JP2004118699A - Unauthorized access detection device, its method, computer program, and recording medium with computer program recorded thereon - Google Patents

Unauthorized access detection device, its method, computer program, and recording medium with computer program recorded thereon Download PDF

Info

Publication number
JP2004118699A
JP2004118699A JP2002283579A JP2002283579A JP2004118699A JP 2004118699 A JP2004118699 A JP 2004118699A JP 2002283579 A JP2002283579 A JP 2002283579A JP 2002283579 A JP2002283579 A JP 2002283579A JP 2004118699 A JP2004118699 A JP 2004118699A
Authority
JP
Japan
Prior art keywords
log
communication record
connection
server
identification information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002283579A
Other languages
Japanese (ja)
Inventor
Shingo Kimihara
公原 真吾
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Comware Corp
Original Assignee
NTT Comware Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Comware Corp filed Critical NTT Comware Corp
Priority to JP2002283579A priority Critical patent/JP2004118699A/en
Publication of JP2004118699A publication Critical patent/JP2004118699A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To detect an unauthorized access to a computer system which performs authentication twice or more. <P>SOLUTION: A communication record collection part 11 in an unauthorized intruder detection system 1 acquires a communication record obtained by collecting logs each of which includes the address of a connecting source, user identification information and connection time or disconnection time on the basis of user authentication to a server and a communication record obtained by collecting logs connected on the basis of user authentication to a server connected in the connection to the server concerned. An unauthorized access determination part 13 retrieves a log between the connection time of a log including connection time included in the communication record of the server connected ahead and the disconnection time of a log including the address of the log and the user identification information included in the communication record and disconnection time nearest to the connection time of the log from the communication record of the server connected later and compares the user identification information of the log of the server connected ahead with that of the log of the server connected later. <P>COPYRIGHT: (C)2004,JPO

Description

【0001】
【発明の属する技術分野】
本発明は、複数回の認証が行われるコンピュータシステムに対する不正アクセスを検出できる不正アクセス検出装置、不正アクセス検出方法、その方法を実行させるコンピュータプログラム及びそのコンピュータプログラムを記録した記録媒体に関する。
【0002】
【従来の技術】
従来より、個人の重要な情報や機密情報を扱うコンピュータシステムにあっては、高いセキュリティが要求されるので、同一ユーザに対して、例えば目的別に複数回の認証処理を行うことがある。
【0003】
図10は、目的別に複数回の認証が行われるコンピュータシステムの動作を示す図である。コンピュータシステムは、アクセスしてきたユーザを特定するための第1認証(ダイヤルアップ認証)を行い、これが成功すると、使用機能を制限するための第2認証を行い、これが成功すると、個人データを特定するための第3認証を行い、これが成功すると、ユーザ個人の情報やユーザの機密情報を利用させる。
【0004】
具体的には、システムはユーザAを利用者とした設定がされて、ユーザAの利用する、システムにとっては発番号1111111と認識される回線からダイヤルアップされてユーザAのユーザID「AAA」とパスワード「aaa」を入力されると第1認証を成功させる。その後、ユーザAのユーザID等の入力により第2認証を成功させる。その後、ユーザAのユーザID等の入力により第3認証を成功させる。
【0005】
システムには、他のユーザB等についても同様の設定がされていて、3段階の認証が成功になったユーザに該ユーザの個人情報等を利用させるように動作する。
【0006】
また、ネットワークへ外部からアクセスする際の認証装置(例えばファイアウォール)において、認証の際にその対象となったユーザへ、アクセスがあったことを通知する技術も公知になっている。例えば、AがBのユーザID,パスワードを利用してネットワークに入ろうとしたとき、Bが予め登録した手段(電子メール,電話等)を用いて、登録されている通知先アドレス(メールアドレス,電話番号等)にネットワークにアクセスがあったことを通知する。これによって、Bは、Aが自分になりすましたことを検出できる(特許文献1参照)。
