JP2003114876A - ネットワーク監視システム - Google Patents

ネットワーク監視システム

Info

Publication number
JP2003114876A
JP2003114876A JP2001308723A JP2001308723A JP2003114876A JP 2003114876 A JP2003114876 A JP 2003114876A JP 2001308723 A JP2001308723 A JP 2001308723A JP 2001308723 A JP2001308723 A JP 2001308723A JP 2003114876 A JP2003114876 A JP 2003114876A
Authority
JP
Japan
Prior art keywords
data
server
www server
monitoring system
network monitoring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2001308723A
Other languages
English (en)
Inventor
Yoichi Murakami
陽一 村上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Kokusai Electric Inc
Original Assignee
Hitachi Kokusai Electric Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Kokusai Electric Inc filed Critical Hitachi Kokusai Electric Inc
Priority to JP2001308723A priority Critical patent/JP2003114876A/ja
Publication of JP2003114876A publication Critical patent/JP2003114876A/ja
Withdrawn legal-status Critical Current

Links

Landscapes

  • Computer And Data Communications (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Abstract

(57)【要約】 【課題】 不正に正規パスワードを取得した『サーバ管
理者なりすまし』を速やか発見し、改竄前の状態に自動
復旧させるネットワーク監視システムを提供する。 【解決手段】 外部コンピュータ1は、WWWサーバ3
へ自由にアクセスできるが、バックアップサーバ7へは
アクセスできない。また、バックアップサーバ7はWW
Wサーバ3の全データを格納している。外部コンピュー
タ1に潜むハッカが、WWWサーバ3の管理者認証パス
ワードを不正に取得して使用した場合、WWWサーバ3
がパスワードを認証した直後に予め規定された一定操作
が行われないときは、外部コンピュータ1のアクセスを
不正アクセスと見なし、不正アクセス者に気付かれるこ
となく、WWWサーバ3の全操作内容及び変更箇所を記
録する。そして、不正アクセス者がWWWサーバ3から
抜け出た直後に、バックアップサーバ7のデータによっ
て、WWWサーバ3のデータを改竄前の状態に自動修復
させる。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、ネットワーク内に
設置されたWWW(World Wide Web)サーバに対する不
正操作を監視するネットワーク監視システムに関し、特
に、WWWサーバに対する外部からの不正改竄の監視及
び自動修復を行い、セキュリティ機能を一層強固に維持
するためのネットワーク監視システムに関するものであ
る。
【0002】
【従来の技術】従来、インターネットを経由した企業ネ
ットワークへの不正アクセスを遮断するために、一般的
に、企業ネットワークの入口に“ファイアウォール(Fi
re Wall)”と呼ばれるバリア装置が設置されている。
このようなファイアウォールは、インターネットなどの
外部情報源からのパケットに対してアクセス制限を行
い、不正パケットを遮断することにより、企業ネットワ
ークを不正アクセスからガードしている。しかしなが
ら、ハッカなどのように、ファイアウォールを巧妙に通
過して侵入してくる不正アクセスも存在するため、ネッ
トワーク監視システムを企業ネットワーク内に設置し
て、これらの不正アクセスに対処している。
【0003】以下、従来のネットワーク監視システムに
よって行われている不正アクセス検出方法及び遮断方法
について具体的に説明する。図5は、企業ネットワーク
の不正アクセスを監視するための従来のネットワーク監
視システムの構成図であり、企業ネットワーク内のWW
Wサーバに対する一般的な不正アクセス対策方法を実現
するためのネットワーク監視システムの概念を示してい
る。同図において、企業ネットワークは、外部コンピュ
ータ1からはアクセスできない社内LAN(Local Area
Network)9と、インターネット10側からの不正攻撃
からWWWサーバ3などの公開サーバを守るための情報
管理単位であるDMZ(DeMilitarizedZone)8とによ
って構成されている。このように構成された企業ネット
ワークとインターネット10との接点にファイアウォー
ル2を設置して、ハッカを含む外部コンピュータ1から
企業ネットワークへのアクセスの制限を行っている。
【0004】通常、企業ネットワークは、ファイアウォ
ール2によって、外部からのアクセスを原則的に遮断す
る第1セグメント(社内LAN9)と、インターネット
10と第1セグメント(社内LAN9)の両方から分離
独立された第2セグメント(DMZ8)とに分割されて
管理されている。前者は同一構内のみでネットワークを
構成する社内LAN9として利用され、後者は企業のホ
ームページが置かれているWWWサーバ3や、ダウンロ
