JP2002342279A - フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム - Google Patents

フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム

Info

Publication number
JP2002342279A
JP2002342279A JP2001388444A JP2001388444A JP2002342279A JP 2002342279 A JP2002342279 A JP 2002342279A JP 2001388444 A JP2001388444 A JP 2001388444A JP 2001388444 A JP2001388444 A JP 2001388444A JP 2002342279 A JP2002342279 A JP 2002342279A
Authority
JP
Japan
Prior art keywords
request
access
unauthorized
server
response
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001388444A
Other languages
English (en)
Inventor
Hitoshi Mitomo
仁史 三友
Satoru Torii
悟 鳥居
Masatake Kotani
誠剛 小谷
Fumie Takizawa
文恵 滝沢
Koshio Ono
越夫 小野
Osamu Koyano
修 小谷野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2001388444A priority Critical patent/JP2002342279A/ja
Priority to US10/087,807 priority patent/US20020133606A1/en
Publication of JP2002342279A publication Critical patent/JP2002342279A/ja
Pending legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】 不正クライアントと認定されていないクライ
アントからの不正アクセスに対してもサーバを防御する
こと。 【解決手段】 Webサーバ40に対する不正アクセス
のパターンを格納した不正リクエストDB(データベー
ス)33と、不正リクエストDB33に格納された不正
アクセスのパターンおよび所定の見積ルール32aに基
づいてクライアント装置10からのアクセス要求の正当
性を見積もる見積部32と、見積部32による見積結果
および所定の判定ルール34aに基づいてアクセス要求
をWebサーバ40に受け渡すか否かを判定する判定部
34とを備える。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】この発明は、クライアントと
該クライアントからのアクセス要求に応じてサービスを
提供するサーバとの間に介在し、前記アクセス要求のう
ちの正当なアクセス要求のみを前記サーバに受け渡すフ
ィルタリング装置、フィルタリング方法およびこの方法
をコンピュータに実行させるプログラムに関する。
【0002】近時、ネットワーク技術の進展に伴って、
インターネット上の分散システムであるWWW(World
Wide Web)の利用が急速に拡大し、クライアントから
の各種のリクエスト(アクセス要求)に応じて各種のサ
ービスを提供する各種HTTPサーバも累増してきた
が、かかるサーバの累増にともなって、クライアントに
よるサーバへの不正アクセスも増加しつつある。
【0003】すなわち、侵入者(イントルーダ)や攻撃
者(アタッカ)が企業、団体、個人などのサーバを無権
限で不正に利用したり、運用を妨害したり、破壊(クラ
ック)など、サーバを利用する者がその者に与えられた
権限により許された行為以外の行為をネットワークを介
して意図的におこなうという不正アクセスが増加してい
る。このため、サーバに対する不正アクセスを拒絶する
ことによりサーバの信頼性を確保する必要性が高まりつ
つある。
【0004】
【従来の技術】従来より、クライアントによる不正アク
セスからサーバを守るために、インターネットと企業L
AN(Local Area Network)との間にファイアウォー
ル(Fire Wall)を構築することが一般的におこなわれ
ている。
【0005】このファイアウォールは、インターネット
に接続したコンピュータやネットワークへの外部からの
侵入を防ぐためのソフトウエアであり、企業LANとイン
ターネットの間に、特定のデータやプロトコルだけを通
すように設計されたファイアウォール用のコンピュータ
を置き、LAN内と外部とのデータ交換はすべてこのマシ
ンを通しておこなうことにより、外部からの侵入を防ぐ
というものである。
【0006】また、このファイアウォールに関連して、
ネットワークベースあるいはホストベースの不正アクセ
ス検知手法がある。前者のネットワークベースの不正ア
クセス検知手法は、ネットワークを流れる生のパケット
を監視することにより不正アクセスを発見するものであ
り、後者のホストベースの不正アクセス検知手法は、ホ
ストに蓄えられたログ履歴を監視することにより不正ア
クセスを発見するものである。
【0007】そして、このような不正アクセス検知手法
により発見された不正アクセスに基づいて不正アクセス
の送信元クライアントを突き止め、この不正アクセスを
おこなったクライアントのIPアドレスなどの送信元情
報をファイアウォール用のコンピュータ内に蓄積するこ
とにより、この送信元情報を含んだクライアントからの
アクセス要求を不正アクセスとして拒絶することがファ
イアウォールにおいて一般的におこなわれている。
【0008】
【発明が解決しようとする課題】しかしながら、上記の
従来技術は、過去に不正アクセスをおこなったクライア
ントを不正クライアントと認定し、この不正クライアン
トからのアクセス要求を不正アクセスとして拒絶するも
のであるため、不正クライアントと認定された後の不正
アクセスに対してはサーバを防御することができるが、
不正クライアントと認定されていないクライアントから
の不正アクセスに対してはサーバを防御することができ
ないという問題点があった。すなわち、不正クライアン
トと認定される前の初回の不正アクセスに対してはサー
バを防御することができない。
【0009】このため、不正クライアントと認定されて
いないクライアントからの不正アクセスに対していかに
サーバを防御するかが極めて重要な課題となっており、
望ましくは、アクセス要求の送信元情報を考慮すること
なく、正当なアクセス要求であるか不正なアクセス要求
であるか否かを判定する枠組みが必要とされている。
【0010】そこで、この発明は、上述した従来技術に
よる問題点を解消するためになされたものであり、不正
クライアントと認定されていないクライアントからの不
正アクセスに対してもサーバを防御することができるフ
ィルタリング装置、フィルタリング方法およびこの方法
をコンピュータに実行させるプログラムを提供すること
を目的とする。
【0011】
【課題を解決するための手段】上述した課題を解決し、
目的を達成するため、請求項1、8または9の発明によ
れば、図1に示す見積部32は、Webサーバ40に対
する不正アクセスのパターンを格納した不正リクエスト
DB(データベース)33を参照し、不正アクセスのパ
ターンおよび所定の見積ルール32aに基づいてクライ
アント装置10からのアクセス要求の正当性を見積も
り、判定部34は、見積部32による見積結果および所
定の判定ルール34aに基づいてアクセス要求をWeb
サーバ40に受け渡すか否かを判定することとしたの
で、アクセス要求の送信元情報ではなくアクセス要求の
具体的な要求内容に基づいて不正アクセスであるか否か
を判定することができる。これにより、正当なアクセス
要求のみをWebサーバ40に受け渡すことができ、も
って不正クライアントと認定されていないクライアント
装置10からの不正アクセスに対してもWebサーバ4
0を防御することができる。
【0012】また、請求項2の発明によれば、図1に示
す見積部32は、クライアント装置10からのアクセス
要求が不正リクエストDB33に格納された不正アクセ
スのパターンのいずれかに該当する場合に該アクセス要
求は不正アクセスである旨を見積もるとともに、クライ
アント装置10からのアクセス要求が不正リクエストD
B33に格納された不正アクセスのパターンのいずれに
も該当しない場合に該アクセス要求は正当アクセスであ
る旨を見積もり、判定部34は、見積部32により不正
アクセスである旨が見積もられたアクセス要求をWeb
サーバ40に受け渡さないものと判定するとともに、見
積部32により正当アクセスである旨が見積もられたア
クセス要求をWebサーバ40に受け渡すものと判定す
ることとしたので、アクセス要求が不正リクエストのパ
ターンに一致するか否かによって不正アクセスであるか
否かを迅速かつ確実に判定することができ、もって不正
クライアントと認定されていないクライアント装置10
からの不正アクセスに対しても迅速かつ確実にWebサ
ーバ40を防御することができる。
【0013】また、請求項3の発明によれば、図1に示
す見積部32は、クライアント装置10からのアクセス
要求が不正リクエストDB33に格納された不正アクセ
スのパターンに該当する度合に応じて所定の見積値を算
出し、判定部34は、見積部32により算出された見積
値と所定の閾値とを比較してアクセス要求をWebサー
バ40に受け渡すか否かを判定することとしたので、見
積値および閾値の比較によってある程度の幅を持たせて
不正アクセスであるか否かを判定することができ、もっ
て不正クライアントと認定されていないクライアント装
置10からの不正アクセスに対してもある程度の幅を持
ってWebサーバ40を防御することができる。
【0014】また、請求項4の発明によれば、図5に示
す事前判定部71は、見積部32による正当性の見積も
りの前に、Webサーバ40に対する正当アクセスのパ
ターンを格納した正当リクエストDB72を参照し、ク
ライアント装置10からのアクセス要求が正当リクエス
トDB72に格納された正当アクセスのパターンのいず
れかに該当するか否かを判定し、見積部32は、事前判
定部71により正当アクセスのパターンに該当しないも
のと判定されたアクセス要求のみについて正当性を見積
もることとしたので、正当アクセスのパターンと一致す
るアクセス要求については正当性を見積もることなくW
ebサーバ40に受け渡す一方、正当アクセスのパター
ンと一致しないアクセス要求のみについて正当性を見積
もることができ、もって不正アクセスであるか否かを全
体としてより迅速に判定することができる。
【0015】また、請求項5の発明によれば、図1に示
す外部通報部37は、所定の通報ルール37aに基づい
て、判定部34によりWebサーバ40に受け渡さない
ものと判定されたアクセス要求を所定の外部装置50に
送信することとしたので、不正アクセスに関する情報を
Webサーバ40の管理者、リクエストフィルタ30の
管理者、サーバ装置20全体の管理者、ネットワーク全
般を監視する公的な機関の管理者などに迅速に通報する
ことができ、もってかかる管理者に対しWebサーバ4
0の保全対策を迅速に促すことができる。
【0016】また、請求項6の発明によれば、図1に示
すログ管理部36は、所定の管理ルール36aに基づい
て、判定部34によりWebサーバ40に受け渡さない
ものと判定されたアクセス要求を所定の格納媒体36b
に格納することとしたので、格納媒体36bに格納され
た不正アクセスに関する情報を分析することなどがで
き、もってWebサーバ40の更なる保全対策を講じる
ことができる。
【0017】また、請求項7の発明によれば、図1に示
す更新部39は、所定の更新ルール39aに基づいて、
不正リクエストDB33、正当リクエストDB72(図
5に示す)、見積ルール32a、判定ルール34a、通
報ルール37a、管理ルール36aまたは更新ルール3
9aを更新することとしたので、新たに発見された不正
アクセスのパターンを不正リクエストDB33に登録す
ることなどができ、もって日々進化する不正アクセスに
対して機動的に対応することができる。
【0018】
【発明の実施の形態】以下に添付図面を参照して、この
発明に係るフィルタリング装置、フィルタリング方法、
およびその方法をコンピュータに実行させるプログラム
の好適な実施の形態を詳細に説明する。なお、以下に示
す実施の形態1〜3では、本発明に係るフィルタリング
技術を、クライアント装置からのHTTP(HyperText
Transfer protocol)リクエストに応じてサービスを
提供するサーバ装置に適用した場合について説明する。
【0019】(実施の形態1)本実施の形態1では、ク
ライアント装置からのHTTPリクエストが不正リクエ
ストのパターンに一致するか否かによって不正アクセス
であるか否かを判定する場合について説明する。
【0020】(1)システムの全体構成 まず最初に、本実施の形態1に係るサーバクライアント
システムの構成について説明する。図1は、本実施の形
態1に係るサーバクライアントシステムの構成を示すブ
ロック図である。同図に示すように、本実施の形態1に
係るサーバクライアントシステムは、Webブラウザ1
1をそれぞれ有する複数のクライアント装置10と、フ
ィルタリング装置としてのリクエストフィルタ30およ
びWebサーバ40を有するサーバ装置20とを、イン
ターネットなどのネットワーク1を介して相互に通信可
能に接続して構成される。
【0021】概略的に、このサーバクライアントシステ
ムにあっては、クライアント装置10は、Webブラウ
ザ11によりサーバ装置20に対してHTTPリクエス
トなどの各種の処理要求をおこない、サーバ装置20の
Webサーバ40は、クライアント装置10からのHT
TPリクエストに応じたサービスをクライアント装置1
0に提供する。そして、サーバ装置20のリクエストフ
ィルタ30は、クライアント装置10とWebサーバ4
0との間に介在し、クライアント装置10からのHTT
Pリクエストのうちの正当なリクエストのみをWebサ
ーバ40に受け渡す。
【0022】ここで、本実施の形態1に係るサーバクラ
イアントシステムは、サーバ装置20のリクエストフィ
ルタ30によるフィルタリング処理に特徴があり、具体
的には、リクエストフィルタ30の見積部32は、クラ
イアント装置10からのHTTPリクエストが不正リク
エストDB33に格納された不正アクセスのパターンの
いずれかに該当する場合には不正アクセスである旨を見
積もり、判定部34は、見積部32により不正アクセス
である旨が見積もられたHTTPリクエストをWebサ
ーバ40に受け渡さないものと判定することにより、H
TTPリクエストの送信元情報を問題とすることなく、
正当なHTTPリクエストのみをWebサーバ40に受
け渡すことができるように構成している。
【0023】(2)クライアント装置の構成 次に、図1に示したクライアント装置10の構成につい
て説明する。同図に示すように、クライアント装置10
は、Webブラウザ11を備え、基本的には、サーバ装
置20に対してHTTPリクエストなどの処理要求をお
こない、サーバ装置20のWebサーバ40により提供
されるWebデータを解釈して、モニタなどの出力部に
表示させる表示制御(ブラウズ処理)をおこなう。
【0024】そして、このクライアント装置10は、悪
意を持った使用方法によってサーバ装置20に対して不
正アクセスをおこなうことができる装置でもある。すな
わち、クライアント装置10は、侵入者(イントルー
ダ)や攻撃者(アタッカ)などの悪意を持ったユーザの
使用によっては、Webサーバ40上のパスワードファ
イルなどのリモートユーザが見るべきでないファイルを
見たり、Webサーバ40上に存在しないファイルをリ
クエストしてWebサーバ40の機能を停止させたり、
コマンド文字列を含んだリクエストによりWebサーバ
40上で任意のシステムコマンドを実行するなどの不正
アクセスをおこない得るものである。このようなクライ
アント装置10による不正アクセスに対してWebサー
バ40を防御するのがリクエストフィルタ30の役割で
ある。
【0025】なお、クライアント装置10は、たとえ
ば、パーソナルコンピュータやワークステーション、家
庭用ゲーム機、インターネットTV、PDA(Personal
Digital Assistant)、あるいは、携帯電話やPHS
(Personal Handy Phone System)の如き移動体通信
端末によって実現することができる。また、クライアン
ト装置10は、モデム、TA、ルータなどの通信装置と
電話回線を介して、あるいは、専用線を介して、ネット
ワーク1に接続されており、所定の通信規約(たとえ
ば、TCP/IPインターネットプロトコル)に従って
サーバ装置20にアクセスすることができる。
【0026】(3)サーバ装置におけるWebサーバの
構成 次に、図1に示したサーバ装置20におけるWebサー
バ40の構成について説明する。同図に示すように、サ
ーバ装置20のWebサーバ40は、リクエストフィル
タ30を介してクライアント装置10からのHTTPリ
クエストを受信し、このHTTPリクエストに応じてH
TML(HyperText Markup Language)などのマーク
アップ言語により記述された各種の情報を送信するなど
のサービスをクライアント装置10に提供する。
【0027】このWebサーバ40は、機能概念的に
は、一般的なWebサーバと同様の動作をおこなうもの
であるが、ここでのWebサーバ40は、一般的なWe
bサーバと異なり、サーバ装置20においてHTTPリ
クエストに割り当てられるポート番号80のTCP(Tr
ansmission Control Protocol)ポートを監視するこ
とはおこなわない。
【0028】すなわち、クライアント装置10からのH
TTPリクエストをWebサーバ40により直接に受信
するのではなく、リクエストフィルタ30がHTTPリ
クエストを受信し、プロセス間通信をおこなって正当な
HTTPリクエストのみをWebサーバ40に受け渡す
こととしている。
【0029】(4)サーバ装置におけるリクエストフィ
ルタの構成 次に、図1に示したサーバ装置20におけるリクエスト
フィルタ30の構成について説明する。同図に示すよう
に、リクエストフィルタ30は、受信部31と、見積部
32と、不正リクエストDB33と、判定部34と、送
信部35と、ログ管理部36と、外部通報部37と、外
部情報取得部38と、更新部39とを備える。
【0030】このうち、受信部31は、サーバ装置20
におけるポート番号80のTCPポートを監視して、ク
ライアント装置10からのHTTPリクエストをWeb
サーバ40が受信する前に受信する処理部である。な
お、受信部31によりクライアント装置10から受信し
たHTTPリクエストは、見積部32および送信部35
に出力される。
【0031】見積部32は、不正リクエストDB33に
格納された不正アクセスのパターンおよび所定の見積ル
ール32aに基づいてHTTPリクエストの正当性を見
積もり、その見積結果を判定部34に出力する処理部で
ある。
【0032】ここで、見積部32が見積もりに際して参
照する不正リクエストDB33について説明する。図2
は、不正リクエストDB33に格納される情報の構成例
を示す図である。同図に示すように、不正リクエストD
B33は、サーバに対する不正アクセスのパターンを格
納したデータベースであり、ネットワーク世界で収集さ
れた不正アクセスを図示のような形式言語を用いて記述
した複数のパターンを記憶している。
【0033】例えば、同図に示す「URL=<//」の
パターンは、URL(Uniform Resource Locator)の
先頭が「//」である不正リクエストを意味し、「CG
I==phf、ARG=<Qname=root%O
A」のパターンは、CGI(Common Gateway Interfa
ce)名が「phf」であり、そのある引数の先頭が「Q
name=root%OA」である不正リクエストを意
味し、「URL<>..¥..¥..¥..」のパター
ンは、URLに「..¥..¥..¥..」が含まれる
不正リクエストを意味し、「CGI>=.htr」のパ
ターンは、CGI名の末尾が「.htr」である不正リ
クエストを意味する。
【0034】なお、図2には示していないが、不正リク
エストDB33には、Webサーバ40上で任意のシス
テムコマンドを実行するような不正なコマンド文字列も
複数記憶されている。このようなコマンド文字列のパタ
ーンを記憶することにより、攻撃方法が既知である不正
アクセスだけでなく、攻撃方法が未知である不正アクセ
スに対してもWebサーバ40を防御することができ
る。
【0035】このような不正リクエストDB33を参照
することにより、見積部32は、所定の見積ルール32
aに基づいてHTTPリクエストの正当性の見積もりを
おこなう。具体的には、HTTPリクエストが不正リク
エストDB33に格納された不正アクセスのパターンの
いずれかに該当する場合には、該HTTPリクエストは
不正アクセスである旨を見積もり、一方、HTTPリク
エストが不正リクエストDB33に格納された不正アク
セスのパターンのいずれにも該当しない場合には、該H
TTPリクエストは正当アクセスである旨を見積もる。
【0036】図1の説明に戻ると、判定部34は、見積
部32から受け取った見積結果および所定の判定ルール
34aに基づいてHTTPリクエストをWebサーバ4
0に受け渡すか否かを判定し、この判定結果を送信部3
5に出力する処理部である。具体的には、見積部32か
ら不正アクセスである旨の見積結果を受け取った場合に
は、HTTPリクエストをWebサーバ40に受け渡さ
ないものと判定し(不可判定)、一方、見積部32から
正当アクセスである旨の見積結果を受け取った場合に
は、HTTPリクエストをWebサーバ40に受け渡す
ものと判定する(可判定)。
【0037】送信部35は、判定部34から受け取った
判定結果に基づいて、受信部31から受け取ったHTT
Pリクエストの送信を制御する処理部である。具体的に
は、判定部34から可判定を受け取った場合には、HT
TPリクエストをプロセス間通信によりWebサーバ4
0に受け渡す。一方、判定部34から不可判定を受け取
った場合には、HTTPリクエストのWebサーバ40
への受け渡しを拒絶して、この不正リクエストを破棄す
る。
【0038】ログ管理部36は、所定の管理ルール36
aに基づいて、判定部34によりWebサーバ40に受
け渡さないものと判定された不正リクエストに係る情報
を格納媒体36bに格納して管理する処理部である。具
体的には、管理ルール36aに基づいて、不正リクエス
トの内容、送信元情報(IPアドレスやホスト名)、送
信時刻、見積部32による見積結果の根拠、判定部34
による判定結果の根拠などの不正リクエストに係る情報
を選択的に編集するとともに、この選択編集された情報
を不正リクエストの攻撃性の高低などに応じて選択的に
格納媒体36bに格納する。例えば、攻撃性の高い不正
リクエストのみを格納するなどである。
【0039】なお、格納媒体36bに格納された情報
は、該格納媒体36bを取り出すことや通信回線を介す
ることなどによりサーバ装置20の外部に出力すること
ができ、さらに、格納媒体36bに格納された情報を分
析して不正アクセスの傾向などを解析することにより、
Webサーバ40の更なる保全のために対策を講じるこ
ともできる。
【0040】外部通報部37は、所定の通報ルール37
aに基づいて、判定部34によりWebサーバ40に受
け渡さないものと判定された不正リクエストに係る情報
を外部装置50に通報する処理部である。具体的には、
ログ管理部36による処理と同様、通報ルール37aに
基づいて、不正リクエストの内容、送信元情報(IPア
ドレスやホスト名)、送信時刻、見積部32による見積
結果の根拠、判定部34による判定結果の根拠などの不
正リクエストに係る情報を選択的に編集するとともに、
この選択編集された情報を不正リクエストの攻撃性の高
低などに応じて選択的に外部装置50に通報する。
【0041】この外部通報部37から通報を受ける外部
装置50は、Webサーバ40の管理者、リクエストフ
ィルタ30の管理者、サーバ装置20全体の管理者、ネ
ットワーク全般を監視する公的な機関(管理センタ)の
管理者など(以下、これらを総称して「管理者」とい
う。)が操作する通信装置である。そして、外部通報部
37は、例えば、攻撃性の高い不正リクエストについて
はリアルタイムで迅速に管理者に通報し、攻撃性の低い
不正リクエストについては非リアルタイムで一括して管
理者に通報するなどして、かかる通報を受ける管理者に
対してWebサーバ40の保全対策を迅速に促すことが
できる。
【0042】外部情報取得部38は、所定の取得ルール
38aに基づいて、更新部39による更新処理に用いら
れる情報を、外部装置50やWebサーバ40などのリ
クエストフィルタ30の外部から能動的または受動的に
取得する処理部である。例えば、管理者が外部装置50
を介して入力した新たな不正リクエストのパターンや、
管理者が外部装置50を介して入力した見積ルール32
aの変更指示情報などを取得するほか、不正リクエスト
による被害を受けたWebサーバ40から被害の状況や
不正アクセスの内容などの情報を取得する。なお、所定
の取得ルール38aは、権限が認証された管理者からの
情報のみを取得するなどの規則である。
【0043】更新部39は、所定の更新ルール39aに
基づいて、不正リクエストDB33、見積ルール32
a、判定ルール34a、管理ルール36a、通報ルール
37a、取得ルール38aまたは更新ルール39aに格
納された情報を更新する処理部である。例えば、外部情
報取得部38から新たな不正リクエストのパターンを受
け付けた場合には、この不正リクエストのパターンを不
正リクエストDB33に格納し、また見積ルール32a
の変更指示情報を受け付けた場合には、この変更指示情
報に応じて見積ルール32aを変更する。このような更
新処理をおこなうことにより、日々進化する不正アクセ
スに対して機動的に対応することができる。
【0044】(5)フィルタリング処理 次に、本実施の形態1によるフィルタリングの処理手順
について説明する。図3は、本実施の形態1によるフィ
ルタリングの処理手順を説明するフローチャートであ
る。同図に示すように、サーバ装置20におけるリクエ
ストフィルタ30の受信部31は、クライアント装置1
0からのHTTPリクエストをWebサーバ40が受信
