ログを取得する手順と、
前記取得した認証ログにて、互いに同一のIPアドレスが付与された装置から所定の期間にログイン要求が行われた回数が閾値を超えたどうかを判定する手順と、
前記回数が前記閾値を超えた場合、該IPアドレスが付与された装置からのログイン要求を拒否する手順とをコンピュータに実行させる。
The monitoring server of the present invention
A log acquisition unit for acquiring an authentication log from the authentication server;
If the account information included in the authentication log acquired by the log acquisition unit is different from that set in advance, the account processing unit for changing the password used for authentication and notifying the change of the password to the authentication server;
And a login processing unit that performs forced logout for an account logged in using the password before the change when the account processing unit changes the password.
A log acquisition unit for acquiring an authentication log from the authentication server;
An account processing unit that determines whether or not the number of times that a login request has been made in a predetermined period from devices to which the same IP address is assigned in the authentication log acquired by the log acquisition unit exceeds a threshold;
When the account processing unit determines that the number of times has exceeded the threshold, the account processing unit includes a login processing unit that rejects a login request from a device to which the IP address is assigned.
Further, the security countermeasure method of the present invention includes:
Processing to obtain the authentication log from the authentication server;
When the account information included in the acquired authentication log is different from that set in advance, a process of changing a password used for authentication;
A process of notifying the authentication server of the password change;
When the password is changed, a process of forcibly logging out an account that is logged in using the password before the change is performed.
In addition, the process of obtaining the authentication log from the authentication server,
In the acquired authentication log, a process of determining whether or not the number of times that a login request is made in a predetermined period from devices to which the same IP address is assigned exceeds a threshold value;
When the number of times exceeds the threshold value, a process of rejecting a login request from a device to which the IP address is assigned is performed.
The program of the present invention is
A program for causing a computer to execute,
The procedure to acquire the authentication log from the authentication server,
If the account information included in the acquired authentication log is different from that set in advance, a procedure for changing the password used for authentication;
A procedure for notifying the authentication server of the change of the password;
When the password is changed, the computer is caused to execute a procedure for forcibly logging out an account logged in using the password before the change.
In addition, the procedure to acquire the authentication log from the authentication server,
In the acquired authentication log, a procedure for determining whether or not the number of log-in requests made in a predetermined period from devices to which the same IP address is assigned exceeds a threshold;
When the number of times exceeds the threshold, the computer is caused to execute a procedure for rejecting a login request from a device to which the IP address is assigned.
以上説明したように、本発明においては、不正のアクセスに対して即時の対策を実施することができる。 As described above, in the present invention, immediate countermeasures can be taken against unauthorized access.
以下に本発明の実施の形態について図面を参照して説明する。
(第1の実施の形態)
Embodiments of the present invention will be described below with reference to the drawings.
(First embodiment)
図1は、本発明の監視サーバの第1の実施の形態を示す図である。
本形態における監視サーバ100は図1に示すように、ログ取得部110と、アカウント処理部120と、ログイン処理部130とを有する。なお、図1には、本発明の監視サーバ100が具備する構成要素のうち、本実施の形態に関わる主要な構成要素の一例を示す。
FIG. 1 is a diagram showing a first embodiment of a monitoring server according to the present invention.
As shown in FIG. 1, the monitoring server 100 in this embodiment includes a
ログ取得部110は、監視サーバ100と接続された認証サーバから、認証ログを取得する。
アカウント処理部120は、ログ取得部110が取得した認証ログに含まれるアカウント情報があらかじめ設定されたものとは異なる場合、認証に用いるパスワードを変更する。アカウント処理部120は、パスワードの変更を認証サーバへ通知する。
ログイン処理部130は、アカウント処理部120がパスワードを変更した場合、変更前のパスワードを用いてログインされているアカウントに対して強制ログアウトを実施する。
The
If the account information included in the authentication log acquired by the
When the
以下に、図1に示した監視サーバ100におけるセキュリティ対策方法について説明する。図2は、図1に示した監視サーバ100におけるセキュリティ対策方法の一例を説明するためのフローチャートである。 Hereinafter, a security countermeasure method in the monitoring server 100 shown in FIG. 1 will be described. FIG. 2 is a flowchart for explaining an example of the security countermeasure method in the monitoring server 100 shown in FIG.
まず、ログ取得部110が、認証サーバから認証ログを取得する(ステップS1)。続いて、取得した認証ログに含まれるアカウント情報があらかじめ設定されたものとは異なる場合、アカウント処理部120は、認証に用いるパスワードを変更する(ステップS2)。アカウント処理部120は、パスワードを変更すると、パスワードの変更を認証サーバへ通知する(ステップS3)。
アカウント処理部120がパスワードを変更した場合、ログイン処理部130は、変更前のパスワードを用いてログインされているアカウントがあるかどうかを判定する(ステップS4)。ログイン処理部130は、変更前のパスワードを用いてログインされているアカウントがある場合、そのアカウントに対して強制ログアウトを実施する(ステップS5)。
First, the
When the
このように、監視サーバ100は、認証ログに含まれるアカウントが想定外のものである場合、認証に用いるパスワードを変更し、変更前のパスワードを用いてログインされているアカウントに対して強制ログアウトを実施する。そのため、不正のアクセスに対して即時の対策を実施することができる。
(第2の実施の形態)
As described above, when the account included in the authentication log is an unexpected one, the monitoring server 100 changes the password used for authentication, and performs forced logout on the account that is logged in using the password before the change. carry out. Therefore, immediate countermeasures can be taken against unauthorized access.