ード用ファイルが置かれているFTP(File Transfer
Protocol)サーバ(図示せず)や、外部からのメールを
受け付けるメールサーバ(図示せず)などの公開サーバ
を設置する分離セグメントとして利用される。
【0005】ファイアウォール2は、DMZ8に対して
はホームページ閲覧に使用するHTTP(Hyper Text T
ransfer Protocol)ポートや、eメールの送受信に使用
するSMTP(Simple Mail Transfer protocol)ポー
トに対するアクセスのみを許可している。また、ファイ
アウォール2は、社内LAN9に対してはハッカを含む
外部コンピュータ1からのアクセスを全て遮断して不正
アクセスに対応している。つまり、DMZ8内に備える
ネットワーク監視装置4が、企業ネットワークを流れる
パケットを調査し、不正パケットを検出した場合は、フ
ァイアウォール2に通知して不正パケットの受け取り拒
否を行っている。
【0006】このように、企業ネットワークがDMZ8
と社内LAN9の2つに分割されてセキュリティ管理さ
れているのは、DMZ8内のWWWサーバ3は制限付き
ではあるが外部コンピュータ1からアクセスが可能であ
るため、外部コンピュータ1に含まれるハッカなどの悪
意を持った第三者による攻撃を受ける可能性があるから
である。例えば、外部コンピュータ1に潜むハッカが、
WWWサーバ3に対してサーバの処理量を遥かに超える
大量のHTTP接続要求パケットを送りつけた場合、パ
ケット自身は“正規の”パケットであるので、ファイア
ウォール2を通過してDMZ8内のWWWサーバ3に到
達してしまうため、結果としてWWWサーバ3が過負荷
となってダウンしてしまうおそれがある。
【0007】そこで、社内LAN9とWWWサーバ3の
設置されるDMZ8とを分割しておけば、仮に、企業ネ
ットワークが外部コンピュータ1に潜むハッカなどから
攻撃を受けたとしても、WWWサーバ3のみの被害で抑
えられ、社内LAN9に対する被害は防止される。ま
た、社内LAN9内の非公開サーバ6にWWWサーバ3
の原本を置き、情報の更新作業も原則的には社内LAN
9側で対応し、WWWサーバ3には原本のコピーを置く
ようにすれば、万一、攻撃を受けてWWWサーバ3が破
壊された場合でも迅速に復旧を行うことができる。
【0008】ところで、外部コンピュータ1からの電文
をWWWサーバ3に渡すアプリケーションを指定する方
法として、機能(アプリケーション)毎に“ポート番号”
と呼ばれる固有の数字が定義されており、外部からWW
Wサーバ3のアプリケーションに要求電文を送るとき、
要求内容とともにポート番号も送信される。そして、W
WWサーバ3側では、受信した要求電文中のポート番号
を照合し、受信したポート番号と一致するポート番号を
持つアプリケーションヘ要求電文を渡す。例えば、ホー
ムページを閲覧するために使用されるHTTP(Hyper T
ext Transfer Protocol)のポート番号は“80”、ファ
イルのダウンロード/アップロードに使用されるFTP
のポート番号は“21”と決められている。したがっ
て、WWWサーバ3にアクセスしてホームページを閲覧
する場合は、外部コンピュータ1よりポート番号“8
0”と要求内容が書かれた電文が送られてくることにな
る。このようにして、目的のアプリケーションヘの電文
の受け渡しを行っている。
【0009】このように、WWWサーバ3は外部コンピ
ュータ1に公開されていることから攻撃され易い要素を
内在しており、また、外部コンピュータ1からの攻撃に
は比較的脆弱であるため、不正アクセスがあった場合に
は迅速に対応出来る仕組みが必要となる。現在、このよ
うな問題を解決するために、ネットワーク監視装置4を
設置して、ネットワークを流れるパケット(電文の送受
信単位)を監視する方法がとられている。このネットワ
ーク監視装置4は、DMZ8のネットワーク上を流れる
パケットを捕捉して、予め登録されている不正アクセス
パターン解析等の方法を用いて不正アクセスのチェック
を行っている。そして、ネットワーク監視装置4が不正
アクセスを検知した場合は、電子メールや別途設置され
た監視用モニタ表示(図示せず)等の手段によって、管
理者に対して通報処理を行っている。また、ネットワー
ク監視装置4は、ファイアウォール2に対して不正パケ
ット送信元のアドレスからのアクセスを遮断させる制御
を行う場合もある。
【0010】不正アクセスは、主に、サーバアプリケー
ションソフトのセキュリティ部分に関するソフトウェア
バグ(セキュリティホール)を悪用して行われる。ソフト
ウェアにおいて不具合(バグ)を100パーセント取り除
くことは不可能であり、開発者側でも把握しきれていな
いセキュリティホールが存在する可能性があるため、そ
の部分を狙って攻撃してくることが考えられる。
【0011】実際問題として、インターネット10上に
は、セキュリティホールを自動的に探索して不正にアプ
リケーションソフトの管理権を奪うソフトウェアが氾濫
しており、これらのソフトウェアが不正アクセス用に悪
用されている。セキュリティホールの探索及びサーバ管
理権の不正取得には、対象となるサーバコンピュータに
対し、アプリケーションソフトの管理権を奪取すること
を可能にする要求文(コマンド)にランダムなポート番号
を付与し、サーバ内の全アプリケーションソフトに電文
を送りつける方法が多く用いられる。
【0012】もし、セキュリティホールのあるアプリケ
ーションソフトが存在すれば、そのアプリケーションソ
フトのポートで不正プログラムが隠された要求電文を受
け取ってしまう確率が高く、取り込まれた不正プログラ
ムの起動により、外部コンピュータ1にWWWサーバ3
の管理権を奪われてしまう。但し、本来、ホームページ
を閲覧するために使用される“80”ポート以外の他の
ポートに対しても電文の送りつけが頻繁に行われるた
め、通常の閲覧のためのアクセスと区別され、その大部
分が不審なアクセスとしてネットワーク監視装置に検出
されることになる。そこで、不正アクセスを検出した場
合は、セッションの遮断や、ファイアウォール2に対す