する前に受信する(ステップS301)。
【0045】そして、リクエストフィルタ30の見積部
32は、不正リクエストDB33に格納された不正アク
セスのパターンおよび所定の見積ルール32aに基づい
てHTTPリクエストの正当性を見積もる(ステップS
302)。具体的には、HTTPリクエストが不正アク
セスのパターンのいずれかに該当する場合には、不正リ
クエストである旨を見積もり、一方、HTTPリクエス
トが不正アクセスのパターンのいずれにも該当しない場
合には、正当リクエストである旨を見積もる。
【0046】その後、リクエストフィルタ30の判定部
34は、見積部32から受け取った見積結果および所定
の判定ルール34aに基づいてHTTPリクエストをW
ebサーバ40に受け渡すか否かを判定する(ステップ
S303)。具体的には、見積部32により正当なリク
エストである旨が見積もられたか否かを判定する。
【0047】この判定により、正当なリクエストである
旨が見積もられたものと判定された場合には(ステップ
S303肯定)、リクエストフィルタ30の送信部35
は、HTTPリクエストをプロセス間通信によりWeb
サーバ40に受け渡し(ステップS304)、Webサ
ーバ40は、HTTPリクエストに応じた情報をクライ
アント装置10に送信するなどの正当判定時の処理をお
こなう(ステップS305)。
【0048】これとは反対に、不正なリクエストである
旨が見積もられたものと判定された場合には(ステップ
S303否定)、リクエストフィルタ30の送信部35
は、HTTPリクエストのWebサーバ40への受け渡
しを拒絶し(ステップS306)、リクエストフィルタ
30の各部は、不正リクエストの破棄、格納媒体36b
への格納、外部装置50への通報などの不正判定時の処
理をおこなう(ステップS307)。
【0049】上述してきたように、本実施の形態1によ
れば、アクセス要求の送信元情報ではなく、アクセス要
求の具体的な要求内容が不正リクエストのパターンに一
致するか否かによって不正アクセスであるか否かを迅速
かつ確実に判定することができる。これにより、不正ク
ライアントと認定されていないクライアント装置10か
らの不正アクセスに対しても迅速かつ確実にWebサー
バ40を防御することができる。
【0050】(実施の形態2)ところで、上記実施の形
態1では、クライアント装置からのHTTPリクエスト
が不正リクエストのパターンに一致するか否かによって
不正アクセスであるか否かを判定する場合について説明
したが、本発明はこれに限定されるものではなく、HT
TPリクエストが不正アクセスのパターンに該当する度
合に応じて不正アクセスであるか否かを判定する場合に
ついても同様に適用することができる。
【0051】そこで、本実施の形態2では、HTTPリ
クエストが不正アクセスのパターンに該当する度合に応
じて不正アクセスであるか否かを判定する場合について
説明する。なお、本実施の形態2においては、サーバク
ライアントシステムのシステム構成は図1に示すものと
同様のものとなるので、ここではその詳細な説明を省略
する。
【0052】まず最初に、本実施の形態2の特徴部分で
ある見積部32および判定部34について説明する。本
実施の形態2における見積部32は、クライアント装置
10からのHTTPリクエストが不正リクエストDB3
3に格納された不正アクセスのパターンに該当する度合
に応じて所定の見積値を算出し、その見積値を判定部3
4に出力する。
【0053】具体的には、不正アクセスのパターンから
一致するパターンの個数を算出することや、各パターン
に危険度数を付与して一致するパターンの危険度数を算
出することなどにより、HTTPリクエストの危険度を
示すDI(Danger Index)と呼ばれる見積値を算出す
る。なお、見積値DIは、例えば1〜100の範囲で整
数値をとり、危険度が高いHTTPリクエストほど大き
な値が算出されるというものである。
【0054】本実施の形態2における判定部34は、見
積部32により算出された見積値DIと所定の閾値とを
比較してHTTPリクエストをWebサーバ40に受け
渡すか否かを判定し、この判定結果を送信部35に出力
する。
【0055】具体的には、所定の閾値を50と仮定する
と、見積部32からDIが50以上である見積値を受け
取った場合には、HTTPリクエストをWebサーバ4
0に受け渡さないものと判定し(不可判定)、一方、見
積部32からDIが50未満である見積値を受け取った
場合には、HTTPリクエストをWebサーバ40に受
け渡すものと判定する(可判定)。
【0056】次に、本実施の形態2によるフィルタリン
グの処理手順について説明する。図4は、本実施の形態
2によるフィルタリングの処理手順を説明するフローチ
ャートである。同図に示すように、サーバ装置20にお
けるリクエストフィルタ30の受信部31は、クライア
ント装置10からのHTTPリクエストをWebサーバ
40が受信する前に受信する(ステップS401)。
【0057】そして、リクエストフィルタ30の見積部
32は、HTTPリクエストが不正リクエストDB33
に格納された不正アクセスのパターンに該当する度合に
応じて見積値DIを算出する(ステップS402)。リ
クエストフィルタ30の判定部34は、見積部32によ
り算出された見積値DIと所定の閾値とを比較してHT
TPリクエストをWebサーバ40に受け渡すか否かを
判定する(ステップS403)。具体的には、見積値D
Iが所定の閾値以上であるか否かを判定する。
【0058】この判定により、見積値DIが所定の閾値
未満であると判定された場合には(ステップS403肯
定)、リクエストフィルタ30の送信部35は、HTT
Pリクエストをプロセス間通信によりWebサーバ40
に受け渡し(ステップS404)、Webサーバ40
は、HTTPリクエストに応じた情報をクライアント装
置10に送信するなどの正当判定時の処理をおこなう
(ステップS405)。
【0059】これとは反対に、見積値DIが所定の閾値
以上であると判定された場合には(ステップS403否
定)、リクエストフィルタ30の送信部35は、HTT
PリクエストのWebサーバ40への受け渡しを拒絶し
(ステップS406)、リクエストフィルタ30の各部
は、不正リクエストの破棄、格納媒体36bへの格納、
外部装置50への通報などの不正判定時の処理をおこな
う(ステップS407)。
【0060】上述してきたように、本実施の形態2によ
れば、見積値および閾値の比較によってある程度の幅を
持たせて不正アクセスであるか否かを判定することがで
きる。これにより、不正クライアントと認定されていな
いクライアント装置10からの不正アクセスに対しても
ある程度の幅を持ってWebサーバ40を防御すること
ができる。
【0061】(実施の形態3)ところで、上記実施の形
態1および2では、クライアント装置からの全てのHT
TPリクエストについて不正アクセスのパターンに基づ
く見積もりをおこなう場合について説明したが、本発明
にはこれに限定されるものではなく、一部のHTTPリ
クエストについてのみ見積もりをおこなう場合について
も同様に適用することができる。
【0062】そこで、本実施の形態3では、二階層から
なるフィルタリング処理をおこない、一部のHTTPリ
クエストについてのみ不正アクセスのパターンに基づく
見積もりをおこなう場合について説明する。
【0063】図5は、本実施の形態3に係るサーバクラ
イアントシステムの構成を示すブロック図である。な
お、図1に示した各部と同様の機能を有する部位には同
一符号を付すこととしてその詳細な説明を省略し、本実
施の形態3の特徴部分である事前判定部71および正当
リクエストDB72について説明する。
【0064】サーバ装置60におけるリクエストフィル
タ70の事前判定部71は、見積部32による正当性の
見積もりの前に、正当リクエストDB72に格納された
正当アクセスのパターンおよび所定の事前判定ルール7
1aに基づいてHTTPリクエストの見積もりを省くこ
とができるか否かを判定する処理部である。
【0065】ここで、事前判定部71が判定に際して参
照する正当リクエストDB72について説明すると、こ
の正当リクエストDB72は、Webサーバ40に対す
る正当アクセスのパターンを格納したデータベースであ
り、具体的には、Webサーバ40上に存在するファイ
ルのうちでリモートユーザに見られても構わないファイ
ルのパスを記憶する。
【0066】このリモートユーザに見られても構わない
ファイルとは、パスワードファイルなどのリモートユー
ザが見るべきでないファイル以外のファイルであって、
例えば、Webサーバ40に対するHTTPリクエスト
のリクエスト内容として非常に高い割合を有する画像フ
ァイルなど、不正アクセスの可能性がほとんどないよう
なファイルが含まれる。
【0067】このような正当リクエストDB72を参照
することにより、事前判定部71は、所定の事前判定ル
ール71aに基づいてHTTPリクエストの見積もりを
省くことができるか否かを判定する。具体的には、HT
TPリクエストが正当リクエストDB72に格納された
正当アクセスのパターンのいずれかに該当する場合に
は、該HTTPリクエストの見積もりを省くことができ
るものと判定し、一方、HTTPリクエストが正当リク
エストDB72に格納された正当アクセスのパターンの
いずれにも該当しない場合には、該HTTPリクエスト
の見積もりを省くことができないものと判定する。
【0068】そして、事前判定部71は、見積もりを省
くことができないものと判定されたHTTPリクエスト
のみを見積部32に出力し、見積もりを省くことができ
るものと判定されたHTTPリクエストについては、見
積部32および判定部34による処理を省いて、送信部
35を介してWebサーバ40に受け渡す。
【0069】なお、正当リクエストDB72に格納され
る正当アクセスのパターンは、Webサーバ40に新た
な画像ファイルが追加された場合などに応じて、更新部
39により更新される。
【0070】次に、本実施の形態3によるフィルタリン
グの処理手順について説明する。図6は、本実施の形態
3によるフィルタリングの処理手順を説明するフローチ
ャートである。同図に示すように、サーバ装置60にお
けるリクエストフィルタ70の受信部31は、クライア
ント装置10からのHTTPリクエストをWebサーバ
40が受信する前に受信する(ステップS601)。
【0071】そして、リクエストフィルタ70の事前判
定部71は、正当リクエストDB72に格納された正当
アクセスのパターンおよび所定の事前判定ルール71a
に基づいてHTTPリクエストの見積もりを省くことが
できるか否かを判定する(ステップS602)。具体的
には、HTTPリクエストが正当リクエストDB72に
格納された正当アクセスのパターンのいずれかに該当す
るか否かを判定する。
【0072】この判定により、正当アクセスのパターン
のいずれかに該当するものと判定された場合には(ステ
ップS602肯定)、このHTTPリクエストの正当性
の見積もりを省き、リクエストフィルタ70の送信部3
5は、HTTPリクエストをプロセス間通信によりWe
bサーバ40に受け渡し(ステップS605)、Web
サーバ40は、HTTPリクエストに応じた情報をクラ
イアント装置10に送信するなどの正当判定時の処理を
おこなう(ステップS606)。
【0073】これとは反対に、正当アクセスのパターン
のいずれにも該当しないものと判定された場合には(ス
テップS602否定)、このHTTPリクエストを見積
部32に受け渡し、上記実施の形態1または2によるフ
ィルタリング処理と同様の処理をおこなう(ステップS
603〜608)。
【0074】すなわち、リクエストフィルタ70の見積
部32は、HTTPリクエストの正当性を見積もり(ス
テップS603)、判定部34は、HTTPリクエスト
をWebサーバ40に受け渡すか否かを判定する(ステ
ップS604)。
【0075】この判定により、正当なリクエストである
旨が見積もられたものと判定された場合には(ステップ
S604肯定)、リクエストフィルタ70の送信部35
は、HTTPリクエストをプロセス間通信によりWeb
サーバ40に受け渡し(ステップS605)、Webサ
ーバ40は、HTTPリクエストに応じた情報をクライ
アント装置10に送信するなどの正当判定時の処理をお
こなう(ステップS606)。
【0076】これとは反対に、不正なリクエストである
旨が見積もられたものと判定された場合には(ステップ
S604否定)、リクエストフィルタ70の送信部35
は、HTTPリクエストのWebサーバ40への受け渡
しを拒絶し(ステップS607)、リクエストフィルタ
70の各部は、不正リクエストの破棄、格納媒体36b
への格納、外部装置50への通報などの不正判定時の処
理をおこなう(ステップS608)。
【0077】上述してきたように、本実施の形態3によ
れば、画像ファイルを要求するHTTPリクエストのよ
うな要求の割合は高いが攻撃性は極めて低いものについ
ては、見積部32および判定部34による処理を省いて
迅速な処理をおこなうことができるとともに、パスワー
ドファイルやWebサーバ40上に存在しないファイル
を要求するHTTPリクエストのような攻撃性が高いも
のについては、見積部32および判定部34による処理
をおこなって、かかる攻撃を有効に防御することができ
る。
【0078】なお、本実施の形態1〜3では、クライア
ント装置10からのHTTPリクエストをフィルタリン
グする場合について説明したが、本発明はこれに限定さ
れるものではなく、FTP(File Transfer Protoco
l)、telnet、コンソールなど、クライアント装
置10からWebサーバ40に入力されるあらゆる情報
をフィルタリングする場合に同様に適用することができ
る。
【0079】また、本実施の形態1〜3では、フィルタ
リング装置としてのリクエストフィルタ30、70をサ
ーバ装置20、60に設けた場合について説明したが、
本発明はこれに限定されるものではなく、例えば、それ
ぞれのクライアント装置側にリクエストフィルタを設け
たり、一つのリクエストフィルタにより複数のWebサ
ーバを防御するなど、クライアント装置とWebサーバ
との間にリクエストフィルタが介在するあらゆるシステ
ム構成において同様に適用することができる。
【0080】なお、本実施の形態1〜3で説明したフィ
ルタリング方法は、あらかじめ用意されたプログラムを
パーソナル・コンピュータやワークステーションなどの
コンピュータで実行することによって実現することがで
きる。このプログラムは、インターネットなどのネット
ワークを介して配布することができる。また、このプロ
グラムは、ハードディスク、フレキシブルディスク(F
D)、CD−ROM、MO、DVDなどのコンピュータ
で読み取り可能な記録媒体に記録され、コンピュータに
よって記録媒体から読み出されることによって実行する
こともできる。
【0081】(実施の形態4)ところで、上記実施の形
態1〜3では、サーバに対する不正アクセスのパターン
を格納した不正リクエストDB33を参照することによ
って、アクセス要求の要求内容から不正アクセスと把握
できるアクセス要求を破棄する場合を説明したが、本発
明はこれに限定されるものではなく、サーバに対するア
クセス要求の統計からみて不正アクセスとみなされるア
クセス要求を破棄する場合についても同様に適用するこ
とができる。
【0082】すなわち、サーバに対する不正アクセスと
しては、アクセス要求の要求内容から不正アクセスと把
握されるアクセス要求の他に、アクセス要求の要求内容
からは正当アクセスと把握されるが、サーバに対するア
クセス要求の統計からみて不正アクセスとみなされるべ
きアクセス要求がある。例えば、特定のクライアント装
置10からのアクセス要求を集中的に受信している場合
や、特定の要求内容からなるアクセス要求を集中的に受
信している場合には、個々の要求内容からは正当アクセ
スと把握されたしても、アクセス要求の統計からはサー
バダウンを狙ったものと考えられるので、不正アクセス
とみなされるべきである。
【0083】そこで、本実施の形態4では、サーバに対
するアクセス要求の統計からみて不正アクセスとみなさ
れるアクセス要求に関する情報を格納したデータベース
をも参照して正当性を見積もることによって、サーバに
対するアクセス要求の統計からみて不正アクセスとみな
されるアクセス要求を破棄するフィルタリング処理も実
行することができるようにしている。以下、本実施の形
態4に係るサーバクライアントシステムにおけるサーバ
装置の構成と、本実施の形態4によるフィルタリングの
処理手順とを説明する。
【0084】(1)サーバ装置の構成 まず最初に、本実施の形態4に係るサーバクライアント
システムにおけるサーバ装置の構成を説明する。図7
は、本実施の形態4に係るサーバクライアントシステム
の構成を示すブロック図である。同図に示すように、本
実施の形態4におけるサーバ装置80は、Webサーバ
40と、リクエストフィルタ81とを備え、さらに、こ
のリクエストフィルタ81は、受信部31と、第1見積
部82と、不正リクエストDB83と、第1判定部84
と、第2見積部85と、統計的不正リクエストDB86
と、第2判定部87と、送信部88とを備える。
【0085】このうち、Webサーバ40および受信部
31は、図1に示した同一符号を付している各部と同様
の機能を有する。また、第1見積部82、不正リクエス
トDB83および第1判定部84は、図1に示した見積
部32、不正リクエストDB33および判定部34と同
様の機能をそれぞれ有し、上記実施の形態1または2に
示したフィルタリング処理と同様の処理、すなわち、H
TTPリクエストの要求内容から不正リクエストと把握
できるHTTPリクエストを破棄するフィルタリング処
理(パターンに基づくフィルタリング処理)を実行する
ものである。
【0086】すなわち、不正リクエストDB83は、サ
ーバに対する不正アクセスのパターンを格納したデータ
ベースである。また、第1見積部82は、不正リクエス
トDB83に格納された不正アクセスのパターンおよび
所定の見積ルール82aに基づいてHTTPリクエスト
の正当性を見積もり、その見積結果(正当リクエスト若
しくは不正リクエストである旨の見積結果、または見積
値DI)を第1判定部84に出力する。
【0087】さらに、第1判定部84は、第1見積部8
2から受け取った見積結果および所定の判定ルール84
aに基づいてHTTPリクエストをWebサーバ40に
受け渡すか否か(すなわち、正当リクエストである旨が
見積もられたか否か、または見積値DIが所定の閾値以
下であるか否か)を判定し、この判定結果を送信部88
に出力するか、またはHTTPリクエストを第2見積部
85に出力する。
【0088】これらによって、HTTPリクエストの要
求内容から不正リクエストと把握されたHTTPリクエ
スト(すなわち、不正リクエストである旨が見積もられ
たHTTPリクエスト、または見積値DIが所定の閾値
以下でなかったHTTPリクエスト)については、HT
TPリクエストをWebサーバ40に受け渡さないもの
と判定され、不可判定が送信部88に出力されることと
なる。
【0089】一方、これらによって、HTTPリクエス
トの要求内容から不正リクエストと把握されなかったH
TTPリクエスト(すなわち、正当リクエストである旨
が見積もられたHTTPリクエスト、または見積値DI
が所定の閾値以下であったHTTPリクエスト)につい
ては、Webサーバ40に対するHTTPリクエストの
統計からみて不正リクエストとみなされるHTTPリク
エストを破棄するフィルタリング処理(統計に基づくフ
ィルタリング処理)を実行するために、第2見積部85
に出力されることとなる。
【0090】第2見積部85は、統計的不正リクエスト
DB86に格納された統計的情報および所定の見積ルー
ル85aに基づいてHTTPリクエストの正当性を見積
もり、その見積結果を第2判定部87に出力する処理部
である。
【0091】ここで、上記の統計的不正リクエストDB
86は、サーバに対するアクセス要求の統計からみて不
正アクセスとみなされるアクセス要求に関する情報を格
納したデータベースである。具体的には、Webサーバ
40に対してHTTPリクエストを送信したクライアン
ト装置10のうち、所定時間内のリクエスト数が所定数
を超えたクライアント装置10の送信元情報(IPアド
レス)や、Webサーバ40に対して送信されたHTT
Pリクエストの要求内容のうち、所定時間内のリクエス
ト数が所定数を超えた要求内容を格納する。
【0092】このような送信元情報や要求内容を格納す
ることとしたのは、特定のクライアント装置10からの
HTTPリクエストを短時間で集中的に受信しているよ
うな場合や、特定の要求内容のHTTPリクエストを短
時間で集中的に受信しているような場合には、サーバダ
ウンを狙った不正リクエストとみなすことができるから
である。
【0093】そして、第2見積部85は、このような情
報を格納した統計的不正リクエストDB86を参照する
ことにより、所定の見積ルール85aに基づいてHTT
Pリクエストの正当性の見積もりをおこなう。具体的に
は、HTTPリクエストの送信元情報が統計的不正リク
エストDB86に格納された送信元情報のいずれかに該
当する場合、またはHTTPリクエストの要求内容が統
計的不正リクエストDB86に格納された要求内容のい
ずれかに該当する場合には、該HTTPリクエストは不
正リクエストである旨を見積もる。
【0094】一方、HTTPリクエストの送信元情報が
統計的不正リクエストDB86に格納された送信元情報
のいずれにも該当しない場合、およびHTTPリクエス
トの要求内容が統計的不正リクエストDB86に格納さ
れた要求内容のいずれかにも該当しない場合には、第2
見積部85は、該HTTPリクエストは正当リクエスト
である旨を見積もる。
【0095】第2判定部87は、第2見積部85から受
け取った見積結果および所定の判定ルール87aに基づ
いてHTTPリクエストをWebサーバ40に受け渡す
か否かを判定し、この判定結果を送信部88に出力する
処理部である。具体的には、第2見積部85から不正リ
クエストである旨の見積結果を受け取った場合には、H
TTPリクエストをWebサーバ40に受け渡さないも
のと判定する(不可判定)。一方、第2見積部85から
正当リクエストである旨の見積結果を受け取った場合に
は、HTTPリクエストをWebサーバ40に受け渡す
ものと判定する(可判定)。
【0096】送信部88は、第1判定部84および/ま
たは第2判定部87から受け取った判定結果に基づい
て、受信部31から受け取ったHTTPリクエストの送
信を制御するアクセス要求受渡手段である。具体的に
は、第2判定部87から可判定を受け取った場合には、
HTTPリクエストをプロセス間通信によりWebサー
バ40に受け渡す。一方、第1判定部84または第2判
定部87から不可判定を受け取った場合には、HTTP
リクエストのWebサーバ40への受け渡しを拒絶し
て、この不正リクエストを破棄する。
【0097】すなわち、送信部88は、第1判定部84
および第2判定部87によりWebサーバ40に受け渡
すものと判定されたHTTPリクエスト(すなわち、H
TTPリクエストの要求内容から不正リクエストと把握
されず、かつ、Webサーバ40に対するHTTPリク
エストの統計からみて不正リクエストとみなされなかっ
たHTTPリクエスト)のみを、正当なHTTPリクエ
ストとしてWebサーバ40に受け渡す。
【0098】なお、図7には図示していないが、本実施
の形態4のリクエストフィルタ81は、図1に示した実
施の形態1のリクエストフィルタ30と同様、ログ管理
部、外部通信部、外部情報取得部および更新部を備える
ものである。すなわち、本実施の形態4のリクエストフ
ィルタ81においては、実施の形態1のリクエストフィ
ルタ30と同様、ログ管理部は、所定の格納ルールに基
づいて、送信部88によりWebサーバ40に受け渡さ
れなかったHTTPリクエストに係る情報を所定の格納
媒体に格納して管理する。
【0099】また、外部通信部は、所定の通報ルールに
基づいて、送信部88によりWebサーバ40に受け渡
されなかったHTTPリクエストに係る情報を外部装置
に通報する。さらに、外部情報取得部は、所定の取得ル
ールに基づいて、更新部による更新処理に用いられる情
報を、外部装置やWebサーバ40などのリクエストフ
ィルタ81の外部から能動的または受動的に取得する。
【0100】そして、更新部は、所定の更新ルールに基
づいて、不正リクエストDB33、見積ルール32a、
判定ルール34a、見積ルール85a、判定ルール87
a、管理ルール、通報ルール、取得ルールまたは更新ル
ールに格納された情報を更新するとともに、所定の更新
ルールおよびWebサーバ40に対するアクセス要求の
統計に基づいて、統計的不正リクエストDB86に格納
された情報も更新する。
【0101】(2)フィルタリング処理 次に、本実施の形態4によるフィルタリングの処理手順
について説明する。図8は、本実施の形態4によるフィ
ルタリングの処理手順を説明するフローチャートであ
る。同図に示すように、サーバ装置80におけるリクエ
ストフィルタ81の受信部31は、クライアント装置1
0からのHTTPリクエストをWebサーバ40が受信
する前に受信する(ステップS801)。
【0102】続いて、リクエストフィルタ81は、この
HTTPリクエストを第1見積部82に受け渡し、上記
実施の形態1または2によるフィルタリング処理と同様
の処理、すなわち、パターンに基づくフィルタリング処
理を実行する(ステップS802、S803、S808
およびS809)。
【0103】すなわち、第1見積部82は、不正リクエ
ストDB83に格納されたサーバに対する不正アクセス
のパターンに基づいて、HTTPリクエストの正当性を
見積もり(ステップS802)、第1判定部84は、H
TTPリクエストをWebサーバ40に受け渡すか否か
(すなわち、正当リクエストである旨が見積もられたか
否か、または見積値DIが所定の閾値以下であるか否
か)を判定する(ステップS803)。
【0104】この判定により、HTTPリクエストをW
ebサーバ40に受け渡さないものと判定された場合
(すなわち、不正リクエストである旨が見積もられた場
合、または見積値DIが所定の閾値以上である場合)に
は(ステップS803否定)、送信部88は、HTTP
リクエストのWebサーバ40への受け渡しを拒絶する
(ステップS808)。さらに、リクエストフィルタ8
1の各部は、不正リクエストの破棄、格納媒体への格
納、外部装置への通報などの不正判定時の処理をおこな
う(ステップS809)。
【0105】これとは反対に、HTTPリクエストをW
ebサーバ40に受け渡すものと判定された場合(すな
わち、正当リクエストである旨が見積もられた場合、ま
