JP2004038272A - ウェブ監視装置及び方法、コンピュータプログラム - Google Patents

ウェブ監視装置及び方法、コンピュータプログラム Download PDF

Info

Publication number
JP2004038272A
JP2004038272A JP2002190706A JP2002190706A JP2004038272A JP 2004038272 A JP2004038272 A JP 2004038272A JP 2002190706 A JP2002190706 A JP 2002190706A JP 2002190706 A JP2002190706 A JP 2002190706A JP 2004038272 A JP2004038272 A JP 2004038272A
Authority
JP
Japan
Prior art keywords
monitoring
web
web page
file
communication network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002190706A
Other languages
English (en)
Inventor
Keisuke Takemori
竹森 敬祐
Koji Nakao
中尾 康二
Masakatsu Morii
森井 昌克
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2002190706A priority Critical patent/JP2004038272A/ja
Publication of JP2004038272A publication Critical patent/JP2004038272A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】Webサーバに対する不正アクセスを監視する際に、Webサーバに与える負荷を軽減することができるウェブ監視装置を実現する。
【解決手段】ユーザから指定されたウェブページの構成に含まれる監視ファイルのURLからなる監視ファイル情報32及び監視ファイルの監視基礎データからなるシグネチャ情報33を記憶する記憶部13と、監視ファイル情報32のURLに基づいて監視ファイルまたは監視ファイルのファイル情報を取得し、この取得した内容とシグネチャ情報33の該当する監視基礎データとを比較し、不一致を検出した場合に当該ウェブサーバに対する不正アクセス発生の可能性有りと判定する監視処理部21と、該監視結果を通信ネットワークを介してユーザ端末に提供するユーザインタフェース15と、を備える。
【選択図】  図1