る不正アクセス元のIP(Internet Protocol)アドレ
スからの通信遮断要求や、監視コンソール(図示せず)
ヘの通知などを行う。このような方法により、DMZ8
に設置されたWWWサーバ3ヘの攻撃に対する被害拡大
の防止を図っている。
【0013】
【発明が解決しようとする課題】しかしながら、従来の
不正アクセス監視方法では対処しきれない種々の問題も
ある。つまり、セキュリティホールに関する対策情報
は、サーバアプリケーション利用者が不正アクセスによ
る損害を被らないように、セキュリティ対策が確定次
第、アプリケーション開発者側から、随時、外部コンピ
ュータ1の一般ユーザに公表される。したがって、一般
ユーザを含めて誰でも(つまり、ハッカでも)セキュリ
ティホールに関する対策情報を容易に入手することがで
きる。但し、実際は、全てのユーザ(外部コンピュータ
1)が、セキュリティホールの対策情報が公開された直
後に、直ちにセキュリティ対策を実施するわけではな
い。その結果、外部コンピュータ1に潜むハッカは、こ
れまでに明確になっているセキュリティホールを狙っ
て、ネットワーク監視装置4に発見されることなく、巧
妙にWWWサーバ3へ不正に侵入することも可能とな
る。
【0014】また、何らかの方法で管理者用パスワード
が盗難されて、正規のパスワードを悪用して管理者にな
りすまされた場合、WWWサーバ3及びネットワーク監
視装置4は、共に、不正侵入を検知することが非常に困
難になる。場合によっては、一般ユーザの外部コンピュ
ータ1がホームページ閲覧の為にアクセスして、初めて
改竄が発見されることもある。現に、このような不正ア
クセスの事例が多数報告されている。このような不正ア
クセスによって改竄を受けた内容が、企業の財務情報や
株式情報などである場合は、大規模な損害が発生するお
それも予想される。
【0015】本発明はこのような事情に鑑みてなされた
ものであり、その目的とするところは、不正アクセス等
により、改竄が行われても直ちに改竄以前の状態に復旧
させることにより、改竄による被害を防止することので
き、また、正規なパスワードの不正取得によるサーバ管
理者なりすましなどのように、従来のネットワーク監視
装置では検知することが困難なWWWサーバヘの侵入を
速やか発見することができるネットワーク監視システム
を提供することにある。
【0016】
【課題を解決するための手段】上記の課題を解決するた
めに、本発明は、インターネットを介して外部コンピュ
ータに接続されたプライベートネットワークへの不正ア
クセスを監視するネットワーク監視システムにおいて、
前記インターネットを経由して前記外部コンピュータへ
公開されるWWWサーバと、前記外部コンピュータに対
して非公開であって、前記WWWサーバ内に存在するデ
ータと同一のデータをバックアップ用として格納するバ
ックアップサーバとを備え、前記WWWサーバは、前記
外部コンピュータによって行われたデータ改竄の検知手
段と、前記バックアップサーバに格納されたデータを使
用して改竄個所のデータの修復を行うデータ修復手段と
を備えていることを特徴とする。
【0017】このような構成によれば、バックアップサ
ーバがWWWサーバのバックアップ用データを格納して
いるので、万一ハッカなどによってWWWサーバのデー
タが改竄された場合でも、改竄個所を記録しておけば、
バックアップサーバに格納されたデータを使用して、改
竄個所のデータを自動的に修復することができる。ま
た、データ改竄の検知により、不正に取得されたパスワ
ードを使用したサーバ管理者へのなりすましを迅速に発
見することも可能となる。
【0018】また、本発明のネットワーク監視システム
において、前記データ改竄の検知手段は、前記外部コン
ピュータによるデータ改竄が検知されたとき、前記バッ
クアップサーバに格納されたデータを使用して、該WW
Wサーバ内の全データの書き換えを行うことにより、改
竄個所のデータを修復することを特徴とする。
【0019】このような構成によれば、WWWサーバの
データの一部が改竄された場合において、WWWサーバ
の改竄個所を記録しないでも、バックアップサーバに格
納されたデータによって、WWWサーバの全データを書
き換えて自動修復することができる。
【0020】また、本発明のネットワーク監視システム
において、前記バックアップサーバがバックアップ用と
して格納するデータは、前記WWWサーバ内に存在する
ファイルのうち、少なくとも所定のホームページを表示
するために必要なファイルであり、前記修復手段は、前
記外部コンピュータによってデータが改竄されたとき、
ホームページを表示するために必要なファイルの修復を
行うことを特徴とする。
【0021】WWWサーバは外部コンピュータに対して
ホームページを公開しているので、ホームページのファ
イルが最も狙われやすく、外部からの攻撃には比較的脆
弱である。したがって、WWWサーバのホームページの
ファイルをバックアップサーバに格納しておけば、万
一、WWWサーバのホームページのファイルが改竄され
ても、バックアップサーバに格納されたホームページの
ファイルを用いて自動修復を行うことができる。
【0022】また、本発明のネットワーク監視システム
において、前記WWWサーバは、入力装置より入力され
た任意のキー操作を記録する規定操作記録手段と、パス
ワードの認証を完了した直後の被認証者のキー操作を監
視し、前記規定操作記録手段に記録されている規定操作
と前記キー操作との比較を行い、該キー操作の正当性を
判定する規定操作認証手段と、前記規定操作認証手段に
より正当性を欠くキー操作と判定された時点から、キー
操作を終了してアクセス者が前記WWWサーバから抜け
出るまでのキー操作による変更個所を記録する変更箇所
記録手段とを備えることを特徴とする。
【0023】本発明のネットワーク監視システムによれ
ば、サーバ管理者認証パスワードを不正に取得されて使
用された場合でも、パスワード認証直後に予め規定され
た一定操作が行われない場合は、そのアクセスを不正ア
クセスと見なして変更箇所などの改竄情報を記録してお