たは見積値DIが所定の閾値以下である場合)には(ス
テップS803肯定)、HTTPリクエストは、統計に
基づくフィルタリング処理を実行するために、第2見積
部85に出力される。そして、第2見積部85は、統計
的不正リクエストDB86に格納された統計的情報およ
び所定の見積ルール85aに基づいてHTTPリクエス
トの正当性を見積もる(ステップS804)。
【0106】具体的には、第2見積部85は、HTTP
リクエストの送信元情報が統計的不正リクエストDB8
6に格納された送信元情報のいずれかに該当する場合、
またはHTTPリクエストの要求内容が統計的不正リク
エストDB86に格納された要求内容のいずれかに該当
する場合には、該HTTPリクエストは不正リクエスト
である旨を見積もる。一方、HTTPリクエストの送信
元情報が統計的不正リクエストDB86に格納された送
信元情報のいずれにも該当しない場合、およびHTTP
リクエストの要求内容が統計的不正リクエストDB86
に格納された要求内容のいずれかにも該当しない場合に
は、第2見積部85は、該HTTPリクエストは正当リ
クエストである旨を見積もる。
【0107】その後、第2判定部87は、第2見積部8
5から受け取った見積結果および所定の判定ルール87
aに基づいてHTTPリクエストをWebサーバ40に
受け渡すか否か、すなわち正当リクエストである旨が見
積もられたか否かを判定する(ステップS805)。
【0108】この判定により、正当リクエストである旨
が見積もられた場合には(ステップS805肯定)、送
信部88は、HTTPリクエストをプロセス間通信によ
りWebサーバ40に受け渡し(ステップS806)、
Webサーバ40は、HTTPリクエストに応じた情報
をクライアント装置10に送信するなどの正当判定時の
処理をおこなう(ステップS807)。
【0109】これとは反対に、不正リクエストである旨
が見積もられた場合には(ステップS805否定)、送
信部88は、HTTPリクエストのWebサーバ40へ
の受け渡しを拒絶し(ステップS808)、リクエスト
フィルタ81の各部は、不正リクエストの破棄、格納媒
体への格納、外部装置への通報などの不正判定時の処理
をおこなう(ステップS809)。
【0110】上記した一連の処理によって、HTTPリ
クエストの要求内容から不正リクエストと把握されず、
かつ、Webサーバ40に対するHTTPリクエストの
統計からみて不正リクエストとみなされなかったHTT
Pリクエストのみが、正当なHTTPリクエストとして
Webサーバ40に受け渡されることとなる。
【0111】上述してきたように、本実施の形態4によ
れば、サーバに対する不正アクセスのパターンを格納し
た不正リクエストDB83を参照して正当性を見積もる
とともに、サーバに対するアクセス要求の統計からみて
不正アクセスとみなされるアクセス要求に関する情報を
格納した統計的不正リクエストDB86をも参照して正
当性を見積もることとしたので、アクセス要求の要求内
容から不正アクセスと把握されるアクセス要求のみなら
ず、サーバに対するアクセス要求の統計からみて不正ア
クセスとみなされるアクセス要求をも破棄することがで
きる。これによって、クライアント装置10による不正
アクセスからWebサーバ40を一層確実に防御するこ
とができる。
【0112】(3)本実施の形態4の変形例 さて、これまで本実施の形態4について説明したが、本
発明は上述した実施の形態4以外にも、上記特許請求の
範囲に記載した技術的思想の範囲内において種々の異な
る実施の形態にて実施されてもよいものである。
【0113】例えば、本実施の形態4では、統計的不正
リクエストDB86が所定の送信元情報および要求内容
を格納する場合を説明したが、本発明はこれに限定され
るものではなく、統計的不正リクエストDB86が所定
の送信元情報または要求内容のいずれか一方を格納する
場合にも同様に適用することができる。
【0114】すなわち、統計的不正リクエストDB86
が所定の送信元情報のみを記憶する場合には、第2見積
部85は、HTTPリクエストの送信元情報が統計的不
正リクエストDB86に格納された送信元情報のいずれ
かに該当することを条件に該アクセス要求は不正アクセ
スである旨を見積もるとともに、いずれにも該当しない
ことを条件に該アクセス要求は正当アクセスである旨を
見積もることとなる。
【0115】一方、統計的不正リクエストDB86が所
定の要求内容のみを記憶する場合には、第2見積部85
は、HTTPリクエストの要求内容が統計的不正リクエ
ストDB86に格納された要求内容のいずれかに該当す
ることを条件に該アクセス要求は不正アクセスである旨
を見積もるとともに、いずれにも該当しないことを条件
に該アクセス要求は正当アクセスである旨を見積もるこ
ととなる。
【0116】また、本実施の形態4では、HTTPリク
エストの送信元情報や要求内容が、統計的不正リクエス
トDB86に格納された所定の送信元情報や要求内容に
該当するか否かによって不正アクセスであるか否かを判
定する場合について説明したが、本発明はこれに限定さ
れるものではなく、統計的不正リクエストDB86に格
納された所定の送信元情報や要求内容に該当する度合に
応じて不正アクセスであるか否かを判定する場合にも同
様に適用することができる。
【0117】すなわち、この場合には、上記実施の形態
2と同様、統計的不正リクエストDB86に格納された
所定の送信元情報や要求内容にそれぞれ危険度数を付与
しておき、第2見積部85は、HTTPリクエストの送
信元情報や要求内容に対応する危険度数を用いて、HT
TPリクエストの危険度を示すDI(Danger Index)
と呼ばれる見積値を算出し、第2判定部87は、この算
出された見積値DIと所定の閾値とを比較して不正アク
セスであるか否かを判定することとなる。
【0118】また、本実施の形態4では、第2見積部8
5が、第1判定部84によりWebサーバ40に受け渡
すものと判定されたHTTPリクエストのみについて正
当性を見積もる場合、すなわち、パターンに基づくフィ
ルタリング処理を実行した後に、統計に基づくフィルタ
リング処理を実行する場合を説明したが、本発明はこれ
に限定されるものではない。
【0119】例えば、第1見積部82が、第2判定部8
7によりWebサーバ40に受け渡すものと判定された
HTTPリクエストのみについて正当性を見積もる場合
にも同様に適用することができる。この場合には、統計
に基づくフィルタリング処理を実行した後に、パターン
に基づくフィルタリング処理を実行することとなる。
【0120】また、例えば、上記実施の形態3で説明し
た事前判定処理を追加し、事前判定部が、第2判定部8
7によりWebサーバ40に受け渡すものと判定された
アクセス要求のみについて事前判定処理をおこなう場合
にも同様に適用することができる。この場合には、統計
に基づくフィルタリング処理を実行した後に、事前判定
処理がおこなわれ、この事前判定処理に続いて、パター
ンに基づくフィルタリング処理を実行することとなる。
【0121】なお、事前判定処理を追加する場合には、
統計に基づくフィルタリング処理よりも後に事前判定処
理をおこなう必要がある。この統計に基づくフィルタリ
ング処理よりも前に事前判定処理をおこなうと、上記の
ようなHTTPリクエストが正当パターンデータベース
に格納された正当アクセスのパターンのいずれかに該当
するものと判定されてしまい、統計に基づくフィルタリ
ング処理によって破棄されることなく、Webサーバ4
0に受け渡されるおそれが生じるからである。
【0122】さらに、本発明は、パターンに基づくフィ
ルタリング処理や統計に基づくフィルタリング処理を階
層的に実行する場合に限定されず、これらの各処理を並
列的に実行する場合にも同様に適用することができる。
すなわち、この場合には、図9に示すように、サーバ装
置90のリクエストフィルタ91は、受信部31と送信
部88との間に、パターンに基づくフィルタリング処理
を実行する第1見積部82および第1判定部84と、統
計に基づくフィルタリング処理を実行する第2見積部8
5および第2判定部87とを、並列的に備えることとな
る。このようなリクエストフィルタ91を構成すること
により、不正アクセスであるか否かを一層迅速に判定す
ることが可能になる。
【0123】(実施の形態5)ところで、上記実施の形
態4では、統計的不正リクエストDB86を参照して統
計に基づくフィルタリング処理を実行する場合を説明し
たが、本発明は、この統計的不正リクエストDB86に
格納された情報を動的に更新しながら、フィルタリング
処理を実行することもできる。
【0124】すなわち、実施の形態4では、第2見積部
85は、HTTPリクエストの送信元情報が統計的不正
リクエストDB86に格納された送信元情報のいずれか
に該当する場合、またはHTTPリクエストの要求内容
が統計的不正リクエストDB86に格納された要求内容
のいずれかに該当する場合には、該HTTPリクエスト
は不正リクエストである旨を見積もることとしている。
【0125】しかしながら、特定のクライアント装置1
0(送信元情報)からのHTTPリクエストや特定の要
求内容のHTTPリクエストの受信が急激に増加してい
るような状況において、この特定の送信元情報や要求内
容が統計的不正リクエストDB86にリアルタイムで追
加されなかったのでは、サーバに対するHTTPリクエ
ストの統計からみて不正リクエストとみなされるHTT
PリクエストがWebサーバ40に送信されてしまう。
【0126】その一方で、統計的不正リクエストDB8
6に格納された特定の送信元情報や要求内容のHTTP
リクエストの受信が減少しているような状況において、
この特定の送信元情報や要求内容が統計的不正リクエス
トDB86からリアルタイムで削除されなかったので
は、サーバに対するHTTPリクエストの統計からみて
不正リクエストとはみなされないHTTPリクエストま
でが破棄されてしまう。
【0127】そこで、本実施の形態5では、統計的不正
リクエストDB86に格納された情報を動的に更新する
ことによって、サーバに対するHTTPリクエストの統
計からみて不正リクエストとみなされるHTTPリクエ
ストを精度良く確実に破棄することができるようにして
いる。以下、本実施の形態5に係るサーバクライアント
システムにおけるサーバ装置の構成を説明する。
【0128】図10は、本実施の形態5に係るサーバク
ライアントシステムの構成を示すブロック図である。な
お、図1または図7に示した各部と同様の機能を有する
部位には同一符号を付すこととしてその詳細な説明を省
略し、本実施の形態5の特徴部分であるアクセス管理部
102および動的更新部103について説明する。
【0129】サーバ装置100におけるリクエストフィ
ルタ101のアクセス管理部102は、サーバ装置10
0に対して送信されたHTTPリクエストの送信元情
報、要求内容および送信時刻を履歴として管理するメモ
リである。
【0130】そして、動的更新部103は、アクセス管
理部102により管理される情報および所定の更新ルー
ル103aに基づいて、統計的不正リクエストDB86
に格納された情報を動的に更新する処理部である。具体
的には、アクセス管理部102を参照し、特定のクライ
アント装置10からWebサーバ40に対して送信され
た所定時間内のHTTPリクエスト数が所定の上限数を
超えた場合には、この送信元情報を統計的不正リクエス
トDB86に追加する。
【0131】その一方で、動的更新部103は、統計的
不正リクエストDB86に格納された送信元情報のクラ
イアント装置10からWebサーバ40に対して送信さ
れた所定時間内のHTTPリクエスト数が所定の下限数
を下回った場合には、この送信元情報を統計的不正リク
エストDB86から削除する。
【0132】さらに、動的更新部103は、アクセス管
理部102を参照し、Webサーバ40に対して送信さ
れた特定のHTTPリクエストのリクエスト数が所定時
間内に所定の上限数を超えた場合には、このHTTPリ
クエストの要求内容を統計的不正リクエストDB86に
追加する一方、統計的不正リクエストDB86に格納さ
れた要求内容のHTTPリクエストのリクエスト数が所
定時間内に所定の下限数を下回った場合には、この要求
内容を統計的不正リクエストDB86から削除する。
【0133】なお、上記した「所定の上限数」は、これ
を超えた場合にはサーバダウンを狙った不正アクセスと
みなれるべきという閾値であり、一方、上記した「所定
の下限数」は、これを下回った場合にはサーバダウンを
狙った不正アクセスとみなれるべきでないという閾値で
ある。そして、これらの上限数および下限数は、Web
サーバ40の処理能力などを考慮して設定される。
【0134】上述してきたように、本実施の形態5によ
れば、所定時間内にWebサーバ40に対してHTTP
リクエストを送信した各クライアント装置10ごとのリ
クエスト数や、所定時間内にWebサーバ40に対して
送信されたHTTPリクエストの各要求内容ごとのリク
エスト数に応じて、統計的不正リクエストDB86に格
納される送信元情報や要求内容を追加したり削除するこ
ととしたので、Webサーバ40に対するHTTPリク
エストの統計からみて不正リクエストとみなされるHT
TPリクエストを精度良く確実に破棄することができ
る。
【0135】なお、本実施の形態5では、統計的不正リ
クエストDB86に格納される送信元情報および要求内
容をともに更新する場合を説明したが、本発明はこれに
限定されるものではなく、統計的不正リクエストDB8
6に送信元情報または要求内容のいずれか一方を格納す
る場合には、格納される送信元情報または要求内容のみ
を追加したり削除するなど、統計的不正リクエストDB
86に格納される情報に応じて更新することができる。
【0136】また、本実施の形態5では、アクセス管理
部102のみを参照して、統計的不正リクエストDB8
6を動的に更新する場合を説明したが、本発明はこれに
限定されるものではなく、例えば、ログ管理部36およ
びアクセス管理部102の両者を参照して、統計的不正
リクエストDB86を動的に更新する場合にも同様に適
用することができる。
【0137】すなわち、ログ管理部36に追加された送
信元情報を統計的不正リクエストDB86にも追加した
り、また、ログ管理部36に格納されている送信元情報
については、統計的不正リクエストDB86において高
度の危険度数を付与したり、さらに、リクエスト数が所
定の下限値を下回った場合でも、統計的不正リクエスト
DB86から削除しないなど、ログ管理部36をも参照
して統計的不正リクエストDB86を動的に更新するこ
とができる。
【0138】(実施の形態6)ところで、上記実施の形
態1〜5では、クライアント装置10から送信されたH
TTPリクエストに対して種々の見積もりをおこなって
不正アクセスを破棄する場合を説明したが、本発明はこ
れに限定されるものではなく、HTTPリクエストに応
じてWebサーバ40からクライアント装置10に送信
されるレスポンスに対しても、その正当性を見積もって
不正なレスポンスを破棄することもできる。
【0139】すなわち、上記実施の形態1〜5では、不
正リクエストのパターンを不正リクエストDB33など
に格納し、クライアント装置10からのHTTPリクエ
ストが不正リクエストのパターンに一致するか否かなど
によって不正アクセスであるか否かを判定したが、不正
リクエストのなかには、パターンとして記述し難い不正
リクエストもある。例えば、Webサーバ40が所有し
ないファイルを要求するHTTPリクエストを送信する
ことによって、ディレクトリ情報など、Webサーバ4
0の外部に漏れてはいけない秘匿情報をレスポンスとし
て受信しようとする不正アクセスなどである。
【0140】このような不正アクセスは、Webサーバ
40が所有しないファイルを要求するものであるとこ
ろ、パターンとして記述し難いため、不正リクエストの
パターンに一致するか否かなどを見積もるだけでは、こ
れを不正アクセスと判定することができない。一方、こ
のような不正アクセスに応じてWebサーバ40からク
ライアント装置10に送信されるレスポンスには、ディ
レクトリ情報など、Webサーバ40の外部に漏れては
いけない秘匿情報が含まれるので、このような秘匿情報
がレスポンスに含まれるか否かを見積もれば、パターン
として記述し難い不正アクセスに対しても対応すること
ができると考えられる。
【0141】そこで、本実施の形態6では、クライアン
ト装置10に対して送信されるべきでない不正レスポン
スのパターンを格納したデータベースを参照して、レス
ポンスの正当性を見積もることによって、パターンとし
て記述し難い不正アクセスに応じてクライアント装置1
0に送信されようとする不正なレスポンスをも破棄する
ことができるようにしている。以下、本実施の形態6に
係るサーバクライアントシステムにおけるサーバ装置の
構成と、本実施の形態6によるフィルタリングの処理手
順とを説明する。
【0142】(1)サーバ装置の構成 まず最初に、本実施の形態6に係るサーバクライアント
システムにおけるサーバ装置の構成を説明する。図11
は、本実施の形態6に係るサーバクライアントシステム
の構成を示すブロック図である。同図に示すように、本
実施の形態6におけるサーバ装置110は、Webサー
バ40と、リクエストフィルタ111とを備え、さら
に、このリクエストフィルタ111は、受信部31と、
見積部32と、不正リクエストDB33と、判定部34
と、送信部35と、レスポンス受信部112と、レスポ
ンス見積部113と、不正レスポンスDB114と、レ
スポンス判定部115と、レスポンス送信部116とを
備える。
【0143】このうち、受信部31、見積部32、不正
リクエストDB33、判定部34および送信部35は、
図1に示した同一符号を付している各部と同様の機能を
有し、上記実施の形態1または2に示したフィルタリン
グ処理と同様の処理、すなわち、パターンに基づくフィ
ルタリング処理を実行するものである。
【0144】ところで、Webサーバ40が所有しない
ファイルを要求するHTTPリクエストなど、不正アク
セスのパターンとして記述することが困難なHTTPリ
クエストについては、不正リクエストDB33にはパタ
ーンとして格納されないので、不正リクエストとして破
棄されることなく、Webサーバ40に送信されること
となる。しかしながら、かかる不正リクエストに応じて
Webサーバ40からクライアント装置10に送信され
ようとするレスポンスは、以下に説明する各部の処理に
よって、不正なレスポンスとして破棄される。
【0145】レスポンス受信部112は、Webサーバ
40からのレスポンスをクライアント装置10に送信す
る前に受信する処理部である。なお、レスポンス受信部
112によりWebサーバ40から受信したレスポンス
は、レスポンス見積部113およびレスポンス送信部1
16に出力される。
【0146】レスポンス見積部113は、不正レスポン
スDB114に格納された不正レスポンスのパターンお
よび所定の見積ルール113aに基づいてレスポンスの
正当性を見積もり、その見積結果をレスポンス判定部1
15に出力する処理部である。
【0147】ここで、上記の不正レスポンスDB114
は、HTTPリクエストに応じてWebサーバ40から
クライアント装置10に対してサービスとして送信され
るレスポンスのうち、クライアント装置10に対して送
信されるべきでない不正レスポンスのパターンを格納し
たデータベースである。具体的には、ディレクトリ情報
など、Webサーバ40の外部に漏れてはいけない秘匿
情報をパターンとして記憶する。
【0148】これらの秘匿情報をパターンとして記憶す
ることとしたのは、Webサーバ40が所有しないファ
イルを要求するHTTPリクエストに対するレスポンス
として、これらの秘匿情報がクライアント装置10に送
信されるおそれがあるからである。
【0149】そして、レスポンス見積部113は、この
ような秘匿情報を格納した不正レスポンスDB114を
参照することにより、所定の見積ルール113aに基づ
いてレスポンスの正当性の見積もりをおこなう。具体的
には、レスポンスが不正レスポンスDB114に格納さ
れた秘匿情報パターンのいずれかに該当する場合には、
該レスポンスは不正レスポンスである旨を見積もり、一
方、レスポンスが不正レスポンスDB114に格納され
た秘匿情報パターンのいずれにも該当しない場合には、
該レスポンスは正当レスポンスである旨を見積もる。
【0150】レスポンス判定部115は、レスポンス見
積部113から受け取った見積結果および所定の判定ル
ール115aに基づいてレスポンスをクライアント装置
10に送信するか否かを判定し、この判定結果をレスポ
ンス送信部116に出力する処理部である。具体的に
は、レスポンス見積部113から不正レスポンスである
旨の見積結果を受け取った場合には、レスポンスをクラ
イアント装置10に送信しないものと判定し(不可判
定)、一方、レスポンス見積部113から正当レスポン
スである旨の見積結果を受け取った場合には、レスポン
スをクライアント装置10に送信するものと判定する
(可判定)。
【0151】レスポンス送信部116は、レスポンス判
定部115から受け取った判定結果に基づいて、レスポ
ンス受信部112から受け取ったレスポンスの送信を制
御する処理部である。具体的には、レスポンス判定部1
15から可判定を受け取った場合には、レスポンスをネ
ットワーク1を介してクライアント装置10に送信す
る。一方、レスポンス判定部115から不可判定を受け
取った場合には、レスポンスのクライアント装置10へ
の送信を拒絶して、このレスポンスを不正レスポンスと
して破棄する。
【0152】なお、図7には図示していないが、本実施
の形態6のリクエストフィルタ111は、図1に示した
実施の形態1のリクエストフィルタ30と同様、ログ管
理部、外部通信部、外部情報取得部および更新部を備え
るものである。すなわち、本実施の形態6のリクエスト
フィルタ111においては、実施の形態1のリクエスト
フィルタ30と同様、ログ管理部は、所定の格納ルール
に基づいて、レスポンス送信部116によりクライアン
ト装置10に送信されなかったレスポンスに係る情報
や、このレスポンスの起因となったHTTPリクエスト
に係る情報を所定の格納媒体に格納して管理する。
【0153】また、外部通信部は、所定の通報ルールに
基づいて、レスポンス送信部116によりクライアント
装置10に送信されなかったレスポンスに係る情報や、
このレスポンスの起因となったHTTPリクエストに係
る情報を外部装置に通報する。さらに、外部情報取得部
は、所定の取得ルールに基づいて、更新部による更新処
理に用いられる情報を、外部装置やWebサーバ40な
どのリクエストフィルタ111の外部から能動的または
受動的に取得する。
【0154】そして、更新部は、所定の更新ルールに基
づいて、不正レスポンスDB114、見積ルール113
a、判定ルール115a、管理ルール、通報ルール、取
得ルールまたは更新ルールに格納された情報を更新す
る。例えば、外部情報取得部から新たな不正レスポンス
のパターンを受け付けた場合には、この不正レスポンス
のパターンを不正レスポンスDB114に格納し、また
見積ルール113aの変更指示情報を受け付けた場合に
は、この変更指示情報に応じて見積ルール113aを変
更する。
【0155】(2)フィルタリング処理 次に、本実施の形態6によるフィルタリングの処理手順
について説明する。図12は、本実施の形態6によるフ
ィルタリングの処理手順を説明するフローチャートであ
る。同図に示すように、サーバ装置110におけるリク
エストフィルタ111の受信部31は、クライアント装
置10からのHTTPリクエストをWebサーバ40が
受信する前に受信する(ステップS1201)。
【0156】続いて、リクエストフィルタ111は、こ
のHTTPリクエストを見積部32に受け渡し、上記実
施の形態1または2によるフィルタリング処理と同様の
処理、すなわち、パターンに基づくフィルタリング処理
を実行する(ステップS1202〜S1205、ステッ
プS1210およびS1211)。
【0157】すなわち、見積部32は、不正リクエスト
DB33に格納されたサーバに対する不正アクセスのパ
ターンに基づいて、HTTPリクエストの正当性を見積
もり(ステップS1202)、判定部34は、HTTP
リクエストをWebサーバ40に受け渡すか否か(すな
わち、正当リクエストである旨が見積もられたか否か、
または見積値DIが所定の閾値以下であるか否か)を判
定する(ステップS1203)。
【0158】この判定により、HTTPリクエストをW
ebサーバ40に受け渡さないものと判定された場合
(すなわち、不正リクエストである旨が見積もられた場
合、または見積値DIが所定の閾値以上である場合)に
は(ステップS1203否定)、送信部35は、HTT
PリクエストのWebサーバ40への受け渡しを拒絶す
る(ステップS1210)。さらに、リクエストフィル
タ111の各部は、不正リクエストの破棄、格納媒体へ
の格納、外部装置への通報などの不正判定時の処理をお
こなう(ステップS1211)。
【0159】これとは反対に、正当リクエストである旨
が見積もられた場合には(ステップS1203肯定)、
送信部35は、HTTPリクエストをプロセス間通信に
よりWebサーバ40に送信し(ステップS120
4)、Webサーバ40は、HTTPリクエストに応じ
たレスポンスを作成するなど、正当判定時の処理をおこ
なう(ステップS1205)。
【0160】続いて、リクエストフィルタ111のレス
ポンス受信部112は、Webサーバ40からレスポン
スを受信する(ステップS1206)。そして、レスポ
ンス見積部113は、不正レスポンスDB114に格納
された秘匿情報パターンおよび所定の見積ルール113
aに基づいてレスポンスの正当性を見積もる(ステップ
S1207)。具体的には、レスポンスが不正レスポン
スDB114に格納された秘匿情報パターンのいずれか
に該当する場合には、該レスポンスは不正レスポンスで
ある旨を見積もり、一方、レスポンスが不正レスポンス
DB114に格納された秘匿情報パターンのいずれにも
該当しない場合には、該レスポンスは正当レスポンスで
ある旨を見積もる。
【0161】その後、レスポンス判定部115は、レス
ポンス見積部113から受け取った見積結果および所定
の判定ルール115aに基づいて、レスポンスをクライ
アント装置10に送信するか否かを判定する(ステップ
S1208)。具体的には、正当なレスポンスとして見
積もられたか否かを判定する。
【0162】この判定により、正当なレスポンスである
旨が見積もられたものと判定された場合には(ステップ
S1208肯定)、レスポンス送信部116は、レスポ
ンスをネットワーク1を介してクライアント装置10に
送信する(ステップS1209)。