Description

【0001】
【発明の属する技術分野】
本発明は、ウェブ(Web)サーバに対する不正アクセスを監視するウェブ監視装置及び方法、並びにそのウェブ監視装置をコンピュータを利用して実現するためのコンピュータプログラムに関する。
【0002】
【従来の技術】
近年、インターネットを介してウェブ(Web)ページを提供するWebサーバが多数設けられている。Webページは、例えばコンテンツファイルとこのファイル情報データ(更新日付やファイルサイズ)などを有しており、複数のHTML(Hyper Text Markup Language)ファイルとこのHTMLファイルからリンクされるリンクファイルとから構成される。ユーザは端末のWebブラウザを使用してWebサーバにアクセスし、Webページをダウンロードして取得することができる。
【0003】
しかし、そのWebサーバに対する不正アクセスが多数発生しており社会問題となっている。例えば、Webサーバが有するWebページが第三者によって改竄されることにより、本来のWebページとは異なるものがインターネット上で開示され、Webページ提供者が不利益を被る結果となる。このために、通信ネットワーク上で開示されているコンテンツの改竄を監視する装置が、例えば特開平11−154139号公報に記載されている。この装置では、ネットワーク上の所定のロケーションで開示されているコンテンツを定期的に入手して、その都度、コンテンツの内容が改竄されているか否かを判定する。
【0004】
【発明が解決しようとする課題】
しかし、上述した従来の監視装置では、Webサーバから定期的にWebページに含まれるコンテンツファイルをダウンロードするので、Webサーバに与える負荷が大きいという問題がある。また、通信ネットワークの輻輳により、一定期間内にダウンロードが完了しない場合もある。
【0005】
また、Webサーバの中には、CGI(Common Gateway Interface)機能を有し、これによりWebページを動的に変更するものがある。この場合には、Webページの変更が改竄による不正なものか、あるいはCGI機能による正当なものなのかを判別することができない。
【0006】
また、Webサーバに対する攻撃には、Webページの改竄以外のDoS(Denial of Service attack)/DDoS(Distributed Denial of Service attacks)などの攻撃があるが、これら攻撃を検出することができないという問題もある。上記DoSやDDoSによる攻撃は、インターネット上のサーバに対して大量のサービス接続要求を送り付け、サーバの負荷を高めて、サーバを過負荷でダウンさせたり、ほかの正当なユーザへのサービスを妨げたりするものである。
【0007】
本発明は、このような事情を考慮してなされたもので、その目的は、Webサーバに対する不正アクセスを監視する際に、Webサーバに与える負荷を軽減することができるウェブ監視装置及び方法を提供することにある。
【0008】
また、本発明は、Webページの変更がCGI機能による正当なものではなく、改竄による不正なものであると判別することができるウェブ監視装置及び方法を提供することも目的とする。
【0009】
また、本発明は、Webページの改竄以外のDoSやDDoSによる攻撃を検出することができるウェブ監視装置及び方法を提供することも目的とする。
【0010】
また、本発明は、そのウェブ監視装置をコンピュータを利用して実現するためのコンピュータプログラムを提供することも目的とする。
【0011】
【課題を解決するための手段】
上記の課題を解決するために、請求項1に記載のウェブ監視装置は、通信ネットワークを介してウェブページを提供するウェブサーバに対する不正アクセスを、前記通信ネットワークを介して監視するウェブ監視装置であって、前記通信ネットワークを介してデータ通信を行う通信手段と、ユーザから指定された前記ウェブページの構成に含まれる監視ファイルの前記通信ネットワーク上の位置情報を記憶する監視ファイル情報記憶手段と、前記監視ファイルの監視基礎データを記憶するシグネチャ情報記憶手段と、前記位置情報に基づいて前記監視ファイルまたは前記監視ファイルのファイル情報を取得し、この取得した内容と前記シグネチャ情報記憶手段の該当する監視基礎データとを比較し、不一致を検出した場合に前記ウェブサーバに対する不正アクセス発生の可能性有りと判定する監視処理手段と、該監視結果を前記通信ネットワークを介してユーザ端末に提供するユーザ対応手段と、を備えたことを特徴としている。
この発明によれば、監視ファイルのファイル情報のみを取得して監視処理を行う簡易検査と、監視ファイルも取得して監視処理を行う厳密検査とを行うことができるので、それら検査を適宜使い分けすることにより、ウェブサーバに与える負荷を軽減することが可能となる。
【0012】
請求項2に記載のウェブ監視装置においては、前記監視処理手段に対して定期的に監視処理についてのプロセスを生成させて実行させる監視タスク管理手段を備えたことを特徴とする。
この発明によれば、所定時刻に監視プロセスが生成され実行されるので、インターネット上に一時的な輻輳が発生してある監視プロセスの監視ファイルダウンロードに時間がかかり、監視周期期間内に当該監視プロセスが終了しなくても、一定間隔で新たな監視処理を開始することができ、監視精度を向上することが可能となる。
【0013】
請求項3に記載のウェブ監視装置においては、前記監視処理手段に対して監視処理についての複数のタスクを与える監視タスク管理手段を備え、前記監視処理手段は、該複数のタスクを並列処理することを特徴とする。
この発明によれば、監視処理の並列化がなされるので、監視ファイルダウンロード中の監視処理手段の処理能力の空きをダウンロード以外の処理を行っているタスク用に割り当てることができる。これにより、監視処理手段の処理能力を効率よく使用することが可能となる。
【0014】
請求項4に記載のウェブ監視装置においては、前記ウェブページの構成を解析し、該ウェブページの構成に含まれる監視ファイルを抽出して該位置情報を前記監視ファイル情報記憶手段に記録するリンク解析手段を備えたことを特徴とする。
この発明によれば、自動的にウェブページのリンクを解析して監視ファイルを抽出するので、ユーザは監視のための設定が楽になる。
【0015】
請求項5に記載のウェブ監視装置においては、CGI機能により変更されるウェブページを登録するCGI登録情報記憶手段と、前記位置情報に基づいて前記ファイル情報または前記監視ファイルを複数回取得し、これら取得内容を比較することによりウェブページが動的に更新されるものか否かを検出し、動的に更新されている場合に当該ウェブページをCGI機能により変更されるものであると判定し、この判定に基づいて当該ウェブページを前記CGI登録情報記憶手段に登録し且つ当該ウェブページの固定データ部分を検査対象範囲に決定して該検査対象範囲を示す情報を前記CGI登録情報記憶手段に記録するCGI判定手段を備え、前記監視処理手段は、前記CGI登録情報記憶手段に登録されているウェブページについては該当する検査対象範囲を適用することを特徴とする。
