JP2003032252A - 不正アクセス追跡方法、そのプログラム及びそのプログラムが記録された記録媒体 - Google Patents
不正アクセス追跡方法、そのプログラム及びそのプログラムが記録された記録媒体Info
- Publication number
- JP2003032252A JP2003032252A JP2001215446A JP2001215446A JP2003032252A JP 2003032252 A JP2003032252 A JP 2003032252A JP 2001215446 A JP2001215446 A JP 2001215446A JP 2001215446 A JP2001215446 A JP 2001215446A JP 2003032252 A JP2003032252 A JP 2003032252A
- Authority
- JP
- Japan
- Prior art keywords
- address
- server
- log
- computer
- unauthorized access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
Abstract
(57)【要約】
【課題】 ログインされるサーバを介しての間接的な不
正アクセスに際しても犯人の追跡が行える不正アクセス
追跡方法を提供する。 【解決手段】 不正アクセスの際にログインされるサー
バ2,3といったtelnetサーバに搭載された各発
信ログ出力デーモン13が、このサーバで発信があった
ときに、この発信に行ったログイン元のコンピュータの
IPアドレスが特定できるようなログを逐一記録してお
く。エージェント12は、コンソール4から移動先のサ
ーバ2へ移動し、サーバ2で記録されたログを元にログ
イン元のコンピュータのIPアドレスを求める。このI
PアドレスがtelnetサーバのIPアドレスである
ときは、当該IPアドレスの付与されたサーバ、例え
ば、サーバ3に移動する。一方エージェント12は、求
めたIPアドレスがtelnetサーバのアドレスでな
いと判定した場合には、かかるIPアドレスを不正アク
セスの起点となった犯人のコンピュータのものとして、
コンソール4に戻り、このIPアドレス等を出力する。
正アクセスに際しても犯人の追跡が行える不正アクセス
追跡方法を提供する。 【解決手段】 不正アクセスの際にログインされるサー
バ2,3といったtelnetサーバに搭載された各発
信ログ出力デーモン13が、このサーバで発信があった
ときに、この発信に行ったログイン元のコンピュータの
IPアドレスが特定できるようなログを逐一記録してお
く。エージェント12は、コンソール4から移動先のサ
ーバ2へ移動し、サーバ2で記録されたログを元にログ
イン元のコンピュータのIPアドレスを求める。このI
PアドレスがtelnetサーバのIPアドレスである
ときは、当該IPアドレスの付与されたサーバ、例え
ば、サーバ3に移動する。一方エージェント12は、求
めたIPアドレスがtelnetサーバのアドレスでな
いと判定した場合には、かかるIPアドレスを不正アク
セスの起点となった犯人のコンピュータのものとして、
コンソール4に戻り、このIPアドレス等を出力する。
Description
【0001】
【発明の属する技術分野】本発明は、不正アクセスを行
った犯人のコンピュータを追跡する技術に係り、特にt
elnetサーバといったログインされるサーバを介し
ての間接アクセスに際しても犯人の追跡が行える不正ア
クセス追跡方法、そのプログラム及びそのプログラムが
記録された記録媒体に関する。
った犯人のコンピュータを追跡する技術に係り、特にt
elnetサーバといったログインされるサーバを介し
ての間接アクセスに際しても犯人の追跡が行える不正ア
クセス追跡方法、そのプログラム及びそのプログラムが
記録された記録媒体に関する。
【0002】
【従来の技術】近年にあっては、サーバへの不正アクセ
スが急増しており、その犯人の追跡の重要性を増してい
る。なお、犯人の追跡とは、犯人の使用したコンピュー
タを特定等することであり、追跡という言葉が便宜的に
使われる。
スが急増しており、その犯人の追跡の重要性を増してい
る。なお、犯人の追跡とは、犯人の使用したコンピュー
タを特定等することであり、追跡という言葉が便宜的に
使われる。
【0003】図6は、従来における不正アクセスと犯人
の追跡方法を示す図である。ここでは、直接的な攻撃で
なく、サーバを介した間接的な不正アクセスについて説
明する。
の追跡方法を示す図である。ここでは、直接的な攻撃で
なく、サーバを介した間接的な不正アクセスについて説
明する。
【0004】犯人はコンピュータ104から、teln
etサーバ103へログインする。次に、telnet
サーバ103からプロキシサーバ102へhttpプロ
トコルで不正アクセスを行う。プロキシサーバ102
は、httpサーバ101へ不正アクセス(攻撃)を中
継する。
etサーバ103へログインする。次に、telnet
サーバ103からプロキシサーバ102へhttpプロ
トコルで不正アクセスを行う。プロキシサーバ102
は、httpサーバ101へ不正アクセス(攻撃)を中
継する。
【0005】ここで、通常のhttpサーバやプロキシ
サーバは、アクセスログとして、アクセス先URLとア
クセス元のIPアドレス、並びにアクセスのあった時刻
を記録しているので、犯人104を特定しようとする場
合、例えば、管理者のコンピュータなどからサーバ10
2、そしてサーバ103までは追跡を行うことが可能で
ある。
サーバは、アクセスログとして、アクセス先URLとア
クセス元のIPアドレス、並びにアクセスのあった時刻
を記録しているので、犯人104を特定しようとする場
合、例えば、管理者のコンピュータなどからサーバ10
2、そしてサーバ103までは追跡を行うことが可能で
ある。
【0006】
【発明が解決しようとする課題】しかしながら、tel
netサーバにあっては、wtmpログにてユーザ名、
ログイン元IPアドレス等は記録しているが、ログイン
後のユーザからの発信に関しては記録してないので、サ
ーバ103のどのユーザが犯人だったのか分からずコン
ピュータ104を特定することができない。つまり、t
elnetサーバを介しての不正アクセスの犯人は特定
されず、こうした事情から、telnetサーバを介し
たhttpサーバの攻撃について、その対策が強く要望
されている。
netサーバにあっては、wtmpログにてユーザ名、
ログイン元IPアドレス等は記録しているが、ログイン
後のユーザからの発信に関しては記録してないので、サ