【0163】これとは反対に、不正なレスポンスである
旨が見積もられたものと判定された場合には(ステップ
S1208否定)、レスポンス送信部116は、レスポ
ンスのクライアント装置10への送信を拒絶し(ステッ
プS1212)、リクエストフィルタ111の各部は、
不正レスポンスの破棄、格納媒体への格納、外部装置へ
の通報など、不正判定時の処理をおこなう(ステップS
1213)。
【0164】上記した一連の処理によって、正当なアク
セスに応じた正当なレスポンス、すなわち不正アクセス
として破棄されず、かつ、不正レスポンスとして破棄さ
れなかったレスポンスのみが、クライアント装置10に
送信されることとなる。
【0165】上述してきたように、本実施の形態6によ
れば、クライアント装置10から送信されたHTTPリ
クエストに対して種々の見積もりをおこなって不正アク
セスを破棄するとともに、HTTPリクエストに応じて
Webサーバ40からクライアント装置10に送信され
るレスポンスに対しても、その正当性を見積もって不正
なレスポンスを破棄することとしたので、不正アクセス
のパターンとして記述される不正アクセスのみならず、
不正アクセスのパターンとして記述し難い不正アクセス
に応じた不正なレスポンスをも破棄することができる。
これによって、クライアント装置10による不正アクセ
スからWebサーバ40を一層確実に防御することがで
きる。
【0166】(3)本実施の形態6の変形例 さて、これまで本実施の形態6について説明したが、本
発明は上述した実施の形態6以外にも、上記特許請求の
範囲に記載した技術的思想の範囲内において種々の異な
る実施の形態にて実施されてもよいものである。
【0167】例えば、本実施の形態6では、Webサー
バ40からのレスポンスが不正レスポンスDB114に
格納された不正レスポンスのパターンに該当するか否か
によって不正レスポンスであるか否かを判定する場合に
ついて説明したが、本発明はこれに限定されるものでは
なく、不正レスポンスDB114に格納された不正レス
ポンスのパターンに該当する度合に応じて不正レスポン
スであるか否かを判定する場合にも同様に適用すること
ができる。
【0168】すなわち、この場合には、上記実施の形態
2と同様、レスポンス見積部113は、不正レスポンス
DB114に格納された不正レスポンスのパターンから
一致するパターンの個数を算出することや、各パターン
に危険度数を付与して一致するパターンの危険度数を算
出することなどにより、レスポンスの危険度を示すDI
(Danger Index)と呼ばれる見積値を算出し、レスポ
ンス判定部115は、この算出された見積値と所定の閾
値とを比較してレスポンスをクライアント装置10に送
信するか否かを判定することとなる。
【0169】また、本実施の形態6では、クライアント
装置10から送信されたHTTPリクエストに対して
は、パターンに基づくフィルタリング処理を実行する場
合を説明したが、本発明はこれに限定されるものではな
く、上記実施の形態3で説明した事前判定処理や、上記
実施の形態4で説明した統計に基づくフィルタリング処
理をともに実行する場合にも同様に適用することができ
る。
【0170】(実施の形態7)ところで、上記実施の形
態1〜6では、暗号処理されていないHTTPリクエス
トや暗号処理されていないレスポンスに対してフィルタ
リング処理を実行する場合を説明したが、本発明はこれ
に限定されるものではなく、暗号処理がなされたHTT
Pリクエストや暗号処理がなされたレスポンスに対して
フィルタリング処理を実行する場合にも同様に適用する
ことができる。
【0171】すなわち、上記実施の形態1〜6では、W
ebサーバ40が、クライアント装置10から暗号処理
されていないHTTPリクエストを受信するとともに、
暗号処理されていないレスポンスをクライアント装置1
0に送信することを前提にしている。しかしながら、W
ebサーバ40によっては、提供するサービスの秘匿性
などを確保するために、クライアント装置10から暗号
処理がなされたHTTPリクエストを受信するととも
に、暗号処理がなされてたレスポンスをクライアント装
置10に送信するようにしたものもある。
【0172】このようなWebサーバ40に対して、上
記実施の形態1〜6で説明したフィルタリング処理を単
純に適用したのでは、暗号化がなされた不正アクセスや
暗号化がなされた不正レスポンスを破棄することはでき
ない。このため、不正アクセスからWebサーバ40を
防御することができず、さらに、Webサーバ40から
クライアント装置10に不正レスポンスが送信されるお
それがある。
【0173】そこで、本実施の形態7では、暗号処理が
なされたHTTPリクエストを復号するとともに、暗号
処理がなされたレスポンスを復号することによって、暗
号化がなされた不正アクセスや暗号化がなされた不正レ
スポンスをも破棄することができるようにしている。以
下、本実施の形態7に係るサーバクライアントシステム
におけるサーバ装置の構成を説明する。
【0174】図13は、本実施の形態7に係るサーバク
ライアントシステムの構成を示すブロック図である。な
お、図1または図11に示した各部と同様の機能を有す
る部位には同一符号を付すこととしてその詳細な説明を
省略し、本実施の形態7の特徴部分である復号部122
および復号部123について説明する。
【0175】サーバ装置120におけるリクエストフィ
ルタ121の復号部122は、所定の暗号処理がなされ
たHTTPリクエストを復号する復号手段である。具体
的には、受信部31から暗号処理がなされたHTTPリ
クエストを受け取った後、このHTTPリクエストを復
号し、復号したHTTPリクエストを見積部32に出力
する。これによって、見積部32は、上記実施の形態1
または2で説明した見積処理を実行することとなる。
【0176】なお、受信部31は、暗号処理がなされた
HTTPリクエストを送信部35に出力するので、We
bサーバ40には、暗号処理がなされたHTTPリクエ
ストが送信されることとなる。これによって、一つのリ
クエストフィルタ121により複数のWebサーバ40
を防御するために、リクエストフィルタ121と複数の
Webサーバ40とをインターネットなどの非専用回線
で接続した場合でも、HTTPリクエストの秘匿性を確
保することができる。
【0177】一方、復号部123は、所定の暗号処理が
なされたレスポンスを復号する第2の復号手段である。
具体的には、レスポンス受信部112から暗号処理がな
されたレスポンスを受け取った後、このレスポンスを復
号し、復号したレスポンスをレスポンス見積部113に
出力する。これによって、レスポンス見積部113は、
上記実施の形態6で説明した見積処理を実行することと
なる。
【0178】なお、レスポンス受信部112は、暗号処
理がなされたレスポンスをレスポンス送信部116に出
力するので、クライアント装置10には、暗号処理がな
されたレスポンスが送信されることとなる。これによっ
て、クライアント装置10に送信されるレスポンスの秘
匿性を確保することができる。
【0179】上述してきたように、本実施の形態7によ
れば、暗号処理がなされたHTTPリクエストを復号す
るとともに、暗号処理がなされたレスポンスを復号する
こととしたので、クライアント装置10から暗号処理が
なされたHTTPリクエストを受信するとともに、暗号
処理がなされてたレスポンスをクライアント装置10に
送信するようにしたWebサーバ40に適用する場合に
おいても、暗号化がなされた不正アクセスや暗号化がな
された不正レスポンスを破棄することができる。これに
よって、不正アクセスからWebサーバ40を確実に防
御することができ、さらに、Webサーバ40からクラ
イアント装置10に不正レスポンスが送信されるおそれ
を確実に排除することができる。
【0180】なお、本実施の形態7では、HTTPリク
エストおよびレスポンスを復号する場合を説明したが、
本発明はこれに限定されるものではなく、HTTPリク
エストのみを復号する場合や、レスポンスのみを復号す
る場合など、Webサーバ40の処理態様(暗号処理が
なされたHTTPリクエストを受信するか否か、暗号処
理がなされたレスポンスを送信するか否かなど)に応じ
て、HTTPリクエストまたはレスポンスの一方を復号
する場合に同様に適用することができる。
【0181】また、本実施の形態7では、リクエストフ
ィルタ121によりHTTPリクエストを復号した後
に、Webサーバ40には、暗号処理がなされたHTT
Pリクエストを送信する場合を説明したが、本発明はこ
れに限定されるものではなく、Webサーバ40に対し
て、復号されたHTTPリクエストを送信する場合にも
同様に適用することができる。なお、この場合には、W
ebサーバ40の復号手段を省略することができる。
【0182】また、本実施の形態7では、クライアント
装置10から送信されたHTTPリクエストに対して
は、パターンに基づくフィルタリング処理を実行する場
合を説明したが、本発明はこれに限定されるものではな
く、上記実施の形態3で説明した事前判定処理や、上記
実施の形態4で説明した統計に基づくフィルタリング処
理をともに実行する場合にも同様に適用することができ
る。なお、この場合にも、事前判定処理や統計に基づく
フィルタリング処理に先だって、本実施の形態7で説明
した復号処理が実行される。
【0183】(実施の形態8)ところで、上記実施の形
態1〜7では、不正なHTTPリクエストや不正なレス
ポンスを破棄する場合を説明したが、本発明はこれに限
定されるものではなく、クライアント装置10に対し
て、不正アクセスが成功若しくは進行している旨を示す
偽のレスポンスを送信することもできる。
【0184】すなわち、不正なHTTPリクエストや不
正なレスポンスを破棄するだけでは、不正アクセスを試
行した攻撃者(クラッカー)は、不正アクセスが失敗し
たことに気づいて、新たな別の不正アクセスを試行する
おそれがある。このため、望ましくは、不正アクセスが
失敗したことを攻撃者に気づかせることなく時間を稼ぐ
ことによって、新たな別の不正アクセスを未然に防止し
たり、攻撃者の攻撃手口を解析することが必要とされ
る。
【0185】ところで、従来より、不正アクセスからサ
ーバを保護する技術として、おとりシステム(おとりサ
ーバ、ハニーポット)と呼ばれる技術が一般的に知られ
ている。このおとりシステムは、セキュリティホールを
有するといった脆弱なサーバを装って、攻撃者による不
正アクセスの試行を全てロギングするものである。
【0186】すなわち、攻撃者は一般的に、ネットワー
ク上のセキュリティレベルの低いサーバを攻撃対象とす
る行動志向を有するので、おとりシステムは、脆弱なサ
ーバを装って、攻撃者がおとりシステムにアクセスした
ならば、真のサーバ(不正アクセスから保護したいサー
バ)であるかのようにログインバナーの返信などをす
る。そして、攻撃者が辞書を用いたパスワードクラッキ
ングなどによってログインを試行してきた場合には、こ
れらの行動を全てログとして安全に記録する。
【0187】このようにして、おとりシステムは、真の
サーバが攻撃されるまでの時間を稼ぎ、新たな別の不正
アクセスを未然に防止したり、攻撃者の攻撃手口(攻撃
に用いる辞書など)を解析する。そして、この攻撃手口
の解析結果や時間稼ぎによって、真のサーバに対する防
御策を講じることが可能になる。
【0188】しかしながら、おとりシステムは、不正ア
クセスから保護したい真のサーバのおとりにはなれない
という問題点がある。すなわち、あるサーバを保護しよ
うとする場合、一般的に、おとりシステムは、そのサー
バのミラーサーバ若しくはテストサーバを装って(それ
らを連想させる名前を付与されて)運用される。これ
は、真のサーバに対して正規にアクセスしようとする正
規ユーザのために、真のサーバについては、真のサーバ
とわかる名前を付与して運用しなければならないからで
ある。
【0189】したがって、真のサーバを保護するため
に、おとりシステムを導入しても、攻撃者がおとりシス
テムに目もくれず、真のサーバを攻撃してきたような場
合には、おとりシステムの機能は没却され、真のサーバ
を保護するという目的を達成することができなくなって
しまう。
【0190】そこで、本実施の形態8では、おとりシス
テムではなく、Webサーバ40に対する不正アクセス
のパターンに対応付けて、該不正アクセスが成功若しく
は進行している旨を示す偽のレスポンスを格納した偽レ
スポンスデータベースを導入することによって、不正ア
クセスを試行したクライアント装置10に対して、不正
アクセスが成功若しくは進行している旨を示す偽のレス
ポンスを送信することができるようにしている。以下、
本実施の形態8に係るサーバクライアントシステムにお
けるサーバ装置の構成と、本実施の形態8によるフィル
タリングの処理手順とを説明する。
【0191】(1)サーバ装置の構成 まず最初に、本実施の形態8に係るサーバクライアント
システムにおけるサーバ装置の構成を説明する。図14
は、本実施の形態8に係るサーバクライアントシステム
の構成を示すブロック図である。同図に示すように、本
実施の形態8におけるサーバ装置130は、Webサー
バ40と、リクエストフィルタ131とを備え、さら
に、このリクエストフィルタ131は、受信部31と、
見積部32と、不正リクエストDB33と、判定部34
と、送信部35と、偽レスポンス作成部132と、偽レ
スポンスDB133と、レスポンス送信部134とを備
える。
【0192】このうち、受信部31、見積部32、不正
リクエストDB33、判定部34および送信部35は、
図1に示した同一符号を付している各部と同様の機能を
有し、上記実施の形態1または2に示したフィルタリン
グ処理と同様の処理、すなわち、パターンに基づくフィ
ルタリング処理を実行するものである。このフィルタリ
ング処理によって、不正なHTTPリクエストは、We
bサーバ40に送信されることなく、偽レスポンス作成
部132に出力される。
【0193】偽レスポンス作成部132は、偽レスポン
スDB133および所定の作成ルールに基づいて、不正
アクセスとしてWebサーバ40に受け渡されなかった
HTTPリクエストのパターンに対応した偽のレスポン
スを作成する処理部である。
【0194】ここで、上記の偽レスポンスDB133
は、Webサーバ40に対する不正アクセスのパターン
に対応付けて、該不正アクセスが成功若しくは進行して
いる旨を示す偽のレスポンスを格納したデータベースで
ある。具体的には、不正リクエストDB33に格納され
た不正アクセスのパターンに対応付けて偽のレスポンス
を記憶する。例えば、Webサーバ40上のパスワード
ファイルをリクエストする不正アクセスのパターンに対
応付けられた、架空の情報からなる偽のパスワードファ
イルや、Webサーバ40に不正にログインしようとす
る不正アクセスのパターンに対応付けられた、偽のログ
インバナーなどを記憶する。
【0195】そして、偽レスポンス作成部132は、こ
のような情報を格納した偽レスポンスDB133を参照
することにより、不正アクセスとしてWebサーバ40
に受け渡されなかったHTTPリクエストのパターンに
対応した偽のレスポンスを作成する。
【0196】具体的には、Webサーバ40上のパスワ
ードファイルをリクエストするHTTPリクエストが、
不正アクセスとして偽レスポンス作成部132に入力さ
れた場合には、偽レスポンスDB133に格納された偽
のパスワードファイルを用いて偽のレスポンスを作成す
る。また、Webサーバ40に不正にログインしようと
するHTTPリクエストが、不正アクセスとして偽レス
ポンス作成部132に入力された場合には、偽レスポン
スDB133に格納された偽のログインバナーを用いて
偽のレスポンスを作成する。
【0197】レスポンス送信部134は、Webサーバ
40により正当に作成された正当レスポンスや、偽レス
ポンス作成部132により作成された偽のレスポンスを
クライアント装置10に送信する処理部である。なお、
図14には図示していないが、本実施の形態8のリクエ
ストフィルタ131は、図1に示した実施の形態1のリ
クエストフィルタ30と同様、ログ管理部、外部通信
部、外部情報取得部および更新部を備えるものである。
【0198】(2)フィルタリング処理 次に、本実施の形態8によるフィルタリングの処理手順
について説明する。図15は、本実施の形態8によるフ
ィルタリングの処理手順を説明するフローチャートであ
る。同図に示すように、サーバ装置130におけるリク
エストフィルタ131の受信部31は、クライアント装
置10からのHTTPリクエストをWebサーバ40が
受信する前に受信する(ステップS1501)。
【0199】続いて、リクエストフィルタ131は、こ
のHTTPリクエストを見積部32に受け渡し、上記実
施の形態1または2によるフィルタリング処理と同様の
処理、すなわち、パターンに基づくフィルタリング処理
を実行する(ステップS1502〜S1505、ステッ
プS1507およびS1508)。
【0200】すなわち、見積部32は、不正リクエスト
DB33に格納されたサーバに対する不正アクセスのパ
ターンに基づいて、HTTPリクエストの正当性を見積
もり(ステップS1502)、判定部34は、HTTP
リクエストをWebサーバ40に受け渡すか否か(すな
わち、正当リクエストである旨が見積もられたか否か、
または見積値DIが所定の閾値以下であるか否か)を判
定する(ステップS1503)。
【0201】この判定により、正当リクエストである旨
が見積もられた場合には(ステップS1503肯定)、
送信部35は、HTTPリクエストをプロセス間通信に
よりWebサーバ40に送信し(ステップS150
4)、Webサーバ40は、HTTPリクエストに応じ
たレスポンスを作成するなど、正当判定時の処理をおこ
なう(ステップS1505)。続いて、レスポンス送信
部134は、Webサーバ40により作成されたレスポ
ンスをクライアント装置10に送信する(ステップS1
506)
【0202】これとは反対に、HTTPリクエストをW
ebサーバ40に受け渡さないものと判定された場合
(すなわち、不正リクエストである旨が見積もられた場
合、または見積値DIが所定の閾値以上である場合)に
は(ステップS1503否定)、送信部35は、HTT
PリクエストのWebサーバ40への受け渡しを拒絶す
る(ステップS1507)。さらに、リクエストフィル
タ131の各部は、不正リクエストの破棄、格納媒体へ
の格納、外部装置への通報などの不正判定時の処理をお
こなう(ステップS1508)。
【0203】続いて、偽レスポンス作成部132は、偽
レスポンスDB133および所定の作成ルール132a
に基づいて、不正アクセスとしてWebサーバ40に受
け渡されなかったHTTPリクエストのパターンに対応
した偽のレスポンスを作成する(ステップS150
9)。具体的には、偽レスポンスDB133に格納され
た偽のパスワードファイルを用いた偽のレスポンスや、
偽レスポンスDB133に格納された偽のログインバナ
ーを用いた偽のレスポンスなどを作成する。その後、レ
スポンス送信部134は、偽レスポンス作成部132に
より作成された偽のレスポンスをクライアント装置10
に送信する(ステップS1510)。
【0204】上記した一連の処理によって、不正アクセ
スのパターンに該当するHTTPリクエストをWebサ
ーバ40に送信してきたクライアント装置10に対し
て、不正アクセスが成功若しくは進行している旨を示す
偽のレスポンスを送信されることとなる。
【0205】上述してきたように、本実施の形態8によ
れば、Webサーバ40に対する不正アクセスのパター
ンに対応付けて、該不正アクセスが成功若しくは進行し
ている旨を示す偽のレスポンスを格納した偽レスポンス
DB133を導入することとしたので、不正アクセスを
試行したクライアント装置10に対して、不正アクセス
が成功若しくは進行している旨を示す偽のレスポンスを
送信することができる。これによって、不正アクセスが
失敗したことを攻撃者に気づかせることなく時間を稼ぐ
ことができ、さらに、新たな別の不正アクセスを未然に
防止したり、攻撃者の攻撃手口を解析することもできる
ので、クライアント装置10による不正アクセスからW
ebサーバ40を一層確実に防御することが可能にな
る。
【0206】なお、本実施の形態8では、クライアント
装置10から送信されたHTTPリクエストに対して
は、パターンに基づくフィルタリング処理を実行する場
合を説明したが、本発明はこれに限定されるものではな
く、上記実施の形態3で説明した事前判定処理や、上記
実施の形態4で説明した統計に基づくフィルタリング処
理、さらには、上記実施の形態6で説明したレスポンス
のフィルタリング処理をともに実行する場合にも同様に
適用することができる。
【0207】すなわち、例えば、上記実施の形態6で説
明したレスポンスのフィルタリング処理をともに実行す
る場合には、偽レスポンスDB133に、不正なレスポ
ンスのパターンに対応付けて、該不正アクセスが成功若
しくは進行している旨を示す偽のレスポンス(例えば、
偽のディレクトリ情報など)を格納することとなる。
【0208】ただし、上記実施の形態4で説明した統計
に基づくフィルタリング処理をともに実施する場合に
は、かかるフィルタリング処理により破棄されたHTT
Pレスポンスについては、偽レスポンスを作成しないよ
うにすることも有効である。このようなサーバダウンを
狙ったHTTPレスポンスに対して偽レスポンスを作成
したのでは、偽レスポンス作成処理の負担が却って増大
してしまうからである。
【0209】(実施の形態9)ところで、上記実施の形
態8では、Webサーバ40に対する不正アクセスのパ
ターンに対応する偽のレスポンスを格納した偽レスポン
スDB133を参照して、偽レスポンスを作成する場合
を説明したが、本発明はこれに限定されるものではな
く、不正アクセスとしてWebサーバ40に受け渡され
なかったHTTPリクエストを受け入れて、Webサー
バ40のおとりとして機能する偽Webサーバによっ
て、偽のレスポンスを作成することもできる。
【0210】すなわち、Webサーバ40に対する不正
アクセスには、パターンとして把握できないものもあ
り、このような不正アクセスについては、上記実施の形
態8で説明した偽レスポンスDB133を参照して偽レ
スポンスを作成することできない。このため、不正アク
セスが失敗したことを攻撃者に気づかせることなく時間
を稼ぐこともできず、さらに、新たな別の不正アクセス
を未然に防止したり、攻撃者の攻撃手口を解析すること
もできなくなってしまう。
【0211】そこで、本実施の形態9では、偽レスポン
スDB133ではなく、不正なアクセスとしてWebサ
ーバ40に受け渡されなかったHTTPリクエストを受
け入れて、Webサーバ40のおとりとして該不正アク
セスが成功若しくは進行している旨を示す偽のレスポン
スを作成する偽Webサーバを導入することによって、
パターンとして把握できない不正アクセスに対しても、
偽のレスポンスを送信することができるようにしてい
る。以下、本実施の形態9に係るサーバクライアントシ
ステムにおけるサーバ装置の構成と、本実施の形態9に
よるフィルタリングの処理手順とを説明する。
【0212】図16は、本実施の形態9に係るサーバク
ライアントシステムの構成を示すブロック図である。な
お、図14に示した各部と同様の機能を有する部位には
同一符号を付すこととしてその詳細な説明を省略し、本
実施の形態9の特徴部分である偽Webサーバ142に
ついて説明する。
【0213】サーバ装置140におけるリクエストフィ
ルタ141の偽Webサーバ142は、不正なアクセス
としてWebサーバ40に受け渡されなかったHTTP
リクエストを受け入れて、Webサーバ40のおとりと
して該不正アクセスが成功若しくは進行している旨を示
す偽のレスポンスを作成する処理部である。具体的に
は、Webサーバ40と同様、HTTPリクエストに応
じてHTML(HyperText Markup Language)などの
マークアップ言語により記述された各種の情報を送信す
るなどのサービスをクライアント装置10に提供するも
のであるが、Webサーバ40のおとりとして、偽のサ
ービスを提供(偽のレスポンスを作成)するように偽の
データを所有する。
【0214】例えば、Webサーバ40上のパスワード
ファイルをリクエストする不正なHTTPリクエストを
受け入れて、偽のパスワードファイルを作成したり、コ
マンド文字列を含んだリクエストによりWebサーバ4
0上で任意のシステムコマンドを実行するなどの不正な
HTTPリクエストを受け入れて、そのシステムコマン
ドを実行したり、Webサーバ40上に存在しないファ
イルをリクエストしてWebサーバ40の機能を停止さ
せる不正なHTTPリクエストを受け入れて、その機能
を停止させる処理などをおこなう。
【0215】すなわち、偽Webサーバ142は、不正
なHTTPリクエストを受け入れて、そのHTTPリク
エストに応じた処理を実行するものであるが、Webサ
ーバ40のおとりとして偽のデータを所有するものであ
るため、偽Webサーバ142からのレスポンスは、不
正なHTTPリクエストを受け入れたWebサーバ40
からのレスポンスと同様のものであるが、偽のレスポン
スとなる。
【0216】次に、本実施の形態9によるフィルタリン
グの処理手順について説明する。図17は、本実施の形
態9によるフィルタリングの処理手順を説明するフロー
チャートである。同図に示すように、サーバ装置140
におけるリクエストフィルタ141は、クライアント装
置10からのHTTPリクエストをWebサーバ40が
受信する前に受信して(ステップS1701)、上記実
施の形態8によるフィルタリング処理と同様の処理(図
15に示したステップS1501〜S1508)を実行
する(ステップS1701〜ステップS1708)。
【0217】このステップS1708に示すように、リ
クエストフィルタ141の各部は、不正リクエストの破
棄、格納媒体への格納、外部装置への通報などの不正判
定時の処理をおこなうと(ステップS1708)、続い
て、送信部35は、不正アクセスとしてWebサーバ4
0に受け渡されなかったHTTPリクエストを、偽We
bサーバ142に送信する(ステップS1709)。
【0218】そして、偽Webサーバ142は、Web
サーバ40のおとりとして該不正アクセスが成功若しく
は進行している旨を示す偽のレスポンスを作成する(ス
テップS1710)。具体的には、Webサーバ40上
のパスワードファイルをリクエストする不正なHTTP
リクエストを受け入れて、偽のパスワードファイルを作
成したり、コマンド文字列を含んだリクエストによりW
ebサーバ40上で任意のシステムコマンドを実行する
などの不正なHTTPリクエストを受け入れて、そのシ
ステムコマンドを実行したりなどする。その後、レスポ