この発明によれば、ウェブページが動的に更新されることを検出して当該ウェブページをCGI機能により変更されるものであると判定する。さらに、CGI機能により変更されるウェブページについては固定データ部分のみを検査するので、ウェブページの変更がCGI機能による正当なものではなく、改竄による不正なものであると判別することができる。
【0016】
請求項6に記載のウェブ監視装置においては、改竄前後にみられるウェブページの差分の特徴情報を記憶する改竄判定用コンテンツ特徴情報記憶手段を備え、前記監視処理手段は、前記改竄判定用コンテンツ特徴情報記憶手段の特徴情報に基づいて、前記監視ファイルの改竄の度合いを判定することを特徴とする。
この発明によれば、ウェブページに対する改竄の度合いが得られるので、ユーザは該度合いに基づいて不正アクセス有無の判断を行うことができる。
【0017】
上記の課題を解決するために、請求項7に記載のウェブ監視装置は、通信ネットワークを介してウェブページを提供するウェブサーバに対する不正アクセスを、前記通信ネットワークを介して監視するウェブ監視装置であって、前記通信ネットワークを介してデータ通信を行う通信手段と、ユーザから指定された前記ウェブページの前記通信ネットワーク上の位置情報を記憶する位置情報記憶手段と、前記位置情報に基づいてウェブページを取得するのに要したダウンロード時間を計測し、該ダウンロード時間に基づいて前記ウェブサーバの負荷状況を監視し、通常以上の負荷がかかっている場合に不正アクセス発生の可能性有りと判定する監視処理手段と、該監視結果を前記通信ネットワークを介してユーザ端末に提供するユーザ対応手段と、を備えたことを特徴としている。
この発明によれば、ウェブページのダウンロード時間に基づき当該ウェブサーバの負荷状況を監視して不正アクセス発生の可能性有りを検出するので、ウェブページの改竄以外のDoSやDDoSによる攻撃を検出することができる。
【0018】
上記の課題を解決するために、請求項8に記載のウェブ監視方法は、通信ネットワークを介してウェブページを提供するウェブサーバに対する不正アクセスを、前記通信ネットワークを介して監視するウェブ監視方法であって、ユーザから指定された前記ウェブページの構成に含まれる監視ファイルまたは該監視ファイルのファイル情報を取得する過程と、この取得した内容と前記監視ファイルの監視基礎データとを比較する過程と、この比較により不一致を検出した場合に前記ウェブサーバに対する不正アクセス発生の可能性有りと判定する過程と、この監視結果を前記通信ネットワークを介してユーザ端末に提供する過程と、を含むことを特徴としている。
この発明によれば、監視ファイルのファイル情報のみを取得して監視処理を行う簡易検査と、監視ファイルも取得して監視処理を行う厳密検査とを行うことができるので、それら検査を適宜使い分けすることにより、ウェブサーバに与える負荷を軽減することが可能となる。
【0019】
請求項9に記載のウェブ監視方法においては、前記ファイル情報または前記監視ファイルを複数回取得する過程と、これら取得内容を比較することによりウェブページが動的に更新されるものか否かを検出する過程と、動的に更新されている場合に当該ウェブページをCGI機能により変更されるものであると判定する過程と、CGI機能により変更されるウェブページについては該ウェブページの固定データ部分を検査対象範囲に決定する過程と、を含むことを特徴とする。
この発明によれば、ウェブページが動的に更新されることを検出して当該ウェブページをCGI機能により変更されるものであると判定する。さらに、CGI機能により変更されるウェブページについては固定データ部分のみを検査するので、ウェブページの変更がCGI機能による正当なものではなく、改竄による不正なものであると判別することができる。
【0020】
上記の課題を解決するために、請求項10に記載のウェブ監視方法は、通信ネットワークを介してウェブページを提供するウェブサーバに対する不正アクセスを、前記通信ネットワークを介して監視するウェブ監視方法であって、ユーザから指定された前記ウェブページを取得するのに要したダウンロード時間を計測する過程と、該ダウンロード時間に基づいて前記ウェブサーバの負荷状況を監視する過程と、前記ウェブサーバに通常以上の負荷がかかっている場合に不正アクセス発生の可能性有りと判定する過程と、該監視結果を前記通信ネットワークを介してユーザ端末に提供する過程と、を含むことを特徴としている。
この発明によれば、ウェブページのダウンロード時間に基づき当該ウェブサーバの負荷状況を監視して不正アクセス発生の可能性有りを検出するので、ウェブページの改竄以外のDoSやDDoSによる攻撃を検出することができる。
【0021】
上記の課題を解決するために、請求項11に記載のコンピュータプログラムは、通信ネットワークを介してウェブページを提供するウェブサーバに対する不正アクセスを、前記通信ネットワークを介して監視するウェブ監視処理を行うためのコンピュータプログラムであって、ユーザから指定された前記ウェブページの構成に含まれる監視ファイルまたは該監視ファイルのファイル情報を取得する処理と、この取得した内容と前記監視ファイルの監視基礎データとを比較する過程と、この比較により不一致を検出した場合に前記ウェブサーバに対する不正アクセス発生の可能性有りと判定する処理と、この監視結果を前記通信ネットワークを介してユーザ端末に提供する処理と、をコンピュータに実行させることを特徴としている。
【0022】
請求項12に記載のコンピュータプログラムは、前記ファイル情報または前記監視ファイルを複数回取得する処理と、これら取得内容を比較することによりウェブページが動的に更新されるものか否かを検出する処理と、動的に更新されている場合に当該ウェブページをCGI機能により変更されるものであると判定する処理と、CGI機能により変更されるウェブページについては該ウェブページの固定データ部分を検査対象範囲に決定する処理と、をコンピュータに実行させることを特徴とする。
【0023】
上記の課題を解決するために、請求項13に記載のコンピュータプログラムは、通信ネットワークを介してウェブページを提供するウェブサーバに対する不正アクセスを、前記通信ネットワークを介して監視するウェブ監視処理を行うためのコンピュータプログラムであって、ユーザから指定された前記ウェブページを取得するのに要したダウンロード時間を計測する処理と、該ダウンロード時間に基づいて前記ウェブサーバの負荷状況を監視する処理と、前記ウェブサーバに通常以上の負荷がかかっている場合に不正アクセス発生の可能性有りと判定する処理と、該監視結果を前記通信ネットワークを介してユーザ端末に提供する処理と、をコンピュータに実行させることを特徴としている。
【0024】
これらコンピュータプログラムにより、前述のウェブ監視装置がコンピュータを利用して実現できるようになる。
【0025】
【発明の実施の形態】
以下、図面を参照し、本発明の一実施形態について説明する。