ーバ103のどのユーザが犯人だったのか分からずコン
ピュータ104を特定することができない。つまり、t
elnetサーバを介しての不正アクセスの犯人は特定
されず、こうした事情から、telnetサーバを介し
たhttpサーバの攻撃について、その対策が強く要望
されている。
【0007】そこで本発明は、上記の従来の課題に鑑み
てなされたものであり、その目的とするところは、ログ
インされるサーバを介しての間接的な不正アクセスに際
しても犯人の追跡が行える不正アクセス追跡方法、その
プログラム及びそのプログラムが記録された記録媒体を
提供することにある。
てなされたものであり、その目的とするところは、ログ
インされるサーバを介しての間接的な不正アクセスに際
しても犯人の追跡が行える不正アクセス追跡方法、その
プログラム及びそのプログラムが記録された記録媒体を
提供することにある。
【0008】
【課題を解決するための手段】上記従来の課題を解決す
るために、請求項1の本発明は、不正アクセスの際にロ
グインされる複数のサーバに搭載された各記録デーモン
が、この記録デーモンの搭載されたサーバで発信があっ
たときに、この発信を行ったログイン元のコンピュータ
のIPアドレスが特定できるようなログを逐一記録して
おくステップと、前記複数のサーバのいずれかに少なく
とも移動するエージェントが行うステップであって、移
動先のサーバで記録されたログを元にログイン元のコン
ピュータのIPアドレスを求めるとともに、このIPア
ドレスが当該複数のサーバのうちのいずれかのIPアド
レスであるときは、当該IPアドレスの付与されたサー
バに移動するステップと、前記エージェントが、前記求
めたIPアドレスが前記複数のサーバのうちのいずれの
ものでもない場合に、予め定められたコンピュータに移
動して当該IPアドレスを出力するステップとを備える
ことを特徴とする不正アクセス追跡方法をもって解決手
段とする。
るために、請求項1の本発明は、不正アクセスの際にロ
グインされる複数のサーバに搭載された各記録デーモン
が、この記録デーモンの搭載されたサーバで発信があっ
たときに、この発信を行ったログイン元のコンピュータ
のIPアドレスが特定できるようなログを逐一記録して
おくステップと、前記複数のサーバのいずれかに少なく
とも移動するエージェントが行うステップであって、移
動先のサーバで記録されたログを元にログイン元のコン
ピュータのIPアドレスを求めるとともに、このIPア
ドレスが当該複数のサーバのうちのいずれかのIPアド
レスであるときは、当該IPアドレスの付与されたサー
バに移動するステップと、前記エージェントが、前記求
めたIPアドレスが前記複数のサーバのうちのいずれの
ものでもない場合に、予め定められたコンピュータに移
動して当該IPアドレスを出力するステップとを備える
ことを特徴とする不正アクセス追跡方法をもって解決手
段とする。
【0009】請求項2の本発明は、前記記録デーモン
は、前記ログイン元のコンピュータのIPアドレスが特
定できるようなログに、この記録デーモンの搭載された
サーバが、ログインしてきた各コンピュータに付与する
唯一無二の識別情報と発信の時刻とを含めて記録するこ
とを特徴とする請求項1の不正アクセス追跡方法をもっ
て解決手段とする。
は、前記ログイン元のコンピュータのIPアドレスが特
定できるようなログに、この記録デーモンの搭載された
サーバが、ログインしてきた各コンピュータに付与する
唯一無二の識別情報と発信の時刻とを含めて記録するこ
とを特徴とする請求項1の不正アクセス追跡方法をもっ
て解決手段とする。
【0010】請求項3の本発明は、不正アクセスの際に
ログインされる複数のサーバに搭載された各記録デーモ
ンが、この記録デーモンの搭載されたサーバで発信があ
ったときに、この発信を行ったログイン元のコンピュー
タのIPアドレスが特定できるようなログを逐一記録し
ておいたときの不正アクセス追跡方法であって、前記複
数のサーバのいずれかに少なくとも移動するエージェン
トが行うステップであって、移動先のサーバで記録され
たログを元にログイン元のコンピュータのIPアドレス
を求めるとともに、このIPアドレスが当該複数のサー
バのうちのいずれかのIPアドレスであるときは、当該
IPアドレスの付与されたサーバに移動するステップ
と、前記エージェントが、前記求めたIPアドレスが前
記複数のサーバのうちのいずれのものでもない場合に、
予め定められたコンピュータに移動して当該IPアドレ
スを出力するステップとを備えることを特徴とする不正
アクセス追跡方法をもって解決手段とする。
ログインされる複数のサーバに搭載された各記録デーモ
ンが、この記録デーモンの搭載されたサーバで発信があ
ったときに、この発信を行ったログイン元のコンピュー
タのIPアドレスが特定できるようなログを逐一記録し
ておいたときの不正アクセス追跡方法であって、前記複
数のサーバのいずれかに少なくとも移動するエージェン
トが行うステップであって、移動先のサーバで記録され
たログを元にログイン元のコンピュータのIPアドレス
を求めるとともに、このIPアドレスが当該複数のサー
バのうちのいずれかのIPアドレスであるときは、当該
IPアドレスの付与されたサーバに移動するステップ
と、前記エージェントが、前記求めたIPアドレスが前
記複数のサーバのうちのいずれのものでもない場合に、
予め定められたコンピュータに移動して当該IPアドレ
スを出力するステップとを備えることを特徴とする不正
アクセス追跡方法をもって解決手段とする。
【0011】請求項4の本発明は、前記記録デーモンま
たはエージェントをコンピュータで動作させるプログラ
ムである不正アクセス追跡プログラムをもって解決手段
とする。
たはエージェントをコンピュータで動作させるプログラ
ムである不正アクセス追跡プログラムをもって解決手段
とする。
【0012】請求項5の本発明は、前記記録デーモンま
たはエージェントをコンピュータで動作させるプログラ
ムである不正アクセス追跡プログラムが記録された記録
媒体をもって解決手段とする。
たはエージェントをコンピュータで動作させるプログラ
ムである不正アクセス追跡プログラムが記録された記録
媒体をもって解決手段とする。
【0013】請求項1または請求項3の本発明にあって
は、各記録デーモンが、この記録デーモンの搭載された
サーバで発信があったときに、この発信に行ったログイ
ン元のコンピュータのIPアドレスが特定できるような
ログを逐一記録しておく。エージェントは、求めたIP
アドレスが、複数のサーバのうちのいずれかのIPアド
レスであるときは、当該IPアドレスの付与されたサー
バに移動して、再度、ログイン元のコンピュータのIP