く。これによって、不正アクセス者がWWWサーバから
抜け出した直後に改竄前のデータに修復することができ
る。つまり、不正操作の記録を不正アクセス者、例えば
ハッカなどに気付かれないようにバックグラウンドで処
理を行い、不正に侵入した者に対しては侵入先のWWW
サーバの内容改竄を一旦黙認し、侵入者の自己満足を敢
えて満たさせる方法を取ることによって、侵入者を刺激
することなく、データ改竄の被害を最小限にくい止める
ことが可能となる。
【0024】
【発明の実施の形態】以下、図面を用いて、本発明のネ
ットワーク監視システムについて詳細に説明する。図1
は本発明のネットワーク監視システムの構成図である。
図1に示すネットワーク監視システムの構成が、図5に
示す従来のシステム構成と異なるところは、社内LAN
9内に、WWWサーバ3のバックアップ用のデータを保
存し、不正アクセスが行われたときにWWWサーバ3に
対してデータのバックアップを行うバックアップサーバ
7を備えていることと、WWWサーバ3が、不正侵入の
検知と改竄個所の自動修復とを行うためのアプリケーシ
ョンソフトを備えていることである。
【0025】図1において、企業ネットワークは、DM
Z8と社内LAN9とにセグメントが分割されている。
そして、インターネット10と企業ネットワーク(DM
Z8及び社内LAN9)の接点にはファイアウォール2
が設置され、外部コンピュータ1からのアクセスが制限
されて企業ネットワークへの不正アクセスを遮断してい
る。また、DMZ8には、企業のホームページが置かれ
て外部からのアクセスが可能なWWWサーバ3と、外部
コンピュータ1から企業ネットワークへの不正アクセス
を監視するネットワーク監視装置4とが設置されてい
る。さらに、社内LAN9には、WWWサーバ3のファ
イルの原本を備える非公開サーバ6と、DMZ8に設置
されたWWWサーバ3のホームページに関するファイル
と全く同じ内容のファイルを格納し、必要に応じてWW
Wサーバ3のデータのバックアップを行い、WWWサー
バ3への改竄を防止するバックアップサーバ7とを備え
ている。
【0026】また、WWWサーバ3には、WWWサーバ
3自身のアプリケーションソフトと連携して不正侵入の
検知、及び改竄箇所の自動修復を行うためのWWWサー
バ3のアプリケーションソフトが導入されている。した
がって、先ず、このようなWWWサーバ3のアプリケー
ションソフトの主要機能について説明する。つまり、こ
のWWWサーバ3のアプリケーションソフトは、少なく
とも次のような幾つかの機能を備えている。
【0027】第1に、WWWサーバ3の内容変更操作を
行う際に外部コンピュータ1のパスワードの認証を行う
『パスワード認証機能』を備えている。第2に、WWW
サーバ3のデータ記録開始手続きを行ってから、一定期
間内の任意のキー操作手順を記録する『規定操作記録機
能』を備えている。第3に、WWWサーバ3のOS(オ
ペレーションシステム)、若しくは、他のアプリケーシ
ョンソフトが行うパスワード認証状況をモニタし、認証
完了後に直ちに操作者の操作内容を記録し、予め登録さ
れた操作手順と操作者の操作内容との比較を行い、変更
操作の正当性を判定する『規定操作認証機能(本発明の
検出手段)』を備えている。第4に、変更操作と規定操
作との比較結果が一致した場合は制約を与えることなく
通常通りの操作が出来るようにし、比較結果が不一致の
場合は、認証手続き完了直後から、WWWサーバ3ヘの
変更操作を終了して、WWWサーバ3から抜け出るまで
に操作者が行った変更操作による変更箇所を記録する
『変更箇所記録機能』を備えている。第5に、操作者が
WWWサーバ3から抜け出た直後に、バックアップサー
バ7のデータを使用して、記録していた変更箇所を改竄
前の状態に書き換える『改竄修復機能(本発明の修復手
段)』を備えている。
【0028】図2は、図1に示すネットワーク監視シス
テムの構成図を機能的に表したブロック図である。つま
り、図2は、WWWサーバ3のアプリケーション機能を
手段として構成したブロック図である。図2において、
ネットワーク監視システムは、ホームページ閲覧用とし
て外部コンピュータ1に公開される公開用のWWWサー
バ3と、外部コンピュータ1からのアクセスが制限して
企業ネットワーク(DMZ8及び社内LAN9)内への
不正アクセスを遮断するファイアウォール2と、外部コ
ンピュータ1から企業ネットワークへの不正アクセスを
監視するネットワーク監視装置4と、WWWサーバ3の
データの原本を格納する非公開サーバ6と、WWWサー
バ3内に存在するファイルのうち、少なくとも所定のホ
ームページを表示するために必要なファイルを改竄修復
用として格納するバックアップサーバ7とによって構成
されている。
【0029】そして、WWWサーバ3は、自己の内容変
更操作を行う際に外部コンピュータ1からパスワードを
要求し、入力された文字列と予め設定された文字列との
比較を行い、変更操作の許可若しくは不許可を決定する
パスワード認証手段11と、パスワード不正取得者対策
用として、キーボード等の入力装置より入力された任意
のキー操作を記録する規定操作記録手段12と、パスワ
ード認証完了直後の被認証者のキー操作を監視し、規定
操作記録手段12に記録されている規定操作と認証者の
キー操作との比較を行い、変更操作の正当性を判定する
規定操作認証手段13と、規定操作認証手段13により
不正変更操作と判断された時点から、不正変更操作を終
了して、アクセス者がWWWサーバ3から抜け出るまで
の変更(つまり改竄)操作を記録する変更箇所記録手段1
4と、変更箇所記録手段14による記録情報により、不
正アクセス者がサーバから抜け出た後、バックアップサ
ーバ7のデータを使用して改竄が行われた箇所を修復す
る改竄修復手段15とによって構成されている。これに
よって、WWWサーバ3の管理者認証パスワードが不正
に取得されて使用された場合でも、パスワード認証直後
に予め規定された一定操作が行われない場合は、そのア
クセスを不正なアクセスと見なし、不正アクセス者に気
付かれることなくその全操作内容及び変更箇所を記録す
る。そして、不正アクセス者がWWWサーバ3から抜け