図1は、本発明の一実施形態によるウェブ監視装置1の構成を示すブロック図である。この図1のウェブ監視装置1において、監視部11は、Webサーバに対する不正アクセスを監視する処理を行う監視処理部21と、監視処理部21の処理実行を制御する監視タスク管理部22とから構成される。リンク解析部12はユーザから指定されたWebページの構成を解析し、Webページの構成に含まれる監視すべきファイル(以下、監視ファイルと称する)を抽出する。
【0026】
記憶部13は各種情報31〜37を記憶する。ユーザ情報31は監視依頼者であるユーザのID、パスワード及び通信アドレス(IPアドレスや電子メールアドレス、電話番号等)、監視対象のWebサーバを特定する情報(ドメイン名やIPアドレス等)などからなる。監視ファイル情報32は、監視ファイルのインターネット上の位置情報(URL;Uniform Resource Locator)であり、ユーザから指定されたWebページの先頭ページのHTMLファイルのURL(マスタURL)と該Webページ内からリンクされている監視ファイルのURLを含む。
【0027】
シグネチャ情報33は、監視ファイルの内容に変化があるか否かを検査するための照合用の監視基礎データである。この監視基礎データは、監視ファイルの更新日付とファイルサイズとファイル特徴値(ハッシュ値)を含む。ダウンロード時間履歴情報34は、Webページのファイル情報と監視ファイルをダウンロードするのに要した時間(ダウンロード時間)の履歴である。監視ログ情報35は監視結果のログである。CGI登録情報36はCGI機能により変更されるWebページの登録情報である。この登録情報は、WebページのマスタURLと該ページ内の検査対象範囲を示す情報とを含む。改竄判定用コンテンツ特徴情報37は、過去に発見された変更前のWebページと変更後のWebページについて、改竄によくみられる特徴箇所をそれぞれ抽出したものである。
【0028】
ネットワークインタフェース14は、通信ネットワーク(例えばインターネット)に接続してTCP及びIPによるパケット通信を行う。
ユーザインタフェース15は、ユーザ端末からアクセスされ、ユーザ情報の登録及び変更の設定を受け付けて記憶部13のユーザ情報31の内容を更新する。また、監視ファイルの登録及び変更の設定を受け付けて監視ファイル情報32の内容を更新する。また、ユーザインタフェース15は、記憶部13の監視ログ情報35に基づいて、Webサーバの状態(不正アクセスの有無など)の履歴(Webサーバ状態履歴)を保持し、この履歴をユーザ端末から参照可能なようにしている。ユーザインタフェース15はWebサーバ機能を有し、Webページにより上記設定及び参照機能を実現する。ユーザは端末のWebブラウザによりそれら機能を利用することができる。
【0029】
次に、図2を参照して監視処理部21の基本動作を説明する。図2において、監視対象のWebサーバ2はWebページ200を有しており、インターネット3を介してWebページ200を提供する。Webページ200はコンテンツファイル(監視ファイル)とこのファイル情報(更新日付、ファイルサイズ)を有する。ウェブ監視装置1は、インターネット3を介してWebサーバ2へアクセスし、Webページ200を閲覧する。
【0030】
監視処理部21は、Webサーバに対する不正アクセスを監視するために、監視処理を実行する。そして、この監視処理において簡易検査処理または厳密検査処理を行う。図2に示すように、簡易検査処理では、HTTP(Hyper Text Transfer Protocol)コマンドの一つであるHEADコマンドを使用して、Webサーバ2からWebページ200の監視ファイルのファイル情報(更新日付、ファイルサイズ)のみを取得する。この取得時には記憶部13の監視ファイル情報32の該当するURLを使用する。監視処理部21は、取得したファイル情報を簡易検査シグネチャとして、記憶部13のシグネチャ情報33と比較する。この結果、不一致の部分があった場合に、当該監視ファイルの内容に変化があったと判断する。
【0031】
厳密検査処理では、HTTPコマンドの一つであるGETコマンドを使用して、Webサーバ2からWebページ200の監視ファイルとこのファイル情報(更新日付、ファイルサイズ)の両方を取得する。この取得時には記憶部13の監視ファイル情報32の該当するURLを使用する。監視処理部21は、取得した監視ファイルのハッシュ値を求める。そして、このハッシュ値と取得したファイル情報を厳密検査シグネチャとして、記憶部13のシグネチャ情報33と比較する。この結果、不一致の部分があった場合に、当該監視ファイルの内容に変化があったと判断する。
【0032】
監視処理部21は、上記簡易検査または厳密検査の結果、監視ファイルの内容に変化があった場合に、当該Webサーバ2に対する不正アクセスによりWebページ200の改竄がなされた可能性があると判定する。監視処理部21は、この判定結果を記憶部13の監視ログ情報35内に記録する。また、「不正アクセス発生の可能性有り」のアラームを、ユーザインタフェース15により電子メールでユーザへ通知するようにしてもよい。
【0033】
上記簡易検査及び厳密検査の使い分けの仕方としては、例えば重要度の高い監視ファイルについては毎回厳密検査を実施し、それ以外の監視ファイルについては簡易検査を複数回(例えば5回)実施した後に厳密検査を一回実施する。このように使い分けることによって、不正アクセスを監視する際にWebサーバへ与える負荷を軽減することが可能となる。また、監視ファイルの重要度を考慮した柔軟な監視を実現することができる。
【0034】
なお、厳密検査処理において、更新日付が異なっていても、ハッシュ値が同じ場合には、ミラーサーバが存在する可能性があるので、更新日付を検査範囲から除外するようにしてもよい。
【0035】
また、簡易検査及び厳密検査において各々の検査内容を、更新日付及びファイルサイズ及びハッシュ値の中から、Webページ毎に個別に選択して指定することができるようにしてもよい。例えば、複数のWebサーバで提供されているWebページの場合、一般的に同一のWebページのデータを各Webサーバがコピーして使用している。この結果、Webサーバ間でファイルサイズやハッシュ値は一致するが、更新日付は異なる。このため、更新日付を検査内容から除外することにより、誤った監視結果となることを防止することができる。
【0036】
また、シグネチャ情報33の監視基礎データを自動的に更新するようにしてもよい。例えば、簡易検査または厳密検査で更新日付が変化していた場合に、ユーザへ改竄によるものか否かを問い合わせし、正当な更新である旨の回答受信時に該当する監視ファイルに基づいて監視基礎データを更新する。これにより、ユーザがWebページを更新した際に、シグネチャ情報を再登録する手間が省ける。
【0037】
なお、監視処理部21が監視ファイルの内容を解析して改竄の度合いを判定するようにしてもよい。例えば、「正規の変更」か、あるいは「意図しない改竄」かを危険度レベルで判定する。危険度レベルの決定は、改竄判定用コンテンツ特徴情報37に格納されている改竄前後にみられるWebページの差分の特徴、との合致度合いに基づいて行う。以下に、改竄前後にみられるWebページの差分の特徴例を示す。