【0007】
【特許文献1】
特開2002−91917号公報
【0008】
【発明が解決しようとする課題】
しかしながら、従来の複数回の認証が行われるコンピュータシステムにあっては、個々の認証の相関をチェックしないため、なりすまし(他人のユーザIDやパスワードを盗用し、その人のふりをしてネットワーク上で活動すること)による不正アクセスがあっても検知できない。
【0009】
つまり、図10に示すように、システムはユーザBを利用者とした設定がされているので、ユーザBの発番号2222222と認識される回線からダイヤルアップされて、ユーザBのユーザID「BBB」とパスワード「bbb」を入力されると第1認証を成功させる。その後、ユーザBのユーザID等の入力により第2認証を成功させるが、その後、ユーザAのユーザID等が入力された場合であっても第3認証を成功させてしまうので、ユーザBがユーザAの個人情報等を利用できるようになってしまう。
【0010】
そこで本発明は、上記の従来の課題に鑑みてなされたものであり、その目的とするところは、複数回の認証が行われるコンピュータシステムに対する不正アクセスを検出できる不正アクセス検出装置、不正アクセス検出方法、その方法を実行させるコンピュータプログラム及びそのコンピュータプログラムを記録した記録媒体を提供することにある。
【0011】
【課題を解決するための手段】
上記従来の課題を解決するために、請求項1の本発明は、サーバへの、ユーザ認証を伴う接続および切断により記録された接続元のアドレスとユーザ識別情報と接続時刻または切断時刻とを含むログを集めた通信記録と、当該サーバへの接続中に接続されるサーバへの、ユーザ認証を伴う接続により記録された接続元のアドレスとユーザ識別情報と接続時刻とを含むログを集めた通信記録とを通信回線を介して取得する通信記録取得手段と、該通信記録取得手段により取得された、先に接続されるサーバの通信記録の中の接続時刻を含むログの当該接続時刻と、当該通信記録の中の当該ログのアドレスおよびユーザ識別情報ならびに当該ログの接続時刻に最も近い切断時刻を含むログの当該切断時刻と、の間の接続時刻と当該アドレスとを含むログを、前記通信記録取得手段により取得された、後に接続されるサーバの通信記録の中から検索するログ検索手段と、先に接続されるサーバの通信記録の中の、接続時刻を含む前記ログのユーザ識別情報と、後に接続されるサーバの通信記録の中から前記検索されたログのユーザ識別情報とを比較する不正アクセス検出手段とを備える不正アクセス検出装置をもって解決手段とする。
【0012】
請求項1の本発明によれば、サーバへの、ユーザ認証を伴う接続および切断により記録された接続元のアドレスとユーザ識別情報と接続時刻または切断時刻とを含むログを集めた通信記録と、当該サーバへの接続中に接続されるサーバへの、ユーザ認証を伴う接続により記録された接続元のアドレスとユーザ識別情報と接続時刻とを含むログを集めた通信記録とを通信回線を介して通信記録取得手段が取得し、先に接続されるサーバの通信記録の中の接続時刻を含むログの当該接続時刻と、当該通信記録の中の当該ログのアドレスおよびユーザ識別情報ならびに当該ログの接続時刻に最も近い切断時刻を含むログの当該切断時刻と、の間の接続時刻と当該アドレスとを含むログを、後に接続されるサーバの通信記録の中からログ検索手段が検索し、先に接続されるサーバの通信記録の中の、接続時刻を含む前記ログのユーザ識別情報と、後に接続されるサーバの通信記録の中から前記検索されたログのユーザ識別情報とを不正アクセス検出手段が比較するので、これらユーザ識別情報同士が異なるか否かにより不正アクセスを検出することができる。
【0013】
また、請求項2の本発明は、前記不正アクセス検出手段は、比較対象のユーザ識別情報同士が異なる場合は、不正アクセスがあった場合のものとして予め設定された処理を行うことを特徴とする請求項1記載の不正アクセス検出装置をもって解決手段とする。
【0014】
請求項2の本発明によれば、不正アクセス検出手段が、比較対象のユーザ識別情報同士が異なる場合は、不正アクセスがあった場合のものとして予め設定された処理として、これらログを記憶装置に記憶させたり、表示装置に表示させたり、印刷装置に印刷させる等の処理を行うことができる。
【0015】
また、請求項3の本発明は、サーバへの、ユーザ認証を伴う接続および切断により記録された接続元のアドレスとユーザ識別情報と接続時刻または切断時刻とを含むログを集めた通信記録と、当該サーバへの接続中に接続されるサーバへの、ユーザ認証を伴う接続により記録された接続元のアドレスとユーザ識別情報と接続時刻とを含むログを集めた通信記録とを通信回線を介して取得する通信記録取得段階と、該通信記録取得段階で取得された、先に接続されるサーバの通信記録の中の接続時刻を含むログの当該接続時刻と、当該通信記録の中の当該ログのアドレスおよびユーザ識別情報ならびに当該ログの接続時刻に最も近い切断時刻を含むログの当該切断時刻と、の間の接続時刻と当該アドレスとを含むログを、前記通信記録取得段階で取得された、後に接続されるサーバの通信記録の中から検索するログ検索段階と先に接続されるサーバの通信記録の中の、接続時刻を含む前記ログのユーザ識別情報と、後に接続されるサーバの通信記録の中から前記検索されたログのユーザ識別情報とを比較する不正アクセス検出段階とを備える不正アクセス検出方法をもって解決手段とする。
【0016】
請求項3の本発明によれば、サーバへの、ユーザ認証を伴う接続および切断により記録された接続元のアドレスとユーザ識別情報と接続時刻または切断時刻とを含むログを集めた通信記録と、当該サーバへの接続中に接続されるサーバへの、ユーザ認証を伴う接続により記録された接続元のアドレスとユーザ識別情報と接続時刻とを含むログを集めた通信記録とを通信回線を介して通信記録取得段階で取得し、先に接続されるサーバの通信記録の中の接続時刻を含むログの当該接続時刻と、当該通信記録の中の当該ログのアドレスおよびユーザ識別情報ならびに当該ログの接続時刻に最も近い切断時刻を含むログの当該切断時刻と、の間の接続時刻と当該アドレスとを含むログを、後に接続されるサーバの通信記録の中からログ検索段階で検索し、先に接続されるサーバの通信記録の中の、接続時刻を含む前記ログのユーザ識別情報と、後に接続されるサーバの通信記録の中から前記検索されたログのユーザ識別情報とを不正アクセス検出段階で比較するので、これらユーザ識別情報同士が異なるか否かにより不正アクセスを検出することができる。
【0017】
また、請求項4の本発明は、前記不正アクセス検出段階の比較対象のユーザ識別情報同士が異なる場合は、不正アクセスがあった場合のものとして予め設定された処理を行うことを特徴とする請求項1記載の不正アクセス検出方法をもって解決手段とする。
【0018】
請求項4の本発明によれば、不正アクセス検出段階の比較対象のユーザ識別情報同士が異なる場合は、不正アクセスがあった場合のものとして予め設定された処理として、これらログを記憶装置に記憶させたり、表示装置に表示させたり、印刷装置に印刷させる等の処理を行うことができる。
【0019】
また、請求項5の本発明は、請求項3または4記載の不正アクセス検出方法を実行させるコンピュータプログラムをもって解決手段とする。
【0020】
請求項5の本発明によれば、複数回の認証が行われるコンピュータシステムに対する不正アクセスを検出できるコンピュータプログラムであるので該プログラムを流通可能にできる。
【0021】
また、請求項6の本発明は、請求項3または4記載の不正アクセス検出方法を実行させるコンピュータプログラムを記録した記録媒体をもって解決手段とする。
【0022】
請求項6の本発明によれば、複数回の認証が行われるコンピュータシステムに対する不正アクセスを検出できるコンピュータプログラムを記録した記録媒体であるので該媒体を配送により流通可能にできる。