アドレスを求める。一方、エージェントが、求めたIP
アドレスが複数のサーバのうちのいずれのものでもない
と判定した場合には、かかるIPアドレスを不正アクセ
スの起点となった犯人のコンピュータのものとして、予
め定められた管理者等のコンピュータに移動してこのI
Pアドレスを出力する。
は、各記録デーモンが、この記録デーモンの搭載された
サーバで発信があったときに、この発信に行ったログイ
ン元のコンピュータのIPアドレスが特定できるような
ログを逐一記録しておく。エージェントは、求めたIP
アドレスが、複数のサーバのうちのいずれかのIPアド
レスであるときは、当該IPアドレスの付与されたサー
バに移動して、再度、ログイン元のコンピュータのIP
アドレスを求める。一方、エージェントが、求めたIP
アドレスが複数のサーバのうちのいずれのものでもない
と判定した場合には、かかるIPアドレスを不正アクセ
スの起点となった犯人のコンピュータのものとして、予
め定められた管理者等のコンピュータに移動してこのI
Pアドレスを出力する。
【0014】請求項2の本発明にあっては、記録デーモ
ンが、ログインしてきた各コンピュータに付与されるt
tyといった識別情報と発信の時刻をログに記録するの
で、telnetサーバ等に複数のユーザが同一のユー
ザ名でログインした場合であっても、犯人のコンピュー
タを特定することができる。
ンが、ログインしてきた各コンピュータに付与されるt
tyといった識別情報と発信の時刻をログに記録するの
で、telnetサーバ等に複数のユーザが同一のユー
ザ名でログインした場合であっても、犯人のコンピュー
タを特定することができる。
【0015】請求項4または請求項5の本発明にあって
は、記録デーモンまたはエージェントをコンピュータで
動作させるプログラムを、半導体メモリ、磁気ディス
ク、光ディスク、光磁気ディスク、磁気テープなどのコ
ンピュータ読み取り可能な記録媒体に記録したり、イン
ターネットなどの通信網を介して伝送させて、広く流通
させることができるようにしている。
は、記録デーモンまたはエージェントをコンピュータで
動作させるプログラムを、半導体メモリ、磁気ディス
ク、光ディスク、光磁気ディスク、磁気テープなどのコ
ンピュータ読み取り可能な記録媒体に記録したり、イン
ターネットなどの通信網を介して伝送させて、広く流通
させることができるようにしている。
【0016】
【発明の実施の形態】以下、本発明の実施の形態を図面
を参照して説明する。
を参照して説明する。
【0017】図1は、本発明の実施の形態を示すネット
ワークの構成図である。図1に示すように、例えば企業
内のイントラネットにおいて、httpサーバであるサ
ーバ1と、サーバ2及び3といった複数のtelnet
サーバ(他のサーバは図示せず)と、ネットワーク管理
者のコンピュータであるコンソール4とがLAN回線で
接続等されている。また、ネットワークには、サーバへ
の攻撃に使用とする犯人のコンピュータ5が接続されて
いる。サーバ1は、例えば、社員への情報提供を行って
おり、犯人にとっては攻撃対象でる。なお、サーバ1
は、プロキシサーバを介してアクセスされるサーバであ
ってもよい。
ワークの構成図である。図1に示すように、例えば企業
内のイントラネットにおいて、httpサーバであるサ
ーバ1と、サーバ2及び3といった複数のtelnet
サーバ(他のサーバは図示せず)と、ネットワーク管理
者のコンピュータであるコンソール4とがLAN回線で
接続等されている。また、ネットワークには、サーバへ
の攻撃に使用とする犯人のコンピュータ5が接続されて
いる。サーバ1は、例えば、社員への情報提供を行って
おり、犯人にとっては攻撃対象でる。なお、サーバ1
は、プロキシサーバを介してアクセスされるサーバであ
ってもよい。
【0018】サーバ1には、図示しない侵入者検知シス
テムが動作しており、不正アクセスがあったときは、ア
クセスの時刻とアクセスしてきたコンピュータのIPア
ドレスとをコンソール4に通知するようになっている。
テムが動作しており、不正アクセスがあったときは、ア
クセスの時刻とアクセスしてきたコンピュータのIPア
ドレスとをコンソール4に通知するようになっている。
【0019】サーバ2、3は、犯人のコンピュータ5を
含む社員のコンピュータにtelnetプロトコルでの
リモートアクセスの環境を提供している。なお、サーバ
2、3は、リモートログインやセキュアシェルによりロ
グインされるサーバであっても良い。
含む社員のコンピュータにtelnetプロトコルでの
リモートアクセスの環境を提供している。なお、サーバ
2、3は、リモートログインやセキュアシェルによりロ
グインされるサーバであっても良い。
【0020】サーバ2、サーバ3及びコンソール4に
は、エージェントを動作させるプラットフォーム(基本
プログラム)であるエージェント受容体11が予め動作
している。したがって、サーバを渡り歩いて犯人を追跡
するプログラムである多段telnet追跡エージェン
ト(単にエージェントともいう)12は、サーバ2、サ
ーバ3及びコンソール4の間を移動し、そのコンピュー
タにおいて動作することができる。
は、エージェントを動作させるプラットフォーム(基本
プログラム)であるエージェント受容体11が予め動作
している。したがって、サーバを渡り歩いて犯人を追跡
するプログラムである多段telnet追跡エージェン
ト(単にエージェントともいう)12は、サーバ2、サ
ーバ3及びコンソール4の間を移動し、そのコンピュー
タにおいて動作することができる。
【0021】また、サーバ2及びサーバ3には、これら
サーバにてTCPプロトコルによる発信があったとき
に、その発信ログを記録する発信ログ出力デーモン13
が動作している。
サーバにてTCPプロトコルによる発信があったとき
に、その発信ログを記録する発信ログ出力デーモン13
が動作している。
【0022】図2は、サーバ2、3及びコンソール4の
構成を示す図である。
構成を示す図である。
【0023】サーバ2及びサーバ3は同様の構成を有し
おり、図2の説明ではサーバという。サーバには、エー
ジェント受容体11と発信ログ出力デーモン13が動作
していることは既に述べたとおりである。発信ログ出力
デーモン13は、発信検出機能131、プロセス検索機
能132、ユーザ検索機能133及び発信ログ出力機能
134を備えている。
おり、図2の説明ではサーバという。サーバには、エー
ジェント受容体11と発信ログ出力デーモン13が動作
していることは既に述べたとおりである。発信ログ出力
デーモン13は、発信検出機能131、プロセス検索機
