JP2002334061A - 不正アクセス監視システムおよびそのプログラム - Google Patents

不正アクセス監視システムおよびそのプログラム

Info

Publication number
JP2002334061A
JP2002334061A JP2001137178A JP2001137178A JP2002334061A JP 2002334061 A JP2002334061 A JP 2002334061A JP 2001137178 A JP2001137178 A JP 2001137178A JP 2001137178 A JP2001137178 A JP 2001137178A JP 2002334061 A JP2002334061 A JP 2002334061A
Authority
JP
Japan
Prior art keywords
unauthorized access
information
unauthorized
person
same person
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001137178A
Other languages
English (en)
Inventor
Keiichi Iwata
恵一 岩田
Tomoo Fukamizu
智雄 深水
Tatsuya Konuki
龍也 小貫
Yoshitaka Kuwata
喜隆 桑田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Data Group Corp
Original Assignee
NTT Data Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Data Corp filed Critical NTT Data Corp
Priority to JP2001137178A priority Critical patent/JP2002334061A/ja
Publication of JP2002334061A publication Critical patent/JP2002334061A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

(57)【要約】 【課題】 大量のアクセス情報より自動で不正アクセス
を特定できる不正アクセス監視システムおよびそのプロ
グラムを提供する。 【解決手段】 不正アクセス情報データベース22a
は、不正アクセス情報を逐次格納する。同一者判定処理
部24は、不正アクセス情報データベース22aを参照
し、不正アクセス情報間において、所定の項目に関する
一致の度合を基に同一者による不正アクセス情報かを判
定する。判断条件データベース23bは、予め不正アク
セス行為の判断条件を格納する。不正者判別処理部25
は、同一者判定処理部24が同一者と判定した複数の不
正アクセス情報に対し、判断条件データベース23bの
判断条件を参照して不正アクセス行為であるか判断し、
該同一者が不正者であるか判別する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】この発明は、ネットワークを
介したコンピュータシステムへの不正なアクセスを監視
する不正アクセス監視システムおよびそのプログラムに
関するものである。
【0002】
【従来の技術】近年、インターネットの普及により、コ
ンピュータ・システムヘのハッキングにより、情報搾
取、欺瞞及びサービス妨害などの情報資源(情報と情報
システム)への攻撃を目的とする不正アクセスは、一般
に侵入検知装置による検知情報やファイアウォールへの
アクセス履歴情報を含むアクセス情報を解読する事によ
り確認を行っていた。
【0003】
【発明が解決しようとする課題】上述したように、従来
は大量のアクセス情報を解読し、関連付けを行い、不正
アクセスを特定し、攻撃対象や目的を推測していたが、
専門のエンジニアでも極めて高度な技術スキルが必要で
あるため、自動で不正アクセスを特定するシステムの要
求があった。また、専門のエンジニアが状況を理解出来
たとしても、専門のエンジニアは正しい状況を、危機管
理における意思決定権者に的確に伝達できるとは限らな
い。それは、意思決定権者は、一般にコンピュータシス
テムについて非専門家であるからである。更には、組織
的で複雑な不正アクセスによる攻撃も行われており、よ
り状況理解が困難になって来ている。そこで、情報資産
の損失により被る経済的、社会的被害の評価や対処策の
判断を非専門家でも的確に把握できるよう、複雑な状況
理解を支援するシステムの要求があった。
【0004】この発明は、上述した事情を考慮してなさ
れたもので、大量のアクセス情報より自動で不正アクセ
スを特定できる不正アクセス監視システムおよびそのプ
ログラムを提供することを目的とする。また、組織的で
複雑な不正アクセスによる攻撃の状況理解を支援する不
正アクセス監視システムおよびそのプログラムを提供す
ることを目的とする。
【0005】
【課題を解決するための手段】この発明は、上述した課
題を解決すべくなされたもので、本発明による不正アク
セス監視システムにおいては、ネットワークを介したコ
ンピュータシステムへのアクセスを監視するアクセス監
視装置より、不正アクセスまたは不正アクセスの可能性
のあるアクセスに関する情報を、不正アクセス情報とし
て逐次受信する不正アクセス監視システムであって、不
正アクセス情報を逐次格納する不正アクセス情報データ
ベースと、不正アクセス情報データベースを参照し、不
正アクセス情報間において、所定の項目に関する一致の
度合を基に同一者による不正アクセス情報かを判定する
同一者判定手段と、予め不正アクセス行為の判断条件を
格納する判断条件データベースと、同一者判定手段が同
一者と判定した複数の不正アクセス情報に対し、判断条
件データベースの判断条件を参照して不正アクセス行為
であるか判断し、該同一者が不正者であるか判別する不