ンス送信部134は、偽Webサーバ142により作成
された偽のレスポンスをクライアント装置10に送信す
る(ステップS1711)。
【0219】上記した一連の処理によって、不正アクセ
スのパターンとして把握できないHTTPリクエストを
Webサーバ40に送信してきたクライアント装置10
に対しても、不正アクセスが成功若しくは進行している
旨を示す偽のレスポンスを送信されることとなる。
【0220】上述してきたように、本実施の形態9によ
れば、不正なアクセスとしてWebサーバ40に受け渡
されなかったHTTPリクエストを受け入れて、Web
サーバ40のおとりとして該不正アクセスが成功若しく
は進行している旨を示す偽のレスポンスを作成する偽W
ebサーバ142を導入することとしたので、パターン
として把握できない不正アクセスに対しても、偽のレス
ポンスを送信することができる。特に、上記実施の形態
8で説明したおとりシステムと異なり、偽Webサーバ
142は、不正アクセスから保護したいWebサーバ4
0のミラーサーバ若しくはテストサーバを装って運用さ
れる必要がないので、実質的にWebサーバ40のおと
りになれる点でも有効であると考えられる。
【0221】なお、本実施の形態9においても、クライ
アント装置10から送信されたHTTPリクエストに対
しては、パターンに基づくフィルタリング処理を実行す
る場合を説明したが、本発明はこれに限定されるもので
はなく、上記実施の形態8と同様、上記実施の形態3で
説明した事前判定処理や、上記実施の形態4で説明した
統計に基づくフィルタリング処理、さらには、上記実施
の形態6で説明したレスポンスのフィルタリング処理を
ともに実行する場合にも同様に適用することができる。
【0222】(実施の形態10)ところで、上記実施の
形態8および9では、Webサーバ40に受け渡されな
かった不正なHTTPリクエストのパターンに対応した
偽のレスポンスを作成する場合と、不正なHTTPリク
エストを受け入れて、Webサーバ40のおとりとして
偽のレスポンスを作成する場合とを説明したが、本発明
はこれに限定されるものではなく、これらの両者をとも
に実行する場合にも同様に適用することができる。
【0223】すなわち、上記実施の形態9では、Web
サーバ40に受け渡されなかった不正なHTTPリクエ
ストの全てを偽Webサーバ142に受け渡すことによ
って、偽のレスポンスを作成することとしたが、不正ア
クセスのパターンとして把握できる不正なHTTPリク
エストについても偽Webサーバ142に受け渡したの
では、偽Webサーバ142に過度な負担が強いられる
こととなる。
【0224】そこで、本実施の形態10では、不正アク
セスのパターンとして把握できる不正なHTTPリクエ
ストについては、不正レスポンスDB133を参照して
偽レスポンスを作成する一方、不正アクセスのパターン
として把握できない不正なHTTPリクエストについて
は、偽Webサーバ142により偽レスポンスを作成す
ることとし、偽レスポンスを効率的かつ迅速に作成する
ことができるようにしている。以下、本実施の形態10
に係るサーバクライアントシステムにおけるサーバ装置
の構成と、本実施の形態10によるフィルタリングの処
理手順とを説明する。
【0225】図18は、本実施の形態10に係るサーバ
クライアントシステムの構成を示すブロック図である。
なお、図14または16に示した各部と同様の機能を有
する部位には同一符号を付すこととしてその詳細な説明
を省略し、本実施の形態10の特徴部分である偽レスポ
ンス作成部152について説明する。
【0226】サーバ装置150におけるリクエストフィ
ルタ151の偽レスポンス作成部152は、偽レスポン
スDB133および所定の作成ルール152aに基づい
て、不正アクセスとしてWebサーバ40に受け渡され
なかったHTTPリクエストのパターンに対応した偽の
レスポンスを作成するとともに、偽のレスポンスが作成
できなかったHTTPリクエストを偽Webサーバ14
2に受け渡す処理部である。
【0227】具体的には、偽レスポンス作成部152
は、不正アクセスとしてWebサーバ40に受け渡され
なかったHTTPリクエストを送信部35から受け付
け、このHTTPリクエストのパターンが偽レスポンス
DB133に格納されている不正リクエストのパターン
に該当するか否かを判定する。そして、このパターンに
該当する場合には、上記実施の形態8と同様、偽レスポ
ンスDB133に基づいて偽レスポンスを作成する。一
方、このパターンに該当しない場合には、HTTPリク
エストを偽Webサーバ142に受け渡し、偽Webサ
ーバ142に、上記実施の形態9の同様、Webサーバ
40のおとりとして偽レスポンスを作成させる。
【0228】次に、本実施の形態10によるフィルタリ
ングの処理手順について説明する。図19は、本実施の
形態10によるフィルタリングの処理手順を説明するフ
ローチャートである。同図に示すように、サーバ装置1
50におけるリクエストフィルタ151は、クライアン
ト装置10からのHTTPリクエストをWebサーバ4
0が受信する前に受信して(ステップS1901)、上
記実施の形態8によるフィルタリング処理と同様の処理
(図15に示したステップS1501〜S1508)を
実行する(ステップS1901〜ステップS190
8)。
【0229】このステップS1908に示すように、リ
クエストフィルタ151の各部は、不正リクエストの破
棄、格納媒体への格納、外部装置への通報などの不正判
定時の処理をおこなうと(ステップS1908)、続い
て、偽レスポンス作成部152は、破棄されたHTTP
リクエストのパターンが偽レスポンスDB133に格納
されている不正リクエストのパターンに該当するか否か
を判定する(ステップS1909)。
【0230】この判定により、不正リクエストのパター
ンに該当する場合には(ステップS1909肯定)、偽
レスポンス作成部152は、偽レスポンスDB133お
よび所定の作成ルール152aに基づいて、不正アクセ
スとしてWebサーバ40に受け渡されなかったHTT
Pリクエストのパターンに対応した偽のレスポンスを作
成する(ステップS1910)。そして、レスポンス送
信部134は、偽レスポンス作成部152により作成さ
れた偽のレスポンスをクライアント装置10に送信する
(ステップS1911)。
【0231】これとは反対に、不正リクエストのパター
ンに該当しない場合には(ステップS1909否定)偽
レスポンス作成部152は、パターンに該当しなかった
HTTPリクエストを偽Webサーバ142に送信する
(ステップS1912)。そして、偽Webサーバ14
2は、Webサーバ40のおとりとして該不正アクセス
が成功若しくは進行している旨を示す偽のレスポンスを
作成する(ステップS1913)。その後、レスポンス
送信部134は、偽Webサーバ142により作成され
た偽のレスポンスをクライアント装置10に送信する
(ステップS1911)。
【0232】上記した一連の処理によって、不正アクセ
スのパターンとして把握できる不正なHTTPリクエス
トについては、不正レスポンスDB133を参照して偽
レスポンスが作成される一方、不正アクセスのパターン
として把握できない不正なHTTPリクエストについて
は、偽Webサーバ142により偽レスポンスが作成さ
れることとなる。
【0233】上述してきたように、本実施の形態10に
よれば、不正アクセスのパターンとして把握できる不正
なHTTPリクエストについては、不正レスポンスDB
133を参照して偽レスポンスを作成する一方、不正ア
クセスのパターンとして把握できない不正なHTTPリ
クエストについては、偽Webサーバ142により偽レ
スポンスを作成することとしたので、偽Webサーバ1
42に過度な負担を強いることなく、偽レスポンスを効
率的かつ迅速に作成することができる。
【0234】なお、本実施の形態10においても、クラ
イアント装置10から送信されたHTTPリクエストに
対しては、パターンに基づくフィルタリング処理を実行
する場合を説明したが、本発明はこれに限定されるもの
ではなく、上記実施の形態8および9と同様、上記実施
の形態3で説明した事前判定処理や、上記実施の形態4
で説明した統計に基づくフィルタリング処理、さらに
は、上記実施の形態6で説明したレスポンスのフィルタ
リング処理をともに実行する場合にも同様に適用するこ
とができる。
【0235】(他の実施の形態)さて、これまで本発明
の実施の形態について説明したが、本発明は上述した実
施の形態以外にも、上記特許請求の範囲に記載した技術
的思想の範囲内において種々の異なる実施の形態にて実
施されてもよいものである。
【0236】例えば、本実施の形態4〜10では、クラ
イアント装置10からのHTTPリクエストをフィルタ
リングする場合について説明したが、本発明はこれに限
定されるものではなく、FTP(File Transfer Prot
ocol)、telnet、コンソールなど、クライアント
装置10からWebサーバ40に入力されるあらゆる情
報をフィルタリングする場合に同様に適用することがで
きる。
【0237】また、本実施の形態4〜10では、フィル
タリング装置としてのリクエストフィルタをサーバ装置
に設けた場合について説明したが、本発明はこれに限定
されるものではなく、例えば、それぞれのクライアント
装置側にリクエストフィルタを設けたり、一つのリクエ
ストフィルタにより複数のWebサーバを防御するな
ど、クライアント装置とWebサーバとの間にリクエス
トフィルタが介在するあらゆるシステム構成において同
様に適用することができる。
【0238】なお、本実施の形態4〜10で説明したフ
ィルタリング方法は、あらかじめ用意されたプログラム
をパーソナル・コンピュータやワークステーションなど
のコンピュータで実行することによって実現することが
できる。このプログラムは、インターネットなどのネッ
トワークを介して配布することができる。また、このプ
ログラムは、ハードディスク、フレキシブルディスク
(FD)、CD−ROM、MO、DVDなどのコンピュ
ータで読み取り可能な記録媒体に記録され、コンピュー
タによって記録媒体から読み出されることによって実行
することもできる。
【0239】(付記1)クライアントと該クライアント
からのアクセス要求に応じてサービスを提供するサーバ
との間に介在し、前記アクセス要求のうちの正当なアク
セス要求のみを前記サーバに受け渡すフィルタリング装
置において、前記サーバに対する不正アクセスのパター
ンを格納した不正パターンデータベースと、前記不正パ
ターンデータベースに格納された不正アクセスのパター
ンおよび所定の第1の見積ルールに基づいて前記アクセ
ス要求の正当性を見積もる第1の見積手段と、前記第1
の見積手段による見積結果および所定の第1の判定ルー
ルに基づいて前記アクセス要求を前記サーバに受け渡す
か否かを判定する第1の判定手段と、を備えたことを特
徴とするフィルタリング装置。
【0240】(付記2)前記第1の見積手段は、前記ア
クセス要求が前記不正パターンデータベースに格納され
た不正アクセスのパターンのいずれかに該当する場合に
該アクセス要求は不正アクセスである旨を見積もるとと
もに、前記アクセス要求が前記不正パターンデータベー
スに格納された不正アクセスのパターンのいずれにも該
当しない場合に該アクセス要求は正当アクセスである旨
を見積もり、前記第1の判定手段は、前記第1の見積手
段により不正アクセスである旨が見積もられたアクセス
要求を前記サーバに受け渡さないものと判定するととも
に、前記第1の見積手段により正当アクセスである旨が
見積もられたアクセス要求を前記サーバに受け渡すもの
と判定することを特徴とする付記1に記載のフィルタリ
ング装置。
【0241】(付記3)前記第1の見積手段は、前記ア
クセス要求が前記不正パターンデータベースに格納され
た不正アクセスのパターンに該当する度合に応じて所定
の見積値を算出し、前記第1の判定手段は、前記第1の
見積手段により算出された見積値と所定の閾値とを比較
して前記アクセス要求を前記サーバに受け渡すか否かを
判定することを特徴とする付記1に記載のフィルタリン
グ装置。
【0242】(付記4)前記サーバに対する正当アクセ
スのパターンを格納した正当パターンデータベースと、
前記第1の見積手段による正当性の見積もりの前に、前
記アクセス要求が前記正当パターンデータベースに格納
された正当アクセスのパターンのいずれかに該当するか
否かを判定する事前判定手段と、をさらに備え、前記第
1の見積手段は、前記事前判定手段により正当アクセス
のパターンに該当しないものと判定されたアクセス要求
のみについて正当性を見積もることを特徴とする付記
1、2または3に記載のフィルタリング装置。
【0243】(付記5)所定の第1の外部送信ルールに
基づいて、前記第1の判定手段により前記サーバに受け
渡さないものと判定されたアクセス要求を所定の外部装
置に送信する第1の外部送信手段をさらに備えたことを
特徴とする付記1〜4のいずれか一つに記載のフィルタ
リング装置。
【0244】(付記6)所定の第1の格納ルールに基づ
いて、前記第1の判定手段により前記サーバに受け渡さ
ないものと判定されたアクセス要求を所定の格納媒体に
格納する第1の格納手段をさらに備えたことを特徴とす
る付記1〜5のいずれか一つに記載のフィルタリング装
置。
【0245】(付記7)所定の第1の更新ルールに基づ
いて、前記不正パターンデータベース、正当パターンデ
ータベース、第1の見積ルール、第1の判定ルール、第
1の外部送信ルール、第1の格納ルールまたは第1の更
新ルールを更新する第1の更新手段をさらに備えたこと
を特徴とする付記1〜6のいずれか一つに記載のフィル
タリング装置。
【0246】(付記8)前記サーバに対するアクセス要
求の統計からみて不正アクセスとみなされるアクセス要
求に関する情報を格納した統計的不正データベースと、
前記統計的不正データベースに格納された情報および所
定の第2の見積ルールに基づいて前記アクセス要求の正
当性を見積もる第2の見積手段と、前記見積手段による
見積結果および所定の第2の判定ルールに基づいて前記
アクセス要求を前記サーバに受け渡すか否かを判定する
第2の判定手段と、前記第1および第2の判定手段によ
り前記サーバに受け渡すものと判定されたアクセス要求
のみを正当なアクセス要求として前記サーバに受け渡す
アクセス要求受渡手段と、をさらに備えたことを特徴と
する付記1〜7のいずれか一つに記載のフィルタリング
装置。
【0247】(付記9)前記統計的不正データベース
は、前記サーバに対してアクセス要求を送信したクライ
アントのうち、所定時間内のアクセス要求数が所定数を
超えたクライアントの送信元情報を格納するものであっ
て、前記第2の見積手段は、前記アクセス要求の送信元
情報が前記統計的不正データベースに格納された送信元
情報のいずれかに該当する場合に該アクセス要求は不正
アクセスである旨を見積もるとともに、前記アクセス要
求の送信元情報が前記統計的不正データベースに格納さ
れた送信元情報のいずれにも該当しない場合に該アクセ
ス要求は正当アクセスである旨を見積もり、前記第2の
判定手段は、前記第2の見積手段により不正アクセスで
ある旨が見積もられたアクセス要求を前記サーバに受け
渡さないものと判定するとともに、前記第2の見積手段
により正当アクセスである旨が見積もられたアクセス要
求を前記サーバに受け渡すものと判定することを特徴と
する付記8に記載のフィルタリング装置。
【0248】(付記10)前記統計的不正データベース
は、前記サーバに対して送信されたアクセス要求の要求
内容のうち、所定時間内のアクセス要求数が所定数を超
えた要求内容を格納するものであって、前記第2の見積
手段は、前記アクセス要求の要求内容が前記統計的不正
データベースに格納された要求内容のいずれかに該当す
る場合に該アクセス要求は不正アクセスである旨を見積
もるとともに、前記アクセス要求の要求内容が前記統計
的不正データベースに格納された要求内容のいずれにも
該当しない場合に該アクセス要求は正当アクセスである
旨を見積もり、前記第2の判定手段は、前記第2の見積
手段により不正アクセスである旨が見積もられたアクセ
ス要求を前記サーバに受け渡さないものと判定するとと
もに、前記第2の見積手段により正当アクセスである旨
が見積もられたアクセス要求を前記サーバに受け渡すも
のと判定することを特徴とする付記8に記載のフィルタ
リング装置。
【0249】(付記11)前記統計的不正データベース
は、前記サーバに対してアクセス要求を送信したクライ
アントのうち、所定時間内のアクセス要求数が所定数を
超えたクライアントの送信元情報を格納するとともに、
前記サーバに対して送信されたアクセス要求の要求内容
のうち、所定時間内のアクセス要求数が所定数を超えた
要求内容を格納するものであって、前記第2の見積手段
は、前記アクセス要求の送信元情報が前記統計的不正デ
ータベースに格納された送信元情報のいずれかに該当す
る場合または前記アクセス要求の要求内容が前記統計的
不正データベースに格納された要求内容のいずれかに該
当する場合に該アクセス要求は不正アクセスである旨を
見積もるとともに、前記アクセス要求の送信元情報が前
記統計的不正データベースに格納された送信元情報のい
ずれにも該当しない場合および前記アクセス要求の要求
内容が前記統計的不正データベースに格納された要求内
容のいずれかにも該当しない場合に該アクセス要求は正
当アクセスである旨を見積もり、前記第2の判定手段
は、前記第2の見積手段により不正アクセスである旨が
見積もられたアクセス要求を前記サーバに受け渡さない
ものと判定するとともに、前記第2の見積手段により正
当アクセスである旨が見積もられたアクセス要求を前記
サーバに受け渡すものと判定することを特徴とする付記
8に記載のフィルタリング装置。
【0250】(付記12)前記統計的不正データベース
は、前記サーバに対してアクセス要求を送信したクライ
アントのうち、所定時間内のアクセス要求数が所定数を
超えたクライアントの送信元情報を格納するとともに、
前記サーバに対して送信されたアクセス要求の要求内容
のうち、所定時間内のアクセス要求数が所定数を超えた
要求内容を格納するものであって、前記第2の見積手段
は、前記アクセス要求の送信元情報および要求内容が前
記統計的不正データベースに格納された送信元情報およ
び要求内容に該当する度合に応じて所定の見積値を算出
し、前記第2の判定手段は、前記第2の見積手段により
算出された見積値と所定の閾値とを比較して前記アクセ
ス要求を前記サーバに受け渡すか否かを判定することを
特徴とする付記8に記載のフィルタリング装置。
【0251】(付記13)前記第2の見積手段は、前記
第1の判定手段により前記サーバに受け渡すものと判定
されたアクセス要求のみについて正当性を見積もること
を特徴とする付記8〜12のいずれか一つに記載のフィ
ルタリング装置。
【0252】(付記14)前記第1の見積手段は、前記
第2の判定手段により前記サーバに受け渡すものと判定
されたアクセス要求のみについて正当性を見積もること
を特徴とする付記8〜12のいずれか一つに記載のフィ
ルタリング装置。
【0253】(付記15)前記事前判定手段は、前記第
2の判定手段により前記サーバに受け渡すものと判定さ
れたアクセス要求のみについて前記正当パターンデータ
ベースに格納された正当アクセスのパターンのいずれか
に該当するか否かを判定することを特徴とする付記8〜
12のいずれか一つに記載のフィルタリング装置。
【0254】(付記16)所定の第2の外部送信ルール
に基づいて、前記アクセス要求受渡手段により前記サー
バに受け渡されなかったアクセス要求を所定の外部装置
に送信する第2の外部送信手段をさらに備えたことを特
徴とする付記8〜15のいずれか一つに記載のフィルタ
リング装置。
【0255】(付記17)所定の第2の格納ルールに基
づいて、前記アクセス要求受渡手段により前記サーバに
受け渡されなかったアクセス要求を所定の格納媒体に格
納する第2の格納手段をさらに備えたことを特徴とする
付記8〜16のいずれか一つに記載のフィルタリング装
置。
【0256】(付記18)所定の第2の更新ルールおよ
び/または前記サーバに対するアクセス要求の統計に基
づいて、前記統計的不正データベース、第2の見積ルー
ル、第2の判定ルール、第2の外部送信ルール、第2の
格納ルールおよび/または第2の更新ルールを更新する
第2の更新手段をさらに備えたことを特徴とする付記8
〜17のいずれか一つに記載のフィルタリング装置。
【0257】(付記19)前記第2の更新手段は、所定
時間内に前記サーバに対してアクセス要求を送信した各
クライアントごとのアクセス要求数および/または所定
時間内に前記サーバに対して送信されたアクセス要求の
各要求内容ごとのアクセス要求数に応じて、前記統計的
不正データベースに格納される送信元情報および/また
は要求内容を追加および/または削除することを特徴と
する付記18に記載のフィルタリング装置。
【0258】(付記20)前記アクセス要求に応じて前
記サーバから前記クライアントに対して前記サービスと
して送信されるレスポンスのうち、前記クライアントに
対して送信されるべきでない不正レスポンスのパターン
を格納した不正レスポンスデータベースと、前記不正レ
スポンスデータベースに格納された不正レスポンスのパ
ターンおよび所定のレスポンス見積ルールに基づいて前
記レスポンスの正当性を見積もるレスポンス見積手段
と、前記レスポンス見積手段による見積結果および所定
のレスポンス判定ルールに基づいて前記レスポンスを前
記クライアントに送信するか否かを判定するレスポンス
判定手段と、前記レスポンス判定手段により前記クライ
アントに送信するものと判定されたレスポンスのみを正
当なレスポンスとして前記クライアントに送信するレス
ポンス送信手段と、をさらに備えたことを特徴とする付
記1〜19のいずれか一つに記載のフィルタリング装
置。
【0259】(付記21)前記レスポンス見積手段は、
前記レスポンスが前記不正レスポンスデータベースに格
納された不正レスポンスのパターンのいずれかに該当す
る場合に該レスポンスは不正レスポンスである旨を見積
もるとともに、前記レスポンスが前記不正レスポンスデ
ータベースに格納された不正レスポンスのパターンのい
ずれにも該当しない場合に該レスポンスは正当レスポン
スである旨を見積もり、前記レスポンス判定手段は、前
記レスポンス見積手段により不正レスポンスである旨が
見積もられたレスポンスを前記クライアントに送信しな
いものと判定するとともに、前記レスポンス見積手段に
より正当レスポンスである旨が見積もられたレスポンス
を前記クライアントに送信するものと判定することを特
徴とする付記20に記載のフィルタリング装置。
【0260】(付記22)前記レスポンス見積手段は、
前記レスポンスが前記不正レスポンスデータベースに格
納された不正レスポンスのパターンに該当する度合に応
じて所定の見積値を算出し、前記レスポンス判定手段
は、前記レスポンス見積手段により算出された見積値と
所定の閾値とを比較して前記レスポンスを前記クライア
ントに送信するか否かを判定することを特徴とする付記
20に記載のフィルタリング装置。
【0261】(付記23)所定の第3の外部送信ルール
に基づいて、前記レスポンス送信手段により前記クライ
アントに送信されなかったレスポンスおよび/または該
レスポンスの起因となったアクセス要求を所定の外部装
置に送信する第3の外部送信手段をさらに備えたことを
特徴とする付記20、21または22に記載のフィルタ
リング装置。
【0262】(付記24)所定の第3の格納ルールに基
づいて、前記レスポンス送信手段により前記クライアン
トに送信されなかったレスポンスおよび/または該レス
ポンスの起因となったアクセス要求を所定の格納媒体に
格納する第3の格納手段をさらに備えたことを特徴とす
る付記20〜23のいずれか一つに記載のフィルタリン
グ装置。
【0263】(付記25)所定の第3の更新ルールに基
づいて、前記不正レスポンスデータベース、レスポンス
見積ルール、レスポンス判定ルール、第3の外部送信ル
ール、第3の格納ルールおよび/または第3の更新ルー
ルを更新する第3の更新手段をさらに備えたことを特徴
とする付記20〜24のいずれか一つに記載のフィルタ
リング装置。
【0264】(付記26)所定の暗号処理がなされたア
クセス要求を復号する第1の復号手段をさらに備え、前
記第1の見積手段、事前判定手段または第2の見積手段
は、前記第1の復号手段により復号されたアクセス要求
について見積または判定をおこなうことを特徴とする付
記1〜25のいずれか一つに記載のフィルタリング装
置。
【0265】(付記27)前記アクセス要求のうちの正
当なアクセス要求のみを前記サーバに受け渡す場合に、
前記第1の復号手段により復号されたアクセス要求では
なく、所定の暗号処理がなされたアクセス要求を前記サ
ーバに受け渡すことを特徴とする付記26に記載のフィ
ルタリング装置。
【0266】(付記28)所定の暗号処理がなされたレ
スポンスを復号する第2の復号手段をさらに備え、前記
レスポンス見積手段は、前記第2の復号手段により復号
されたレスポンスについて見積をおこなうことを特徴と
する付記26または27に記載のフィルタリング装置。
【0267】(付記29)前記レスポンスのうちの正当
なレスポンスのみを前記クライアントに送信する場合
に、前記第2の復号手段により復号されたレスポンスで
はなく、所定の暗号処理がなされたレスポンスを前記ク
ライアントに送信することを特徴とする付記28に記載
のフィルタリング装置。
【0268】(付記30)前記サーバに対する不正アク
セスのパターンに対応付けて、該不正アクセスが成功若
しくは進行している旨を示す偽のレスポンスを格納した
偽レスポンスデータベースと、前記偽レスポンスデータ
ベースを参照して、不正アクセスとして前記サーバに受
け渡されなかったアクセス要求のパターンに対応した偽
のレスポンスを作成する偽レスポンス作成手段と、前記
偽レスポンス作成手段により作成された偽のレスポンス
を前記クライアントに送信する偽レスポンス送信手段
と、をさらに備えたことを特徴とする付記1〜29のい
ずれか一つに記載のフィルタリング装置。
【0269】(付記31)不正なアクセスとして前記サ
ーバに受け渡されなかったアクセス要求を受け入れて、
該不正アクセスが成功若しくは進行している旨を示す偽
のレスポンスを前記サーバのおとりとして作成するおと
り手段と、前記おとり手段により作成された偽のレスポ
ンスを前記クライアントに送信する偽レスポンス送信手
段と、をさらに備えたことを特徴とする付記1〜29の
いずれか一つに記載のフィルタリング装置。
【0270】(付記32)前記サーバに対する不正アク
セスのパターンに対応付けて、該不正アクセスが成功若
しくは進行している旨を示す偽のレスポンスを格納した
偽レスポンスデータベースと、不正アクセスとして前記