【0023】
【発明の実施の形態】
以下、本発明の実施の形態を図面を参照して説明する。
【0024】
図1は、本発明の不正侵入者検知装置を実施の形態に適用した不正侵入者検知システム1の構成と利用形態を示す図である。不正侵入者検知システム1は、明細情報提供センタ100のWWWサーバ10内に構成されているコンピュータシステムである。明細情報提供センタ100には、ラディウスサーバ2とファイアウォールサーバ(以下、ファイアウォールという)3とが構成されている。またWWWサーバ10には明細情報提供システム4が構成されている。また、明細情報提供センタ100は、WWWサーバ10の利用者により使用される各ユーザ端末200と公衆回線網を介して通信可能に構成されている。
【0025】
ラディウスサーバ2は認証部21と通信記録部22を備え、認証部21がユーザ端末200に対してダイヤルアップ認証を行い、それに関わる情報を通信記録部22が通信記録23(ルータ通信記録23ともいう)に記録するようになっている。つまり、通信記録部22は、認証部21がユーザ端末200からの接続要求に対してダイヤルアップ認証を行うとルータ通信記録23にルータ接続ログ23Aを記録し、当該通信リンクが切断されるとルータ通信記録23にルータ切断ログ23Bを記録する。従って、ルータ通信記録23は、ルータ接続ログ23Aとルータ切断ログ23Bが接続時刻または切断時刻の順に並んだ状態になっている。
【0026】
ルータ接続ログ23Aは、認証が成功した時刻(以下、接続時刻といい、当該語をファイアウォール3および明細情報提供システム4での認証についても適用する)と接続元のIPアドレスとユーザ識別情報(以下、ユーザIDという)と状態と発番号とを含むものである。ルータ切断ログ23Bは、通信リンクの切断時刻と接続元のIPアドレスとユーザIDと状態と発番号とを含むものである。
【0027】
ルータ接続ログ23Aにおいて状態は、認証が成功した場合に接続OKとして記録され、成功しなかった場合には接続NGとして記録され、当該判断不能の場合には判断不能と記録される。ルータ切断ログ23Bにおける状態は、通信リンクが正常に切断された場合に切断OKとして記録され、当該判断不能の場合には判断不能と記録される。なお、かかる状態記録は後述するファイアウォール3と明細情報提供システム4におけるログについても同様にしてなされ、記録内容も同様のものである。
【0028】
なお、ルータ接続ログ23Aとルータ切断ログ23Bをルータログと総称する。
【0029】
ファイアウォール3は認証部31と通信記録部32を備え、ラディウスサーバ2の認証部21での認証が成功した場合は認証部31がユーザ端末200に対して認証を行い、それに関わる情報を通信記録部32が通信記録33(以下、FW通信記録33ともいう)に記録するようになっている。つまり、通信記録部32は、認証部31がユーザ端末200からのプロトコルの利用要求に対して認証を行うとFW通信記録33にFW接続ログ33Aを記録し、認証を成功した場合にファイアウォール3が予め設定されたプロトコルで通信させ、当該通信リンクが切断されるとFW通信記録33にFW切断ログ33Bを記録する。従って、FW通信記録33は、FW接続ログ33AとFW切断ログ33Bが接続時刻または切断時刻の順に並んだ状態になっている。
【0030】
FW接続ログ33Aは、接続時刻と接続元のIPアドレスとユーザIDと状態とを含むものである。FW切断ログ33Bは、切断時刻と接続元のIPアドレスとユーザIDと状態とを含むものである。なお、かかる状態記録は前述のラディウスサーバ2におけるログにおける記録と同様にしてなされ、記録内容も同様のものである。
【0031】
なお、FW接続ログ33AとFW切断ログ33BをFWログと総称する。
【0032】
明細情報提供システム4は認証部41と通信記録部42を備え、ファイアウォール3の認証部31での認証が成功した場合は認証部41がユーザ端末200に対して認証を行い、それに関する情報を通信記録部42が通信記録43(以下、WWW通信記録43ともいう)に記録するようになっている。通信記録部42は、認証部41がユーザ端末200からのファイルの利用要求に対して認証を行うとWWW通信記録43にWWW接続ログ43Aを記録する。従って、WWW通信記録43はWWW接続ログ43Aが接続時刻の順に並んだ状態になっている。そしてWWW接続ログ43Aは、接続時刻と接続元のIPアドレスとユーザIDと状態とを含んでいる。なお、かかる状態記録は前述のラディウスサーバ2等のログにおける記録と同様にしてなされ、記録内容も同様のものである。
【0033】
なお、ルータログとFWログとWWW接続ログを「ログ」と総称する。
【0034】
また、明細情報提供システム4は明細情報提供部44とサービス利用者用明細情報45を備え、認証部41での認証後に明細情報提供部44がユーザ端末200にサービス利用者用明細情報45を提供するようになっている。
【0035】
なお、図1においては、ユーザ端末200からサービス利用者明細情報45を利用するまでの認証の経路を破線で示している。
【0036】
さて不正侵入者検知システム1は、通信記録収集部11と通信記録整理部12と不正アクセス判定部13と結果編集部14を備えるコンピュータシステムである。これら各部は、コンピュータプログラムが該プログラムを記憶した固定磁気ディスク装置等の記憶装置から不正侵入者検知システム1に読み込まれて該システムの演算処理装置で実行されることにより実現されるものである。
【0037】
通信記録収集部11は通信記録を収集する、つまりラディウスサーバ2からルータ通信記録23を、ファイアウォール3からFW通信記録33を、明細情報提供システム4からWWW通信記録43をそれぞれ取得する処理部である。つまり通信記録収集部11は通信記録取得手段として通信記録取得段階で、サーバへの、ユーザ認証を伴う接続および切断により記録された接続元のアドレスとユーザ識別情報と接続時刻または切断時刻とを含むログを集めた通信記録と、当該サーバへの接続中に接続されるサーバへの、ユーザ認証を伴う接続により記録された接続元のアドレスとユーザ識別情報と接続時刻とを含むログを集めた通信記録とを通信回線を介して取得する。
【0038】
通信記録整理部12は、通信記録収集部11が収集した各通信記録23,33,43を整理する処理部である。
【0039】
不正アクセス判定部13は、通信記録整理部12により整理された後の各通信記録から、明細情報提供システム4への不正アクセスの際に記録されたログと関連するログとを選択する処理部である。
【0040】
具体的には、不正アクセス判定部13は、ログ検索手段としてログ検索段階で、通信記録収集部11により通信記録取得段階で取得された、先に接続されるサーバの通信記録の中の接続時刻を含むログの当該接続時刻と、当該通信記録の中の当該ログのアドレスおよびユーザ識別情報ならびに当該ログの接続時刻に最も近い切断時刻を含むログの当該切断時刻と、の間の接続時刻と当該アドレスとを含むログを、通信記録収集部11より通信記録取得段階で取得された、後に接続されるサーバの通信記録の中から検索するようになっている。また、不正アクセス判定部13は、不正アクセス検出手段として不正アクセス検出段階で、先に接続されるサーバの通信記録の中の、接続時刻を含む前記ログのユーザ識別情報と、後に接続されるサーバの通信記録の中から前記検索されたログのユーザ識別情報とを比較するようになっている。さらに不正アクセス判定部13は、比較対象のユーザ識別情報同士が異なる場合は、不正アクセスがあったことを示す記録として当該ユーザ識別情報同士が異なるログをファイルに記録するようになっている。
【0041】
