JP2000215164A - コンピュ―タ不正利用者の接続元追跡方法 - Google Patents
コンピュ―タ不正利用者の接続元追跡方法Info
- Publication number
- JP2000215164A JP2000215164A JP11016633A JP1663399A JP2000215164A JP 2000215164 A JP2000215164 A JP 2000215164A JP 11016633 A JP11016633 A JP 11016633A JP 1663399 A JP1663399 A JP 1663399A JP 2000215164 A JP2000215164 A JP 2000215164A
- Authority
- JP
- Japan
- Prior art keywords
- connection
- computer
- connection information
- user
- connection source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
(57)【要約】
【課題】遠隔地より接続した利用者の侵入経路を接続先
のコンピュータより追跡する場合、各コンピュータの接
続情報を出力し、それを突き合わせることによって接続
元を追跡しているので、コンピュータシステム管理者に
莫大な負担がかかる。これを自動化し、短時間で実施す
る方法が必要となる。 【解決手段】第二のコンピュータにおいて抽出した結果
を第一のコンピュータに返す手段と、第一のコンピュー
タにおいて追跡結果を出力する手段を有し、接続元のコ
ンピュータを推定できるまで繰り返す。
のコンピュータより追跡する場合、各コンピュータの接
続情報を出力し、それを突き合わせることによって接続
元を追跡しているので、コンピュータシステム管理者に
莫大な負担がかかる。これを自動化し、短時間で実施す
る方法が必要となる。 【解決手段】第二のコンピュータにおいて抽出した結果
を第一のコンピュータに返す手段と、第一のコンピュー
タにおいて追跡結果を出力する手段を有し、接続元のコ
ンピュータを推定できるまで繰り返す。
Description
【0001】
【発明の属する技術分野】本発明は遠隔地より不正にコ
ンピュータを利用している使用者の侵入経路を追跡し、
接続元を推定する方法に関する。
ンピュータを利用している使用者の侵入経路を追跡し、
接続元を推定する方法に関する。
【0002】
【従来の技術】オペレーティングシステムがファイルに
出力する接続情報を用いてシステム管理者が人力で接続
元追跡を行う必要がある。また、文献「浅香:エージェ
ントを利用した侵入検出システム、IPA技術発表会、
1995.10」に記載のように移動型のエージェント
を用いて計算機の不正な使用を検出すると言う考え方が
示されている。
出力する接続情報を用いてシステム管理者が人力で接続
元追跡を行う必要がある。また、文献「浅香:エージェ
ントを利用した侵入検出システム、IPA技術発表会、
1995.10」に記載のように移動型のエージェント
を用いて計算機の不正な使用を検出すると言う考え方が
示されている。
【0003】
【発明が解決しようとする課題】コンピュータ管理者が
接続元追跡を行うには膨大な資料の準備と時間をかける
必要があった。
接続元追跡を行うには膨大な資料の準備と時間をかける
必要があった。
【0004】本発明の目的は、管理者の負担を削減し、
正確に接続元追跡を行うシステムを提供することにあ
る。
正確に接続元追跡を行うシステムを提供することにあ
る。
【0005】
【課題を解決するための手段】上記の課題を解決するた
め、本発明では問い合わせ元コンピュータより、追跡開
始コンピュータと利用者名を条件に追跡開始コンピュー
タに対して接続情報を抽出するよう要求する手段と、追
跡開始コンピュータにおいて接続情報から該当する利用
者と追跡開始コンピュータに接続してきたコンピュータ
を検索する手段と、追跡開始コンピュータにおいて予め
設定された失敗回数を参照して接続失敗情報を抽出する
手段と、問い合わせ元コンピュータにおいて、抽出要求
結果を保存しておく手段と、問い合わせ元コンピュータ
において追跡結果を出力する手段を有し、接続元のコン
ピュータを推定できるまで繰り返す。
め、本発明では問い合わせ元コンピュータより、追跡開
始コンピュータと利用者名を条件に追跡開始コンピュー
タに対して接続情報を抽出するよう要求する手段と、追
跡開始コンピュータにおいて接続情報から該当する利用
者と追跡開始コンピュータに接続してきたコンピュータ
を検索する手段と、追跡開始コンピュータにおいて予め
設定された失敗回数を参照して接続失敗情報を抽出する
手段と、問い合わせ元コンピュータにおいて、抽出要求
結果を保存しておく手段と、問い合わせ元コンピュータ
において追跡結果を出力する手段を有し、接続元のコン
ピュータを推定できるまで繰り返す。
【0006】
【発明の実施の形態】図1はネットワークで接続された
コンピュータシステムである。利用者はHostC103からHo
stB102を経由してHostA101に接続している。各コンピュ
ータにはオペレーティングシステムが接続情報106,108
として接続開始時刻、接続元コンピュータ名、接続ユー
ザ名を出力している。HostA101で追跡開始コンピュータ
HostB102と追跡する利用者(User1)を指定して接続元
追跡プログラム104を開始すると、接続情報抽出要求109
は、HostB102上の接続情報抽出プログラム105に対して