サーバに受け渡されなかったアクセス要求のうち、前記
偽レスポンスデータベースに格納された不正アクセスの
パターンに対応するアクセス要求について該パターンに
対応した偽のレスポンスを作成する偽レスポンス作成手
段と、不正アクセスとして前記サーバに受け渡されなか
ったアクセス要求のうち、前記偽レスポンスデータベー
スに格納された不正アクセスのパターンに対応しないア
クセス要求を受け入れて、該不正アクセスが成功若しく
は進行している旨を示す偽のレスポンスを前記サーバの
おとりとして作成するおとり手段と、前記偽レスポンス
作成手段または前記おとり手段により作成された偽のレ
スポンスを前記クライアントに送信する偽レスポンス送
信手段と、をさらに備えたことを特徴とする付記1〜2
9のいずれか一つに記載のフィルタリング装置。
【0271】(付記33)クライアントと該クライアン
トからのアクセス要求に応じてサービスを提供するサー
バとの間に介在し、前記アクセス要求のうちの正当なア
クセス要求のみを前記サーバに受け渡すフィルタリング
方法において、前記サーバに対する不正アクセスのパタ
ーンを格納した不正パターンデータベースを参照し、該
参照した不正アクセスのパターンおよび所定の第1の見
積ルールに基づいて前記アクセス要求の正当性を見積も
る第1の見積工程と、前記第1の見積工程による見積結
果および所定の第1の判定ルールに基づいて前記アクセ
ス要求を前記サーバに受け渡すか否かを判定する第1の
判定工程と、を含んだことを特徴とするフィルタリング
方法。
【0272】(付記34)前記第1の見積工程は、前記
アクセス要求が前記不正パターンデータベースに格納さ
れた不正アクセスのパターンのいずれかに該当する場合
に該アクセス要求は不正アクセスである旨を見積もると
ともに、前記アクセス要求が前記不正パターンデータベ
ースに格納された不正アクセスのパターンのいずれにも
該当しない場合に該アクセス要求は正当アクセスである
旨を見積もり、前記第1の判定工程は、前記第1の見積
工程により不正アクセスである旨が見積もられたアクセ
ス要求を前記サーバに受け渡さないものと判定するとと
もに、前記第1の見積工程により正当アクセスである旨
が見積もられたアクセス要求を前記サーバに受け渡すも
のと判定することを特徴とする付記33に記載のフィル
タリング方法。
【0273】(付記35)前記第1の見積工程は、前記
アクセス要求が前記不正パターンデータベースに格納さ
れた不正アクセスのパターンに該当する度合に応じて所
定の見積値を算出し、前記第1の判定工程は、前記第1
の見積工程により算出された見積値と所定の閾値とを比
較して前記アクセス要求を前記サーバに受け渡すか否か
を判定することを特徴とする付記33に記載のフィルタ
リング方法。
【0274】(付記36)前記第1の見積工程による正
当性の見積もりの前に、前記サーバに対する正当アクセ
スのパターンを格納した正当パターンデータベースを参
照し、前記アクセス要求が前記正当パターンデータベー
スに格納された正当アクセスのパターンのいずれかに該
当するか否かを判定する事前判定工程をさらに含み、前
記第1の見積工程は、前記事前判定工程により正当アク
セスのパターンに該当しないものと判定されたアクセス
要求のみについて正当性を見積もることを特徴とする付
記33、34または35に記載のフィルタリング方法。
【0275】(付記37)所定の第1の外部送信ルール
に基づいて、前記第1の判定工程により前記サーバに受
け渡さないものと判定されたアクセス要求を所定の外部
装置に送信する第1の外部送信工程をさらに含んだこと
を特徴とする付記33〜36のいずれか一つに記載のフ
ィルタリング方法。
【0276】(付記38)所定の第1の格納ルールに基
づいて、前記第1の判定工程により前記サーバに受け渡
さないものと判定されたアクセス要求を所定の格納媒体
に格納する第1の格納工程をさらに含んだことを特徴と
する付記33〜37のいずれか一つに記載のフィルタリ
ング方法。
【0277】(付記39)所定の第1の更新ルールに基
づいて、前記不正パターンデータベース、正当パターン
データベース、第1の見積ルール、第1の判定ルール、
第1の外部送信ルール、第1の格納ルールまたは第1の
更新ルールを更新する第1の更新工程をさらに含んだこ
とを特徴とする付記33〜38のいずれか一つに記載の
フィルタリング方法。
【0278】(付記40)前記サーバに対するアクセス
要求の統計からみて不正アクセスとみなされるアクセス
要求に関する情報を格納した統計的不正データベースを
参照し、所定の第2の見積ルールに基づいて前記アクセ
ス要求の正当性を見積もる第2の見積工程と、前記見積
工程による見積結果および所定の第2の判定ルールに基
づいて前記アクセス要求を前記サーバに受け渡すか否か
を判定する第2の判定工程と、前記第1および第2の判
定工程により前記サーバに受け渡すものと判定されたア
クセス要求のみを正当なアクセス要求として前記サーバ
に受け渡すアクセス要求受渡工程と、をさらに含んだこ
とを特徴とする付記33〜39のいずれか一つに記載の
フィルタリング方法。
【0279】(付記41)前記統計的不正データベース
は、前記サーバに対してアクセス要求を送信したクライ
アントのうち、所定時間内のアクセス要求数が所定数を
超えたクライアントの送信元情報を格納するものであっ
て、前記第2の見積工程は、前記アクセス要求の送信元
情報が前記統計的不正データベースに格納された送信元
情報のいずれかに該当する場合に該アクセス要求は不正
アクセスである旨を見積もるとともに、前記アクセス要
求の送信元情報が前記統計的不正データベースに格納さ
れた送信元情報のいずれにも該当しない場合に該アクセ
ス要求は正当アクセスである旨を見積もり、前記第2の
判定工程は、前記第2の見積工程により不正アクセスで
ある旨が見積もられたアクセス要求を前記サーバに受け
渡さないものと判定するとともに、前記第2の見積工程
により正当アクセスである旨が見積もられたアクセス要
求を前記サーバに受け渡すものと判定することを特徴と
する付記40に記載のフィルタリング方法。
【0280】(付記42)前記統計的不正データベース
は、前記サーバに対して送信されたアクセス要求の要求
内容のうち、所定時間内のアクセス要求数が所定数を超
えた要求内容を格納するものであって、前記第2の見積
工程は、前記アクセス要求の要求内容が前記統計的不正
データベースに格納された要求内容のいずれかに該当す
る場合に該アクセス要求は不正アクセスである旨を見積
もるとともに、前記アクセス要求の要求内容が前記統計
的不正データベースに格納された要求内容のいずれにも
該当しない場合に該アクセス要求は正当アクセスである
旨を見積もり、前記第2の判定工程は、前記第2の見積
工程により不正アクセスである旨が見積もられたアクセ
ス要求を前記サーバに受け渡さないものと判定するとと
もに、前記第2の見積工程により正当アクセスである旨
が見積もられたアクセス要求を前記サーバに受け渡すも
のと判定することを特徴とする付記40に記載のフィル
タリング方法。
【0281】(付記43)前記統計的不正データベース
は、前記サーバに対してアクセス要求を送信したクライ
アントのうち、所定時間内のアクセス要求数が所定数を
超えたクライアントの送信元情報を格納するとともに、
前記サーバに対して送信されたアクセス要求の要求内容
のうち、所定時間内のアクセス要求数が所定数を超えた
要求内容を格納するものであって、前記第2の見積工程
は、前記アクセス要求の送信元情報が前記統計的不正デ
ータベースに格納された送信元情報のいずれかに該当す
る場合または前記アクセス要求の要求内容が前記統計的
不正データベースに格納された要求内容のいずれかに該
当する場合に該アクセス要求は不正アクセスである旨を
見積もるとともに、前記アクセス要求の送信元情報が前
記統計的不正データベースに格納された送信元情報のい
ずれにも該当しない場合および前記アクセス要求の要求
内容が前記統計的不正データベースに格納された要求内
容のいずれかにも該当しない場合に該アクセス要求は正
当アクセスである旨を見積もり、前記第2の判定工程
は、前記第2の見積工程により不正アクセスである旨が
見積もられたアクセス要求を前記サーバに受け渡さない
ものと判定するとともに、前記第2の見積工程により正
当アクセスである旨が見積もられたアクセス要求を前記
サーバに受け渡すものと判定することを特徴とする付記
40に記載のフィルタリング方法。
【0282】(付記44)前記統計的不正データベース
は、前記サーバに対してアクセス要求を送信したクライ
アントのうち、所定時間内のアクセス要求数が所定数を
超えたクライアントの送信元情報を格納するとともに、
前記サーバに対して送信されたアクセス要求の要求内容
のうち、所定時間内のアクセス要求数が所定数を超えた
要求内容を格納するものであって、前記第2の見積工程
は、前記アクセス要求の送信元情報および要求内容が前
記統計的不正データベースに格納された送信元情報およ
び要求内容に該当する度合に応じて所定の見積値を算出
し、前記第2の判定工程は、前記第2の見積工程により
算出された見積値と所定の閾値とを比較して前記アクセ
ス要求を前記サーバに受け渡すか否かを判定することを
特徴とする付記40に記載のフィルタリング方法。
【0283】(付記45)前記第2の見積工程は、前記
第1の判定工程により前記サーバに受け渡すものと判定
されたアクセス要求のみについて正当性を見積もること
を特徴とする付記40〜44のいずれか一つに記載のフ
ィルタリング方法。
【0284】(付記46)前記第1の見積工程は、前記
第2の判定工程により前記サーバに受け渡すものと判定
されたアクセス要求のみについて正当性を見積もること
を特徴とする付記40〜44のいずれか一つに記載のフ
ィルタリング方法。
【0285】(付記47)前記事前判定工程は、前記第
2の判定工程により前記サーバに受け渡すものと判定さ
れたアクセス要求のみについて前記正当パターンデータ
ベースに格納された正当アクセスのパターンのいずれか
に該当するか否かを判定することを特徴とする付記40
〜44のいずれか一つに記載のフィルタリング方法。
【0286】(付記48)所定の第2の外部送信ルール
に基づいて、前記アクセス要求受渡工程により前記サー
バに受け渡されなかったアクセス要求を所定の外部装置
に送信する第2の外部送信工程をさらに含んだことを特
徴とする付記40〜47のいずれか一つに記載のフィル
タリング方法。
【0287】(付記49)所定の第2の格納ルールに基
づいて、前記アクセス要求受渡工程により前記サーバに
受け渡されなかったアクセス要求を所定の格納媒体に格
納する第2の格納工程をさらに含んだことを特徴とする
付記40〜48のいずれか一つに記載のフィルタリング
方法。
【0288】(付記50)所定の第2の更新ルールおよ
び/または前記サーバに対するアクセス要求の統計に基
づいて、前記統計的不正データベース、第2の見積ルー
ル、第2の判定ルール、第2の外部送信ルール、第2の
格納ルールおよび/または第2の更新ルールを更新する
第2の更新工程をさらに含んだことを特徴とする付記4
0〜49のいずれか一つに記載のフィルタリング方法。
【0289】(付記51)前記第2の更新工程は、所定
時間内に前記サーバに対してアクセス要求を送信した各
クライアントごとのアクセス要求数および/または所定
時間内に前記サーバに対して送信されたアクセス要求の
各要求内容ごとのアクセス要求数に応じて、前記統計的
不正データベースに格納される送信元情報および/また
は要求内容を追加および/または削除することを特徴と
する付記50に記載のフィルタリング方法。
【0290】(付記52)前記アクセス要求に応じて前
記サーバから前記クライアントに対して前記サービスと
して送信されるレスポンスのうち、前記クライアントに
対して送信されるべきでない不正レスポンスのパターン
を格納した不正レスポンスデータベースを参照し、所定
のレスポンス見積ルールに基づいて前記レスポンスの正
当性を見積もるレスポンス見積工程と、前記レスポンス
見積工程による見積結果および所定のレスポンス判定ル
ールに基づいて前記レスポンスを前記クライアントに送
信するか否かを判定するレスポンス判定工程と、前記レ
スポンス判定工程により前記クライアントに送信するも
のと判定されたレスポンスのみを正当なレスポンスとし
て前記クライアントに送信するレスポンス送信工程と、
をさらに含んだことを特徴とする付記33〜51のいず
れか一つに記載のフィルタリング方法。
【0291】(付記53)前記レスポンス見積工程は、
前記レスポンスが前記不正レスポンスデータベースに格
納された不正レスポンスのパターンのいずれかに該当す
る場合に該レスポンスは不正レスポンスである旨を見積
もるとともに、前記レスポンスが前記不正レスポンスデ
ータベースに格納された不正レスポンスのパターンのい
ずれにも該当しない場合に該レスポンスは正当レスポン
スである旨を見積もり、前記レスポンス判定工程は、前
記レスポンス見積工程により不正レスポンスである旨が
見積もられたレスポンスを前記クライアントに送信しな
いものと判定するとともに、前記レスポンス見積工程に
より正当レスポンスである旨が見積もられたレスポンス
を前記クライアントに送信するものと判定することを特
徴とする付記52に記載のフィルタリング方法。
【0292】(付記54)前記レスポンス見積工程は、
前記レスポンスが前記不正レスポンスデータベースに格
納された不正レスポンスのパターンに該当する度合に応
じて所定の見積値を算出し、前記レスポンス判定工程
は、前記レスポンス見積工程により算出された見積値と
所定の閾値とを比較して前記レスポンスを前記クライア
ントに送信するか否かを判定することを特徴とする付記
52に記載のフィルタリング方法。
【0293】(付記55)所定の第3の外部送信ルール
に基づいて、前記レスポンス送信工程により前記クライ
アントに送信されなかったレスポンスおよび/または該
レスポンスの起因となったアクセス要求を所定の外部装
置に送信する第3の外部送信工程をさらに含んだことを
特徴とする付記52、53または54に記載のフィルタ
リング方法。
【0294】(付記56)所定の第3の格納ルールに基
づいて、前記レスポンス送信工程により前記クライアン
トに送信されなかったレスポンスおよび/または該レス
ポンスの起因となったアクセス要求を所定の格納媒体に
格納する第3の格納工程をさらに含んだことを特徴とす
る付記52〜55のいずれか一つに記載のフィルタリン
グ方法。
【0295】(付記57)所定の第3の更新ルールに基
づいて、前記不正レスポンスデータベース、レスポンス
見積ルール、レスポンス判定ルール、第3の外部送信ル
ール、第3の格納ルールおよび/または第3の更新ルー
ルを更新する第3の更新工程をさらに含んだことを特徴
とする付記52〜56のいずれか一つに記載のフィルタ
リング方法。
【0296】(付記58)所定の暗号処理がなされたア
クセス要求を復号する第1の復号工程をさらに含み、前
記第1の見積工程、事前判定工程または第2の見積工程
は、前記第1の復号工程により復号されたアクセス要求
について見積または判定をおこなうことを特徴とする付
記33〜57のいずれか一つに記載のフィルタリング方
法。
【0297】(付記59)前記アクセス要求のうちの正
当なアクセス要求のみを前記サーバに受け渡す場合に、
前記第1の復号工程により復号されたアクセス要求では
なく、所定の暗号処理がなされたアクセス要求を前記サ
ーバに受け渡すことを特徴とする付記58に記載のフィ
ルタリング方法。
【0298】(付記60)所定の暗号処理がなされたレ
スポンスを復号する第2の復号工程をさらに含み、前記
レスポンス見積工程は、前記第2の復号工程により復号
されたレスポンスについて見積をおこなうことを特徴と
する付記58または59に記載のフィルタリング方法。
【0299】(付記61)前記レスポンスのうちの正当
なレスポンスのみを前記クライアントに送信する場合
に、前記第2の復号工程により復号されたレスポンスで
はなく、所定の暗号処理がなされたレスポンスを前記ク
ライアントに送信することを特徴とする付記60に記載
のフィルタリング方法。
【0300】(付記62)前記サーバに対する不正アク
セスのパターンに対応付けて、該不正アクセスが成功若
しくは進行している旨を示す偽のレスポンスを格納した
偽レスポンスデータベースを参照して、不正アクセスと
して前記サーバに受け渡されなかったアクセス要求のパ
ターンに対応した偽のレスポンスを作成する偽レスポン
ス作成工程と、前記偽レスポンス作成工程により作成さ
れた偽のレスポンスを前記クライアントに送信する偽レ
スポンス送信工程と、をさらに含んだことを特徴とする
付記33〜61のいずれか一つに記載のフィルタリング
方法。
【0301】(付記63)不正なアクセスとして前記サ
ーバに受け渡されなかったアクセス要求を受け入れて、
該不正アクセスが成功若しくは進行している旨を示す偽
のレスポンスを前記サーバのおとりとして作成するおと
り工程と、前記おとり工程により作成された偽のレスポ
ンスを前記クライアントに送信する偽レスポンス送信工
程と、をさらに含んだことを特徴とする付記33〜61
のいずれか一つに記載のフィルタリング方法。
【0302】(付記64)前記サーバに対する不正アク
セスのパターンに対応付けて、該不正アクセスが成功若
しくは進行している旨を示す偽のレスポンスを格納した
偽レスポンスデータベースを参照し、不正アクセスとし
て前記サーバに受け渡されなかったアクセス要求のう
ち、前記偽レスポンスデータベースに格納された不正ア
クセスのパターンに対応するアクセス要求について該パ
ターンに対応した偽のレスポンスを作成する偽レスポン
ス作成工程と、不正アクセスとして前記サーバに受け渡
されなかったアクセス要求のうち、前記偽レスポンスデ
ータベースに格納された不正アクセスのパターンに対応
しないアクセス要求を受け入れて、該不正アクセスが成
功若しくは進行している旨を示す偽のレスポンスを前記
サーバのおとりとして作成するおとり工程と、前記偽レ
スポンス作成工程または前記おとり工程により作成され
た偽のレスポンスを前記クライアントに送信する偽レス
ポンス送信工程と、をさらに含んだことを特徴とする付
記33〜61のいずれか一つに記載のフィルタリング方
法。
【0303】(付記65)前記付記33〜64のいずれ
か一つに記載された方法をコンピュータに実行させるプ
ログラム。
【0304】
【発明の効果】以上説明したように、請求項1、8また
は9の発明によれば、サーバに対する不正アクセスのパ
ターンを格納した不正パターンデータベースの不正アク
セスのパターンおよび所定の見積ルールに基づいてアク
セス要求の正当性を見積もり、この見積結果および所定
の判定ルールに基づいてアクセス要求をサーバに受け渡
すか否かを判定することとしたので、アクセス要求の送
信元情報ではなくアクセス要求の具体的な要求内容に基
づいて不正アクセスであるか否かを判定することができ
る。これにより、正当なアクセス要求のみをサーバに受
け渡すことができ、もって不正クライアントと認定され
ていないクライアントからの不正アクセスに対してもサ
ーバを防御することができる。
【0305】また、請求項2の発明によれば、アクセス
要求が不正パターンデータベースに格納された不正アク
セスのパターンのいずれかに該当する場合に該アクセス
要求は不正アクセスである旨を見積もるとともに、アク
セス要求が不正パターンデータベースに格納された不正
アクセスのパターンのいずれにも該当しない場合に該ア
クセス要求は正当アクセスである旨を見積もり、不正ア
クセスである旨が見積もられたアクセス要求をサーバに
受け渡さないものと判定するとともに、正当アクセスで
ある旨が見積もられたアクセス要求をサーバに受け渡す
ものと判定することとしたので、アクセス要求が不正リ
クエストのパターンに一致するか否かによって不正アク
セスであるか否かを迅速かつ確実に判定することがで
き、もって不正クライアントと認定されていないクライ
アントからの不正アクセスに対しても迅速かつ確実にサ
ーバを防御することができる。
【0306】また、請求項3の発明によれば、アクセス
要求が不正パターンデータベースに格納された不正アク
セスのパターンに該当する度合に応じて所定の見積値を
算出し、この算出された見積値と所定の閾値とを比較し
てアクセス要求をサーバに受け渡すか否かを判定するこ
ととしたので、見積値および閾値の比較によってある程
度の幅を持たせて不正アクセスであるか否かを判定する
ことができ、もって不正クライアントと認定されていな
いクライアントからの不正アクセスに対してもある程度
の幅を持ってサーバを防御することができる。
【0307】また、請求項4の発明によれば、正当性の
見積もりの前に、サーバに対する正当アクセスのパター
ンを格納した正当パターンデータベースを参照し、アク
セス要求が正当パターンデータベースに格納された正当
アクセスのパターンのいずれかに該当するか否かを判定
し、正当アクセスのパターンに該当しないもの判定され
たアクセス要求のみについて正当性を見積もることとし
たので、正当アクセスのパターンと一致するアクセス要
求については正当性を見積もることなくサーバに受け渡
す一方、正当アクセスのパターンと一致しないアクセス
要求のみについて正当性を見積もることができ、もって
不正アクセスであるか否かを全体としてより迅速に判定
することができる。
【0308】また、請求項5の発明によれば、所定の外
部送信ルールに基づいて、サーバに受け渡さないものと
判定されたアクセス要求を所定の外部装置に送信するこ
ととしたので、不正アクセスに関する情報をサーバの管
理者、フィルタリング装置の管理者、ネットワーク全般
を監視する公的な機関の管理者などに迅速に送信するこ
とができ、もってかかる管理者に対しサーバの保全対策
を迅速に促すことができる。
【0309】また、請求項6の発明によれば、所定の格
納ルールに基づいて、サーバに受け渡さないものと判定
されたアクセス要求を所定の格納媒体に格納することと
したので、格納媒体に格納された不正アクセスに関する
情報を分析することなどができ、もってサーバの更なる
保全対策を講じることができる。
【0310】また、請求項7の発明によれば、所定の更
新ルールに基づいて、不正パターンデータベース、正当
パターンデータベース、見積ルール、判定ルール、外部
送信ルール、格納ルールまたは更新ルールを更新するこ
ととしたので、新たに発見された不正アクセスのパター
ンを不正パターンデータベースに登録することなどがで
き、もって日々進化する不正アクセスに対して機動的に
対応することができる。
【図面の簡単な説明】
【図1】本実施の形態1に係るサーバクライアントシス
テムの構成を示すブロック図である。
【図2】不正リクエストDBに格納される情報の構成例
を示す図である。
【図3】本実施の形態1によるフィルタリングの処理手
順を説明するフローチャートである。
【図4】本実施の形態2によるフィルタリングの処理手
順を説明するフローチャートである。
【図5】本実施の形態3に係るサーバクライアントシス
テムの構成を示すブロック図である。
【図6】本実施の形態3によるフィルタリングの処理手
順を説明するフローチャートである。
【図7】本実施の形態4に係るサーバクライアントシス
テムの構成を示すブロック図である。
【図8】本実施の形態4によるフィルタリングの処理手
順を説明するフローチャートである。
【図9】本実施の形態4の変形例に係るサーバクライア
ントシステムの構成を示すブロック図である。
【図10】本実施の形態5に係るサーバクライアントシ
ステムの構成を示すブロック図である。
【図11】本実施の形態6に係るサーバクライアントシ
ステムの構成を示すブロック図である。
【図12】本実施の形態6によるフィルタリングの処理
手順を説明するフローチャートである。
【図13】本実施の形態7に係るサーバクライアントシ
ステムの構成を示すブロック図である。
【図14】本実施の形態8に係るサーバクライアントシ
ステムの構成を示すブロック図である。
【図15】本実施の形態8によるフィルタリングの処理
手順を説明するフローチャートである。
【図16】本実施の形態9に係るサーバクライアントシ
ステムの構成を示すブロック図である。
【図17】本実施の形態9によるフィルタリングの処理
手順を説明するフローチャートである。
【図18】本実施の形態10に係るサーバクライアント
システムの構成を示すブロック図である。
【図19】本実施の形態10に係るサーバクライアント
システムの構成を示すブロック図である。
【符号の説明】
1 ネットワーク 10 クライアント装置 11 Webブラウザ 20、60 サーバ装置 30、70 リクエストフィルタ 31 受信部 32 見積部 32a 見積ルール 33 不正リクエストDB 34 判定部 34a 判定ルール 35 送信部 36 ログ管理部 36a 管理ルール 37 外部通報部 37a 通報ルール 38 外部情報取得部 38a 取得ルール 39 更新部 39a 更新ルール 40 Webサーバ 50 外部装置 71 事前判定部 71a 事前判定ルール 72 正当リクエストDB 80、90 サーバ装置 81、91 リクエストフィルタ 82 第1見積部 82a 見積ルール 83 不正リクエストDB 84 第1判定部 84a 判定ルール 85 第1見積部 85a 見積ルール 86 統計的不正リクエストDB 87 第2判定部 87a 判定ルール 88 送信部 100 サーバ装置 101 リクエストフィルタ 102 アクセス管理部 103 動的更新部 103a 更新ルール 110、120 サーバ装置 111、121 リクエストフィルタ 112 レスポンス受信部 113 レスポンス見積部 113a 見積ルール 114 不正レスポンスDB 115 レスポンス判定部 115a 判定ルール 116 レスポンス送信部 122、123 復号部 130、140、150 サーバ装置 131、141、151 リクエストフィルタ 132、152 偽レスポンス作成部 132a、152a 作成ルール 133 偽レスポンスDB 134 レスポンス送信部 142 偽Webサーバ
───────────────────────────────────────────────────── フロントページの続き (72)発明者 小谷 誠剛 神奈川県川崎市中原区上小田中4丁目1番 1号 富士通株式会社内 (72)発明者 滝沢 文恵 神奈川県川崎市中原区上小田中4丁目1番 1号 富士通株式会社内 (72)発明者 小野 越夫 神奈川県川崎市中原区上小田中4丁目1番 1号 富士通株式会社内 (72)発明者 小谷野 修 神奈川県川崎市中原区上小田中4丁目1番 1号 富士通株式会社内 Fターム(参考) 5B085 AE00 BC02 5B089 GA12 GA21 GB02 HA10 KA17 5K030 GA15 HC01 KA07 LC15