正者判別手段とを具備することを特徴とする。
【0006】これにより、不正アクセス情報を逐次格納
する不正アクセス情報データベースと、不正アクセス情
報データベースを参照し、不正アクセス情報間におい
て、所定の項目に関する一致の度合を基に同一者による
不正アクセス情報かを判定する同一者判定手段と、予め
不正アクセス行為の判断条件を格納する判断条件データ
ベースと、同一者判定手段が同一者と判定した複数の不
正アクセス情報に対し、判断条件データベースの判断条
件を参照して不正アクセス行為であるか判断し、該同一
者が不正者であるか判別する不正者判別手段とを具備す
るので、逐次増加する不正アクセス情報について、同一
者によるものを判定し、更に、同一者による複数の不正
アクセス情報(不正アクセスである可能性がある不正ア
クセス情報を含む)を基に、時間的変化を考慮して本当
に不正アクセス行為であるかを判別し、不正者を判別す
ることができる。
【0007】また、本発明による不正アクセス監視シス
テムにおいては、上記同一者判定手段は、不正アクセス
情報間において、該不正アクセス情報に含まれる同種の
項目毎に情報の一致度を算出し、各項目に予め定めた重
み付け係数と一致度の積の和を求め、該和の値と所定の
値との比較により、同一者による不正アクセス情報を判
定することを特徴とする。
【0008】これにより、同一者判定手段は、不正アク
セス情報間において、該不正アクセス情報に含まれる同
種の項目毎に情報の一致度を算出し、各項目に予め定め
た重み付け係数と一致度の積の和を求め、該和の値と所
定の値との比較により、同一者による不正アクセス情報
を判定するので、同一者であるか判断するための項目に
ついて、その時々の不正アクセスの手口や手法の傾向を
考慮して、重み付け係数を変更し、より精度良く同一者
を判定することができる。
【0009】また、本発明による不正アクセス監視シス
テムにおいては、上記不正者判別手段において、不正ア
クセス行為が、正規利用者のIDを用いたパスワード解
析行為と判断された場合、該正規利用者および/または
所定の連絡先へ、警戒を促す警報情報を送信する警報情
報送信手段を更に具備することを特徴とする。
【0010】これにより、不正者判別手段において、不
正アクセス行為が、正規利用者のIDを用いたパスワー
ド解析行為と判断された場合、該正規利用者および/ま
たは所定の連絡先へ、警戒を促す警報情報を送信する警
報情報送信手段を更に具備するので、不正者によるパス
ワード解析行為の対象となっている正規利用者や、該正
規利用者が利用する端末を管理するネットワーク管理者
など所定の連絡先へ電子メールなどで警戒を促す警報情
報を送信することができる。
【0011】また、本発明による不正アクセス監視シス
テムにおいては、上記同一者による不正アクセス情報
を、該同一者の識別情報に関連付けて格納する不正者情
報データベースと、上記コンピュータシステムに関する
ネットワークの構成情報であるネットワーク地図情報を
格納するシステム情報データベースと、不正アクセス情
報データベースと、システム情報データベースを参照し
て、ネットワーク地図と不正アクセスとの関係を示す不
正アクセス状況図を作成する不正アクセス状況図作成手
段とを更に具備することを特徴とする。
【0012】これにより、同一者による不正アクセス情
報を、該同一者の識別情報に関連付けて格納する不正者
情報データベースと、上記コンピュータシステムに関す
るネットワークの構成情報であるネットワーク地図情報
を格納するシステム情報データベースと、不正アクセス
情報データベースと、システム情報データベースを参照
して、ネットワーク地図と不正アクセスとの関係を示す
不正アクセス状況図を作成する不正アクセス状況図作成
手段とを更に具備するので、利用者へ視覚的に不正アク
セスの状況を把握できる不正アクセス状況図を提示でき
る。
【0013】また、本発明によるプログラムにおいて
は、ネットワークを介したコンピュータシステムへのア
クセスを監視するアクセス監視装置より、不正アクセス
または不正アクセスの可能性のあるアクセスに関する情
報を、不正アクセス情報として逐次受信する不正アクセ
ス監視システム用のプログラムであって、不正アクセス
情報を逐次格納する不正アクセス情報データベースを参
照し、不正アクセス情報間において、所定の項目に関す
る一致の度合を基に同一者による不正アクセス情報かを
判定するステップと、同一者判定手段が同一者と判定し
た複数の不正アクセス情報に対し、予め不正アクセス行
為の判断条件を格納する判断条件データベースの判断条
件を参照して不正アクセス行為であるか判断し、該同一
者が不正者であるか判別するステップとをコンピュータ
に実行させるためのプログラムである。
【0014】また、本発明によるプログラムにおいて
は、上記同一者による不正アクセス情報を、該同一者の
識別情報に関連付けて格納する不正者情報データベース
と、コンピュータシステムに関するネットワークの構成
情報であるネットワーク地図情報を格納するシステム情
報データベースとを参照して、ネットワーク地図と不正
アクセスとの関係を示す不正アクセス状況図を作成する
ステップを更にコンピュータに実行させるためのプログ
ラムである。
【0015】
【発明の実施の形態】以下、発明の実施の形態を通じて
本発明を説明する。ただし、以下の実施の形態は特許請
求の範囲に記載された発明を限定するものではなく、ま
た実施の形態の中で説明されている特徴の組み合わせの
すべてが発明の解決手段に必要であるとは限らない。ま
ず、本発明の一実施形態による不正アクセス監視システ
ムを含むシステムの全体構成について、該システムの一
例を示す図を用いて説明する。図1は、本発明の一実施
形態による不正アクセス監視システムを含むシステムの
全体構成を示すブロック図である。この図において符号
10は、ネットワーク11へ接続可能な端末A、端末
B、端末C、…(以下、端末10とする)である。12
は、外部からの不正アクセスを防ぐためのファイアウォ