(Second Embodiment)
図3は、本発明の監視サーバの第2の実施の形態を示す図である。
本形態における監視サーバ101は図3に示すように、ログ取得部111と、アカウント処理部121と、ログイン処理部131とを有する。なお、図3には、本発明の監視サーバ101が具備する構成要素のうち、本実施の形態に関わる主要な構成要素の一例を示す。
FIG. 3 is a diagram showing a second embodiment of the monitoring server of the present invention.
As shown in FIG. 3, the monitoring server 101 in this embodiment includes a
ログ取得部111は、監視サーバ101と接続された認証サーバから、認証ログを取得する。
アカウント処理部121は、ログ取得部111が取得した認証ログにて、互いに同一のIP(Internet Protocol)アドレスが付与された装置から所定の期間にログイン要求が行われた回数が閾値を超えたかどうかを判定する。
ログイン処理部131は、アカウント処理部121が、ログ取得部111が取得した認証ログにて、互いに同一のIPアドレスが付与された装置から所定の期間にログイン要求が行われた回数が閾値を超えたと判定した場合、そのIPアドレスが付与された装置からのログイン要求を拒否する。
The
In the authentication log acquired by the
In the
以下に、図3に示した監視サーバ101におけるセキュリティ対策方法について説明する。図4は、図3に示した監視サーバ101におけるセキュリティ対策方法の一例を説明するためのフローチャートである。 The security countermeasure method in the monitoring server 101 shown in FIG. 3 will be described below. FIG. 4 is a flowchart for explaining an example of the security countermeasure method in the monitoring server 101 shown in FIG.
まず、ログ取得部111が、認証サーバから認証ログを取得する(ステップS11)。続いて、アカウント処理部121が、ログ取得部111が取得した認証ログにて、あらかじめ設定された期間内で、互いに同一のIPアドレスが付与された装置からログイン要求が行われた回数をカウントする(ステップS12)。アカウント処理部121は、カウントした回数があらかじめ設定された閾値を超えたかどうかを判定する(ステップS13)。アカウント処理部121がカウントした回数が閾値を超えている場合、ログイン処理部131は、そのIPアドレスが付与された装置からのログイン要求を拒否する(ステップS14)。
First, the
このように、監視サーバ101は、認証ログに基づいて、同一のIPアドレスが付与された装置から所定の期間に閾値を超えたログイン要求があった場合、その装置からのログイン要求を拒否する。そのため、不正のアクセスに対して即時の対策を実施することができる。
(第3の実施の形態)
As described above, based on the authentication log, the monitoring server 101 rejects a log-in request from a device to which the same IP address is assigned when a log-in request exceeds a threshold value for a predetermined period. Therefore, immediate countermeasures can be taken against unauthorized access.
(Third embodiment)
図5は、本発明の監視サーバの第3の実施の形態を示す図である。
本形態における監視サーバ102は図5に示すように、認証サーバ202と、利用者端末302−1〜302−3と、通信ネットワーク502と接続されている。また、監視サーバ102は、通信ネットワーク502を介して通信機器402と接続されている。図5においては、利用者端末の数が3台である例を示しているが、その数は限定しない。
利用者端末302−1〜302−3は、ユーザ(クライアント)が所持・操作する通信端末である。
通信機器402は、利用者端末302−1〜302−3が通信ネットワーク502を介して接続する通信装置であって、利用者端末302−1〜302−3に対して所定のサービスを提供する。
FIG. 5 is a diagram showing a third embodiment of the monitoring server of the present invention.
As shown in FIG. 5, the
User terminals 302-1 to 302-3 are communication terminals owned and operated by a user (client).
The
図6は、図5に示した監視サーバ102および認証サーバ202の内部構成の一例を示す図である。
FIG. 6 is a diagram illustrating an example of an internal configuration of the
図5に示した監視サーバ102は図6に示すように、ログ取得部112と、アカウント処理部122と、ログイン処理部132と、RADIUS Client処理部142とを有する。なお、図6には、本発明の監視サーバ102が具備する構成要素のうち、本実施の形態に関わる主要な構成要素の一例を示す。
As illustrated in FIG. 6, the
ログ取得部112は、認証サーバ202に具備されたログDB212から、認証ログを取得する。具体的には、ログ取得部112は、認証ログとして、認証要求のアカウント名、アカウント権限、認証結果、要求時刻、要求元のIPアドレス、アカウント情報の更新要求(アカウントの新規登録、削除、権限変更、パスワード変更等)の要求元IPアドレス、特権の割り当てを要求したアカウント等を取得する。
アカウント処理部122は、ログ取得部112が取得した認証ログに含まれるアカウント情報があらかじめ設定されたものとは異なる場合、認証に用いるパスワードを変更する。アカウント処理部122は、パスワードの変更を認証サーバ202へ通知する。具体的には、アカウント処理部122は、ログ取得部112が取得した認証ログに含まれるアカウント情報に含まれる、イベント要求元のIPアドレスが、あらかじめ設定されたアカウント情報に含まれていない場合、パスワードを変更する。または、アカウント処理部122は、ログ取得部112が取得した認証ログに含まれるアカウント情報に含まれる、特権割り当ての要求イベントの要求元のアカウントが、あらかじめ設定されたアカウント情報に含まれていない場合、パスワードを変更する。さらに具体的には、アカウント処理部122は、ログ取得部112が取得した認証ログに含まれるアカウント情報に含まれる、アカウント情報の更新の要求元のIPアドレスが、あらかじめ設定されたアカウント情報に含まれていない場合、パスワードを変更する。または、アカウント処理部122は、ログ取得部112が取得した認証ログに含まれるアカウント情報に含まれる、認証要求の要求元のIPアドレスが、あらかじめ設定されたアカウント情報に含まれていない場合、パスワードを変更する。