出た直後に改竄前の状態にデータを自動修復する。
【0030】次に、フローチャートを用いて、本発明に
おけるネットワーク監視システムが、データの改竄検出
とデータの自動修復を行う場合の動作の流れを説明す
る。図3は、本発明におけるネットワーク監視システム
がデータの改竄検出と自動修復を行う場合の動作の流れ
を示すフローチャート其の一である。このフローチャー
トの場合は、外部コンピュータによる所定の変更操作が
完了してから、入力されたデータが正当なものであるか
否かを比較判定して改竄検出を行う動作の流れを示して
いる。
【0031】図3において、先ず、WWWサーバ3のパ
スワード認証手段11が、他のプログラムが実行するパ
スワード認証処理が行われるまでの待機状態において、
常にバックグラウンドでパスワード認証処理動作の監視
を行い、パスワード認証が完了したか否かの判定を行う
(ステップS1)。そして、パスワード認証処理が完了
し正規の変更操作許可者と見なされた場合には(ステッ
プS1,YES)、WWWサーバ3ヘのアクセス権限が
変更権の無いレベルから変更権のあるレベルに遷移する
ため、これをトリガとして変更操作許可者の操作記録を
開始し、予め規定した時間内や操作回数等の範囲内に行
われた全ての操作情報を記録する(ステップS2)。こ
こで、変更操作を行っている時間が規定時間に到達した
か否か、または変更操作を行っている回数が規定回数に
到達してか否かの判定を行う(ステップS3)。
【0032】そして、変更操作が規定時間または規定回
数に到達していなければ(ステップS3,NO)、ステ
ップS2に戻り変更操作の記録を継続する。一方、変更
操作が規定時間または規定回数に到達したならば(ステ
ップS3,YES)、規定時間や規定回数に達した時点
で、予め登録されている規定操作情報Aを取得し、その
規定操作情報Aのデータと今回行った変更操作手順のデ
ータとを比較し(ステップS4)、比較結果が一致して
いるか否かの判定を行う(ステップS5)。
【0033】ここで、規定操作情報Aのデータ内容と今
回の変更操作手順のデータ内容とが一致した場合は(ス
テップS5,YES)、正規の操作者と判定して、改竄
判定システムから抜け出るための操作者ログアウトを行
い(ステップS6)、その後は、CPUの無命令処理で
あるNOP(No-Operation Instruction)を実行し(ス
テップS7)、WWWサーバ3から抜け出るまでの間は
何の処理も行わないでセッションを切断する(ステップ
S8)。尚、この場合は、操作記録動作を停止させても
よい。
【0034】一方、ステップS5で規定操作情報Aのデ
ータ内容と今回の変更操作手順のデータ内容とが不一致
の場合は(ステップS5,NO)、先ず、改竄判定シス
テムから抜け出るための操作者ログアウトを行い(ステ
ップS9)、パスワードの不正取得による正規操作許可
者へのなりすましと判定し、WWWサーバ3ヘの変更操
作を終了してWWWサーバ3から抜け出すまでの間、操
作内容や変更を行った箇所(若しくはファイル)の記録を
続行する(ステップS10)。
【0035】WWWサーバ3から抜け出たかどうかは、
ステップS9でWWWサーバ3からログアウト操作が実
行されたとき、操作者のIP(Internet Protocol)アド
レスを記録し、そのIPアドレスからのセッションが切
断されたとき等をトリガにして判定することが可能であ
る。このような方法で操作者がWWWサーバ3から抜け
出たことが確認された直後に(ステップS11)、変更
箇所の該当データをバックアップサーバ7に要求する
(ステップS12)。
【0036】すると、FTP(File Transfer Protocol)
等のファイル転送技術やサーバ間でのファイルコピー技
術などの方法により、WWWサーバ3に記録された変更
箇所(若しくはファイル)に該当するファイルが、バック
アップサーバ7よりWWWサーバ3の所定位置に転送さ
れてファイル置換が行われ、WWWサーバ3は変更が行
われる以前の状態にデータ内容が修復される(ステップ
S13)。但し、修復操作については、基本的に変更操
作が行われる以前の状態に戻せばよいので、変更箇所を
記録せず、バックアップサーバ7に格納されているホー
ムページ表示に関わる全フアイルを転送してもよい。
【0037】図4は、本発明におけるネットワーク監視
システムがデータの改竄検出と自動修復を行う場合の動
作の流れを示すフローチャート其の二である。このフロ
ーチャートの場合は、所定の変更操作が行われる度に入
力されたデータが正当なものであるか否かを比較して改
竄検出を行うものである。したがって、前述の図3のフ
ローチャートで、所定の操作が終わったときにデータ比
較を一括して行っていたものを、図4のフローチャート
では、操作ごとにデータ比較を行うようにしたものであ
る。しかし、全体のステップの流れが図3とは若干変わ
るので、図3のステップと重複する部分もあるが、改め
て、図4のフローチャートに従って改竄検出と自動修復
を行う場合の動作の流れを説明する。
【0038】図4において、先ず、WWWサーバ3のア
プリケーションソフトのパスワード認証手段11が、他
のプログラムが実行するパスワード認証処理が行われる
までの待機状態において、常にバックグラウンドでパス
ワード認証処理動作の監視を行い、パスワード認証が完
了したか否かの判定を行う(ステップS21)。そし
て、パスワード認証処理が完了し正規の変更操作許可者
と見なされた場合には(ステップS21,YES)、W
WWサーバ3ヘのアクセス権限が変更権の無いレベルか
ら変更権のあるレベルに遷移するため、これをトリガと
して変更操作許可者の操作記録を開始し(ステップS2
2)、操作が行われる度に、逐一、予め登録されている
規定操作情報Aのデータと今行った操作の変更操作手順
のデータとを比較し(ステップS23)、比較結果が一
致しているか否かの判定を行う(ステップS24)。
【0039】ここで、規定操作情報Aのデータ内容と、
行った変更操作手順のデータ内容とが一致した場合は
(ステップS24,YES)、変更操作を行っている時