接続情報抽出要求を送信する。
コンピュータシステムである。利用者はHostC103からHo
stB102を経由してHostA101に接続している。各コンピュ
ータにはオペレーティングシステムが接続情報106,108
として接続開始時刻、接続元コンピュータ名、接続ユー
ザ名を出力している。HostA101で追跡開始コンピュータ
HostB102と追跡する利用者(User1)を指定して接続元
追跡プログラム104を開始すると、接続情報抽出要求109
は、HostB102上の接続情報抽出プログラム105に対して
接続情報抽出要求を送信する。
【0007】HostB102上の接続情報抽出プログラム105
は、要求受付115でHostA101からの要求を受けつける。
接続情報ファイルの入力112で接続情報ファイル106より
情報を入力し、ユーザ検索113で該当する利用者の接続
情報120を抽出し、User1がHostC103より接続してきたこ
とを判断して、接続情報抽出要求元のHostA101の接続元
追跡プログラム104に接続情報を送信する。追跡情報登
録110は、HostA101上の追跡データテーブル401に保存す
る。
は、要求受付115でHostA101からの要求を受けつける。
接続情報ファイルの入力112で接続情報ファイル106より
情報を入力し、ユーザ検索113で該当する利用者の接続
情報120を抽出し、User1がHostC103より接続してきたこ
とを判断して、接続情報抽出要求元のHostA101の接続元
追跡プログラム104に接続情報を送信する。追跡情報登
録110は、HostA101上の追跡データテーブル401に保存す
る。
【0008】つぎに接続情報抽出要求109は追跡データ
テーブル401を参照し、HostB102の接続元コンピュータ
であるHostC103の接続情報抽出プログラム107に対し
て、接続ユーザ名User1と接続元ホスト名HostB102と接
続開始時刻を送信して接続情報抽出要求を出す。
テーブル401を参照し、HostB102の接続元コンピュータ
であるHostC103の接続情報抽出プログラム107に対し
て、接続ユーザ名User1と接続元ホスト名HostB102と接
続開始時刻を送信して接続情報抽出要求を出す。
【0009】HostC103上の接続情報抽出プログラム107
は、要求受付119でHostA101からの要求を受け付け、接
続情報ファイルの入力116から接続情報ファイル108を入
力し、ユーザ検索117で該当する利用者の接続情報121を
抽出し、User1が自ホストより接続してきたことを判断
して、接続情報抽出要求元のHostA101の接続元追跡プロ
グラム104に接続情報を送信する。これを繰り返すこと
によって利用者が操作している接続元コンピュータを追
跡することができる。
は、要求受付119でHostA101からの要求を受け付け、接
続情報ファイルの入力116から接続情報ファイル108を入
力し、ユーザ検索117で該当する利用者の接続情報121を
抽出し、User1が自ホストより接続してきたことを判断
して、接続情報抽出要求元のHostA101の接続元追跡プロ
グラム104に接続情報を送信する。これを繰り返すこと
によって利用者が操作している接続元コンピュータを追
跡することができる。
【0010】接続元検索113,117は、接続情報ファイル1
06,108を検索する際、接続失敗情報があると接続失敗テ
ーブル403に接続情報を登録する。ユーザ検索114,118で
接続情報ファイル106,108より、該当ユーザが抽出でき
なかったときは、接続元検索113,117により接続失敗テ
ーブル403を検索し、接続失敗許可回数を超えている接
続の情報を抽出し、接続情報抽出要求109に返す。
06,108を検索する際、接続失敗情報があると接続失敗テ
ーブル403に接続情報を登録する。ユーザ検索114,118で
接続情報ファイル106,108より、該当ユーザが抽出でき
なかったときは、接続元検索113,117により接続失敗テ
ーブル403を検索し、接続失敗許可回数を超えている接
続の情報を抽出し、接続情報抽出要求109に返す。
【0011】図2は接続元追跡のための接続情報抽出を
要求するコンピュータの処理方式を示す。
要求するコンピュータの処理方式を示す。
【0012】処理開始時201、追跡を開始するコンピュ
ータ名と、接続ユーザ名を入力データとする。接続情報
抽出要求202では、入力データまたは、追跡データテー
ブル401に登録したコンピュータに対して、ユーザ名と
接続開始時刻を送信して接続情報抽出処理301に抽出要
求を行う。抽出処理の結果203、情報が抽出された場合
は追跡データテーブル401に保存204し、そのデータを元
に接続情報抽出要求202を行う。情報が抽出されなかっ
た場合は、追跡データテーブル401より、追跡データを
出力205し、処理を終了206する。
ータ名と、接続ユーザ名を入力データとする。接続情報
抽出要求202では、入力データまたは、追跡データテー
ブル401に登録したコンピュータに対して、ユーザ名と
接続開始時刻を送信して接続情報抽出処理301に抽出要
求を行う。抽出処理の結果203、情報が抽出された場合
は追跡データテーブル401に保存204し、そのデータを元
に接続情報抽出要求202を行う。情報が抽出されなかっ
た場合は、追跡データテーブル401より、追跡データを
出力205し、処理を終了206する。
【0013】図3は接続情報抽出要求を受けたコンピュ
ータの処理方式を示す。処理開始時301の入力データと