結果編集部14は、不正アクセスの判定結果等を整理する処理部である。また、判定結果等を記録するファイルとしては、不正アクセスユーザ一覧ファイル15a、ルータ切断ユーザ一覧ファイル15b、FW切断ユーザ一覧ファイル15c、エラーファイル15d、切れ目ファイル15eが利用される。
【0042】
次に、不正侵入者検知システム1の動作を説明する。なお、説明の便宜上、図2の説明欄で示す2002年2月2日における処理内容により、ルータ通信記録23、FW通信記録33およびWWW通信記録43は、同図2に示すように、当該日の処理内容を反映したものになったこととする。また、ユーザID「XXX」(Xはアルファベット1文字)のユーザを「Xユーザ」と記す。例えば、ユーザID「AAA」のユーザは「ユーザA」と記す。
【0043】
先ず、通信記録収集部11が定時刻にまたは手動で起動されると、通信記録を収集する。つまりラディウスサーバ2からルータ通信記録23を、ファイアウォール3からFW通信記録33を、明細情報提供システム4からWWW通信記録43をそれぞれ取得する。
【0044】
なお、ルータ通信記録23とFW通信記録33についてはftp機能を用いてファイルとして取得する。一方、WWW通信記録43については、リードコマンドを用いて取得後ファイル化する。
【0045】
図3に示すように、ルータ通信記録23、FW通信記録33およびWWW通信記録43の各接続ログと切断ログには記録された日付が付されているので、起動する際に過去の日を指定された場合は、この日付が指定日のものだけを抽出することができる。
【0046】
ラディウスサーバ2とファイアウォール3はそれぞれ、毎日の最後にこれら日付が当日のものだけをファイル化し当該日付をそのファイル名に含ませて、それぞれルータ通信記録23、FW通信記録33として保存しているので、通信記録収集部11は、指定日をファイル名に含むファイルをラディウスサーバ2とファイアウォール3とからftp機能で取得する。
【0047】
一方、WWW通信記録43については、リードコマンドを用いて取得後ファイル化したものから指定日のものだけを抽出する。
【0048】
図4は、通信記録収集部11による上記処理実行後の通信記録23,33,43を例示する図である。このように通信記録23,33,43は、2002年2月2日が指定されて、図2の処理内容のみを反映したものになったことにする。
【0049】
次に、通信記録整理部12は、通信記録23,33,43の中の異常なログ(例えばログフォーマットに従っていないもの等)をエラーファイル15dに移す。また、日付指定がされなかった場合は予め設定された日数の経過したログをエラーファイル15dに出力する。
【0050】
次に、通信記録整理部12は、各通信記録23,33,43を、第1のソートキーをIPアドレス、第2のソートキーを接続時刻または切断時刻としてソートする。
【0051】
図5は、通信記録整理部12による上記処理実行後の通信記録23,33,43を示す図である。この図に示すように、この時点でのルータ通信記録23では、図4のルータ通信記録23では存在していた、状態を判断不能と記録された18:00のログは既にエラーファイル15dに移されている。
【0052】
次に、不正アクセス判定部13は、図5に示す通信記録23,33,43について、チェック・マッチング処理を行う。
【0053】
先ず、ルータ通信記録23から状態がOK以外のログを抽出してルータ切断ユーザ一覧ファイル15bに出力する。また、FW通信記録33から状態がOK以外のログを抽出してFW切断ユーザ一覧ファイル15cに出力する。ルータ通信記録23、FW通信記録33において、接続ログと切断ログがそろってない場合は、余っているログを切れ目ファイル15eに出力する。
【0054】
従って、図5のルータ通信記録23の、状態を接続NGとされた17:00のルータ接続ログ23Aは、FW切断ユーザ一覧ファイル15cに出力される。
【0055】
次に、3点間同一IPの有無チェックを行う。具体的には、各通信記録23,33,43における最初の各ログ(単にルータログ、FWログ及びWWW接続ログという)以下の処理51を行い、続けて処理52を行う。
【0056】
【数1】
処理51:
ルータログのIPアドレス<FWログのIPアドレスの場合
→ルータログに対応するFWログが無いことになるので当該ルータログを切れ目ファイル15eに出力する。
ルータログのIPアドレス>FWログのIPアドレスの場合
→FWログに対応するルータログが無いことになるので当該FWログを切れ目ファイル15eに出力する。
ルータログのIPアドレス=FWログのIPアドレスの場合
→当該ルータログとFWログの双方を各通信記録23,33に残す。
処理52:
ルータログのIPアドレス=FWログのIPアドレス=WWW接続ログのIPアドレスの場合
→当該ルータログ、FWログ及びWWWログを各通信記録23,33,43に残す。
ルータログのIPアドレス=FWログのIPアドレス<WWW接続ログのIPアドレスの場合
→当該ルータログ及びFWログに対応するWWWログが無いことになるので当該ルータログ及びFWログを切れ目ファイル15eに出力する。
ルータログのIPアドレス=FWログのIPアドレス>WWW接続ログのIPアドレスの場合
→当該WWWログに対するルータログ及びFWログが無いことになるので当該WWWログを切れ目ファイル15eに出力する。
【0057】
図6は、不正アクセス判定部13による上記処理実行後の通信記録23,33,43を示す図である。この図に示すように、この時点でのルータ通信記録23では、図5のルータ通信記録23では存在していた、状態を接続NGと記録された17:00のログは既に切れ目ファイル15eに移されている。同様に、図5のルータ通信記録23では存在していた16:00と16:03の各ルータログは、切れ目ファイル15eに移されている。また、図5のFW通信記録33では存在していた16:02と16:03の各FWログは、切れ目ファイル15eに移されている。
【0058】
次に、不正アクセス判定部13は、図6に示す各通信記録23,33,43について範囲時間チェックを行う。
【0059】
つまり、同一のIPアドレスのログについて以下のチェックを行う。
【0060】
ルータ接続ログ23Aの接続時刻≦FW接続ログ33Aの接続時刻、かつ、ルータ切断ログ23Bの切断時刻≧FW切断ログ33Bの切断時刻、かつ、FW接続ログ33Aの接続時刻≦WWW接続ログ43Aの接続時刻、かつ、FW切断ログ33Bの切断時刻≧WWW接続ログ43Aの接続時刻である場合は、範囲時間チェックOKとして、当該各ログを通信記録23,33,43に残し、そうでないものは切れ目ファイル15eに出力する。
【0061】
図7は、不正アクセス判定部13による範囲時間チェック実行後の通信記録23,33,43を示す図である。この図に示すように、この時点でのルータ通信記録23では、図6のルータ通信記録23では存在していた19:00と20:00のルータログは既に切れ目ファイル15eに移されている。同様に、図6のFW通信記録33では存在していた19:02と20:00のFWログは既に切れ目ファイル15eに移されている。また、図6のWWW通信記録43では存在していた18:55のWWW接続ログ43Aは既に切れ目ファイル15eに移されている。
【0062】
次に、不正アクセス判定部13は、図7に示す各通信記録23,33,43について不正判断を行う。
【0063】
つまり、同一のIPアドレスのログについてユーザIDの異なるものを抽出し不正アクセスユーザ一覧ファイル15aに出力する。なお、同一のIPアドレスは1:1:1で対応するとは限らないためユーザIDマッチング方法による処理を行う。
【0064】