能132、ユーザ検索機能133及び発信ログ出力機能
134を備えている。
【0024】発信検出機能131は、ユーザの発信を監
視し、発信があったことを検出する機能である。プロセ
ス検索機能132は、発信元ポート番号を元に、どのプ
ロセスが発信元ポート番号を利用したかを検索する機能
である。ユーザ検索機能133は、プロセスを起動した
ユーザを検出する機能である。発信ログ出力機能134
は、これら検出及び検索された情報をログとして記録す
る機能である。
視し、発信があったことを検出する機能である。プロセ
ス検索機能132は、発信元ポート番号を元に、どのプ
ロセスが発信元ポート番号を利用したかを検索する機能
である。ユーザ検索機能133は、プロセスを起動した
ユーザを検出する機能である。発信ログ出力機能134
は、これら検出及び検索された情報をログとして記録す
る機能である。
【0025】一方、コンソール4にも、エージェント受
容体11が動作しており、このコンソール4には、エー
ジェント12が待機している。
容体11が動作しており、このコンソール4には、エー
ジェント12が待機している。
【0026】エージェント12は、情報入力機能12
1、サーバ移動機能122、発信ログ検索機能123、
wtmpログ検索機能124、追跡情報出力機能125
を備えている。
1、サーバ移動機能122、発信ログ検索機能123、
wtmpログ検索機能124、追跡情報出力機能125
を備えている。
【0027】情報入力機能121は、追跡の初期の段階
で入力される情報を追跡ログに格納する機能である。サ
ーバ移動機能122は、エージェント自身がサーバ間を
移動し、犯人のコンピュータを発見した後にコンソール
4に戻る機能である。発信ログ検索機能123は、蓄積
された発信ログからログを検索し追跡ログに格納する機
能である。wtmpログ検索機能124は、蓄積された
wtmpログからログを検索し追跡ログに格納する機能
である。追跡情報出力機能125は、コンソール4の表
示装置等に追跡ログを表示等する機能である。なお、本
実施の形態では、サーバに類するコンピュータには、間
接的な攻撃に利用されるtelnetサーバのIPアド
レスが予め記憶されており、エージェント12は、移動
先のコンピュータがかかるtelnetサーバか、社員
のコンピュータかを判別できるようになっている。
で入力される情報を追跡ログに格納する機能である。サ
ーバ移動機能122は、エージェント自身がサーバ間を
移動し、犯人のコンピュータを発見した後にコンソール
4に戻る機能である。発信ログ検索機能123は、蓄積
された発信ログからログを検索し追跡ログに格納する機
能である。wtmpログ検索機能124は、蓄積された
wtmpログからログを検索し追跡ログに格納する機能
である。追跡情報出力機能125は、コンソール4の表
示装置等に追跡ログを表示等する機能である。なお、本
実施の形態では、サーバに類するコンピュータには、間
接的な攻撃に利用されるtelnetサーバのIPアド
レスが予め記憶されており、エージェント12は、移動
先のコンピュータがかかるtelnetサーバか、社員
のコンピュータかを判別できるようになっている。
【0028】次に、本実施の形態の作用を説明する。
【0029】図3は、本実施の形態における不正アクセ
スと犯人追跡の様子を示すシーケンス図である。犯人
は、コンピュータ5からサーバ1を直接攻撃するのでは
なく、先ずサーバ3へtelnetでログインする(S
1)。ここでは、ユーザ名(例えば、「user1」とす
る)とパスワードが入力される。このログインの時刻を
時刻t1とする。ログインが行われると、サーバ3はw
tmpログを記録する(S2)。
スと犯人追跡の様子を示すシーケンス図である。犯人
は、コンピュータ5からサーバ1を直接攻撃するのでは
なく、先ずサーバ3へtelnetでログインする(S
1)。ここでは、ユーザ名(例えば、「user1」とす
る)とパスワードが入力される。このログインの時刻を
時刻t1とする。ログインが行われると、サーバ3はw
tmpログを記録する(S2)。
【0030】そして、犯人がユーザ名「user2」を使用
して、サーバ3からサーバ2へと再びtelnetでロ
グインすると(S3)、サーバ2も、サーバ3同様にw
tmpログを記録する(S4)。そして、このログイン
におけるTCPの発信のとき(発信時刻t2とする)
に、サーバ3の発信ログ出力デーモン13が、発信ログ
を記録する(S5)。
して、サーバ3からサーバ2へと再びtelnetでロ
グインすると(S3)、サーバ2も、サーバ3同様にw
tmpログを記録する(S4)。そして、このログイン
におけるTCPの発信のとき(発信時刻t2とする)
に、サーバ3の発信ログ出力デーモン13が、発信ログ
を記録する(S5)。
【0031】ここで、図4を参照して、発信ログの構成
と発信ログの記録方法を説明する。なお、wtmpログ
についても図4で説明する。
と発信ログの記録方法を説明する。なお、wtmpログ
についても図4で説明する。
【0032】wtmpログは、ログイン時刻、ログアウ
ト時刻、ユーザ名、tty及びログイン元のIPアドレ
スなどを含む情報である。なお、ログイン中にあって
は、ログアウト時刻に代えて、ログイン中の旨を示すス
テータスが記録され、ログアウトの際に、ログアウト時
刻に更新される。ttyとは、サーバがログインに使用
したユーザ名に対して割り当てる唯一無二の識別情報で
ある。なお、一度割り当てられたttyはログアウトす
るまで、他に割り当てられることはない。すなわちサー
バの利用時間(ログインからログアウトまで)において
は、ttyは唯一無二の情報である。
ト時刻、ユーザ名、tty及びログイン元のIPアドレ
スなどを含む情報である。なお、ログイン中にあって
は、ログアウト時刻に代えて、ログイン中の旨を示すス
テータスが記録され、ログアウトの際に、ログアウト時
刻に更新される。ttyとは、サーバがログインに使用
したユーザ名に対して割り当てる唯一無二の識別情報で
ある。なお、一度割り当てられたttyはログアウトす
るまで、他に割り当てられることはない。すなわちサー
バの利用時間(ログインからログアウトまで)において
は、ttyは唯一無二の情報である。
【0033】したがって、ステップS2では、wtmp
ログに、ログイン時刻t1、サーバ3からのログアウト
時刻またはログイン中であることを示すステータス、犯
人が使用したユーザ名「user1」、このユーザ名「user
1」に割り当てられたtty、及び犯人のコンピュータ
5のIPアドレスが記録される。
ログに、ログイン時刻t1、サーバ3からのログアウト
時刻またはログイン中であることを示すステータス、犯