特徴1;ファイルサイズの差分有り。
特徴2;HTMLにおける「title」の変更、もしくはシグネチャ情報の全ての不一致。
特徴3;Webページの背景色が黒色。
特徴4;リンクファイル数の変化。
特徴5;HTMLにおける「charset」の変更
特徴6;改竄に用いられる頻度が大きい特定キーワードの使用。
【0038】
これら特徴1〜6うち、例えば3つ以上合致している危険度レベルの場合に、「意図しない改竄」であると判定する。これにより、Webページの作成者(更新実施者)とWebサーバの管理者(ユーザ)が異なっていたとしても、ユーザは「正規の変更」か、あるいは「意図しない改竄」かをWebページ作成者に問い合わせることなく、判断することができる。
【0039】
次に、図3、図4を参照して監視タスク管理部22の動作を説明する。図3に示すように、監視タスク管理部22は、監視処理部21に対して、定期的に監視処理についてのプロセス(監視プロセス)を生成させて実行させる。一つの監視プロセスにおいて、上記簡易検査または厳密検査のいずれか、あるいは両方が一回実施される。図3の例では、監視タスク管理部22は、監視周期期間の10分が経過する毎に、新たな監視プロセスの生成及びその実行を監視処理部21へ指示する。これにより、例えば時刻00:20に示すように、実行中の監視プロセス101bが終了していなくても、新たな監視プロセス101cが所定時刻に生成され実行される。この結果、インターネット上に一時的な輻輳が発生してある監視プロセスの監視ファイルダウンロードに時間がかかり、監視周期期間内に当該監視プロセスが終了しなくても、一定間隔で新たな監視処理を開始することができ、監視精度を向上することが可能となる。
【0040】
また、図4に示すように、監視タスク管理部22は、一つの監視プロセス101に対して複数の監視タスク120を与える。監視タスク120には、記憶部13の監視ファイル情報32に含まれる監視ファイルのURLが示されている。監視処理部21は監視プロセス101実行時に、複数の監視タスク120を待ち行列に入力する。そして、待ち行列から順次監視タスク120を取り出して空きの監視スレッド111で処理する。このように複数スレッドによる監視処理の並列化を行うことによって、ある監視スレッドで監視ファイルダウンロードを行っていても、このダウンロード終了までの監視処理部21の処理能力の空きをダウンロード以外の処理を行っている監視スレッドに割り当てることができる。これにより、監視処理部21の処理能力を効率よく使用することが可能となる。
【0041】
次に、図5、図6を参照してリンク解析部12の動作を説明する。図5に示す例のように、Webページ200は、複数のHTMLファイル201〜204とそのリンクファイル211〜213から構成される。リンク解析部12は、このWebページ200の構成を解析し、Webページ200の構成に含まれる監視ファイルを抽出する。この解析処理において、リンク解析部12は、外部Webサーバに保持されるファイル213へのリンクと、リンクの関係がループ状になっているリンクをリンク探索の対象から除外する。また、リンクの関係がループ状になっているリンクについては、重複して探索しないようにする。そして、このリンク探索によって検出した全てのリンクファイルを監視ファイルとして抽出する。リンク解析部12は、この抽出した監視ファイルのURLを記憶部13の監視ファイル情報32内に記録する。
【0042】
図6に、抽出した監視ファイルのURL表示及びその監視ファイルの検査内容を設定するための画面130を示す。リンク解析部12は、抽出した監視ファイルのURLをユーザインタフェース15に通知し、ユーザインタフェース15が画面130を作成してユーザ端末へ提供する。この画面130により、ユーザは各監視ファイルについて、簡易検査及び厳密検査の実施間隔を設定することができる。また、簡易検査または厳密検査のいずれか、あるいは両方の未実施を設定することも可能である。
【0043】
図6の例では、Webページの先頭ページ(マスタURL)に対してURL2〜URL7の6つの監視ファイルを抽出結果として表示している。そして、全ての監視ファイルについて、簡易検査を10分間隔で実施し、且つ厳密検査を60分間隔で実施するように設定されている。また、マスタURLがダウンロード速度の測定対象である旨を表示している。
【0044】
このようにリンク解析部12が自動的にWebページのリンクを解析して監視ファイルを抽出するので、ユーザは監視のための設定が楽になる。
【0045】
次に、図7を参照してCGI機能を有するWebサーバを監視する場合を説明する。図7は、監視処理部21が行うCGI判定処理の流れを示すフローチャートである。ユーザから監視ファイルの登録あるいは変更がなされた際に、監視処理部21は、図7のCGI判定処理を実行する。図7において、監視処理部21は、Webページを複数回ダウンロードし、ダウンロード毎の監視ファイルのハッシュ値を求めて比較する。また、ファイル情報についてもダウンロード毎に比較する(ステップS11)。次いで、このハッシュ値及びファイル情報の比較の結果、不一致のものがあった場合に、当該WebページがCGI機能により動的に更新されるものであると判定してステップS13へ進む。一方、全て一致した場合には処理を終了する(ステップS12)。
【0046】
ステップS13では、監視処理部21は、当該WebページをCGI機能により変更されるものとして登録するか否かを問い合わせる(ステップS13)。この問い合わせは、ユーザインタフェース15によりWebページあるいは電子メールを利用して行う。次いで、問い合わせの結果、登録許可の場合にはステップS15へ進み、一方、非許可の場合には処理を終了する(ステップS14)。
【0047】
ステップS15では、監視処理部21は、ステップS11の比較結果において毎回一致していた固定データ部分をWebページ内の検査対象範囲に決定する。次いで、当該WebページのマスタURL及び該検査対象範囲を示す情報を記憶部13のCGI登録情報36内に記録する(ステップS16)。
【0048】
監視処理部21は、簡易検査処理または厳密検査処理を実行する際に、記憶部13のCGI登録情報36を参照し、検査対象のWebページがCGI登録されているか否かを確認する。そして、CGI登録されていた場合には、CGI登録情報36の該当する検査対象範囲についてのみ検査する。
【0049】
このように本実施形態では、複数回Webページを取得し、これら取得内容を比較することによりWebページが動的に更新されるものか否かを検出し、動的に更新されている場合に当該WebページをCGI機能により変更されるものであると判定する。さらに、CGI機能により変更されるWebページについては固定データ部分のみを検査する。これにより、Webページの変更がCGI機能による正当なものではなく、改竄による不正なものであると判別することができる。
【0050】