ログイン処理部132は、アカウント処理部122がパスワードを変更した場合、変更前のパスワードを用いてログインされているアカウントに対して強制ログアウトを実施する。つまり、ログイン処理部132は、サイバー対策処理を行う構成要素である。
RADIUS Client処理部142は、認証サーバ202に具備されたRADIUS Server処理部242との間でRADIUSの認証プロトコルの処理を行う。RADIUS Client処理部142は、特権アカウントリストを持ち、特権のアカウントをそのリストに登録する。RADIUS Client処理部142は、管理者用端末IPアドレスリストを持ち、管理者が使う通信端末のIPアドレスをそのリストに登録する。RADIUS Client処理部142は、管理者アカウントを使用する通信端末のIPアドレスを変更する場合、監視サーバ102の管理者用端末IPアドレスリストも更新する。なお、上述したRADIUS Client処理部142の機能は、アカウント処理部122が実行するものであっても良い。
また、監視サーバ102は、管理者が使用する通信端末を制限し、その通信端末に固定IPアドレスを割り当てる機能も有する。
The
If the account information included in the authentication log acquired by the
When the
The RADIUS
The
図5に示した認証サーバ202は図6に示すように、ログDB212と、アカウント管理部222と、ログイン処理部232と、RADIUS Server処理部242とを有する。
As illustrated in FIG. 6, the
ログDB212は、認証ログを格納するデータベースである。この認証ログは上述した通りである。
アカウント管理部222は、認証可能なアカウントを管理する。アカウント管理部222は、このアカウントをメモリ等に格納しておく。
ログイン処理部232は、認証できたクライアント(利用者端末)のログイン処理を行う。
RADIUS Server処理部242は、監視サーバ102に具備されたRADIUS Client処理部142との間でRADIUSの認証プロトコルの処理を行う。
The
The
The
The RADIUS
以下に、図5に示した通信システムにおけるセキュリティ対策方法について説明する。図7は、図5に示した通信システムにおけるセキュリティ対策方法の第1の例を説明するためのシーケンス図である。なお、図7に示した「利用者端末」は図5に示した利用者端末302−1〜302−3のいずれであっても良い。以下、図8、9、11においても同様である。 The security countermeasure method in the communication system shown in FIG. 5 will be described below. FIG. 7 is a sequence diagram for explaining a first example of the security countermeasure method in the communication system shown in FIG. Note that the “user terminal” illustrated in FIG. 7 may be any of the user terminals 302-1 to 302-3 illustrated in FIG. The same applies to FIGS. 8, 9, and 11 below.
ここで、攻撃者(が操作する通信端末)が認証サーバ202に対して、不正に取得した管理者アカウント情報を利用して、監視サーバ102および通信機器402のアカウントの追加、変更を行っている状態を前提とする。この処理のログは、認証サーバ202のログDB212に格納されている。
監視サーバ102のログ取得部112は、ログDB212から認証ログを取得する(ステップS21)。この認証ログの取得は、定期的に行われる。続いて、アカウント処理部122が、ログ取得部112が取得した認証ログを解析する(ステップS22)。具体的には、アカウント処理部122は、アカウント情報の更新イベント(ログイン、パスワードの更新イベント)に対し、アカウント情報に含まれる、イベント要求元のIPアドレスが、あらかじめ設定された管理者用端末IPアドレスリストに存在するかどうかを判定する。
アカウント情報に含まれる、イベント要求元のIPアドレスが管理者用端末IPアドレスリストに存在しない場合、アカウント処理部122は、そのアカウント(管理者)のパスワードを変更し、その旨を認証サーバ202へ通知する(ステップS23)。認証サーバ202は、管理者のパスワードの変更通知を受けると、管理者のパスワードの変更通知の有効化を行う(ステップS24)。
また、アカウント処理部122は、認証サーバ202に対して、変更前のパスワードを用いた認証要求を認証不可として認証不可リストへの追加を指示する(ステップS25)。認証サーバ202は、認証不可リストへの追加の指示を受けると、その追加に基づいて認証不可リストの更新を行う(ステップS26)。
アカウント処理部122がパスワードを変更した後、ログイン処理部132は、変更前のパスワードを用いて通信機器402にログインされているアカウントに対して強制ログアウトを実施する(ステップS27)。
その後、攻撃者が、変更前のパスワードを用いて通信機器402にログインした場合、強制ログアウトが実施される(ステップS28)。同様に、攻撃者が、変更前のパスワードを用いて監視サーバ102にログインした場合、強制ログアウトが実施される(ステップS29)。
その後、利用者端末が認証サーバ202に対して管理者のログインを行うと(ステップS30)、認証サーバ202は、利用者端末に対してパスワードの変更を通知する(ステップS31)。
Here, the attacker (the communication terminal operated by the attacker) adds or changes the account of the
The
If the IP address of the event request source included in the account information does not exist in the administrator terminal IP address list, the
Further, the
After the
Thereafter, when the attacker logs in to the
Thereafter, when the user terminal logs in the administrator to the authentication server 202 (step S30), the
図8は、図5に示した通信システムにおけるセキュリティ対策方法の第2の例を説明するためのシーケンス図である。 FIG. 8 is a sequence diagram for explaining a second example of the security countermeasure method in the communication system shown in FIG.