Claims (9)

    【特許請求の範囲】
  1. 【請求項1】 クライアントと該クライアントからのア
    クセス要求に応じてサービスを提供するサーバとの間に
    介在し、前記アクセス要求のうちの正当なアクセス要求
    のみを前記サーバに受け渡すフィルタリング装置におい
    て、 前記サーバに対する不正アクセスのパターンを格納した
    不正パターンデータベースと、 前記不正パターンデータベースに格納された不正アクセ
    スのパターンおよび所定の見積ルールに基づいて前記ア
    クセス要求の正当性を見積もる見積手段と、 前記見積手段による見積結果および所定の判定ルールに
    基づいて前記アクセス要求を前記サーバに受け渡すか否
    かを判定する判定手段と、 を備えたことを特徴とするフィルタリング装置。
  2. 【請求項2】 前記見積手段は、前記アクセス要求が前
    記不正パターンデータベースに格納された不正アクセス
    のパターンのいずれかに該当する場合に該アクセス要求
    は不正アクセスである旨を見積もるとともに、前記アク
    セス要求が前記不正パターンデータベースに格納された
    不正アクセスのパターンのいずれにも該当しない場合に
    該アクセス要求は正当アクセスである旨を見積もり、前
    記判定手段は、前記見積手段により不正アクセスである
    旨が見積もられたアクセス要求を前記サーバに受け渡さ
    ないものと判定するとともに、前記見積手段により正当
    アクセスである旨が見積もられたアクセス要求を前記サ
    ーバに受け渡すものと判定することを特徴とする請求項
    1に記載のフィルタリング装置。
  3. 【請求項3】 前記見積手段は、前記アクセス要求が前
    記不正パターンデータベースに格納された不正アクセス
    のパターンに該当する度合に応じて所定の見積値を算出
    し、前記判定手段は、前記見積手段により算出された見
    積値と所定の閾値とを比較して前記アクセス要求を前記
    サーバに受け渡すか否かを判定することを特徴とする請
    求項1に記載のフィルタリング装置。
  4. 【請求項4】 前記サーバに対する正当アクセスのパタ
    ーンを格納した正当パターンデータベースと、前記見積
    手段による正当性の見積もりの前に、前記アクセス要求
    が前記正当パターンデータベースに格納された正当アク
    セスのパターンのいずれかに該当するか否かを判定する
    事前判定手段と、をさらに備え、前記見積手段は、前記
    事前判定手段により正当アクセスのパターンに該当しな
    いものと判定されたアクセス要求のみについて正当性を
    見積もることを特徴とする請求項1、2または3に記載
    のフィルタリング装置。
  5. 【請求項5】 所定の外部送信ルールに基づいて、前記
    判定手段により前記サーバに受け渡さないものと判定さ
    れたアクセス要求を所定の外部装置に送信する外部送信
    手段をさらに備えたことを特徴とする請求項1〜4のい
    ずれか一つに記載のフィルタリング装置。
  6. 【請求項6】 所定の格納ルールに基づいて、前記判定
    手段により前記サーバに受け渡さないものと判定された
    アクセス要求を所定の格納媒体に格納する格納手段をさ
    らに備えたことを特徴とする請求項1〜5のいずれか一
    つに記載のフィルタリング装置。
  7. 【請求項7】 所定の更新ルールに基づいて、前記不正
    パターンデータベース、正当パターンデータベース、見
    積ルール、判定ルール、外部送信ルール、格納ルールま
    たは更新ルールを更新する更新手段をさらに備えたこと
    を特徴とする請求項1〜6のいずれか一つに記載のフィ
    ルタリング装置。
  8. 【請求項8】 クライアントからのアクセス要求に応じ
    てサービスを提供するサーバに対し、前記クライアント
    からのアクセス要求のうちの正当なアクセス要求のみを
    受け渡すフィルタリング方法において、 前記サーバに対する不正アクセスのパターンを格納した
    不正パターンデータベースを参照し、該参照した不正ア
    クセスのパターンおよび所定の見積ルールに基づいて前
    記アクセス要求の正当性を見積もる見積工程と、 前記見積工程による見積結果および所定の判定ルールに
    基づいて前記アクセス要求を前記サーバに受け渡すか否
    かを判定する判定工程と、 を含んだことを特徴とするフィルタリング方法。
  9. 【請求項9】 クライアントからのアクセス要求に応じ
    てサービスを提供するサーバに対し、前記クライアント
    からのアクセス要求のうちの正当なアクセス要求のみを
    受け渡すフィルタリング方法をコンピュータに実行させ
    るプログラムにおいて、 前記サーバに対する不正アクセスのパターンを格納した
    不正パターンデータベースを参照し、該参照した不正ア
    クセスのパターンおよび所定の見積ルールに基づいて前
    記アクセス要求の正当性を見積もる見積工程と、 前記見積工程による見積結果および所定の判定ルールに
    基づいて前記アクセス要求を前記サーバに受け渡すか否
    かを判定する判定工程と、 をコンピュータに実行させるプログラム。
JP2001388444A 2001-03-13 2001-12-20 フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム Pending JP2002342279A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2001388444A JP2002342279A (ja) 2001-03-13 2001-12-20 フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム
US10/087,807 US20020133606A1 (en) 2001-03-13 2002-03-05 Filtering apparatus, filtering method and computer product