人が使用したユーザ名「user1」、このユーザ名「user
1」に割り当てられたtty、及び犯人のコンピュータ
5のIPアドレスが記録される。
【0034】一方、ステップS4では、wtmpログ
に、ログイン時刻t2、サーバ2からのログアウト時刻
またはログイン中であることを示すステータス、犯人が
使用したユーザ名「user2」、このユーザ名「user2」
に割り当てられたtty、及びサーバ3のIPアドレス
が記録される。
に、ログイン時刻t2、サーバ2からのログアウト時刻
またはログイン中であることを示すステータス、犯人が
使用したユーザ名「user2」、このユーザ名「user2」
に割り当てられたtty、及びサーバ3のIPアドレス
が記録される。
【0035】これに対して発信ログは、発信時刻、宛先
のIPアドレス、宛先ポート、発信元のIPアドレス、
発信元ポート、ユーザ名、tty、プロセス名及びプロ
セスIDを含む情報である。
のIPアドレス、宛先ポート、発信元のIPアドレス、
発信元ポート、ユーザ名、tty、プロセス名及びプロ
セスIDを含む情報である。
【0036】ステップS5では、先ず、発信検出機能1
31が発信を検出すると、発信時刻、宛先のIPアドレ
ス、宛先ポート、発信元のIPアドレス、発信元ポート
を発信ログとして記録し、プロセス検索機能132をコ
ールする。コールされたプロセス検索機能132は、こ
の発信元ポート番号を元にプロセス名とプロセスIDを
求めて、同じ発信ログに記録し、ユーザ検索機能133
をコールする。コールされたユーザ検索機能133は、
このプロセスIDを元にユーザ名およびttyを求め、
同じ発信ログに記録する。
31が発信を検出すると、発信時刻、宛先のIPアドレ
ス、宛先ポート、発信元のIPアドレス、発信元ポート
を発信ログとして記録し、プロセス検索機能132をコ
ールする。コールされたプロセス検索機能132は、こ
の発信元ポート番号を元にプロセス名とプロセスIDを
求めて、同じ発信ログに記録し、ユーザ検索機能133
をコールする。コールされたユーザ検索機能133は、
このプロセスIDを元にユーザ名およびttyを求め、
同じ発信ログに記録する。
【0037】したがって、ステップS5では、発信ログ
に、発信時刻t2、サーバ2のIPアドレス及びポート
番号、サーバ3のIPアドレス及びポート番号、ユーザ
名「user1」及びこのユーザ名「user1」に割り当てら
れたtty、プロセス名及びプロセスIDが記録され
る。
に、発信時刻t2、サーバ2のIPアドレス及びポート
番号、サーバ3のIPアドレス及びポート番号、ユーザ
名「user1」及びこのユーザ名「user1」に割り当てら
れたtty、プロセス名及びプロセスIDが記録され
る。
【0038】このように、発信ログ出力デーモン13
は、ログインに使用したユーザ名に付与されるttyと
いった識別情報と発信時刻を記録するので、複数のユー
ザが同一のユーザ名でログインした場合であっても、犯
人のコンピュータを特定することができる。
は、ログインに使用したユーザ名に付与されるttyと
いった識別情報と発信時刻を記録するので、複数のユー
ザが同一のユーザ名でログインした場合であっても、犯
人のコンピュータを特定することができる。
【0039】さて、図3に戻り説明を続ける。
【0040】犯人は、ログインしたサーバ2から、サー
バ1へと不正アクセスを行う(S7)。この不正アクセ
スにおけるTCPの発信のとき(発信時刻t3とする)
に、サーバ2の発信ログ出力デーモン13が、サーバ3
の発信ログ出力デーモン13と同様にして、発信ログを
記録する(S9)。
バ1へと不正アクセスを行う(S7)。この不正アクセ
スにおけるTCPの発信のとき(発信時刻t3とする)
に、サーバ2の発信ログ出力デーモン13が、サーバ3
の発信ログ出力デーモン13と同様にして、発信ログを
記録する(S9)。
【0041】したがって、ステップS9では、発信ログ
に、発信時刻t3、サーバ1のIPアドレス及びポート
番号、サーバ2のIPアドレス及びポート番号、ユーザ
名「user2」及びこのユーザ名「user2」に割り当てら
れたtty、プロセス名及びプロセスIDが記録され
る。
に、発信時刻t3、サーバ1のIPアドレス及びポート
番号、サーバ2のIPアドレス及びポート番号、ユーザ
名「user2」及びこのユーザ名「user2」に割り当てら
れたtty、プロセス名及びプロセスIDが記録され
る。
【0042】さて、サーバ1にあっては、侵入者検知シ
ステムが、この不正アクセスを検知し(S11)、アク
セスログに時刻t3とサーバ2のIPアドレスとを記録
するとともに、これら情報をコンソール4に通知する
(S13)。
ステムが、この不正アクセスを検知し(S11)、アク
セスログに時刻t3とサーバ2のIPアドレスとを記録
するとともに、これら情報をコンソール4に通知する
(S13)。
【0043】すると、コンソール4からサーバ2へとエ
ージェント12が移動し(S15)、さらに追跡が必要
な場合は、エージェント12はサーバ3へと移動する
(S17)。そして、犯人のコンピュータ5が特定でき
た場合に、エージェント12は、予め戻る場所として設
定されたコンソール4へと移動して戻る(S19)。
ージェント12が移動し(S15)、さらに追跡が必要
な場合は、エージェント12はサーバ3へと移動する
(S17)。そして、犯人のコンピュータ5が特定でき
た場合に、エージェント12は、予め戻る場所として設
定されたコンソール4へと移動して戻る(S19)。
【0044】ここで、このエージェントの移動中におけ
る動作を詳しく説明する。
る動作を詳しく説明する。
【0045】図5は、エージェント12が行う処理を示
すフローチャートである。エージェント12の情報入力
機能121が、侵入者検知システムから不正アクセスの
時刻とIPアドレスを通知されると、サーバ移動機能1
22により、エージェント12は、そのIPアドレスが
付与されたサーバに移動する(ステップS21)。そし
て、発信ログ検索機能123が、移動先のサーバに格納
された発信ログを検索し、ユーザ名、ttyを取得する
(S23)。このとき、発信ログ検索機能123は、通
知された時刻及びIPアドレスに一致する発信時刻及び
宛先のIPアドレスが記録された発信ログを求め、その
発信ログに記録されたユーザ名およびttyを取得す
る。なお、発信ログ検索機能123は、取得した情報を
追跡ログに記録する。
すフローチャートである。エージェント12の情報入力
機能121が、侵入者検知システムから不正アクセスの
時刻とIPアドレスを通知されると、サーバ移動機能1
22により、エージェント12は、そのIPアドレスが