ール13を介してネットワーク11へ接続するLAN
(Local Area Network)14を備え
るコンピュータシステムである。尚、端末10の中に
は、悪意をもってコンピュータシステム12へアクセス
してくる者が操作する端末も含まれる。
【0016】また、コンピュータシステム12は、不正
アクセスを監視するため以下に示す装置やシステムも具
備する。15は、ファイアウォール13やLAN14を
構築するサーバ群へのアクセスにおいて、怪しい振る舞
い(不正侵入の目的でよく行われる行為)を検出する侵
入検知装置である。尚、上記の不正侵入の目的で良く行
われる行為の具体例としては、侵入しようとするサーバ
のポートを探知するポートスキャンなどがある。
【0017】16は、ファイアウォール13からのアク
セス履歴情報と、侵入検知装置15からの検知情報とを
含むアクセス情報を受信し、不正アクセスまたは、不正
アクセスである可能性のあるアクセスに関する不正アク
セス情報を出力するアクセス監視装置である。17は、
アクセス監視装置16より不正アクセス情報を受信し、
同一者による不正アクセスを特定し、時系列で該不正ア
クセスに関する情報を管理し、コンピュータシステム1
2に対する不正アクセス状況を示す情報を出力する不正
アクセス監視システムである。尚、不正アクセス監視シ
ステム17が備える他の機能を含めた詳細な構成は後述
する。
【0018】以上の構成により、悪意のある者が操作す
る端末10より、ネットワーク11を介してコンピュー
タシステム12に不正侵入を試みるためのアクセスが行
われた場合、不正侵入を試みる行為を侵入検知装置15
が検知して、該検知情報を出力する。アクセス監視装置
16は、該検知情報とファイアウォール13より受信し
たアクセス履歴情報とを含む不正アクセス情報を、不正
アクセス監視システム17へ送信する。不正アクセス監
視システム17では、該不正アクセス情報を受信し、同
一者による不正アクセスを特定し、時系列で該不正アク
セスに関する情報を管理し、コンピュータシステム12
に対する不正アクセス状況を示す情報を適時出力する。
【0019】次に、不正アクセス監視システム17の内
部構成について図を用いて説明する。図2は、本発明の
一実施形態による不正アクセス監視システム17の概略
構成を示すブロック図である。この図において符号20
は、不正アクセス監視システム内のデータを制御する制
御部である。21は、アクセス監視装置16より不正ア
クセス情報を受信する受信処理部である。22は、不正
アクセス情報を格納する不正アクセス情報データベース
22aと、LAN14およびファイアウォール13を含
むコンピュータシステム12内のネットワークの構成情
報であるネットワーク地図情報を格納するシステム情報
データベース22bとを具備する分析用データベースで
ある。22’は、過去のアクセス履歴情報を基に不正ア
クセス者に共通の行動と判断する不正アクセス情報を、
不正アクセス情報データベース22aに格納される不正
アクセス情報より抽出する不正アクセス情報分析部であ
る。
【0020】23は、同一者による不正アクセス情報
を、該同一者の識別情報に関連付けて格納する不正者情
報データベース23aと、予め不正アクセス行為の判断
条件を格納する判断条件データベース23bとを具備す
る管理用データベースである。尚、不正者情報データベ
ース23aには、その時点で同一者による他の不正アク
セス情報があると判断できないが、不正アクセス情報分
析部22’が抽出した不正アクセス情報を更に格納す
る。24は、不正アクセス情報データベース22aを参
照し、不正アクセス情報間において、該不正アクセス情
報に含まれる同種の項目毎に情報の一致度を算出し、各
項目に予め定めた重み付け係数と一致度の積の和を求
め、該和の値と所定の値との比較により、同一者による
不正アクセス情報かを判定する同一者判定処理部であ
る。
【0021】25は、同一者判定処理部24が同一者と
判定した複数の不正アクセス情報に対し、判断条件デー
タベース23bの判断条件を参照して不正アクセス行為
であるか判断し、該同一者が不正者であるか判別する不
正者判別処理部である。26は、不正者判別処理部25
において、不正アクセス行為が、正規利用者のIDを用
いたパスワード解析行為と判断された場合、該正規利用
者および/または所定の連絡先へ、警戒を促す警報情報
を送信する警報情報送信処理部である。27は、不正者
情報データベース23aと、システム情報データベース
22bを参照して、ネットワーク地図と不正アクセスと
の関係を示す不正アクセス状況図を作成する不正アクセ
ス状況図作成処理部である。
【0022】ここで、不正者情報データベース23aの
詳細な構成について図を用いて説明する。図3は、本発
明の一実施形態における不正者情報データベース23a
の構成を示す図である。図示するように、不正アクセス
情報、不正者情報、被害対象情報から構成される。不正
アクセス情報とは、該不正アクセス情報の識別番号、同
一者と判定された場合の管理番号、不正アクセスの発生
した日時、不正者名称、不正者/正規利用者/不明の3
種類でアクセス者を識別する識別情報、アクセス元の認
証状態を安心/注意/脅威の3種類で表わす認証状態、
不正者のアドレスなどの情報である。不正者情報とは、
不正者が操作する端末10のOS(オペレーティングシ
ステム)情報、プロクシ情報、所属ドメイン情報、滞在
時間情報、再訪問レートなどの情報である。被害対象情
報とは、不正アクセスにより被害を被害対象、被害装置
情報、被害レベルなどの情報である。ブラックリストと
は、不正行為が確定した不正者に関する情報を一覧でき
るよう、上記の不正アクセス情報および不正者情報よ
り、一覧で確認したい情報を抽出して格納する。
【0023】尚、上記に示した図2の各処理部は専用の
ハードウェアにより実現されるものであってもよく、ま
た、各処理部はメモリおよびCPU(中央演算装置)に
より構成され、各処理部の機能を実現する為のプログラ
ムをメモリにロードして実行することによりその機能を