図8は、ユーザIDマッチング方法を示す図である。ここでは、説明の便宜上、▲1▼で示すFW接続ログの接続時刻と▲1▼で示すFW切断ログの切断時刻と、▲2▼で示すFW接続ログの接続時刻と▲2▼で示すFW切断ログの切断時刻とは、▲1▼で示すルータ接続ログの接続時刻と、▲1▼で示すルータ切断ログの切断時刻と間の範囲内にあるものとする。
【0065】
また、▲1▼、▲2▼、▲3▼、▲4▼で示すWWWログの接続時刻は、▲1▼で示すFW接続ログの接続時刻と、▲1▼で示すFW切断ログの切断時刻と間の範囲内にあるものとする。また、▲5▼、▲6▼、▲7▼で示すWWWログの接続時刻は、▲2▼で示すFW接続ログの接続時刻と、▲2▼で示すFW切断ログの切断時刻と間の範囲内にあるものとする。
【0066】
【数2】
(1)ルータログ▲1▼のユーザIDとFWログ▲1▼のユーザIDをチェックする。
→不一致の場合は、FWで不一致であることを記憶する。
(2)FWログ▲1▼のユーザIDと、WWWログ▲1▼のユーザIDをチェックする。
→不一致の場合は、WWWで不一致であることを記憶する。
(3)FWログ▲1▼のユーザIDと、WWWログ▲2▼のユーザIDをチェックする。
→不一致の場合は、WWWで不一致であることを記憶する。
(4)同様の処理をWWWログ▲3▼からWWWログ▲4▼まで行う。
(5)ルータ接続ログ▲1▼のユーザIDとFWログ▲2▼のユーザIDをチェックする。
→不一致の場合は、FWで不一致であることを記憶する。
(6)FWログ▲2▼のユーザIDとWWWログ▲5▼のユーザIDをチェックする。
→不一致の場合はWWWで不一致であることを記憶する。
(7)同様の処理をWWWログ▲6▼と▲7▼で行う。
(8)記憶した不一致情報をもとに、不正アクセスユーザ一覧ファイル15aへ不一致が発生しているルータ接続ログ▲1▼、FW接続ログ▲1▼、WWWログ▲1▼を記述する。
【0067】
次に、結果編集部14は、不正アクセスユーザ一覧ファイル15a、ルータ切断ユーザ一覧ファイル15b、FW切断ユーザ一覧ファイル15cのデータにヘッダ(タイトル)を付与し、改行等の編集を行うことで見やすい形にする。
【0068】
図9は、結果編集部14による処理後の不正アクセスユーザ一覧ファイル15aとルータ切断ユーザ一覧ファイル15bとFW切断ユーザ一覧ファイル15cの状態を示す図である。
【0069】
不正アクセスユーザ一覧ファイル15aには、ユーザIDを不正なユーザIDに変更して行った不正アクセスのログのユーザIDを含む結果と、正規のユーザIDでアクセスした正規アクセスのログのユーザIDを含む結果とが対応づけられているので、不正アクセスのユーザを一覧することができる。
【0070】
具体的に不正アクセスユーザ一覧ファイル15aには、図9に示すように、ユーザIDを「BBB」から「GGG」に変更してなされた不正アクセスと、ユーザIDを「CCC」から「FFF」に変更してなされた不正アクセスのログが記録されている。なお、不正アクセスユーザ一覧ファイル15aに記憶されたログを表示装置に表示させたり、印刷装置に印刷させたりするプログラムを不正侵入者検知システム1に設定しておき、このプログラムを起動して当該処理を実際に行うようにしてもよい。
【0071】
なお、ルータ切断ユーザ一覧ファイル15bは、パスワード誤り等でルータ認証が成功しなかった(NG)ときの情報が記録されることになる。また、FW切断ユーザ一覧ファイル15cには、パスワード誤り等でFW認証が成功しなかった(NG)ときの情報が記録されることになる。
【0072】
なお、上記説明した処理を不正侵入者検知システム1に実行させるコンピュータプログラムは、半導体メモリ、磁気ディスク、光ディスク、光磁気ディスク、磁気テープなどのコンピュータ読み取り可能な記録媒体に記録してからその記録媒体を運送したり、あるいはインターネット等のサーバに格納してから通信網を介して伝送するなどして広く流通させることができる。また、本発明にあってアドレスは、上記したようなIPアドレスだけでなく、他の種類のアドレスであってもよい。
【0073】
【発明の効果】
以上説明したように、本発明によれば、サーバへの、ユーザ認証を伴う接続および切断により記録された接続元のアドレスとユーザ識別情報と接続時刻または切断時刻とを含むログを集めた通信記録と、当該サーバへの接続中に接続されるサーバへの、ユーザ認証を伴う接続により記録された接続元のアドレスとユーザ識別情報と接続時刻とを含むログを集めた通信記録とを通信回線を介して取得し、先に接続されるサーバの通信記録の中の接続時刻を含むログの当該接続時刻と、当該通信記録の中の当該ログのアドレスおよびユーザ識別情報ならびに当該ログの接続時刻に最も近い切断時刻を含むログの当該切断時刻と、の間の接続時刻と当該アドレスとを含むログを、後に接続されるサーバの通信記録の中から検索し、先に接続されるサーバの通信記録の中の、接続時刻を含む前記ログのユーザ識別情報と、後に接続されるサーバの通信記録の中から前記検索されたログのユーザ識別情報とを比較するので、複数回の認証が行われるコンピュータシステムに対する不正アクセスを検出できる。
【図面の簡単な説明】
【図1】本発明を適用した不正侵入者検知システム1の構成と利用形態を示す図である。
【図2】当初のルータ通信記録23、FW通信記録33およびWWW通信記録43を示す図である。
【図3】当初のルータ通信記録23、FW通信記録33およびWWW通信記録43に日付が付されていることを示す図である。
【図4】通信記録収集部11による処理実行後の通信記録23,33,43を例示する図である。
【図5】通信記録整理部12による処理実行後の通信記録23,33,43を示す図である。
【図6】不正アクセス判定部13による処理51及び52実行後の通信記録23,33,43を示す図である。
【図7】不正アクセス判定部13による範囲時間チェック実行後の通信記録23,33,43を示す図である。
【図8】ユーザIDマッチング方法を示す図である。
【図9】結果編集部14による処理後の不正アクセスユーザ一覧ファイル15aとルータ切断ユーザ一覧ファイル15bとFW切断ユーザ一覧ファイル15cの状態を示す図である。
【図10】目的別に複数回の認証が行われるコンピュータシステムの動作を示す図である。
【符号の説明】
1 不正侵入者検知システム
2 ラディウスサーバ
3 ファイアウォールサーバ
4 明細情報提供システム
10 WWWサーバ
11 通信記録収集部
12 通信記録整理部
13 不正アクセス判定部
21,31,41 認証部
22,32,42 通信記録部
23,33,43 通信記録
100 明細情報提供センタ
200 ユーザ端末[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to an unauthorized access detection device, an unauthorized access detection method, a computer program for executing the method, and a recording medium on which the computer program is recorded, which can detect unauthorized access to a computer system in which authentication is performed a plurality of times.
[0002]
[Prior art]
2. Description of the Related Art Conventionally, a computer system that handles personal important information and confidential information has been required to have high security. Therefore, the same user may be subjected to, for example, a plurality of authentication processes for each purpose.