付与されたサーバに移動する(ステップS21)。そし
て、発信ログ検索機能123が、移動先のサーバに格納
された発信ログを検索し、ユーザ名、ttyを取得する
(S23)。このとき、発信ログ検索機能123は、通
知された時刻及びIPアドレスに一致する発信時刻及び
宛先のIPアドレスが記録された発信ログを求め、その
発信ログに記録されたユーザ名およびttyを取得す
る。なお、発信ログ検索機能123は、取得した情報を
追跡ログに記録する。
【0046】次に、wtmpログ検索機能124が、移
動先のwtmpログを検索してログイン元のコンピュー
タに付与されたIPアドレスを取得する(S25)。こ
のとき、wtmpログ検索機能124は、ステップS2
3で取得したユーザ名およびttyに一致するユーザ名
およびttyが記録され、かつ発信時刻がログイン時刻
とログアウト時刻の間にあるwtmpログを求め、その
wtmpログに記録されたログイン元のIPアドレスを
取得する。なお、wtmpログ検索機能124は、取得
した情報を追跡ログに記録する。
動先のwtmpログを検索してログイン元のコンピュー
タに付与されたIPアドレスを取得する(S25)。こ
のとき、wtmpログ検索機能124は、ステップS2
3で取得したユーザ名およびttyに一致するユーザ名
およびttyが記録され、かつ発信時刻がログイン時刻
とログアウト時刻の間にあるwtmpログを求め、その
wtmpログに記録されたログイン元のIPアドレスを
取得する。なお、wtmpログ検索機能124は、取得
した情報を追跡ログに記録する。
【0047】次に、そのログイン元のIPアドレスが、
予め間接攻撃に利用されるとされたtelnetサーバ
のIPアドレスであるか否かを判定する(S27)。こ
こで、telnetサーバのものであると判定したとき
は、ステップS21へ戻り、サーバ移動機能122によ
り、エージェント12が、そのログイン元のIPアドレ
スが付与されたサーバに移動する。
予め間接攻撃に利用されるとされたtelnetサーバ
のIPアドレスであるか否かを判定する(S27)。こ
こで、telnetサーバのものであると判定したとき
は、ステップS21へ戻り、サーバ移動機能122によ
り、エージェント12が、そのログイン元のIPアドレ
スが付与されたサーバに移動する。
【0048】したがって、図3に示すように、コンソー
ル4に待機していたエージェント12がサーバ2へ移動
し、その後、サーバ3へと移動することができる。
ル4に待機していたエージェント12がサーバ2へ移動
し、その後、サーバ3へと移動することができる。
【0049】さて、図5のステップS27で、teln
etサーバのIPアドレスでないと判定したときは、エ
ージェント12は、サーバ移動機能122によりコンソ
ール4へ戻り(S29)、追跡情報出力機能125が、
移動の間に記録された追跡ログを表示装置等に出力する
(S31)。
etサーバのIPアドレスでないと判定したときは、エ
ージェント12は、サーバ移動機能122によりコンソ
ール4へ戻り(S29)、追跡情報出力機能125が、
移動の間に記録された追跡ログを表示装置等に出力する
(S31)。
【0050】なお、上記説明したエージェント受容体1
1、エージェント12及び発信ログ出力デーモン13を
コンピュータで動作させるためのプログラムは、半導体
メモリ、磁気ディスク、光ディスク、光磁気ディスク、
磁気テープなどのコンピュータ読み取り可能な記録媒体
に記録したり、インターネットなどの通信網を介して伝
送させて、広く流通させることができる。
1、エージェント12及び発信ログ出力デーモン13を
コンピュータで動作させるためのプログラムは、半導体
メモリ、磁気ディスク、光ディスク、光磁気ディスク、
磁気テープなどのコンピュータ読み取り可能な記録媒体
に記録したり、インターネットなどの通信網を介して伝
送させて、広く流通させることができる。
【0051】また、待機しているエージェント12は、
侵入者検知システムからの通知により、追跡を開始する
ようにしたが、ネットワーク管理者の操作により、コン
ソール4等に備わったキーボードやマウス等の入力装置
から入力される指令により追跡を開始するようにしても
よい。
侵入者検知システムからの通知により、追跡を開始する
ようにしたが、ネットワーク管理者の操作により、コン
ソール4等に備わったキーボードやマウス等の入力装置
から入力される指令により追跡を開始するようにしても
よい。
【0052】また、本実施の形態にあっては、エージェ
ント受容体11や発信ログ出力デーモン13を、既存の
telnetデーモンに手を加える必要がないので、簡
単な実装が行える。また、クライアントやサーバのハー
ドウェアやオペレーティングシステムに依存せずに実装
することができる。また、発信ログをサーバに記録する
ため、不正アクセスがあったときでなくとも、犯人追跡
が行える。
ント受容体11や発信ログ出力デーモン13を、既存の
telnetデーモンに手を加える必要がないので、簡
単な実装が行える。また、クライアントやサーバのハー
ドウェアやオペレーティングシステムに依存せずに実装
することができる。また、発信ログをサーバに記録する
ため、不正アクセスがあったときでなくとも、犯人追跡
が行える。
【0053】なお、上記実施の形態では、サーバ1がh
ttpサーバなので、httpプロトコルで不正アクセ
スが行われるが、サーバの種類によってはftpプロト
コルやsmtpプロトコルで攻撃されることもある。し
かしながら、本発明ではこのような攻撃に対しても効果
を発揮するのは勿論である。
ttpサーバなので、httpプロトコルで不正アクセ
スが行われるが、サーバの種類によってはftpプロト
コルやsmtpプロトコルで攻撃されることもある。し
かしながら、本発明ではこのような攻撃に対しても効果
を発揮するのは勿論である。
【0054】
【発明の効果】以上説明したように、本発明によれば、
各記録デーモンが、この記録デーモンの搭載されたサー
バで発信があったときに、この発信に行ったログイン元
のコンピュータのIPアドレスが特定できるようなログ
を逐一記録しておく。エージェントは、求めたIPアド
レスが、複数のサーバのうちのいずれかのIPアドレス
であるときは、当該IPアドレスの付与されたサーバに
移動して、再度、ログイン元のコンピュータのIPアド
レスを求める。一方、エージェントが、求めたIPアド
レスが複数のサーバのうちのいずれのものでもないと判
定した場合には、かかるIPアドレスを不正アクセスの
起点となった犯人のコンピュータのものとして、予め定
められた管理者等のコンピュータに移動して、このIP