して、接続情報抽出要求元より送られてきた接続情報よ
り抽出するユーザ名と、要求処理を行なうコンピュータ
を経由して接続したコンピュータの接続時間と、接続失
敗の上限回数がある。
ータの処理方式を示す。処理開始時301の入力データと
して、接続情報抽出要求元より送られてきた接続情報よ
り抽出するユーザ名と、要求処理を行なうコンピュータ
を経由して接続したコンピュータの接続時間と、接続失
敗の上限回数がある。
【0014】接続情報ファイルの読み込み302では、オ
ペレーティングシステムが出力した接続情報を1レコー
ド読み込む。接続情報の読み込みはファイルの終了まで
続ける(303)。接続情報が接続の失敗の場合は接続失敗
テーブル403にその情報を登録する(305)。接続情報が
接続の成功の場合、接続情報抽出要求202より送られて
きた情報と比較して該当するものは接続情報テーブル40
2に登録する。
ペレーティングシステムが出力した接続情報を1レコー
ド読み込む。接続情報の読み込みはファイルの終了まで
続ける(303)。接続情報が接続の失敗の場合は接続失敗
テーブル403にその情報を登録する(305)。接続情報が
接続の成功の場合、接続情報抽出要求202より送られて
きた情報と比較して該当するものは接続情報テーブル40
2に登録する。
【0015】接続情報ファイルを読みきったとき接続情
報テーブル402が作成されていなければ、接続失敗テー
ブル403から接続失敗許可回数を越えたものを抽出し、
不正利用者による行為として送信し、処理を終了する。
接続情報テーブル402が作成されている場合は、そのデ
ータを抽出結果として送信し、処理を終了する。
報テーブル402が作成されていなければ、接続失敗テー
ブル403から接続失敗許可回数を越えたものを抽出し、
不正利用者による行為として送信し、処理を終了する。
接続情報テーブル402が作成されている場合は、そのデ
ータを抽出結果として送信し、処理を終了する。
【0016】図4は図2及び図3におけるデータを格納
するテーブル構造を示す。追跡データテーブル401は、
接続情報抽出要求処理第(図3)によって抽出された接
続情報テーブル402を接続経路として追跡データテーブ
ル401に格納しておく。接続失敗テーブル403は接続情報
抽出要求処理(図3)において接続に失敗したユーザの情
報を格納しておく。
するテーブル構造を示す。追跡データテーブル401は、
接続情報抽出要求処理第(図3)によって抽出された接
続情報テーブル402を接続経路として追跡データテーブ
ル401に格納しておく。接続失敗テーブル403は接続情報
抽出要求処理(図3)において接続に失敗したユーザの情
報を格納しておく。
【0017】
【発明の効果】本発明は、遠隔地より複数のコンピュー
タに接続しながら利用する場合でオペレーティングシス
テムが出力する接続情報のみを用いて不正利用者の侵入
経路を推定する方法に関するものである。本発明ではコ
ンピュータシステムの管理者に余計な負担をかけること
なく不正使用者の接続元を絞り込むことができる。
タに接続しながら利用する場合でオペレーティングシス
テムが出力する接続情報のみを用いて不正利用者の侵入
経路を推定する方法に関するものである。本発明ではコ
ンピュータシステムの管理者に余計な負担をかけること
なく不正使用者の接続元を絞り込むことができる。
【図1】本発明の各コンピュータに順次接続しながら遠
隔地のコンピュータを利用している様子および接続元追
跡に利用する接続情報を表す図。
隔地のコンピュータを利用している様子および接続元追
跡に利用する接続情報を表す図。
【図2】接続情報の抽出要求指示処理手順と結果出力処
理手順を表す図。
理手順を表す図。
【図3】抽出要求を受けて接続情報の抽出処理手順を表
す図。
す図。
【図4】抽出結果等を格納するテーブルの構造を表す
図。
図。
101〜103…ホストA〜ホストC、104…接続元
追跡プログラム、105,107…接続情報抽出プログ
ラム、106,108…接続情報ファイル。
追跡プログラム、105,107…接続情報抽出プログ
ラム、106,108…接続情報ファイル。
フロントページの続き Fターム(参考) 5B085 AC11 BC01 CC17 5B089 GA01 GA21 JA31 JB15 KA04 KA17 KB06 KB13 KC15 KC53 KG08 5K030 GA15 MA04 MC07 9A001 BB02 BB03 CC07 FF03 JJ12 KK56 LL01
Claims (2)
- 【請求項1】ネットワークで接続されているコンピュー
タシステムにおいて、利用者が直接操作するコンピュー
タから複数のコンピュータを経由して目的のコンピュー
タに接続する際、コンピュータに接続するごとにオペレ
ーティングシステムが出力する情報を用いて、遠隔地よ
りコンピュータシステムを利用している者の経由コンピ
ュータ群と、利用者が直接操作しているコンピュータを
特定することを特徴とするコンピュータ不正利用者の接
続元追跡方法。 - 【請求項2】請求項1に記載の利用者経路推定方法にお
いて、あらかじめ設定した接続失敗回数を超えた接続失
敗を繰り返しているコンピュータを不正な意図を持つ利
用者(不正利用者)の行為によるものと判断し、そのコ
ンピュータを直前の接続元コンピュータとして接続経路
を推定していくことを特徴とするコンピュータ不正利用