実現させるものであってもよい。また、上記メモリは、
ハードディスク装置や光磁気ディスク装置、フラッシュ
メモリ等の不揮発性のメモリや、CD−ROM等の読み
出しのみが可能な記録媒体、RAM(Random A
ccess Memory)のような揮発性のメモリ、
あるいはこれらの組み合わせによるコンピュータ読み取
り、書き込み可能な記録媒体より構成されるものとす
る。
【0024】次に、上述した不正アクセス監視システム
17において、複数の不正アクセス情報を基に不正者を
特定する動作について図を用いて説明する。図4は、本
発明の一実施形態による不正アクセス監視システム17
の動作を示すフロー図である。まず、受信処理部21が
アクセス監視装置16より不正アクセス情報を逐次受信
し、不正アクセス情報データベース22aへ格納する
(ステップS21)。次に、不正アクセス情報分析部2
2’は、不正アクセス情報データベース22aより、不
正アクセスの可能性が高いと分析される不正アクセス情
報を抽出する。次に、同一者判定処理部24は、不正ア
クセス情報分析部22’が抽出した不正アクセス情報
と、不正者情報データベース23aに格納される不正者
情報について各項目毎に内容を比較し、一致度を算出す
る(ステップS22)。尚、一致度とは、例えば、項目
がIPアドレス情報である場合、該IPアドレス(文字
列)の一致の度合を数値化したものである。
【0025】次に、同一者判定処理部24は、各項目に
予め設定した重み付けの係数と該項目の一致度の積を求
め、該積の和を求める(ステップS23)。次に、同一
者判定処理部24は、該和の値が、予め定めた基準値よ
り大きいか判断する(ステップS24)。和の値が基準
値より大きい場合(ステップS24のYES)、同一者
判定処理部24は、比較した不正アクセス情報は同一者
によるものと判定し、該同一者を識別する管理番号を付
加して、不正者情報データベース23aへ格納する(ス
テップS25)。また、和の値が基準値より小さい場合
(ステップS24のNO)、同一者判定処理部24は、
同一者によると判定せず、同一者を識別する管理番号を
付加せずに、該不正アクセス情報を不正者情報データベ
ース23aへ格納する。これは、新たに不正アクセス情
報データベース22aより抽出される不正アクセス情報
と比較して同一者と判定される可能性があるからであ
る。
【0026】次に、不正者判別処理部25は、同一者判
定処理部24が同一者と判定した複数の不正アクセス情
報に対し、判断条件データベース23bの判断条件を参
照して、時系列的にも考慮して不正アクセス行為である
か判断し、該同一者が不正者であるか判別する(ステッ
プS26)。尚、不正者判別処理部25は、不正者情報
データベース23aに格納した不正アクセス情報の内、
同一者無しと判定された不正アクセス情報は、単独で不
正アクセス行為であるかの判断を行う。また、時系列的
な考慮とは、同一利用者においてパスワードの入力ミス
が定期的に発生している場合など、所定回数を超えた時
点で不正アクセス行為と判断することである。
【0027】ここで、不正者判別処理部25が不正行為
でない場合(ステップS26のNO)、処理を終了す
る。また、不正者判別処理部25が不正行為と判別した
場合(ステップS26のYES)、制御部20は、不正
者情報データベース23aの管理番号を不正行為が確定
したことを示す識別子を含む管理番号へ変更し、ブラッ
クリストへ登録する(ステップS27)。更に、不正者
判別処理部25が該不正行為をパスワード解析行為と判
断した場合(ステップS28のYES)、警報情報送信
処理部26が、パスワード解析行為を受けた利用者の連
絡先、または該当するシステム管理者などの所定の連絡
先へ、電子メールにより警報情報の送信を行う(ステッ
プS29)。これにより、利用者、またはシステム管理
者は、パスワード変更等の適切な処置を行い、不正アク
セスを防ぐことが出来る。
【0028】更に、本発明の一実施形態における不正者
情報データベース23aの構築例を、〜までの6つ
の不正アクセスが発生した場合を例にして以下に説明す
る。図5、図6、図7は、それぞれ、図3で示した不正
アクセス情報、不正者情報、被害対象情報が、〜ま
での不正アクセスによってどう構成されるかを示す図で
ある。尚、〜までの不正アクセスは以下に示すもの
とする :ファイアウォール13内のWebサーバにポートス
キャンがかけられた。 :同WebサーバにBufferoverflow攻
撃がかけられた。 :Webサーバで管理するホームページが不正に書き
換えられた。 :正規利用者のIDで複数回のパスワードミスが発生
した。 :LAN14の管理者用パスワードが盗まれ、ハッキ
ング用プログラムが仕掛けられた。 :LAN14内の端末から、顧客管理システムへ正規
利用者のIDでパスワード解析行為が行われた。
【0029】以上の、不正アクセスに対して、不正者情
報データベース23aは、図5、図6、図7に示すよう
な情報を格納して行く。同一者判定処理部24は、図6
の不正者情報に含まれる、OS、プロキシ情報の一致
や、経路情報の一致の度合を数値化した一致度を算出
し、各項目に重み付けた係数との積をとり、該積の和を
求めることで、同一者であるかを判定する。また、の
段階で、不正者判別処理部25が、同一者の〜まで
のアクセス行為を基に、判断条件データベース23bを
参照して、不正者であると判別し、図5の6番目の項
目”識別”が、「不明」から「不正者」へ変更され、7
番目の項目”認証状態”が、「注意」から「脅威」へと
変更される。
【0030】以上に示したように、不正アクセス監視シ
ステム17は、アクセス監視装置16より、不正アクセ
ス情報を受信し、分析し、同一者からの不正アクセス情
報を特定し、不正者情報データベース23aで管理する
ことで、時系列を考慮して不正行為を判別することがで
きる。これにより、大量のアクセス情報より自動で不正
アクセスを特定できるので、専門家でなくても、大量の
アクセス情報に埋もれた、不正アクセス情報を検知する