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2001-71214 2001-03-13
JP2001071214 2001-03-13
JP2001388444A JP2002342279A (ja) 2001-03-13 2001-12-20 フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム

Related Child Applications (2)

Application Number Title Priority Date Filing Date
JP2007333040A Division JP4911018B2 (ja) 2001-03-13 2007-12-25 フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム
JP2007333041A Division JP2008152791A (ja) 2001-03-13 2007-12-25 フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム

Publications (1)

Publication Number Publication Date
JP2002342279A true JP2002342279A (ja) 2002-11-29

Family

ID=26611195

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001388444A Pending JP2002342279A (ja) 2001-03-13 2001-12-20 フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム

Country Status (1)

Country Link
JP (1) JP2002342279A (ja)

Cited By (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004164107A (ja) * 2002-11-11 2004-06-10 Kddi Corp 不正アクセス監視システム
JP2004186878A (ja) * 2002-12-02 2004-07-02 Keyware Solutions Inc 侵入検知装置及び侵入検知プログラム
JP2004213476A (ja) * 2003-01-07 2004-07-29 Nri & Ncc Co Ltd 不正アクセス検出装置
JP2004229092A (ja) * 2003-01-24 2004-08-12 Toshiba Corp サーバ計算機保護装置、同装置のデータ要求解析方法およびプログラム
WO2004070590A1 (ja) * 2003-02-04 2004-08-19 Fujitsu Limited ソフトウェア保守サービス提供システム、ソフトウェア保守サービス方法、その方法をコンピュータに実行させるプログラム
JP2004295533A (ja) * 2003-03-27 2004-10-21 Nec Corp アプリケーション障害回避システム、監視用コンピュータ、サーバコンピュータ及びプログラム
JP2004312064A (ja) * 2003-02-21 2004-11-04 Intelligent Cosmos Research Institute ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム
JP2004348292A (ja) * 2003-05-20 2004-12-09 Nec Corp サイバーセキュリティシステム、サイバーセキュリティ提供方法及び制御プログラム
JP2004355287A (ja) * 2003-05-28 2004-12-16 Nippon Telegr & Teleph Corp <Ntt> 不正要求防御装置および方法
JP2005011234A (ja) * 2003-06-20 2005-01-13 Toshiba Corp 不正アクセス検出装置、不正アクセス検出方法およびプログラム
JP2005056007A (ja) * 2003-08-08 2005-03-03 Fujitsu Ltd 入力データ制限プログラムおよび入力データ制限方法
JP2005293246A (ja) * 2004-03-31 2005-10-20 Toshiba Solutions Corp サーバ計算機保護装置及びサーバ計算機保護プログラム
JP2006060306A (ja) * 2004-08-17 2006-03-02 Nec Corp パケットフィルタリング方法およびパケットフィルタ装置
WO2006087907A1 (ja) * 2005-02-18 2006-08-24 Duaxes Corporation 通信制御装置
JP2007515867A (ja) * 2003-11-12 2007-06-14 ザ トラスティーズ オブ コロンビア ユニヴァーシティ イン ザ シティ オブ ニューヨーク 正常データのnグラム分布を用いてペイロード異常を検出するための装置、方法、及び媒体
JP2008538638A (ja) * 2005-04-21 2008-10-30 マイクロソフト コーポレーション ウェブサービスを提供するコンピュータをマルウェアから保護する方法
JP2009543163A (ja) * 2006-03-24 2009-12-03 エーブイジー テクノロジーズ シーワイ リミテッド ソフトウェア脆弱性悪用防止シールド
JP2010205287A (ja) * 2003-05-17 2010-09-16 Microsoft Corp セキュリティリスクを評価するための機構
JP2010268483A (ja) * 2002-11-07 2010-11-25 Tippingpoint Technologies Inc 能動的ネットワーク防衛システム及び方法
JP2011008399A (ja) * 2009-06-24 2011-01-13 Canon Inc データ処理装置及び方法、並びにプログラム
JP2012014437A (ja) * 2010-06-30 2012-01-19 Nippon Telegr & Teleph Corp <Ntt> データ転送装置及びアクセス解析方法
WO2012011270A1 (ja) * 2010-07-21 2012-01-26 日本電気株式会社 Web脆弱性補修装置、Webサーバ、Web脆弱性補修方法、及びプログラム
JP2013152497A (ja) * 2012-01-24 2013-08-08 Nec System Technologies Ltd ブラックリスト抽出装置、抽出方法および抽出プログラム
JP2016099689A (ja) * 2014-11-19 2016-05-30 京セラドキュメントソリューションズ株式会社 電子装置および電子装置のユーザー認証方法
WO2016189843A1 (ja) * 2015-05-27 2016-12-01 日本電気株式会社 セキュリティシステム、セキュリティ方法、及びプログラムを記憶する記録媒体
WO2016189841A1 (ja) * 2015-05-27 2016-12-01 日本電気株式会社 セキュリティシステム、セキュリティ方法、及びプログラムを記憶する記録媒体
JP2018205865A (ja) * 2017-05-31 2018-12-27 ヴイストン株式会社 情報通信デバイスおよびサーバ装置
WO2020008872A1 (ja) * 2018-07-06 2020-01-09 日立オートモティブシステムズ株式会社 車載セキュリティシステムおよび攻撃対処方法
JP2020140723A (ja) * 2016-07-22 2020-09-03 アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited ネットワーク攻撃防御システムおよび方法
US10785259B2 (en) 2016-04-19 2020-09-22 Mitsubishi Electric Corporation Relay device
US11290275B2 (en) 2018-09-19 2022-03-29 Kabushiki Kaisha Toshiba Authentication apparatus
US20220138350A1 (en) * 2020-11-04 2022-05-05 Robert Bosch Gmbh Method for detecting an unauthorized physical access to a bus system

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1997015008A1 (en) * 1995-06-06 1997-04-24 At & T Ipm Corp. System and method for database access control
JPH1021134A (ja) * 1996-07-04 1998-01-23 Sharp Corp ゲートウェイ装置、クライアント計算機およびそれらを接続した分散ファイルシステム
JP2000501542A (ja) * 1997-07-01 2000-02-08 プログレス ソフトウェア コーポレイション ネットワーク・アプリケーション用のテスト及びデバッグツール

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1997015008A1 (en) * 1995-06-06 1997-04-24 At & T Ipm Corp. System and method for database access control
JPH1021134A (ja) * 1996-07-04 1998-01-23 Sharp Corp ゲートウェイ装置、クライアント計算機およびそれらを接続した分散ファイルシステム
JP2000501542A (ja) * 1997-07-01 2000-02-08 プログレス ソフトウェア コーポレイション ネットワーク・アプリケーション用のテスト及びデバッグツール

Cited By (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010268483A (ja) * 2002-11-07 2010-11-25 Tippingpoint Technologies Inc 能動的ネットワーク防衛システム及び方法
JP2004164107A (ja) * 2002-11-11 2004-06-10 Kddi Corp 不正アクセス監視システム
JP2004186878A (ja) * 2002-12-02 2004-07-02 Keyware Solutions Inc 侵入検知装置及び侵入検知プログラム
JP2004213476A (ja) * 2003-01-07 2004-07-29 Nri & Ncc Co Ltd 不正アクセス検出装置
JP2004229092A (ja) * 2003-01-24 2004-08-12 Toshiba Corp サーバ計算機保護装置、同装置のデータ要求解析方法およびプログラム
JPWO2004070590A1 (ja) * 2003-02-04 2006-05-25 富士通株式会社 ソフトウェア保守サービス提供システム、ソフトウェア保守サービス方法、その方法をコンピュータに実行させるプログラム
WO2004070590A1 (ja) * 2003-02-04 2004-08-19 Fujitsu Limited ソフトウェア保守サービス提供システム、ソフトウェア保守サービス方法、その方法をコンピュータに実行させるプログラム
US7739683B2 (en) 2003-02-04 2010-06-15 Fujitsu Limited Method and system for providing software maintenance service, and computer product
JP2004312064A (ja) * 2003-02-21 2004-11-04 Intelligent Cosmos Research Institute ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム
JP2004295533A (ja) * 2003-03-27 2004-10-21 Nec Corp アプリケーション障害回避システム、監視用コンピュータ、サーバコンピュータ及びプログラム
JP2010205287A (ja) * 2003-05-17 2010-09-16 Microsoft Corp セキュリティリスクを評価するための機構
JP2004348292A (ja) * 2003-05-20 2004-12-09 Nec Corp サイバーセキュリティシステム、サイバーセキュリティ提供方法及び制御プログラム
JP2004355287A (ja) * 2003-05-28 2004-12-16 Nippon Telegr & Teleph Corp <Ntt> 不正要求防御装置および方法
JP2005011234A (ja) * 2003-06-20 2005-01-13 Toshiba Corp 不正アクセス検出装置、不正アクセス検出方法およびプログラム
JP2005056007A (ja) * 2003-08-08 2005-03-03 Fujitsu Ltd 入力データ制限プログラムおよび入力データ制限方法
JP4662944B2 (ja) * 2003-11-12 2011-03-30 ザ トラスティーズ オブ コロンビア ユニヴァーシティ イン ザ シティ オブ ニューヨーク 正常データのnグラム分布を用いてペイロード異常を検出するための装置、方法、及び媒体
JP2007515867A (ja) * 2003-11-12 2007-06-14 ザ トラスティーズ オブ コロンビア ユニヴァーシティ イン ザ シティ オブ ニューヨーク 正常データのnグラム分布を用いてペイロード異常を検出するための装置、方法、及び媒体
JP2005293246A (ja) * 2004-03-31 2005-10-20 Toshiba Solutions Corp サーバ計算機保護装置及びサーバ計算機保護プログラム
JP2006060306A (ja) * 2004-08-17 2006-03-02 Nec Corp パケットフィルタリング方法およびパケットフィルタ装置
JPWO2006087907A1 (ja) * 2005-02-18 2008-07-03 デュアキシズ株式会社 通信制御装置
WO2006087907A1 (ja) * 2005-02-18 2006-08-24 Duaxes Corporation 通信制御装置
JP2008538638A (ja) * 2005-04-21 2008-10-30 マイクロソフト コーポレーション ウェブサービスを提供するコンピュータをマルウェアから保護する方法
JP4880674B2 (ja) * 2005-04-21 2012-02-22 マイクロソフト コーポレーション ウェブサービスを提供するコンピュータをマルウェアから保護する方法
JP2009543163A (ja) * 2006-03-24 2009-12-03 エーブイジー テクノロジーズ シーワイ リミテッド ソフトウェア脆弱性悪用防止シールド
JP2011008399A (ja) * 2009-06-24 2011-01-13 Canon Inc データ処理装置及び方法、並びにプログラム
US8527643B2 (en) 2009-06-24 2013-09-03 Canon Kabushiki Kaisha Data processing apparatus that registers information notification destination and method therefor, and storage medium
JP2012014437A (ja) * 2010-06-30 2012-01-19 Nippon Telegr & Teleph Corp <Ntt> データ転送装置及びアクセス解析方法
JP2012027618A (ja) * 2010-07-21 2012-02-09 Nec Corp Web脆弱性補修装置、Webサーバ、Web脆弱性補修方法、及びプログラム
US9392011B2 (en) 2010-07-21 2016-07-12 Nec Corporation Web vulnerability repair apparatus, web server, web vulnerability repair method, and program
WO2012011270A1 (ja) * 2010-07-21 2012-01-26 日本電気株式会社 Web脆弱性補修装置、Webサーバ、Web脆弱性補修方法、及びプログラム
JP2013152497A (ja) * 2012-01-24 2013-08-08 Nec System Technologies Ltd ブラックリスト抽出装置、抽出方法および抽出プログラム
JP2016099689A (ja) * 2014-11-19 2016-05-30 京セラドキュメントソリューションズ株式会社 電子装置および電子装置のユーザー認証方法
WO2016189843A1 (ja) * 2015-05-27 2016-12-01 日本電気株式会社 セキュリティシステム、セキュリティ方法、及びプログラムを記憶する記録媒体
WO2016189841A1 (ja) * 2015-05-27 2016-12-01 日本電気株式会社 セキュリティシステム、セキュリティ方法、及びプログラムを記憶する記録媒体
US10868830B2 (en) 2015-05-27 2020-12-15 Nec Corporation Network security system, method, recording medium and program for preventing unauthorized attack using dummy response
US10855721B2 (en) 2015-05-27 2020-12-01 Nec Corporation Security system, security method, and recording medium for storing program
US10785259B2 (en) 2016-04-19 2020-09-22 Mitsubishi Electric Corporation Relay device
US11184387B2 (en) 2016-07-22 2021-11-23 Alibaba Group Holding Limited Network attack defense system and method
JP2020140723A (ja) * 2016-07-22 2020-09-03 アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited ネットワーク攻撃防御システムおよび方法
JP2018205865A (ja) * 2017-05-31 2018-12-27 ヴイストン株式会社 情報通信デバイスおよびサーバ装置
JP7012988B2 (ja) 2017-05-31 2022-01-31 ヴイストン株式会社 情報通信デバイス
WO2020008872A1 (ja) * 2018-07-06 2020-01-09 日立オートモティブシステムズ株式会社 車載セキュリティシステムおよび攻撃対処方法
US11290275B2 (en) 2018-09-19 2022-03-29 Kabushiki Kaisha Toshiba Authentication apparatus
US20220138350A1 (en) * 2020-11-04 2022-05-05 Robert Bosch Gmbh Method for detecting an unauthorized physical access to a bus system
US11709971B2 (en) * 2020-11-04 2023-07-25 Robert Bosch Gmbh Method for detecting an unauthorized physical access to a bus system

Similar Documents

Publication Publication Date Title
JP4911018B2 (ja) フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム
JP2002342279A (ja) フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム
US7137145B2 (en) System and method for detecting an infective element in a network environment
US7549166B2 (en) Defense mechanism for server farm
US6775657B1 (en) Multilayered intrusion detection system and method
US8769687B2 (en) Network security architecture
Kesh et al. A framework for analyzing e‐commerce security
KR100604604B1 (ko) 서버 보안 솔루션과 네트워크 보안 솔루션을 이용한시스템 보안 방법 및 이를 구현하는 보안시스템
US20030037258A1 (en) Information security system and method`
KR100835820B1 (ko) 통합 인터넷 보안 시스템 및 방법
US20020023227A1 (en) Systems and methods for distributed network protection
WO2020113085A1 (en) In-stream malware protection
US20050265343A1 (en) Packet filtering apparatus, packet filtering method, and computer program product
US8726384B2 (en) Apparatus, and system for determining and cautioning users of internet connected clients of potentially malicious software and method for operating such
JP2014086822A (ja) 不正アクセス検出方法、ネットワーク監視装置及びプログラム
JP2004302538A (ja) ネットワークセキュリティシステム及びネットワークセキュリティ管理方法
JP2003186763A (ja) コンピュータシステムへの不正侵入の検知と防止方法
Kaskar et al. A system for detection of distributed denial of service (DDoS) attacks using KDD cup data set
Choudhary et al. Detection and Isolation of Zombie Attack under Cloud Computing
Monteiro et al. An authentication and validation mechanism for analyzing syslogs forensically
MA et al. Attacks and countermeasures in software system security
JP2002055958A (ja) 3パスワード認証方式
Palmieri et al. Audit-based access control in nomadic wireless environments
TEKDOĞAN et al. Prevention Techniques for SSL Hacking Threats to E-Government Services.
Khanday et al. Intrusion Detection Systems for Trending Cyberattacks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040823

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070627

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070717

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070918

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20071023