アドレスを出力する。したがって、ログインされるサー
バを介しての間接的な不正アクセスに際しても犯人の追
跡が行えるようになり、その結果、不正アクセスの抑止
が図れる。
各記録デーモンが、この記録デーモンの搭載されたサー
バで発信があったときに、この発信に行ったログイン元
のコンピュータのIPアドレスが特定できるようなログ
を逐一記録しておく。エージェントは、求めたIPアド
レスが、複数のサーバのうちのいずれかのIPアドレス
であるときは、当該IPアドレスの付与されたサーバに
移動して、再度、ログイン元のコンピュータのIPアド
レスを求める。一方、エージェントが、求めたIPアド
レスが複数のサーバのうちのいずれのものでもないと判
定した場合には、かかるIPアドレスを不正アクセスの
起点となった犯人のコンピュータのものとして、予め定
められた管理者等のコンピュータに移動して、このIP
アドレスを出力する。したがって、ログインされるサー
バを介しての間接的な不正アクセスに際しても犯人の追
跡が行えるようになり、その結果、不正アクセスの抑止
が図れる。
【図1】本発明の実施の形態を示すネットワークの構成
図である。
図である。
【図2】サーバ2、3及びコンソール4の構成を示す図
である。
である。
【図3】不正アクセスと犯人追跡の様子を示すシーケン
ス図である。
ス図である。
【図4】発信ログ及びwtmpログの構成を示す図であ
る。
る。
【図5】エージェント12が行う処理を示すフローチャ
ートである。
ートである。
【図6】従来における不正アクセスと犯人の追跡方法を
示す図である。
示す図である。
1 httpサーバ(攻撃対象)
2,3 telnetサーバ
4 管理者のコンピュータ
5 犯人のコンピュータ
11 エージェント受容体
12 多段telnet追跡エージェント
13 発信ログ出力デーモン
─────────────────────────────────────────────────────
フロントページの続き
Fターム(参考) 5B017 AA03 BA06 BB09
5B085 AC03 AC11 AC14 AE00 BA07
BG07
5B089 GA11 GA21 GB02 KA17 KB04
KB13
5K030 GA15 HA08 JT06 KA01 KA02
MC08
Claims (5)
- 【請求項1】 不正アクセスの際にログインされる複数
のサーバに搭載された各記録デーモンが、この記録デー
モンの搭載されたサーバで発信があったときに、この発
信を行ったログイン元のコンピュータのIPアドレスが
特定できるようなログを逐一記録しておくステップと、 前記複数のサーバのいずれかに少なくとも移動するエー
ジェントが行うステップであって、移動先のサーバで記
録されたログを元にログイン元のコンピュータのIPア
ドレスを求めるとともに、このIPアドレスが当該複数
のサーバのうちのいずれかのIPアドレスであるとき
は、当該IPアドレスの付与されたサーバに移動するス
テップと、 前記エージェントが、前記求めたIPアドレスが前記複
数のサーバのうちのいずれのものでもない場合に、予め
定められたコンピュータに移動して当該IPアドレスを
出力するステップとを備えることを特徴とする不正アク
セス追跡方法。 - 【請求項2】 前記記録デーモンは、前記ログイン元の
コンピュータのIPアドレスが特定できるようなログ
に、この記録デーモンの搭載されたサーバが、ログイン
してきた各コンピュータに付与する唯一無二の識別情報
と発信の時刻とを含めて記録することを特徴とする請求
項1の不正アクセス追跡方法。 - 【請求項3】 不正アクセスの際にログインされる複数
のサーバに搭載された各記録デーモンが、この記録デー
モンの搭載されたサーバで発信があったときに、この発
信を行ったログイン元のコンピュータのIPアドレスが
特定できるようなログを逐一記録しておいたときの不正
アクセス追跡方法であって、 前記複数のサーバのいずれかに少なくとも移動するエー
ジェントが行うステップであって、移動先のサーバで記
録されたログを元にログイン元のコンピュータのIPア
ドレスを求めるとともに、このIPアドレスが当該複数
のサーバのうちのいずれかのIPアドレスであるとき
は、当該IPアドレスの付与されたサーバに移動するス
テップと、 前記エージェントが、前記求めたIPアドレスが前記複
数のサーバのうちのいずれのものでもない場合に、予め
定められたコンピュータに移動して当該IPアドレスを
出力するステップとを備えることを特徴とする不正アク
セス追跡方法。 - 【請求項4】 前記記録デーモンまたはエージェントを
コンピュータで動作させるプログラムである不正アクセ
ス追跡プログラム。 - 【請求項5】 前記記録デーモンまたはエージェントを
コンピュータで動作させるプログラムである不正アクセ
ス追跡プログラムが記録された記録媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001215446A JP2003032252A (ja) | 2001-07-16 | 2001-07-16 | 不正アクセス追跡方法、そのプログラム及びそのプログラムが記録された記録媒体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001215446A JP2003032252A (ja) | 2001-07-16 | 2001-07-16 | 不正アクセス追跡方法、そのプログラム及びそのプログラムが記録された記録媒体 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003032252A true JP2003032252A (ja) | 2003-01-31 |
Family
ID=19050084
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001215446A Pending JP2003032252A (ja) | 2001-07-16 | 2001-07-16 | 不正アクセス追跡方法、そのプログラム及びそのプログラムが記録された記録媒体 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003032252A (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011059913A (ja) * | 2009-09-09 | 2011-03-24 | Nec Corp | ネットワーク端末の運用監視装置および運用監視プログラムと運用監視方法 |