ここで、内部犯(が操作する通信端末)が認証サーバ202に対して、既知のアカウント(割り当てを要求してきた要求元アカウント)に対して特権の付与を行っている状態を前提とする。この処理のログは、認証サーバ202のログDB212に格納されている。また、特権とは、ユーザの権利を管理する等、セキュリティ管理者の権限である。
監視サーバ102のログ取得部112は、ログDB212から認証ログを取得する(ステップS41)。この認証ログの取得は、定期的に行われる。続いて、アカウント処理部122が、ログ取得部112が取得した認証ログを解析する(ステップS42)。具体的には、アカウント処理部122は、特権の割り当ての要求イベントに対し、アカウント情報に含まれる、イベント要求元のアカウントまたは特権の割り当ての対象となるアカウントが、あらかじめ設定された特権リスト(特権が割り当てられても良いアカウントの一覧)に存在するかどうかを判定する。
アカウント情報に含まれる、イベント要求元のアカウントまたは特権の割り当ての対象となるアカウントが、あらかじめ設定された特権リストに存在しない場合、アカウント処理部122は、そのアカウント(管理者/特権割り当て)のパスワードを変更し、その旨を認証サーバ202へ通知する(ステップS43)。ここで、管理者/特権割り当てのアカウントは、全ての管理者権限アカウントおよび特権割り当てのアカウントである。認証サーバ202は、管理者/特権割り当てのアカウントのパスワードの変更通知を受けると、管理者/特権割り当てのアカウントのパスワードの変更通知の有効化を行う(ステップS44)。
アカウント処理部122がパスワードを変更した後、ログイン処理部132は、変更前のパスワードを用いて通信機器402にログインされているアカウントに対して強制ログアウトを実施する(ステップS45)。
その後、内部犯が、変更したパスワードの対象となる対象アカウントを用いて通信機器402にログインした場合、強制ログアウトが実施される(ステップS46)。同様に、内部犯が、変更したパスワードの対象となる対象アカウントを用いて監視サーバ102にログインした場合、強制ログアウトが実施される(ステップS47)。
その後、利用者端末が管理者のログインを行うと(ステップS48)、認証サーバ202は、利用者端末に対してパスワードの変更を通知する(ステップS49)。
利用者端末が、監視サーバ102に対して、特権割り当てのアカウントのログインを行うと(ステップS50)、監視サーバ102は利用者端末に対してパスワードの変更通知を行う(ステップS51)。また、利用者端末が、通信機器402に対して、特権割り当てのアカウントのログインを行うと(ステップS52)、通信機器402は利用者端末に対してパスワードの変更通知を行う(ステップS53)。
Here, it is assumed that the internal criminal (the communication terminal operated by the internal criminal) grants privileges to the
The
When the account of the event request source included in the account information or the account to which privileges are assigned does not exist in the preset privilege list, the
After the
Thereafter, when the insider logs in to the
Thereafter, when the user terminal logs in the administrator (step S48), the
When the user terminal logs in to the
図9は、図5に示した通信システムにおけるセキュリティ対策方法の第3の例を説明するためのシーケンス図である。 FIG. 9 is a sequence diagram for explaining a third example of the security countermeasure method in the communication system shown in FIG.
ここで、攻撃者(が操作する通信端末)が、不正に取得した管理者アカウント情報を利用して、通信機器402および認証サーバ202に対してログインの要求を行っている状態を前提とする。この処理のログは、認証サーバ202のログDB212に格納されている。
監視サーバ102のログ取得部112は、ログDB212から認証ログを取得する(ステップS61)。この認証ログの取得は、定期的に行われる。続いて、アカウント処理部122が、ログ取得部112が取得した認証ログを解析する(ステップS62)。具体的には、アカウント処理部122は、管理者アカウントの認証要求のイベントに対し、アカウント権限が管理者である場合、アカウント情報に含まれる、イベント要求元のIPアドレスが、あらかじめ設定された管理者用端末IPアドレスリストに存在するかどうかを判定する。
アカウント情報に含まれる、イベント要求元のIPアドレスが、あらかじめ設定された管理者用端末IPアドレスリストに存在しない場合、アカウント処理部122は、そのアカウント(管理者)のパスワードを変更し、その旨を認証サーバ202へ通知する(ステップS63)。認証サーバ202は、管理者アカウントのパスワードの変更通知を受けると、管理者アカウントのパスワードの変更通知の有効化を行う(ステップS64)。
アカウント処理部122がパスワードを変更した後、ログイン処理部132は、変更前のパスワードを用いて通信機器402にログインされているアカウントに対して強制ログアウトを実施する(ステップS65)。
その後、攻撃者が、変更したパスワードの対象となる管理者アカウントを用いて通信機器402にログインした場合、強制ログアウトが実施される(ステップS66)。同様に、攻撃者が、変更したパスワードの対象となる管理者アカウントを用いて監視サーバ102にログインした場合、強制ログアウトが実施される(ステップS67)。
その後、利用者端末が、監視サーバ102に対して、管理者アカウントのログインを行うと(ステップS68)、監視サーバ102は利用者端末に対してパスワードの変更通知を行う(ステップS69)。また、利用者端末が、通信機器402に対して、管理者アカウントのログインを行うと(ステップS70)、通信機器402は利用者端末に対してパスワードの変更通知を行う(ステップS71)。
Here, it is assumed that an attacker (communication terminal operated by the attacker) makes a login request to the
The
If the IP address of the event request source included in the account information does not exist in the preset administrator terminal IP address list, the
After the
Thereafter, when the attacker logs in to the
Thereafter, when the user terminal logs in the administrator account to the monitoring server 102 (step S68), the
このように、監視サーバ102は、取得した認証ログに含まれるアカウントが、あらかじめ設定されたリスト内に存在しない場合、そのアカウントを用いてログインを行う場合に用いられるパスワードを変更し、変更前のパスワードを用いてログインされているアカウントに対して強制ログアウトを実施する。そのため、不正のアクセスに対して即時の対策を実施することができる。
(第4の実施の形態)
As described above, when the account included in the acquired authentication log does not exist in the preset list, the
(Fourth embodiment)
図10は、本発明の監視サーバの第4の実施の形態を示す図である。
本形態における監視サーバ103は図10に示すように、ログ取得部113と、アカウント処理部123と、ログイン処理部133とを有する。なお、監視サーバ103と他の装置やネットワークとの接続形態は、図5に示した監視サーバ102の接続形態と同様である。また、図10には、本発明の監視サーバ103が具備する構成要素のうち、本実施の形態に関わる主要な構成要素の一例を示す。
FIG. 10 is a diagram showing a fourth embodiment of the monitoring server of the present invention.