ことができる。また、パスワード解析行為など特定の利
用者への不正行為がある場合は、該利用者や、該利用者
が利用するシステムの管理者へ警報情報を送信し、注意
を促すことができる。
【0031】次に、本発明の一実施形態における不正ア
クセス監視システム17が、不正アクセスの状況理解を
支援する動作について図を用いて説明する。尚、本実施
形態では、図10に示すような、ネットワークシステム
を視覚的に表わしたネットワーク地図上に、不正アクセ
スが行われた箇所、不正者を表わすシンボルが配置され
た不正アクセス状況図を示すことで、不正アクセスの状
況理解を支援する。
【0032】図8は、本発明の一実施形態による不正ア
クセス監視システム17が、不正アクセスの状況理解を
支援する動作を示すフロー図である。まず、利用者より
コンピュータシステム12のネットワーク構成を示すネ
ットワーク地図を描画する範囲と、該ネットワーク地図
に重ねるレイヤの層設定(レイヤ層数、各レイヤに含ま
せるシンボルの種類などの設定)等のパラメータが入力
された場合、不正アクセス状況図作成処理部27は、該
パラメータの情報を受信する(ステップS31)。尚、
ネットワーク地図の範囲の指定方法としては、コンピュ
ータシステム12の全体のネットワーク構成図を表示し
て指定させる方法や、コンピュータシステム12を予め
幾つかのブロックに分け、該ブロックを指定させる方法
などがある。
【0033】次に、不正アクセス状況図作成処理部27
は、システム情報データベース22bに格納されるコン
ピュータシステム12のネットワークシステム情報を参
照して上記で設定された範囲のネットワーク地図レイヤ
を作成する(ステップS32)。尚、この時、図9
(a)に示すような、ネットワーク地図要素として、ノ
ード、リンク、管理範囲、外部インターネットドメイン
等、などのシンボルを予め決めておき、これを利用す
る。次に、不正アクセス状況図作成処理部27は、不正
アクセス情報の描画範囲、レイヤの層設定等に関するパ
ラメータの入力を受信する(ステップS33)。次に、
不正アクセス状況図作成処理部27は、不正者情報デー
タベース23aを参照して、上記で指定された範囲にお
ける不正アクセス情報を検索する(ステップS34)。
【0034】次に、不正アクセス状況図作成処理部27
は、検索結果を全てシンボルとしてネットワーク地図に
付加したか判断する(ステップS35)。全てシンボル
として付加していない場合(ステップS35のNO)、
不正アクセス状況図作成処理部27は、不正者情報デー
タベース23aの”識別”を参照し、図9(b)に示す
ようなシンボル要素を、正規利用者/不正者/不明に分
けて決定する(ステップS36)。次に、不正アクセス
状況図作成処理部27は、不正者情報データベース23
aの”認証状態”を参照し、図9(b)に示すようなフ
レーム要素を、安心/注意/脅威にわけて決定する(ス
テップS37)。次は、ステップS35へ戻る。
【0035】以上のステップS35〜S37を繰り返
し、検索結果である不正アクセス情報を全てシンボルへ
変換し終えた場合(ステップS35のYES)、不正ア
クセス状況図作成処理部27は、図10に示すような不
正アクセス状況図を表示させる(ステップS38)。
尚、図10において、薄い色のノードおよびリンクが不
正アクセスを受けている箇所を示す。以上により、不正
アクセス監視システム17は、各種データベースより情
報を参照し、不正アクセス情報をシンボル化すること
で、不正アクセス状況図を作成し、不正アクセスの状況
理解を支援することができる。
【0036】尚、図示していないが、不正アクセス状況
図のネットワーク地図要素を色付けして、該色に種々の
意味をもたせてもよい。また、ネットワーク地図上にお
いて、シンボルとフレームの組み合わせで様々な意味を
もたせても良い。以上により、ノードの重要性(機密情
報のデータベースを備えるかどうかなど)を色で表現
し、不正アクセスとの関連性を容易に確認したりでき
る。また、ネットワークの管理範囲が明示されるので、
対象となるネットワーク管理者へ的確な指示を与えるこ
とができる。
【0037】また、図2における各種処理を行う処理部
の機能を実現する為のプログラムをコンピュータ読み取
り可能な記録媒体に記録して、この記録媒体に記録され
たプログラムをコンピュータシステムに読み込ませ、実
行することにより各処理を行っても良い。なお、ここで
いう「コンピュータシステム」とは、OSや周辺機器等
のハードウェアを含むものとする。また、「コンピュー
タシステム」とは、WWWシステムを利用している場合
であれば、ホームページ提供環境(あるいは表示環境)
も含むものとする。
【0038】また、「コンピュータ読み取り可能な記録
媒体」とは、フレキシブルディスク、光磁気ディスク、
ROM、CD−ROM等の可搬媒体、コンピュータシス
テムに内蔵されるハードディスク等の記憶装置のことを
いう。さらに「コンピュータ読み取り可能な記録媒体」
とは、インターネット等のネットワークや電話回線等の
通信回線を介してプログラムが送信された場合のサーバ
やクライアントとなるコンピュータシステム内部の揮発
メモリ(RAM)のように、一定時間プログラムを保持
しているものも含むものとする。
【0039】また、上記プログラムは、このプログラム
を記憶装置等に格納したコンピュータシステムから、伝
送媒体を介して、あるいは、伝送媒体中の伝送波により
他のコンピュータシステムに伝送されてもよい。ここ
で、プログラムを伝送する「伝送媒体」は、インターネ
ット等のネットワーク(通信網)や電話回線等の通信回
線(通信線)のように情報を伝送する機能を有する媒体
のことをいう。また、上記プログラムは、前述した機能
の一部を実現する為のものであっても良い。さらに、前
述した機能をコンピュータシステムに既に記録されてい
るプログラムとの組み合わせで実現できるもの、いわゆ
る差分ファイル(差分プログラム)であっても良い。以
上、この発明の実施形態について図面を参照して詳述し
てきたが、具体的な構成はこの実施形態に限られるもの