次に、図8、図9を参照してWebページのダウンロード時間に基づいてWebサーバへの不正アクセスを検出する動作を説明する。監視処理部21は、HTTPのGETコマンドを使用してWebページから監視ファイルとこのファイル情報の両方を取得する際に要したダウンロード時間を計測する。そして、計測したダウンロード時間を記憶部13のダウンロード時間履歴情報34内に記録する。また、監視処理部21は、該計測済みのダウンロード時間をグラフ化して管理する。このグラフデータについてもダウンロード時間履歴情報34内に記録する。
【0051】
図8にダウンロード時間のグラフデータに基づいた波形W1を表示する画面140を示す。この画面140は、ユーザインタフェース15によって作成され、ユーザ端末に提供される。
【0052】
また、監視処理部21は、過去のダウンロード時間を使用して一日の時間帯毎の平均値を算出する。そして、時間帯ごとに平均値と当日の計測結果のダウンロード時間とを比較する。この比較の結果、当日の計測結果が平均値よりも予め設定されている閾値以上に大きな値であった場合に、当該Webサーバに対する不正アクセス発生の可能性ありと判定する。図9に平均値のグラフの波形W2と当日の計測結果のグラフの波形W3を表示する画面141を示す。この画面141に示す例では、時刻t1に波形W3の値が波形W2の値よりも閾値A以上大きな値となっている。監視処理部21は、この監視結果を記憶部13の監視ログ情報35内に記録する。上記画面141についてもユーザインタフェース15によって作成され、ユーザ端末に提供される。
【0053】
なお、本実施形態では、ダウンロード時間を求めたが、このダウンロード時間を使用してダウンロード速度(単位時間あたりのダウンロードデータ量)を算出するようにしてもよい。
【0054】
上述したように本実施形態では、Webページのダウンロードに要する時間を計測し、このダウンロード時間に基づいて当該Webサーバの負荷状況を監視し、通常以上の負荷がかかっている場合に不正アクセス発生の可能性有りと判定する。これにより、Webページの改竄以外のDoS(Denial of Service attack)/DDoS(Distributed Denial of Service attacks)による攻撃を検出することができる。
【0055】
なお、本実施形態においては、監視処理部21が監視処理手段とCGI判定手段に対応する。また、監視タスク管理部22が監視タスク管理手段に対応し、リンク解析部12がリンク解析手段に対応する。また、ネットワークインタフェース14が通信手段に対応し、ユーザインタフェース15がユーザ対応手段に対応する。また、記憶部13の監視ファイル情報32の記憶領域が監視ファイル情報記憶手段と位置情報記憶手段に対応する。また、記憶部13のシグネチャ情報33の記憶領域がシグネチャ情報記憶手段に対応し、CGI登録情報36の記憶領域がCGI登録情報記憶手段に対応し、改竄判定用コンテンツ特徴情報37の記憶領域が改竄判定用コンテンツ特徴情報記憶手段に対応する。
【0056】
また、図1に示すウェブ監視装置が行う各処理を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによりウェブ監視処理を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
【0057】
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【0058】
以上、本発明の実施形態を図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。
【0059】
【発明の効果】
以上説明したように、本発明によれば、監視ファイルのファイル情報のみを取得して監視処理を行う簡易検査と、監視ファイルも取得して監視処理を行う厳密検査とを行うことができるので、それら検査を適宜使い分けすることにより、ウェブサーバに与える負荷を軽減することが可能となる。
【0060】
また、請求項2に記載の発明によれば、所定時刻に監視プロセスが生成され実行されるので、インターネット上に一時的な輻輳が発生してある監視プロセスの監視ファイルダウンロードに時間がかかり、監視周期期間内に当該監視プロセスが終了しなくても、一定間隔で新たな監視処理を開始することができ、監視精度を向上することが可能となる。
【0061】
また、請求項3に記載の発明によれば、監視処理の並列化がなされるので、監視ファイルダウンロード中の監視処理手段の処理能力の空きをダウンロード以外の処理を行っているタスク用に割り当てることができる。これにより、監視処理手段の処理能力を効率よく使用することが可能となる。
【0062】
また、請求項4に記載の発明によれば、自動的にウェブページのリンクを解析して監視ファイルを抽出するので、ユーザは監視のための設定が楽になる。
【0063】
また、請求項5に記載の発明によれば、ウェブページが動的に更新されることを検出して当該ウェブページをCGI機能により変更されるものであると判定する。さらに、CGI機能により変更されるウェブページについては固定データ部分のみを検査するので、ウェブページの変更がCGI機能による正当なものではなく、改竄による不正なものであると判別することができる。
【0064】
また、請求項6に記載の発明によれば、ウェブページに対する改竄の度合いが得られるので、ユーザは該度合いに基づいて不正アクセス有無の判断を行うことができる。
【0065】
また、請求項7に記載の発明によれば、ウェブページのダウンロード時間に基づき当該ウェブサーバの負荷状況を監視して不正アクセス発生の可能性有りを検出するので、ウェブページの改竄以外のDoSやDDoSによる攻撃を検出することができる。
【図面の簡単な説明】
【図1】本発明の一実施形態によるウェブ監視装置1の構成を示すブロック図である。
【図2】図1に示す監視処理部21の基本動作を説明するための概念図である。
【図3】図1に示す監視タスク管理部22の動作を説明するための概念図である。
【図4】図1に示す監視処理部21及び監視タスク管理部22の動作を説明するための概念図である。
【図5】図1に示すリンク解析部12の動作を説明するための概念図である。
【図6】リンク解析部12が抽出した監視ファイルのURL表示及びその監視ファイルの検査内容を設定するための画面構成例を示す図である。
【図7】図1に示す監視処理部21が行うCGI判定処理の流れを示すフローチャートである。
【図8】ダウンロード時間のグラフの波形W1を表示する画面構成例を示す図である。
【図9】ダウンロード時間の平均値のグラフの波形W2と当日の計測結果のグラフの波形W3を表示する画面構成例を示す図である。
【符号の説明】
1…ウェブ監視装置、2…ウェブ(Web)サーバ、11…監視部、12…リンク解析部、13…記憶部、14…ネットワークインタフェース、15…ユーザインタフェース、21…監視処理部、22…監視タスク管理部、31…ユーザ情報、32…監視ファイル情報、33…シグネチャ情報、34…ダウンロード時間履歴情報、35…監視ログ情報、36…CGI登録情報、37…改竄判定用コンテンツ特徴情報、200…ウェブ(Web)ページ