間が規定時間に到達したか否か、または変更操作を行っ
ている回数が規定回数に到達してか否かの判定を行う
(ステップS25)。ここで、変更操作が規定時間また
は規定回数に到達していなければ(ステップS25,N
O)、ステップS22に戻り変更操作の記録を継続す
る。一方、変更操作が規定時間または規定回数に到達し
たならば(ステップS25,YES)、正規の操作者と
判定して、改竄判定システムから抜け出るための操作者
ログアウトを行い(ステップS26)、その後は、CP
Uの無命令処理であるNOP(No-Operation Instructi
on)を実行し(ステップS27)、WWWサーバ3から
抜け出るまでの間は何の処理も行わないでセッションを
切断する(ステップS28)。尚、この場合は、操作記
録動作を停止させてもよい。
【0040】一方、ステップS24で、規定操作情報A
のデータ内容と、行った変更操作手順のデータ内容とが
一致しなかった場合は(ステップS24,NO)、変更
操作を行っている時間が規定時間に到達したか否か、ま
たは変更操作を行っている回数が規定回数に到達してか
否かの判定を行う(ステップS29)。ここで、変更操
作が規定時間または規定回数に到達していなければ(ス
テップS29,NO)、何の処理も行わないで、つまり
無命令処理であるNOPを実行し(ステップS30)、
変更操作が規定時間または規定回数に達するまで判定を
繰り返す(ステップS29に戻る)。
【0041】そして、変更操作が規定時間または規定回
数に達した時点で(ステップS29,YES)、改竄判
定システムから抜け出るための操作者ログアウトを行い
(ステップS31)、操作者はパスワードの不正取得に
よる正規操作許可者へのなりすましであると判定し、W
WWサーバ3ヘの変更操作を終了してWWWサーバ3か
ら抜け出すまでの間に、操作内容や変更箇所(若しくは
ファイル)の記録を続行する(ステップS32)。ここ
で、操作者がWWWサーバ3から抜け出たかどうかは、
ステップS31でWWWサーバ3からログアウト操作が
実行されたとき、操作者のIP(Internet Protocol)ア
ドレスを記録し、そのIPアドレスからのセッションが
切断されたとき等をトリガにして判定することが可能で
ある。このような方法で操作者がWWWサーバ3から抜
け出たことが確認された直後に(ステップS33)、変
更箇所の該当データをバックアップサーバ7に要求する
(ステップS34)。
【0042】すると、FTP(File Transfer Protocol)
等のファイル転送技術やサーバ間でのファイルコピー技
術などの方法により、WWWサーバ3に記録された変更
箇所(若しくはファイル)に該当するファイルが、バック
アップサーバ7よりWWWサーバ3の所定位置に転送さ
れてファイル置換が行われ、変更が行われる以前の状態
にデータ内容が修復される(ステップS35)。但し、
修復操作については、基本的に変更操作が行われる以前
の状態に戻せばよいので、変更箇所を記録せず、バック
アップサーバ7に格納されているホームページ表示に関
わる全フアイルを転送してもよい。
【0043】
【発明の効果】以上説明したように、本発明のネットワ
ーク監視システムは、従来のネットワーク監視システム
に対してバックアップサーバを追加し、そのバックアッ
プサーバがWWWサーバのバックアップ用のデータを格
納している。したがって、若し、ハッカなどによってW
WWサーバのデータが改竄された場合は、WWWサーバ
の改竄個所を記録し、バックアップサーバに格納された
データを使用して改竄個所のデータを自動的に元のデー
タに修復することができる。あるいは、WWWサーバの
データの一部が改竄された場合は、WWWサーバの改竄
個所を記録しないで、バックアップサーバに格納された
データによって、WWWサーバの全データを書き換えて
自動修復することもできる。
【0044】つまり、従来のネットワーク監視システム
では、サーバ管理者認証パスワードが不正に取得されて
不正アクセスされた場合は、その検知は非常に困難であ
った。しかし、本発明のネットワーク監視システムによ
れば、サーバ管理者認証パスワードが不正に取得されて
WWWサーバヘ不正アクセスされても、パスワードが認
証された直後に、予め規定された一定操作が行われない
場合は、そのアクセスを不正アクセスと見なすことがで
きる。そして、不正アクセス者に気付かれることなく、
その全操作内容及び変更箇所を自動的に記録し、不正ア
クセス者がWWWサーバから抜け出た直後に改竄前の状
態へ自動修復することができる。また、不正操作の記録
を不正アクセス者などに気付かれないように、バックグ
ラウンドで処理を行い、不正に侵入した者に対しては侵
入先のWWWサーバの内容改竄を一旦黙認することもで
きる。このようにして、侵入者の自己満足を敢えて満た
させる方法を取ることによって、侵入者を下手に刺激す
ることなく、WWWサーバのデータ改竄の被害を最小限
に食い止めることができる。
【図面の簡単な説明】
【図1】 企業ネットワークの不正アクセスを監視する
ための、本発明のネットワーク監視システムの構成図で
ある。
【図2】 図1に示すネットワーク監視システムの構成
図を機能的に表したブロック図である。
【図3】 本発明におけるネットワーク監視システムが
データの改竄検出と自動修復を行う場合の動作の流れを
示すフローチャート其の一である。
【図4】 本発明におけるネットワーク監視システムが
データの改竄検出と自動修復を行う場合の動作の流れを
示すフローチャート其の二である。
【図5】 企業ネットワークの不正アクセスを監視する
ための従来のネットワーク監視システムの構成図であ
る。
【符号の説明】
1 外部コンピュータ、2 ファイアウォール、3 W
WWサーバ、4 ネットワーク監視装置、6 非公開サ
ーバ、7 バックアップサーバ、8 DMZ(DeMilita
rized Zone)、9 社内LAN、10 インターネッ
ト、11 パスワード認証手段、12 規定操作記録手
段、13 規定操作認証手段(検出手段)、14 変更
箇所記録手段、15 改竄修復手段(修復手段)。