| US10063668B2 (en) | 2011-02-17 | 2018-08-28 | Canon Denshi Kabushiki Kaisha | Information processing apparatus, control method thereof, and computer program |
| US10348743B2 (en) | 2015-09-07 | 2019-07-09 | Fujitsu Limited | Identification method and information processing device |
| CN112688939A (zh) * | 2020-12-23 | 2021-04-20 | 上海欣方智能系统有限公司 | 非法组织信息的确定方法、装置、电子设备及存储介质 |
-
2001
- 2001-07-16 JP JP2001215446A patent/JP2003032252A/ja active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011059913A (ja) * | 2009-09-09 | 2011-03-24 | Nec Corp | ネットワーク端末の運用監視装置および運用監視プログラムと運用監視方法 |
| US10063668B2 (en) | 2011-02-17 | 2018-08-28 | Canon Denshi Kabushiki Kaisha | Information processing apparatus, control method thereof, and computer program |
| US10348743B2 (en) | 2015-09-07 | 2019-07-09 | Fujitsu Limited | Identification method and information processing device |
| CN112688939A (zh) * | 2020-12-23 | 2021-04-20 | 上海欣方智能系统有限公司 | 非法组织信息的确定方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10505954B2 (en) | Detecting malicious lateral movement across a computer network | |
| US9584535B2 (en) | System and method for real time data awareness | |
| US8326881B2 (en) | Detection of network security breaches based on analysis of network record logs | |
| CN114145004B (zh) | 用于使用dns消息以选择性地收集计算机取证数据的系统及方法 | |
| US7424735B2 (en) | System and method for computer security using multiple cages | |
| JP3448254B2 (ja) | アクセス・チェーン追跡システム、ネットワーク・システム、方法、及び記録媒体 | |
| US20040024864A1 (en) | User, process, and application tracking in an intrusion detection system | |
| US10798061B2 (en) | Automated learning of externally defined network assets by a network security device | |
| US10542044B2 (en) | Authentication incident detection and management | |
| US20020162017A1 (en) | System and method for analyzing logfiles | |
| US20160315954A1 (en) | Detecting shared or compromised credentials through analysis of simultaneous actions | |
| JP2005529409A (ja) | プロトコルゲートウェイのためのシステム及び方法 | |
| WO2015009296A1 (en) | Event management system | |
| JP6524789B2 (ja) | ネットワーク監視方法、ネットワーク監視プログラム及びネットワーク監視装置 | |
| JP4751379B2 (ja) | 自動セキュリティ・プラットフォーム | |
| JPH11308272A (ja) | パケット通信制御システム及びパケット通信制御装置 | |
| KR20020012855A (ko) | 통합로그 분석 및 관리 시스템 및 그 방법 | |
| JP2003032252A (ja) | 不正アクセス追跡方法、そのプログラム及びそのプログラムが記録された記録媒体 | |
| Alserhani et al. | Detection of coordinated attacks using alert correlation model | |
| CN111881384B (zh) | 违规外联的取证方法、系统和存储介质 | |
| US11184369B2 (en) | Malicious relay and jump-system detection using behavioral indicators of actors | |
| US11126713B2 (en) | Detecting directory reconnaissance in a directory service | |
| Mokhov et al. | Automating MAC spoofer evidence gathering and encoding for investigations | |
| WO2020069741A1 (en) | Network surveillance system | |
| Hsiao et al. | Detecting stepping‐stone intrusion using association rule mining |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20040601 |