Claims (13)

  1. 通信ネットワークを介してウェブページを提供するウェブサーバに対する不正アクセスを、前記通信ネットワークを介して監視するウェブ監視装置であって、
    前記通信ネットワークを介してデータ通信を行う通信手段と、
    ユーザから指定された前記ウェブページの構成に含まれる監視ファイルの前記通信ネットワーク上の位置情報を記憶する監視ファイル情報記憶手段と、
    前記監視ファイルの監視基礎データを記憶するシグネチャ情報記憶手段と、
    前記位置情報に基づいて前記監視ファイルまたは前記監視ファイルのファイル情報を取得し、この取得した内容と前記シグネチャ情報記憶手段の該当する監視基礎データとを比較し、不一致を検出した場合に前記ウェブサーバに対する不正アクセス発生の可能性有りと判定する監視処理手段と、
    該監視結果を前記通信ネットワークを介してユーザ端末に提供するユーザ対応手段と、
    を備えたことを特徴とするウェブ監視装置。
  2. 前記監視処理手段に対して定期的に監視処理についてのプロセスを生成させて実行させる監視タスク管理手段を備えたことを特徴とする請求項1に記載のウェブ監視装置。
  3. 前記監視処理手段に対して監視処理についての複数のタスクを与える監視タスク管理手段を備え、
    前記監視処理手段は、該複数のタスクを並列処理する
    ことを特徴とする請求項1に記載のウェブ監視装置。
  4. 前記ウェブページの構成を解析し、該ウェブページの構成に含まれる監視ファイルを抽出して該位置情報を前記監視ファイル情報記憶手段に記録するリンク解析手段を備えたことを特徴とする請求項1乃至請求項3のいずれかの項に記載のウェブ監視装置。
  5. CGI機能により変更されるウェブページを登録するCGI登録情報記憶手段と、
    前記位置情報に基づいて前記ファイル情報または前記監視ファイルを複数回取得し、これら取得内容を比較することによりウェブページが動的に更新されるものか否かを検出し、動的に更新されている場合に当該ウェブページをCGI機能により変更されるものであると判定し、この判定に基づいて当該ウェブページを前記CGI登録情報記憶手段に登録し且つ当該ウェブページの固定データ部分を検査対象範囲に決定して該検査対象範囲を示す情報を前記CGI登録情報記憶手段に記録するCGI判定手段を備え、
    前記監視処理手段は、前記CGI登録情報記憶手段に登録されているウェブページについては該当する検査対象範囲を適用する
    ことを特徴とする請求項1乃至請求項4のいずれかの項に記載のウェブ監視装置。
  6. 改竄前後にみられるウェブページの差分の特徴情報を記憶する改竄判定用コンテンツ特徴情報記憶手段を備え、
    前記監視処理手段は、前記改竄判定用コンテンツ特徴情報記憶手段の特徴情報に基づいて、前記監視ファイルの改竄の度合いを判定する
    ことを特徴とする請求項1乃至請求項5のいずれかの項に記載のウェブ監視装置。
  7. 通信ネットワークを介してウェブページを提供するウェブサーバに対する不正アクセスを、前記通信ネットワークを介して監視するウェブ監視装置であって、
    前記通信ネットワークを介してデータ通信を行う通信手段と、
    ユーザから指定された前記ウェブページの前記通信ネットワーク上の位置情報を記憶する位置情報記憶手段と、
    前記位置情報に基づいてウェブページを取得するのに要したダウンロード時間を計測し、該ダウンロード時間に基づいて前記ウェブサーバの負荷状況を監視し、通常以上の負荷がかかっている場合に不正アクセス発生の可能性有りと判定する監視処理手段と、
    該監視結果を前記通信ネットワークを介してユーザ端末に提供するユーザ対応手段と、
    を備えたことを特徴とするウェブ監視装置。
  8. 通信ネットワークを介してウェブページを提供するウェブサーバに対する不正アクセスを、前記通信ネットワークを介して監視するウェブ監視方法であって、
    ユーザから指定された前記ウェブページの構成に含まれる監視ファイルまたは該監視ファイルのファイル情報を取得する過程と、
    この取得した内容と前記監視ファイルの監視基礎データとを比較する過程と、この比較により不一致を検出した場合に前記ウェブサーバに対する不正アクセス発生の可能性有りと判定する過程と、
    この監視結果を前記通信ネットワークを介してユーザ端末に提供する過程と、
    を含むことを特徴とするウェブ監視方法。
  9. 前記ファイル情報または前記監視ファイルを複数回取得する過程と、
    これら取得内容を比較することによりウェブページが動的に更新されるものか否かを検出する過程と、
    動的に更新されている場合に当該ウェブページをCGI機能により変更されるものであると判定する過程と、
    CGI機能により変更されるウェブページについては該ウェブページの固定データ部分を検査対象範囲に決定する過程と、
    を含むことを特徴とする請求項8に記載のウェブ監視方法。
  10. 通信ネットワークを介してウェブページを提供するウェブサーバに対する不正アクセスを、前記通信ネットワークを介して監視するウェブ監視方法であって、
    ユーザから指定された前記ウェブページを取得するのに要したダウンロード時間を計測する過程と、
    該ダウンロード時間に基づいて前記ウェブサーバの負荷状況を監視する過程と、
    前記ウェブサーバに通常以上の負荷がかかっている場合に不正アクセス発生の可能性有りと判定する過程と、
    該監視結果を前記通信ネットワークを介してユーザ端末に提供する過程と、
    を含むことを特徴とするウェブ監視方法。
  11. 通信ネットワークを介してウェブページを提供するウェブサーバに対する不正アクセスを、前記通信ネットワークを介して監視するウェブ監視処理を行うためのコンピュータプログラムであって、
    ユーザから指定された前記ウェブページの構成に含まれる監視ファイルまたは該監視ファイルのファイル情報を取得する処理と、
    この取得した内容と前記監視ファイルの監視基礎データとを比較する過程と、この比較により不一致を検出した場合に前記ウェブサーバに対する不正アクセス発生の可能性有りと判定する処理と、
    この監視結果を前記通信ネットワークを介してユーザ端末に提供する処理と、
    をコンピュータに実行させることを特徴とするコンピュータプログラム。
  12. 前記ファイル情報または前記監視ファイルを複数回取得する処理と、
    これら取得内容を比較することによりウェブページが動的に更新されるものか否かを検出する処理と、
    動的に更新されている場合に当該ウェブページをCGI機能により変更されるものであると判定する処理と、
    CGI機能により変更されるウェブページについては該ウェブページの固定データ部分を検査対象範囲に決定する処理と、
    をコンピュータに実行させることを特徴とする請求項11に記載のコンピュータプログラム。
  13. 通信ネットワークを介してウェブページを提供するウェブサーバに対する不正アクセスを、前記通信ネットワークを介して監視するウェブ監視処理を行うためのコンピュータプログラムであって、
    ユーザから指定された前記ウェブページを取得するのに要したダウンロード時間を計測する処理と、
    該ダウンロード時間に基づいて前記ウェブサーバの負荷状況を監視する処理と、
    前記ウェブサーバに通常以上の負荷がかかっている場合に不正アクセス発生の可能性有りと判定する処理と、
    該監視結果を前記通信ネットワークを介してユーザ端末に提供する処理と、
    をコンピュータに実行させることを特徴とするコンピュータプログラム。
JP2002190706A 2002-06-28 2002-06-28 ウェブ監視装置及び方法、コンピュータプログラム Pending JP2004038272A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002190706A JP2004038272A (ja) 2002-06-28 2002-06-28 ウェブ監視装置及び方法、コンピュータプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002190706A JP2004038272A (ja) 2002-06-28 2002-06-28 ウェブ監視装置及び方法、コンピュータプログラム