ではなく、この発明の要旨を逸脱しない範囲の設計等も
含まれる。
【0040】
【発明の効果】以上説明したように、本発明による不正
アクセス監視システムにおいては、不正アクセス情報を
逐次格納する不正アクセス情報データベースと、不正ア
クセス情報データベースを参照し、不正アクセス情報間
において、所定の項目に関する一致の度合を基に同一者
による不正アクセス情報かを判定する同一者判定手段
と、予め不正アクセス行為の判断条件を格納する判断条
件データベースと、同一者判定手段が同一者と判定した
複数の不正アクセス情報に対し、判断条件データベース
の判断条件を参照して不正アクセス行為であるか判断
し、該同一者が不正者であるか判別する不正者判別手段
とを具備するので、逐次増加する不正アクセス情報につ
いて、同一者によるものを判定し、更に、同一者による
複数の不正アクセス情報(不正アクセスである可能性が
ある不正アクセス情報を含む)を基に、時間的変化を考
慮して本当に不正アクセス行為であるかを判別し、不正
者を判別することができる。これにより、専門家に依頼
しなくも、大量のアクセス情報の中に埋もれている、不
正アクセス情報を自動で検出することができる。
【0041】また、本発明による不正アクセス監視シス
テムにおいては、上記同一者判定手段は、不正アクセス
情報間において、該不正アクセス情報に含まれる同種の
項目毎に情報の一致度を算出し、各項目に予め定めた重
み付け係数と一致度の積の和を求め、該和の値と所定の
値との比較により、同一者による不正アクセス情報を判
定するので、同一者であるか判断するための項目につい
て、その時々の不正アクセスの手口や手法の傾向を考慮
して、重み付け係数を変更し、より精度良く同一者を判
定することができる。これにより、状況の変化に合わせ
た柔軟な同一者の判定を行うことができる。
【0042】また、本発明による不正アクセス監視シス
テムにおいては、上記不正者判別手段において、不正ア
クセス行為が、正規利用者のIDを用いたパスワード解
析行為と判断された場合、該正規利用者および/または
所定の連絡先へ、警戒を促す警報情報を送信する警報情
報送信手段を更に具備するので、不正者によるパスワー
ド解析行為の対象となっている正規利用者や、該正規利
用者が利用する端末を管理するネットワーク管理者など
所定の連絡先へ電子メールなどで警戒を促す警報情報を
送信することができる。これにより、迅速に不正アクセ
スへの対処を行うことができ、不正者の侵入による被害
を防ぐことができる。
【0043】また、本発明による不正アクセス監視シス
テムにおいては、上記同一者による不正アクセス情報
を、該同一者の識別情報に関連付けて格納する不正者情
報データベースと、上記コンピュータシステムに関する
ネットワークの構成情報であるネットワーク地図情報を
格納するシステム情報データベースと、不正アクセス情
報データベースと、システム情報データベースを参照し
て、ネットワーク地図と不正アクセスとの関係を示す不
正アクセス状況図を作成する不正アクセス状況図作成手
段とを更に具備するので、利用者へ視覚的に不正アクセ
スの状況を把握できる不正アクセス状況図を提示でき
る。これにより、ネットワークの専門家でない経営者
へ、ネットワーク資源の価値と、それを不正アクセスか
ら守るための防衛システムの構築費用とを、考慮した経
営的判断を支援することもできる。また、チームで不正
アクセスに対処する時も、チーム全員が共通の認識を視
覚的に得ることができる。
【図面の簡単な説明】
【図1】 本発明の一実施形態による不正アクセス監視
システムを含むシステムの全体構成を示すブロック図で
ある。
【図2】 本発明の一実施形態による不正アクセス監視
システム17の概略構成を示すブロック図である。
【図3】 本発明の一実施形態における不正者情報デー
タベース23aの構成を示す図である。
【図4】 本発明の一実施形態による不正アクセス監視
システム17の動作を示すフロー図である。
【図5】 本発明の一実施形態による図3で示した不正
アクセス情報が、不正アクセスによってどう構成される
かを示す図である。。
【図6】 本発明の一実施形態による図3で示した不正
者情報が、不正アクセスによってどう構成されるかを示
す図である。
【図7】 本発明の一実施形態による図3で示した被害
対象情報が、不正アクセスによってどう構成されるかを
示す図である。
【図8】 本発明の一実施形態による不正アクセス監視
システム17が、不正アクセスの状況理解を支援する動
作を示すフロー図である。
【図9】 本発明の一実施形態による不正アクセス状況
図に用いるネットワーク地図要素、シンボル要素、フレ
ーム要素を示す図である。
【図10】 本発明の一実施形態における不正アクセス
状況図を示す図である。
【符号の説明】
10 端末A、端末B、端末C、…(端末10) 11 ネットワーク 12 コンピュータシステム 13 ファイアウォール 14 LAN 15 侵入検知装置 16 アクセス監視装置 17 不正アクセス監視システム 20 制御部 21 受信処理部 22 分析用データベース 22a 不正アクセス情報データベース 22b システム情報データベース 22’ 不正アクセス情報分析部 23 管理用データベース 23a 不正者情報データベース 23b 判断条件データベース 24 同一者判定処理部 25 不正者判別処理部 26 警報情報送信処理部 27 不正アクセス状況図作成処理部
───────────────────────────────────────────────────── フロントページの続き (72)発明者 小貫 龍也 東京都江東区豊洲三丁目3番3号 株式会 社エヌ・ティ・ティ・データ内 (72)発明者 桑田 喜隆 東京都江東区豊洲三丁目3番3号 株式会 社エヌ・ティ・ティ・データ内 Fターム(参考) 5B017 AA03 AA07 BA06 BB06 5B085 AC11 AE00 BA07 BG07 5B089 GA19 GB01 KA17 KB13 MC02 MC08