As shown in FIG. 10, the monitoring server 103 in this embodiment includes a
ログ取得部113は、監視サーバ103と接続された認証サーバ202から、認証ログを取得する。
アカウント処理部123は、ログ取得部113が取得した認証ログにて、互いに同一のIPアドレスが付与された装置から所定の期間にログイン要求が行われた回数があらかじめ設定された閾値を超えているかどうかを判定する。
ログイン処理部133は、アカウント処理部123が、互いに同一のIPアドレスが付与された装置から所定の期間にログイン要求が行われた回数が閾値を超えたと判定した場合、そのIPアドレスが付与された装置からのログイン要求を拒否する。
The
In the authentication log acquired by the
When the
以下に、図10に示した監視サーバ103におけるセキュリティ対策方法について説明する。図11は、図10に示した監視サーバ103におけるセキュリティ対策方法の一例を説明するためのシーケンス図である。 The security countermeasure method in the monitoring server 103 shown in FIG. 10 will be described below. FIG. 11 is a sequence diagram for explaining an example of a security countermeasure method in the monitoring server 103 shown in FIG.
ここで、攻撃者(が操作する通信端末)が、パスワードの総当たりを行って、認証要求を行い、アカウントリストを攻撃している状態を前提とする。この処理のログは、認証サーバ202のログDB212に格納されている。
監視サーバ103のログ取得部113は、ログDB212から認証ログを取得する(ステップS81)。この認証ログの取得は、定期的に行われる。続いて、アカウント処理部123が、ログ取得部113が取得した認証ログを解析する(ステップS82)。アカウント処理部123は、ログ取得部113が取得した認証ログにて、互いに同一のIPアドレスが付与された装置から所定の期間にログイン要求が行われた回数があらかじめ設定された閾値を超えているかどうかを判定する(ステップS83)。アカウント処理部123は、例えば、認証要求先毎にイベント回数を統計し、その平均値を計算する。アカウント処理部123は、1日分のイベント数が通常平均の10倍以上である場合、そのログイン要求の回数が異常に多いとみなし、閾値を超えたと判定するものであっても良い。
アカウント処理部123が、互いに同一のIPアドレスが付与された装置から所定の期間にログイン要求が行われた回数が閾値を超えたと判定した場合、ログイン処理部133は、そのIPアドレスが付与された装置(以下、特定PCと称する)からのログイン要求を拒否する処理を通信機器402に対して行う(ステップS84)。すると、通信機器402は、特定PCからのログイン拒否の処理を行う(ステップS85)。また、監視サーバ103のログイン処理部133も、特定PCからのログイン拒否の処理を行う(ステップS86)。
その後、クライアントが特定PCから監視サーバ103にログインを行った場合(ステップS87)、監視サーバ103のログイン処理部133は、そのログインを拒否する(ステップS88)。また、クライアントが特定PCから通信機器402にログインを行った場合(ステップS89)、通信機器402は、そのログインを拒否する(ステップS90)。
Here, it is assumed that the attacker (the communication terminal operated by the attacker) is performing a brute force password, making an authentication request, and attacking the account list. The log of this process is stored in the
The
If the
Thereafter, when the client logs in to the monitoring server 103 from the specific PC (step S87), the
このように、監視サーバ103は、認証ログに基づいて、同一のIPアドレスが付与された特定PCから所定の期間に閾値を超えたログイン要求があった場合、その特定PCからのログイン要求を拒否する。そのため、不正のアクセスに対して即時の対策を実施することができる。 Thus, based on the authentication log, the monitoring server 103 rejects a login request from a specific PC when a specific PC to which the same IP address is assigned exceeds a threshold during a predetermined period. To do. Therefore, immediate countermeasures can be taken against unauthorized access.
以上、各構成要素に各機能(処理)それぞれを分担させて説明したが、この割り当ては上述したものに限定しない。また、構成要素の構成についても、上述した形態はあくまでも例であって、これに限定しない。 As described above, each function (process) is assigned to each component, but this assignment is not limited to the above. In addition, the configuration described above is merely an example, and the present invention is not limited to this.