Publications (1)

Publication Number Publication Date
JP2004038272A true JP2004038272A (ja) 2004-02-05

Family

ID=31700557

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002190706A Pending JP2004038272A (ja) 2002-06-28 2002-06-28 ウェブ監視装置及び方法、コンピュータプログラム

Country Status (1)

Country Link
JP (1) JP2004038272A (ja)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006072856A (ja) * 2004-09-03 2006-03-16 Rikogaku Shinkokai ファイル検査のための設定データ生成プログラム及びシステム
JP2008165292A (ja) * 2006-12-27 2008-07-17 Kddi Corp ウェブページの改竄検知装置、プログラム、および記録媒体
US7735082B2 (en) 2004-07-02 2010-06-08 Ntt Docomo, Inc. Task management system
JP2011101192A (ja) * 2009-11-05 2011-05-19 Nippon Telegr & Teleph Corp <Ntt> 伝送装置及び伝送方法
JP2011164705A (ja) * 2010-02-04 2011-08-25 Yahoo Japan Corp 監視端末、方法及びプログラム
WO2012093625A1 (ja) * 2011-01-05 2012-07-12 株式会社 東芝 Webページ改竄検知装置及び記憶媒体
JP2014102612A (ja) * 2012-11-19 2014-06-05 Mitsubishi Electric Corp 改竄検知装置及び改竄検知方法
JP2014197375A (ja) * 2013-03-04 2014-10-16 株式会社オプティム セキュリティサーバ、ユーザ端末、ウェブページ鑑定方法、セキュリティサーバ用プログラム
JP2016006700A (ja) * 2015-10-15 2016-01-14 株式会社エヌ・ティ・ティ・データ 配信情報解析装置、配信情報解析方法、配信情報解析プログラム
CN111984504A (zh) * 2020-08-20 2020-11-24 海信电子科技(深圳)有限公司 浏览器内存监控方法及电子设备
CN114567668A (zh) * 2022-03-07 2022-05-31 桔帧科技(江苏)有限公司 一种基于iNotify实时响应的数据篡改监控方法

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7735082B2 (en) 2004-07-02 2010-06-08 Ntt Docomo, Inc. Task management system
JP2006072856A (ja) * 2004-09-03 2006-03-16 Rikogaku Shinkokai ファイル検査のための設定データ生成プログラム及びシステム
JP4608634B2 (ja) * 2004-09-03 2011-01-12 国立大学法人東京工業大学 ファイル検査のための設定データ生成プログラム及びシステム
JP2008165292A (ja) * 2006-12-27 2008-07-17 Kddi Corp ウェブページの改竄検知装置、プログラム、および記録媒体
JP2011101192A (ja) * 2009-11-05 2011-05-19 Nippon Telegr & Teleph Corp <Ntt> 伝送装置及び伝送方法
JP2011164705A (ja) * 2010-02-04 2011-08-25 Yahoo Japan Corp 監視端末、方法及びプログラム
CN103201749A (zh) * 2011-01-05 2013-07-10 株式会社东芝 网页篡改检测装置及存储介质
JP2012141876A (ja) * 2011-01-05 2012-07-26 Toshiba Corp Webページ改竄検知装置及びプログラム
WO2012093625A1 (ja) * 2011-01-05 2012-07-12 株式会社 東芝 Webページ改竄検知装置及び記憶媒体
US9100434B2 (en) 2011-01-05 2015-08-04 Kabushiki Kaisha Toshiba Web page falsification detection apparatus and storage medium
JP2014102612A (ja) * 2012-11-19 2014-06-05 Mitsubishi Electric Corp 改竄検知装置及び改竄検知方法
JP2014197375A (ja) * 2013-03-04 2014-10-16 株式会社オプティム セキュリティサーバ、ユーザ端末、ウェブページ鑑定方法、セキュリティサーバ用プログラム
JP2016006700A (ja) * 2015-10-15 2016-01-14 株式会社エヌ・ティ・ティ・データ 配信情報解析装置、配信情報解析方法、配信情報解析プログラム
CN111984504A (zh) * 2020-08-20 2020-11-24 海信电子科技(深圳)有限公司 浏览器内存监控方法及电子设备
CN114567668A (zh) * 2022-03-07 2022-05-31 桔帧科技(江苏)有限公司 一种基于iNotify实时响应的数据篡改监控方法
CN114567668B (zh) * 2022-03-07 2024-05-07 桔帧科技(江苏)有限公司 一种基于iNotify实时响应的数据篡改监控方法

Similar Documents

Publication Publication Date Title
US7865953B1 (en) Methods and arrangement for active malicious web pages discovery
US8707427B2 (en) Automated malware detection and remediation
US8024804B2 (en) Correlation engine for detecting network attacks and detection method
CN105184159B (zh) 网页篡改的识别方法和装置
CN104980309B (zh) 网站安全检测方法及装置
US8646038B2 (en) Automated service for blocking malware hosts
US20080229419A1 (en) Automated identification of firewall malware scanner deficiencies
RU2677361C1 (ru) Способ и система децентрализованной идентификации вредоносных программ
JP2004038272A (ja) ウェブ監視装置及び方法、コンピュータプログラム
JP5752642B2 (ja) 監視装置および監視方法
CN111797355A (zh) 基于定制浏览器的网页固定存证方法
CN117336098B (zh) 一种网络空间数据安全性监测分析方法
Buyukkayhan et al. What's in an Exploit? An Empirical Analysis of Reflected Server {XSS} Exploitation Techniques
KR101781780B1 (ko) 다중 서버, 다중 브라우저 기반의 고속 악성 웹 사이트 탐지 시스템 및 방법
US20150163238A1 (en) Systems and methods for testing and managing defensive network devices
JP6623128B2 (ja) ログ分析システム、ログ分析方法及びログ分析装置
Paracha et al. A Deeper Look at Web Content Availability and Consistency over HTTP/S
JP2015132942A (ja) 接続先情報判定装置、接続先情報判定方法、及びプログラム
JP6716051B2 (ja) 情報処理装置、情報処理方法、及び情報処理プログラム
CN115941353A (zh) 缓存投毒检测方法、装置、电子设备及存储介质
US20170054742A1 (en) Information processing apparatus, information processing method, and computer readable medium
JP3896486B2 (ja) ウェブサイトの検査装置
JP6378808B2 (ja) 接続先情報判定装置、接続先情報判定方法、及びプログラム
JP6055726B2 (ja) ウェブページ監視装置、ウェブページ監視システム、ウェブページ監視方法およびコンピュータプログラム
CN109194621A (zh) 流量劫持的检测方法、装置及系统

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050420

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20050421

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070614

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070626

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070827

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20070906

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080108

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080310

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20080610