Claims (4)

    【特許請求の範囲】
  1. 【請求項1】 インターネットを介して外部コンピュー
    タに接続されたプライベートネットワークへの不正アク
    セスを監視するネットワーク監視システムにおいて、 前記インターネットを経由して前記外部コンピュータへ
    公開されるWWWサーバと、 前記外部コンピュータに対して非公開であって、前記W
    WWサーバ内に存在するデータと同一のデータをバック
    アップ用として格納するバックアップサーバとを備え、 前記WWWサーバは、前記外部コンピュータによって行
    われたデータ改竄の検知手段と、前記バックアップサー
    バに格納されたデータを使用して改竄個所のデータの修
    復を行うデータ修復手段とを備えていることを特徴とす
    るネットワーク監視システム。
  2. 【請求項2】 請求項1に記載のネットワーク監視シス
    テムにおいて、 前記データ改竄の検知手段は、前記外部コンピュータに
    よるデータ改竄が検知されたとき、前記バックアップサ
    ーバに格納されたデータを使用して、該WWWサーバ内
    の全データの書き換えを行うことにより、改竄個所のデ
    ータを修復することを特徴とするネットワーク監視シス
    テム。
  3. 【請求項3】 請求項1に記載のネットワーク監視シス
    テムにおいて、 前記バックアップサーバがバックアップ用として格納す
    るデータは、前記WWWサーバ内に存在するファイルの
    うち、少なくとも所定のホームページを表示するために
    必要なファイルであり、 前記修復手段は、前記外部コンピュータによってデータ
    が改竄されたとき、ホームページを表示するために必要
    なファイルの修復を行うことを特徴とするネットワーク
    監視システム。
  4. 【請求項4】 請求項1乃至請求項3のいずれかに記載
    のネットワーク監視システムにおいて、 前記WWWサーバは、 入力装置より入力された任意のキー操作を記録する規定
    操作記録手段と、 パスワードの認証を完了した直後の被認証者のキー操作
    を監視し、前記規定操作記録手段に記録されている規定
    操作と前記キー操作との比較を行い、該キー操作の正当
    性を判定する規定操作認証手段と、 前記規定操作認証手段により正当性を欠くキー操作と判
    定された時点から、キー操作を終了してアクセス者が前
    記WWWサーバから抜け出るまでのキー操作による変更
    個所を記録する変更箇所記録手段とを備えることを特徴
    とするネットワーク監視システム。
JP2001308723A 2001-10-04 2001-10-04 ネットワーク監視システム Withdrawn JP2003114876A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001308723A JP2003114876A (ja) 2001-10-04 2001-10-04 ネットワーク監視システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001308723A JP2003114876A (ja) 2001-10-04 2001-10-04 ネットワーク監視システム