上述した監視サーバ100〜103それぞれに設けられた各構成要素が行う処理は、目的に応じてそれぞれ作製された論理回路で行うようにしても良い。また、処理内容を手順として記述したコンピュータプログラム(以下、プログラムと称する)を監視サーバ100〜103それぞれにて読取可能な記録媒体に記録し、この記録媒体に記録されたプログラムを監視サーバ100〜103それぞれに読み込ませ、実行するものであっても良い。監視サーバ100〜103それぞれにて読取可能な記録媒体とは、フロッピー(登録商標)ディスク、光磁気ディスク、DVD(Digital Versatile Disc)、CD(Compact Disc)、Blu−ray(登録商標) Discなどの移設可能な記録媒体の他、監視サーバ100〜103それぞれに内蔵されたROM(Read Only Memory)、RAM(Random Access Memory)等のメモリやHDD(Hard Disc Drive)等を指す。この記録媒体に記録されたプログラムは、監視サーバ100〜103それぞれに設けられたCPU(Central Processing Unit)にて読み込まれ、CPUの制御によって、上述したものと同様の処理が行われる。ここで、CPUは、プログラムが記録された記録媒体から読み込まれたプログラムを実行するコンピュータとして動作するものである。 The processing performed by each component provided in each of the monitoring servers 100 to 103 described above may be performed by a logic circuit that is produced according to the purpose. Further, a computer program (hereinafter referred to as a program) in which processing contents are described as a procedure is recorded on a recording medium readable by each of the monitoring servers 100 to 103, and the program recorded on the recording medium is recorded on the monitoring servers 100 to 103. They may be read and executed by each. Recording media that can be read by each of the monitoring servers 100 to 103 include a floppy (registered trademark) disk, a magneto-optical disk, a DVD (Digital Versatile Disc), a CD (Compact Disc), and a Blu-ray (registered trademark) Disc. In addition to a transferable recording medium, it refers to a ROM (Read Only Memory), a RAM (Random Access Memory), a HDD (Hard Disc Drive), or the like built in each of the monitoring servers 100 to 103. The program recorded on this recording medium is read by a CPU (Central Processing Unit) provided in each of the monitoring servers 100 to 103, and the same processing as described above is performed under the control of the CPU. Here, the CPU operates as a computer that executes a program read from a recording medium on which the program is recorded.
上記の実施の形態の一部または全部は、以下の付記のようにも記載され得るが、以下には限られない。
(付記1)認証サーバから認証ログを取得するログ取得部と、
前記ログ取得部が取得した認証ログに含まれるアカウント情報があらかじめ設定されたものとは異なる場合、認証に用いるパスワードを変更し、該パスワードの変更を前記認証サーバへ通知するアカウント処理部と、
前記アカウント処理部が前記パスワードを変更した場合、該変更前のパスワードを用いてログインされているアカウントに対して強制ログアウトを実施するログイン処理部とを有する監視サーバ。
(付記2)前記アカウント処理部は、前記アカウント情報に含まれる、イベント要求元のIP(Internet Protocol)アドレスが、あらかじめ設定されたアカウント情報に含まれていない場合、前記パスワードを変更する、付記1に記載の監視サーバ。
(付記3)前記アカウント処理部は、前記アカウント情報に含まれる、特権割り当ての要求イベントの要求元のアカウントが、あらかじめ設定されたアカウント情報に含まれていない場合、前記パスワードを変更する、付記1に記載の監視サーバ。
(付記4)前記アカウント処理部は、前記アカウント情報に含まれる、アカウント情報の更新の要求元のIPアドレスが、あらかじめ設定されたアカウント情報に含まれていない場合、前記パスワードを変更する、付記2に記載の監視サーバ。
(付記5)前記アカウント処理部は、前記アカウント情報に含まれる、認証要求の要求元のIPアドレスが、あらかじめ設定されたアカウント情報に含まれていない場合、前記パスワードを変更する、付記2に記載の監視サーバ。
(付記6)認証サーバから認証ログを取得するログ取得部と、
前記ログ取得部が取得した認証ログにて、互いに同一のIPアドレスが付与された装置から所定の期間にログイン要求が行われた回数が閾値を超えたかどうかを判定するアカウント処理部と、
前記アカウント処理部が、前記回数が前記閾値を超えたと判定した場合、該IPアドレスが付与された装置からのログイン要求を拒否するログイン処理部とを有する監視サーバ。
(付記7)認証サーバから認証ログを取得する処理と、
前記取得した認証ログに含まれるアカウント情報があらかじめ設定されたものとは異なる場合、認証に用いるパスワードを変更する処理と、
前記パスワードの変更を前記認証サーバへ通知する処理と、
前記パスワードを変更した場合、該変更前のパスワードを用いてログインされているアカウントに対して強制ログアウトを実施する処理とを行うセキュリティ対策方法。
(付記8)認証サーバから認証ログを取得する処理と、
前記取得した認証ログにて、互いに同一のIPアドレスが付与された装置から所定の期間にログイン要求が行われた回数が閾値を超えたかどうかを判定する処理と、
前記回数が前記閾値を超えた場合、該IPアドレスが付与された装置からのログイン要求を拒否する処理とを行うセキュリティ対策方法。
(付記9)コンピュータに、
認証サーバから認証ログを取得する手順と、
前記取得した認証ログに含まれるアカウント情報があらかじめ設定されたものとは異なる場合、認証に用いるパスワードを変更する手順と、
前記パスワードの変更を前記認証サーバへ通知する手順と、
前記パスワードを変更した場合、該変更前のパスワードを用いてログインされているアカウントに対して強制ログアウトを実施する手順とを実行させるためのプログラム。
(付記10)コンピュータに、
認証サーバから認証ログを取得する手順と、
前記取得した認証ログにて、互いに同一のIPアドレスが付与された装置から所定の期間にログイン要求が行われた回数が閾値を超えたどうかを判定する手順と、
前記回数が前記閾値を超えた場合、該IPアドレスが付与された装置からのログイン要求を拒否する手順とを実行させるためのプログラム。
A part or all of the above embodiment can be described as in the following supplementary notes, but is not limited thereto.