者の接続元追跡方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP11016633A JP2000215164A (ja) | 1999-01-26 | 1999-01-26 | コンピュ―タ不正利用者の接続元追跡方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP11016633A JP2000215164A (ja) | 1999-01-26 | 1999-01-26 | コンピュ―タ不正利用者の接続元追跡方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2000215164A true JP2000215164A (ja) | 2000-08-04 |
Family
ID=11921776
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP11016633A Pending JP2000215164A (ja) | 1999-01-26 | 1999-01-26 | コンピュ―タ不正利用者の接続元追跡方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2000215164A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002101099A (ja) * | 2000-09-21 | 2002-04-05 | Hitachi Ltd | アクセス追跡装置 |
| CN100366115C (zh) * | 2004-07-13 | 2008-01-30 | 华为技术有限公司 | 跟踪用户设备接入过程的方法 |
-
1999
- 1999-01-26 JP JP11016633A patent/JP2000215164A/ja active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002101099A (ja) * | 2000-09-21 | 2002-04-05 | Hitachi Ltd | アクセス追跡装置 |
| CN100366115C (zh) * | 2004-07-13 | 2008-01-30 | 华为技术有限公司 | 跟踪用户设备接入过程的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4470069B2 (ja) | 入力補助装置、入力補助システム、入力補助方法、及び、入力補助プログラム | |
| US20170366967A1 (en) | Method and browser for browsing web page, and storage medium | |
| Zdziarski | iPhone forensics: recovering evidence, personal data, and corporate assets | |
| US6980668B1 (en) | Information processing apparatus enabling electronic watermarking, and communication network connectable to such information processing apparatus | |
| CN104601672B (zh) | 基于不同应用客户端的分享网络资源的方法和装置 | |
| WO2013143402A1 (zh) | Cookie信息共享方法及系统 | |
| WO2013011730A1 (ja) | 文書を処理する装置及び方法 | |
| JP2003524255A (ja) | インターネット基盤の遠隔データ及びファイル復旧システム及びその方法 | |
| US20110314245A1 (en) | Secure media system | |
| Davies et al. | Forensic analysis of a Sony PlayStation 4: A first look | |
| JP2010282241A (ja) | ファイル管理装置、ファイル管理システム、ファイル管理方法、および、プログラム | |
| JP2000215164A (ja) | コンピュ―タ不正利用者の接続元追跡方法 | |
| JP2989487B2 (ja) | ウィルスチェックシステム | |
| JP7390071B2 (ja) | 書類処理装置、書類処理方法、およびプログラム | |
| KR20070031152A (ko) | 검색어 입력에 대한 검색 결과를 제공하는 방법 및 그방법을 채용한 검색 엔진 | |
| JP2015014867A (ja) | 計算機システム | |
| CN108958968B (zh) | 一种文件处理方法及装置 | |
| JP7378672B2 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
| JP2003122773A (ja) | メタデータ検索システム | |
| CN106844058A (zh) | 一种虚拟化资源的管理方法和装置 | |
| JP2001092782A (ja) | 情報ネットワーク | |
| JP2002269136A (ja) | 文書検索システム及びプログラム | |
| CN110069903B (zh) | 一种确定查阅文本数据的用户的方法及装置 | |
| JP2001357051A (ja) | 文書管理装置 | |
| TWI584150B (zh) | 數位文件定位方法 |