[0003]
FIG. 10 is a diagram illustrating an operation of a computer system in which authentication is performed a plurality of times for each purpose. The computer system performs a first authentication (dial-up authentication) for specifying an accessing user, and if this is successful, performs a second authentication for restricting a function to be used, and if this is successful, specifies personal data. The third authentication is performed, and if this is successful, the personal information of the user and the confidential information of the user are used.
[0004]
Specifically, the system is set to use the user A as a user, dialed up from a line used by the user A, and recognized by the system as the calling number 1111111, and changed to the user ID “AAA” of the user A. When the password “aaa” is input, the first authentication is successful. After that, the second authentication is successful by inputting the user A's user ID and the like. Thereafter, the third authentication is made successful by inputting the user ID of the user A or the like.
[0005]
In the system, the same settings are made for the other user B and the like, and the system operates such that the user who has succeeded in the three-step authentication uses the personal information of the user.
[0006]
Also, a technique is known in which an authentication device (for example, a firewall) for externally accessing a network notifies a user who has been subjected to the authentication at the time of authentication that access has been made. For example, when A tries to enter the network using B's user ID and password, B uses registered means (e-mail, telephone, etc.) to register a registered notification destination address (e-mail address, telephone Number, etc.) that the network has been accessed. This allows B to detect that A has impersonated himself (see Patent Document 1).
[0007]
[Patent Document 1]
JP-A-2002-91917
[0008]
[Problems to be solved by the invention]
However, in a conventional computer system in which authentication is performed a plurality of times, since the correlation between individual authentications is not checked, spoofing (theft of another user's user ID or password, pretending to be that person, and impersonating the network) Activity) cannot be detected.
[0009]
That is, as shown in FIG. 10, since the system is set to use the user B as a user, the system is dialed up from the line recognized as the calling number 2222222 of the user B, and the user ID of the user B “BBB” And the password “bbb” are input, the first authentication is successful. After that, the second authentication is successfully performed by inputting the user ID of the user B, but the third authentication succeeds even if the user ID of the user A is input. A's personal information can be used.
[0010]
The present invention has been made in view of the above-described conventional problems, and has as its object to provide an unauthorized access detection device and an unauthorized access detection method capable of detecting unauthorized access to a computer system in which authentication is performed a plurality of times. And a computer program for executing the method, and a recording medium on which the computer program is recorded.