(Appendix 1) A log acquisition unit that acquires an authentication log from the authentication server;
If the account information included in the authentication log acquired by the log acquisition unit is different from that set in advance, the account processing unit for changing the password used for authentication and notifying the change of the password to the authentication server;
A monitoring server comprising: a login processing unit that, when the account processing unit changes the password, forcibly logs out an account that is logged in using the password before the change.
(Additional remark 2) The said account process part changes the said password, when the IP (Internet Protocol) address of event request origin contained in the said account information is not included in the preset account information,
(Additional remark 3) The account processing part changes the password when the account of the request source of the request event for privilege assignment included in the account information is not included in the preset account information. Monitoring server described in.
(Additional remark 4) The said account process part changes the said password, when the IP address of the request origin of the update of account information included in the said account information is not included in the preset account information,
(Additional remark 5) The said account process part changes the said password, when the IP address of the request origin of the authentication request contained in the said account information is not included in the preset account information, The
(Appendix 6) A log acquisition unit that acquires an authentication log from the authentication server;
An account processing unit that determines whether or not the number of times that a login request has been made in a predetermined period from devices to which the same IP address is assigned in the authentication log acquired by the log acquisition unit exceeds a threshold;
A monitoring server having a login processing unit that rejects a login request from a device to which the IP address is assigned when the account processing unit determines that the number of times exceeds the threshold.
(Supplementary Note 7) Processing for obtaining an authentication log from the authentication server;
When the account information included in the acquired authentication log is different from that set in advance, a process of changing a password used for authentication;
A process of notifying the authentication server of the password change;
A security countermeasure method for executing a forced logout for an account logged in using the password before the change when the password is changed.
(Supplementary Note 8) Processing for obtaining an authentication log from an authentication server;
In the acquired authentication log, a process of determining whether or not the number of times that a login request is made in a predetermined period from devices to which the same IP address is assigned exceeds a threshold value;
A security countermeasure method for performing a process of rejecting a login request from a device to which the IP address is assigned when the number of times exceeds the threshold.
(Appendix 9)
The procedure to acquire the authentication log from the authentication server,
If the account information included in the acquired authentication log is different from that set in advance, a procedure for changing the password used for authentication;
A procedure for notifying the authentication server of the change of the password;
A program for executing a forced logout procedure for an account logged in using the password before the change when the password is changed.
(Appendix 10)
The procedure to acquire the authentication log from the authentication server,
In the acquired authentication log, a procedure for determining whether or not the number of log-in requests made in a predetermined period from devices to which the same IP address is assigned exceeds a threshold;
A program for executing a procedure for rejecting a login request from a device to which the IP address is assigned when the number of times exceeds the threshold.
100〜103 監視サーバ
110〜113 ログ取得部
120〜123 アカウント処理部
130〜133,232 ログイン処理部
142 RADIUS Client処理部
202 認証サーバ
212 ログDB
222 アカウント管理部
242 RADIUS Server処理部
302−1〜302−3 利用者端末
402 通信機器
502 通信ネットワーク
100 to 103
222
Claims (10)
前記ログ取得部が取得した認証ログに含まれるアカウント情報があらかじめ設定されたものとは異なる場合、認証に用いるパスワードを変更し、該パスワードの変更を前記認証サーバへ通知するアカウント処理部と、
前記アカウント処理部が前記パスワードを変更した場合、該変更前のパスワードを用いてログインされているアカウントに対して強制ログアウトを実施するログイン処理部とを有する監視サーバ。 A log acquisition unit for acquiring an authentication log from the authentication server;
If the account information included in the authentication log acquired by the log acquisition unit is different from that set in advance, the account processing unit for changing the password used for authentication and notifying the change of the password to the authentication server;
A monitoring server comprising: a login processing unit that, when the account processing unit changes the password, forcibly logs out an account that is logged in using the password before the change.
前記アカウント処理部は、前記アカウント情報に含まれる、イベント要求元のIP(Internet Protocol)アドレスが、あらかじめ設定されたアカウント情報に含まれていない場合、前記パスワードを変更する監視サーバ。 The monitoring server according to claim 1,
The account processing unit is a monitoring server that changes the password when an IP (Internet Protocol) address of an event request source included in the account information is not included in preset account information.
前記アカウント処理部は、前記アカウント情報に含まれる、特権割り当ての要求イベントの要求元のアカウントが、あらかじめ設定されたアカウント情報に含まれていない場合、前記パスワードを変更する監視サーバ。 The monitoring server according to claim 1,
The account processing unit is a monitoring server that changes the password when a request source account of a privilege assignment request event included in the account information is not included in preset account information.
前記アカウント処理部は、前記アカウント情報に含まれる、アカウント情報の更新の要求元のIPアドレスが、あらかじめ設定されたアカウント情報に含まれていない場合、前記パスワードを変更する監視サーバ。 The monitoring server according to claim 2,
The account processing unit is a monitoring server that changes the password when the IP address of the account information update request source included in the account information is not included in the preset account information.
前記アカウント処理部は、前記アカウント情報に含まれる、認証要求の要求元のIPアドレスが、あらかじめ設定されたアカウント情報に含まれていない場合、前記パスワードを変更する監視サーバ。 The monitoring server according to claim 2,
The account processing unit is a monitoring server that changes the password when an IP address of an authentication request source included in the account information is not included in preset account information.