Claims (6)

    【特許請求の範囲】
  1. 【請求項1】 ネットワークを介したコンピュータシス
    テムへのアクセスを監視するアクセス監視装置より、不
    正アクセスまたは不正アクセスの可能性のあるアクセス
    に関する情報を、不正アクセス情報として逐次受信する
    不正アクセス監視システムであって、 前記不正アクセス情報を逐次格納する不正アクセス情報
    データベースと、 前記不正アクセス情報データベースを参照し、不正アク
    セス情報間において、所定の項目に関する一致の度合を
    基に同一者による不正アクセス情報かを判定する同一者
    判定手段と、 予め不正アクセス行為の判断条件を格納する判断条件デ
    ータベースと、 前記同一者判定手段が同一者と判定した複数の不正アク
    セス情報に対し、前記判断条件データベースの判断条件
    を参照して不正アクセス行為であるか判断し、該同一者
    が不正者であるか判別する不正者判別手段とを具備する
    ことを特徴とする不正アクセス監視システム。
  2. 【請求項2】 前記同一者判定手段は、不正アクセス情
    報間において、該不正アクセス情報に含まれる同種の項
    目毎に情報の一致度を算出し、各項目に予め定めた重み
    付け係数と前記一致度の積の和を求め、該和の値と所定
    の値との比較により、同一者による不正アクセス情報を
    判定することを特徴とする請求項1に記載の不正アクセ
    ス監視システム。
  3. 【請求項3】 前記不正者判別手段において、前記不正
    アクセス行為が、正規利用者のIDを用いたパスワード
    解析行為と判断された場合、 該正規利用者および/または所定の連絡先へ、警戒を促
    す警報情報を送信する警報情報送信手段を更に具備する
    ことを特徴とする請求項1または請求項2に記載の不正
    アクセス監視システム。
  4. 【請求項4】 前記同一者による不正アクセス情報を、
    該同一者の識別情報に関連付けて格納する不正者情報デ
    ータベースと、 前記コンピュータシステムに関するネットワークの構成
    情報であるネットワーク地図情報を格納するシステム情
    報データベースと、 前記不正者情報データベースと、前記システム情報デー
    タベースを参照して、ネットワーク地図と不正アクセス
    との関係を示す不正アクセス状況図を作成する不正アク
    セス状況図作成手段とを更に具備することを特徴とする
    請求項1から請求項3のいずれかに記載の不正アクセス
    監視システム。
  5. 【請求項5】 ネットワークを介したコンピュータシス
    テムへのアクセスを監視するアクセス監視装置より、不
    正アクセスまたは不正アクセスの可能性のあるアクセス
    に関する情報を、不正アクセス情報として逐次受信する
    不正アクセス監視システム用のプログラムであって、 前記不正アクセス情報を逐次格納する不正アクセス情報
    データベースを参照し、不正アクセス情報間において、
    所定の項目に関する一致の度合を基に同一者による不正
    アクセス情報かを判定するステップと、 前記同一者判定手段が同一者と判定した複数の不正アク
    セス情報に対し、予め不正アクセス行為の判断条件を格
    納する判断条件データベースの判断条件を参照して不正
    アクセス行為であるか判断し、該同一者が不正者である
    か判別するステップとをコンピュータに実行させるため
    のプログラム。
  6. 【請求項6】 前記同一者による不正アクセス情報を、
    該同一者の識別情報に関連付けて格納する不正者情報デ
    ータベースと、前記コンピュータシステムに関するネッ
    トワークの構成情報であるネットワーク地図情報を格納
    するシステム情報データベースとを参照して、ネットワ
    ーク地図と不正アクセスとの関係を示す不正アクセス状
    況図を作成するステップを更にコンピュータに実行させ
    るための請求項5に記載のプログラム。
JP2001137178A 2001-05-08 2001-05-08 不正アクセス監視システムおよびそのプログラム Pending JP2002334061A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001137178A JP2002334061A (ja) 2001-05-08 2001-05-08 不正アクセス監視システムおよびそのプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001137178A JP2002334061A (ja) 2001-05-08 2001-05-08 不正アクセス監視システムおよびそのプログラム