Publications (1)

Publication Number Publication Date
JP2003114876A true JP2003114876A (ja) 2003-04-18

Family

ID=19127986

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001308723A Withdrawn JP2003114876A (ja) 2001-10-04 2001-10-04 ネットワーク監視システム

Country Status (1)

Country Link
JP (1) JP2003114876A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007183773A (ja) * 2006-01-06 2007-07-19 Fujitsu Ltd サーバ監視プログラム、サーバ監視装置、サーバ監視方法
JP2011118608A (ja) * 2009-12-02 2011-06-16 Konica Minolta Business Technologies Inc 通信監視システム、通信監視装置、通信監視方法および通信監視プログラム
JP2014053049A (ja) * 2013-12-16 2014-03-20 Nec Biglobe Ltd データ管理システムおよびデータ管理方法
JP2020514857A (ja) * 2016-12-19 2020-05-21 グーグル エルエルシー 反復アクションに対するスマートアシスト

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007183773A (ja) * 2006-01-06 2007-07-19 Fujitsu Ltd サーバ監視プログラム、サーバ監視装置、サーバ監視方法
JP2011118608A (ja) * 2009-12-02 2011-06-16 Konica Minolta Business Technologies Inc 通信監視システム、通信監視装置、通信監視方法および通信監視プログラム
JP2014053049A (ja) * 2013-12-16 2014-03-20 Nec Biglobe Ltd データ管理システムおよびデータ管理方法
JP2020514857A (ja) * 2016-12-19 2020-05-21 グーグル エルエルシー 反復アクションに対するスマートアシスト
US11237696B2 (en) 2016-12-19 2022-02-01 Google Llc Smart assist for repeated actions
JP7274418B2 (ja) 2016-12-19 2023-05-16 グーグル エルエルシー 反復アクションに対するスマートアシスト
US11860668B2 (en) 2016-12-19 2024-01-02 Google Llc Smart assist for repeated actions

Similar Documents

Publication Publication Date Title
US11604861B2 (en) Systems and methods for providing real time security and access monitoring of a removable media device
US9325725B2 (en) Automated deployment of protection agents to devices connected to a distributed computer network
US8281114B2 (en) Security system with methodology for defending against security breaches of peripheral devices
US6393420B1 (en) Securing Web server source documents and executables
JP4911018B2 (ja) フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム
US20050283831A1 (en) Security system and method using server security solution and network security solution
US8997185B2 (en) Encryption sentinel system and method
US20090165132A1 (en) System and method for security agent monitoring and protection
EP1179196A1 (en) Methods, software, and apparatus for secure communication over a computer network
JP2002342279A (ja) フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム
CN101378312A (zh) 基于宽带网络的安全支付控制系统和方法
JP4250618B2 (ja) ファーミング詐欺防止方法
JP2001313640A (ja) 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体
US7565690B2 (en) Intrusion detection
JP2003114876A (ja) ネットワーク監視システム
JP4408837B2 (ja) 認証システム
CN111556024B (zh) 一种反向接入控制系统及方法
WO2021217449A1 (zh) 恶意入侵检测方法、装置、系统、计算设备、介质和程序
JP2003167786A (ja) ネットワーク監視システム
KR20220097037A (ko) 데이터 유출 방지 시스템
JP2003186763A (ja) コンピュータシステムへの不正侵入の検知と防止方法
WO2006021132A1 (en) Method for protecting the computer data
CN118074985A (zh) 浏览器文件管控方法、系统、装置及可读存储介质
JP2003099310A (ja) ネットワークにおけるセキュリティシステム
CN118074987A (zh) 浏览器安全访问处置方法、系统、装置及可读存储介质

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20041207