前記ログ取得部が取得した認証ログにて、互いに同一のIPアドレスが付与された装置から所定の期間にログイン要求が行われた回数が閾値を超えたかどうかを判定するアカウント処理部と、
前記アカウント処理部が、前記回数が前記閾値を超えたと判定した場合、該IPアドレスが付与された装置からのログイン要求を拒否するログイン処理部とを有する監視サーバ。 A log acquisition unit for acquiring an authentication log from the authentication server;
An account processing unit that determines whether or not the number of times that a login request has been made in a predetermined period from devices to which the same IP address is assigned in the authentication log acquired by the log acquisition unit exceeds a threshold;
A monitoring server having a login processing unit that rejects a login request from a device to which the IP address is assigned when the account processing unit determines that the number of times exceeds the threshold.
前記取得した認証ログに含まれるアカウント情報があらかじめ設定されたものとは異なる場合、認証に用いるパスワードを変更する処理と、
前記パスワードの変更を前記認証サーバへ通知する処理と、
前記パスワードを変更した場合、該変更前のパスワードを用いてログインされているアカウントに対して強制ログアウトを実施する処理とを行うセキュリティ対策方法。 Processing to obtain the authentication log from the authentication server;
When the account information included in the acquired authentication log is different from that set in advance, a process of changing a password used for authentication;
A process of notifying the authentication server of the password change;
A security countermeasure method for executing a forced logout for an account logged in using the password before the change when the password is changed.
前記取得した認証ログにて、互いに同一のIPアドレスが付与された装置から所定の期間にログイン要求が行われた回数が閾値を超えたかどうかを判定する処理と、
前記回数が前記閾値を超えた場合、該IPアドレスが付与された装置からのログイン要求を拒否する処理とを行うセキュリティ対策方法。 Processing to obtain the authentication log from the authentication server;
In the acquired authentication log, a process of determining whether or not the number of times that a login request is made in a predetermined period from devices to which the same IP address is assigned exceeds a threshold value;
A security countermeasure method for performing a process of rejecting a login request from a device to which the IP address is assigned when the number of times exceeds the threshold.
認証サーバから認証ログを取得する手順と、
前記取得した認証ログに含まれるアカウント情報があらかじめ設定されたものとは異なる場合、認証に用いるパスワードを変更する手順と、
前記パスワードの変更を前記認証サーバへ通知する手順と、
前記パスワードを変更した場合、該変更前のパスワードを用いてログインされているアカウントに対して強制ログアウトを実施する手順とを実行させるためのプログラム。 On the computer,
The procedure to acquire the authentication log from the authentication server,
If the account information included in the acquired authentication log is different from that set in advance, a procedure for changing the password used for authentication;
A procedure for notifying the authentication server of the change of the password;
A program for executing a forced logout procedure for an account logged in using the password before the change when the password is changed.
認証サーバから認証ログを取得する手順と、
前記取得した認証ログにて、互いに同一のIPアドレスが付与された装置から所定の期間にログイン要求が行われた回数が閾値を超えたどうかを判定する手順と、
前記回数が前記閾値を超えた場合、該IPアドレスが付与された装置からのログイン要求を拒否する手順とを実行させるためのプログラム。 On the computer,
The procedure to acquire the authentication log from the authentication server,
In the acquired authentication log, a procedure for determining whether or not the number of log-in requests made in a predetermined period from devices to which the same IP address is assigned exceeds a threshold;
A program for executing a procedure for rejecting a login request from a device to which the IP address is assigned when the number of times exceeds the threshold.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016242289A JP2018097660A (en) | 2016-12-14 | 2016-12-14 | Monitoring server, security countermeasure method and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016242289A JP2018097660A (en) | 2016-12-14 | 2016-12-14 | Monitoring server, security countermeasure method and program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2018097660A true JP2018097660A (en) | 2018-06-21 |
Family
ID=62632982
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016242289A Pending JP2018097660A (en) | 2016-12-14 | 2016-12-14 | Monitoring server, security countermeasure method and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2018097660A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7401288B2 (en) | 2018-12-28 | 2023-12-19 | エーオー カスペルスキー ラボ | System and method for changing account record passwords under threat of unauthorized access to user data |
-
2016
- 2016-12-14 JP JP2016242289A patent/JP2018097660A/en active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7401288B2 (en) | 2018-12-28 | 2023-12-19 | エーオー カスペルスキー ラボ | System and method for changing account record passwords under threat of unauthorized access to user data |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6952849B2 (en) | Session security partition and application profiler | |
US10057282B2 (en) | Detecting and reacting to malicious activity in decrypted application data | |
CN111935165B (en) | Access control method, device, electronic device and medium | |
US11330005B2 (en) | Privileged account breach detections based on behavioral access patterns | |
US11669616B2 (en) | Method to prevent root level access attack and measurable SLA security and compliance platform | |
US10164982B1 (en) | Actively identifying and neutralizing network hot spots | |
JP2018097660A (en) | Monitoring server, security countermeasure method and program | |
Parmar et al. | A different approach of intrusion detection and Response System for Relational Databases | |
Adeyemo | Design of an Intrusion Detection System (IDS) and an Intrusion Prevention System (IPS) for the EIU Cybersecurity Laboratory | |
Kim et al. | A Study on the Security Requirements Analysis to build a Zero Trust-based Remote Work Environment | |
ALQAHTANI et al. | REVIEWING OF CYBERSECURITY THREATS, ATTACKS, AND MITIGATION TECHNIQUES IN CLOUD COMPUTING ENVIRONMENT | |
Sowmya et al. | An empirical framework to detect security attacks on the cloud data storage system |