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2004379182A Division JP2005190484A (ja) 2004-12-28 2004-12-28 不正アクセス監視システムおよびそのプログラム

Publications (1)

Publication Number Publication Date
JP2002334061A true JP2002334061A (ja) 2002-11-22

Family

ID=18984322

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001137178A Pending JP2002334061A (ja) 2001-05-08 2001-05-08 不正アクセス監視システムおよびそのプログラム

Country Status (1)

Country Link
JP (1) JP2002334061A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007122749A (ja) * 2002-06-28 2007-05-17 Oki Electric Ind Co Ltd 警戒システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法
JP2018501694A (ja) * 2014-11-21 2018-01-18 シマンテック コーポレーションSymantec Corporation 無認可のネットワーク侵入から保護するシステム及び方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10107795A (ja) * 1996-09-30 1998-04-24 Hitachi Software Eng Co Ltd ネットワーク管理システム
JPH10340254A (ja) * 1997-04-11 1998-12-22 Hitachi Ltd 不正利用検出可能ネットワークシステム
JP2000148276A (ja) * 1998-11-05 2000-05-26 Fujitsu Ltd セキュリティ監視装置,セキュリティ監視方法およびセキュリティ監視用プログラム記録媒体

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10107795A (ja) * 1996-09-30 1998-04-24 Hitachi Software Eng Co Ltd ネットワーク管理システム
JPH10340254A (ja) * 1997-04-11 1998-12-22 Hitachi Ltd 不正利用検出可能ネットワークシステム
JP2000148276A (ja) * 1998-11-05 2000-05-26 Fujitsu Ltd セキュリティ監視装置,セキュリティ監視方法およびセキュリティ監視用プログラム記録媒体

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007122749A (ja) * 2002-06-28 2007-05-17 Oki Electric Ind Co Ltd 警戒システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法
JP2018501694A (ja) * 2014-11-21 2018-01-18 シマンテック コーポレーションSymantec Corporation 無認可のネットワーク侵入から保護するシステム及び方法

Similar Documents

Publication Publication Date Title
US11916944B2 (en) Network anomaly detection and profiling
US11838117B2 (en) Systems and methods for detecting and mitigating cyber security threats
EP2892197B1 (en) Determination of a threat score for an IP address
US6405318B1 (en) Intrusion detection system
US7962960B2 (en) Systems and methods for performing risk analysis
Jajodia et al. Topological vulnerability analysis: A powerful new approach for network attack prevention, detection, and response
US20160182545A1 (en) Methods, systems, and media for masquerade attack detection by monitoring computer user behavior
US9008617B2 (en) Layered graphical event mapping
Sandhu et al. A survey of intrusion detection & prevention techniques
KR102024142B1 (ko) 사용자의 서버접근 패턴 기반 이상 사용자를 탐지 및 제어하는 접근통제 시스템
US20050144480A1 (en) Method of risk analysis in an automatic intrusion response system
CN112787992A (zh) 一种敏感数据的检测与防护的方法、装置、设备和介质
US11677763B2 (en) Consumer threat intelligence service
Awan et al. Identifying cyber risk hotspots: A framework for measuring temporal variance in computer network risk
US20220164892A1 (en) Systems and methods for detecting and mitigating cyber security threats
JP2002334061A (ja) 不正アクセス監視システムおよびそのプログラム
Ula et al. Towards The Secure Internet of Things: Threats and Solution
Gauhar Fatima et al. A Study on Intrusion Detection
JP2005190484A (ja) 不正アクセス監視システムおよびそのプログラム
Kant How Cyber Threat Intelligence (CTI) Ensures Cyber Resilience Using Artificial Intelligence and Machine Learning
Goss et al. Utilizing fuzzy logic and neural networks for effective, preventative intrusion detection in a wireless environment
Malik et al. Monitoring and Evaluating Open Wireless LAN using Hybrid IDS
Lozito Mitigating risk: Analysis of security information and event management
Satti et al. Information security on Internet enterprise managed intrusion detection system (EMIDS)
Palekar et al. Complete Study Of Intrusion Detection System

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040727

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040922

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20041102

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20050405