[0011]
[Means for Solving the Problems]
In order to solve the above-mentioned conventional problem, the present invention according to claim 1 includes a connection source address, user identification information, and connection time or disconnection time recorded by connection and disconnection with user authentication to a server. A communication record that collects logs and a communication that collects logs including a connection source address, user identification information, and connection time recorded by a connection with user authentication to a server connected during connection to the server. Communication record acquisition means for acquiring the record via a communication line, and the connection time of the log including the connection time in the communication record of the server connected earlier, which is acquired by the communication record acquisition means, The connection time and the address between the log address and the user identification information in the communication record and the log disconnection time including the disconnection time closest to the log connection time are included. Log search means for searching a log from a communication record of a server connected later, which is obtained by the communication record obtaining means, and a log including a connection time in a communication record of the server connected earlier. The unauthorized access detection device includes an unauthorized access detection device that compares the user identification information of the log with the user identification information of the log retrieved from the communication record of the server connected later.
[0012]
According to the first aspect of the present invention, a communication record that collects logs including a connection source address, user identification information, and connection time or disconnection time recorded by connection and disconnection with user authentication to a server; Via a communication line, a communication record that collects logs including a connection source address, a user identification information, and a connection time recorded by a connection with user authentication to a server connected during connection to the server is connected. The connection time of the log obtained by the communication record obtaining means and including the connection time in the communication record of the server connected earlier, the address and user identification information of the log in the communication record, and the connection of the log The log search unit searches a log including the connection time between the log including the disconnection time closest to the time and the relevant connection time and the address from the communication record of the server connected later. Then, the user identification information of the log including the connection time in the communication record of the server connected earlier and the user identification information of the log searched from the communication record of the server connected later are illegally changed. Since the access detection means makes a comparison, an unauthorized access can be detected based on whether or not these pieces of user identification information are different from each other.
[0013]
Further, according to a second aspect of the present invention, when the user identification information to be compared is different from each other, the unauthorized access detecting means performs a process set in advance as a case where there is an unauthorized access. The unauthorized access detection device according to claim 1 is a solution.
[0014]
According to the present invention of claim 2, when the user identification information to be compared is different from each other, the unauthorized access detection means stores these logs in the storage device as a process preset as a case of unauthorized access. Processing such as storage, display on a display device, and printing on a printing device can be performed.
[0015]
Further, the present invention according to claim 3 is a communication record that collects a log including a connection source address, user identification information, connection time or disconnection time recorded by connection and disconnection with user authentication to the server, Via a communication line, a communication record that collects logs including a connection source address, a user identification information, and a connection time recorded by a connection with user authentication to a server connected during connection to the server is connected. The communication record obtaining step to obtain, the connection time of the log including the connection time in the communication record of the server connected earlier, which is obtained in the communication record obtaining step, and the connection time of the log in the communication record. The log including the connection time and the address between the log and the disconnection time of the log including the address and the user identification information and the disconnection time closest to the connection time of the log is obtained in the communication record obtaining step. A log search step of searching the acquired communication record of the server to be connected later, and the user identification information of the log including the connection time in the communication record of the server connected earlier, The unauthorized access detection method includes an unauthorized access detection step of comparing the log with the user identification information of the searched log from the communication record of the server.
[0016]
According to the third aspect of the present invention, a communication record that collects logs including a connection source address, user identification information, and connection time or disconnection time recorded by connection and disconnection with user authentication to the server; Via a communication line, a communication record that collects logs including a connection source address, a user identification information, and a connection time recorded by a connection with user authentication to a server connected during connection to the server is connected. The connection time of the log acquired in the communication record acquisition stage and including the connection time in the communication record of the server connected earlier, the address and user identification information of the log in the communication record, and the connection of the log In the log search stage, a log including the connection time between the log including the disconnection time closest to the time and the relevant address and the relevant address is found in the communication record of the server connected later. Then, the user identification information of the log including the connection time in the communication record of the server connected earlier and the user identification information of the log searched from the communication record of the server connected later are illegally changed. Since the comparison is performed at the access detection stage, unauthorized access can be detected based on whether or not these pieces of user identification information are different from each other.
[0017]
According to a fourth aspect of the present invention, when the user identification information to be compared in the unauthorized access detecting step is different from each other, a process set in advance as a case of unauthorized access is performed. The unauthorized access detection method described in item 1 is a solution.
[0018]
According to the fourth aspect of the present invention, when the user identification information to be compared in the unauthorized access detection stage is different, these logs are stored in the storage device as a process which is set in advance as a case where there is an unauthorized access. For example, it is possible to perform a process of causing the display device to display the image, displaying the image on a display device, or printing the image on a printing device.
[0019]
According to a fifth aspect of the present invention, there is provided a computer program that executes the unauthorized access detection method according to the third or fourth aspect.
[0020]
According to the fifth aspect of the present invention, since the computer program can detect unauthorized access to a computer system in which authentication is performed a plurality of times, the program can be distributed.
[0021]
According to a sixth aspect of the present invention, there is provided a recording medium storing a computer program for executing the unauthorized access detecting method according to the third or fourth aspect.
[0022]
According to the sixth aspect of the present invention, since the recording medium stores a computer program capable of detecting unauthorized access to a computer system in which authentication is performed a plurality of times, the medium can be distributed by delivery.
[0023]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[0024]
FIG. 1 is a diagram showing a configuration and a use form of an unauthorized intruder detection system 1 in which an unauthorized intruder detection device of the present invention is applied to an embodiment. The unauthorized intruder detection system 1 is a computer system configured in the WWW server 10 of the account information providing center 100. The specification information providing center 100 includes a radius server 2 and a firewall server (hereinafter, referred to as a firewall) 3. The WWW server 10 is provided with a detailed information providing system 4. The specification information providing center 100 is configured to be able to communicate with each user terminal 200 used by a user of the WWW server 10 via a public line network.
[0025]
The RADIUS server 2 includes an authentication unit 21 and a communication recording unit 22. The authentication unit 21 performs dial-up authentication on the user terminal 200, and information related thereto is communicated by the communication recording unit 22 to the communication record 23 (also referred to as a router communication record 23). ). That is, the communication recording unit 22 records the router connection log 23A in the router communication record 23 when the authentication unit 21 performs dial-up authentication in response to the connection request from the user terminal 200, and when the communication link is disconnected, the router records the router connection log 23A. A router disconnection log 23B is recorded in the communication record 23. Therefore, the router communication record 23 is in a state where the router connection log 23A and the router disconnection log 23B are arranged in the order of the connection time or the disconnection time.
[0026]
The router connection log 23A includes a time at which authentication was successful (hereinafter, referred to as a connection time, and the term is also applied to authentication at the firewall 3 and the detailed information providing system 4), an IP address of a connection source, and user identification information (hereinafter, referred to as “connection time”). , User ID), state, and calling number. The router disconnection log 23B includes a communication link disconnection time, a connection source IP address, a user ID, a state, and a calling number.
[0027]
In the router connection log 23A, the state is recorded as connection OK when the authentication is successful, recorded as connection NG when the authentication is not successful, and recorded as undeterminable when the determination is impossible. The status in the router disconnection log 23B is recorded as “OK” when the communication link is normally disconnected, and is recorded as “Undetermined” when the determination is impossible. Note that such status recording is similarly performed for logs in the firewall 3 and the detailed information providing system 4, which will be described later, and the recorded contents are also the same.
[0028]
Note that the router connection log 23A and the router disconnection log 23B are collectively referred to as a router log.
[0029]
The firewall 3 includes an authentication unit 31 and a communication recording unit 32. When the authentication by the authentication unit 21 of the RADIUS server 2 is successful, the authentication unit 31 authenticates the user terminal 200, and information related thereto is stored in the communication recording unit. 32 is recorded in a communication record 33 (hereinafter, also referred to as FW communication record 33). That is, the communication recording unit 32 records the FW connection log 33A in the FW communication record 33 when the authentication unit 31 authenticates the use request of the protocol from the user terminal 200. Communication is performed according to a preset protocol. When the communication link is disconnected, the FW disconnection log 33B is recorded in the FW communication record 33. Therefore, the FW communication record 33 is in a state where the FW connection log 33A and the FW disconnection log 33B are arranged in the order of the connection time or the disconnection time.
[0030]
The FW connection log 33A includes a connection time, a connection source IP address, a user ID, and a state. The FW disconnection log 33B includes a disconnection time, a connection source IP address, a user ID, and a status. Note that such status recording is performed in the same manner as the above-described recording in the log in the RADIUS server 2, and the recorded content is also the same.
[0031]
The FW connection log 33A and the FW disconnection log 33B are collectively referred to as FW logs.
[0032]
The specification information providing system 4 includes an authentication unit 41 and a communication recording unit 42. When the authentication by the authentication unit 31 of the firewall 3 is successful, the authentication unit 41 authenticates the user terminal 200 and transmits information related thereto. The recording unit 42 records in a communication record 43 (hereinafter, also referred to as a WWW communication record 43). The communication recording unit 42 records the WWW connection log 43A in the WWW communication record 43 when the authentication unit 41 authenticates a file use request from the user terminal 200. Therefore, the WWW communication record 43 is in a state where the WWW connection logs 43A are arranged in the order of the connection time. The WWW connection log 43A includes a connection time, a connection source IP address, a user ID, and a state. Note that such state recording is performed in the same manner as the recording in the log of the above-described radius server 2 and the like, and the recorded contents are also the same.
[0033]
Note that the router log, the FW log, and the WWW connection log are collectively referred to as “log”.
[0034]
Further, the detailed information providing system 4 includes a detailed information providing unit 44 and detailed information 45 for service users, and after the authentication by the authentication unit 41, the detailed information providing unit 44 provides the detailed information 45 for service users to the user terminal 200. It is supposed to.
[0035]
In FIG. 1, the authentication path from the user terminal 200 to the use of the service user statement information 45 is indicated by a broken line.
[0036]
The unauthorized intruder detection system 1 is a computer system including a communication record collecting unit 11, a communication record organizing unit 12, an unauthorized access determining unit 13, and a result editing unit 14. These units are realized by a computer program being read from a storage device such as a fixed magnetic disk device storing the program into the unauthorized intruder detection system 1 and executed by an arithmetic processing unit of the system.
[0037]
The communication record collection unit 11 is a processing unit that collects communication records, that is, acquires the router communication record 23 from the RADIUS server 2, the FW communication record 33 from the firewall 3, and the WWW communication record 43 from the detailed information providing system 4. . That is, the communication record collecting unit 11 includes, as a communication record acquisition unit, the address of the connection source, the user identification information, and the connection time or disconnection time recorded by the connection and disconnection with the user authentication to the server at the communication record acquisition stage. A communication record that collects logs and a communication that collects logs including a connection source address, user identification information, and connection time recorded by a connection with user authentication to a server connected during connection to the server. The record is obtained via a communication line.
[0038]
The communication record organizing unit 12 is a processing unit for organizing the communication records 23, 33, and 43 collected by the communication record collecting unit 11.
[0039]
The unauthorized access determining unit 13 is a processing unit that selects, from each communication record after being organized by the communication record organizing unit 12, a log recorded at the time of unauthorized access to the detailed information providing system 4 and a log related thereto. is there.
[0040]
More specifically, the unauthorized access determination unit 13 determines the connection time in the communication record of the server connected earlier, which was acquired in the communication record acquisition stage by the communication record collection unit 11 in the log search stage as the log search means. And the connection time between the connection time of the log including the log, the address and the user identification information of the log in the communication record, and the disconnection time of the log including the disconnection time closest to the connection time of the log. A log including the address is retrieved from the communication record of a server connected later, which is acquired from the communication record collection unit 11 in the communication record acquisition stage. In the unauthorized access detection step, the unauthorized access determination unit 13 performs, in the unauthorized access detection step, the user identification information of the log including the connection time in the communication record of the server connected first, and the server connected later. Is compared with the user identification information of the retrieved log from the communication record of the log. Further, when the user identification information to be compared is different from each other, the unauthorized access determination unit 13 records a log in which the user identification information is different from each other in a file as a record indicating that there has been an unauthorized access.
[0041]
The result editing unit 14 is a processing unit for organizing the determination result of the unauthorized access and the like. In addition, as files for recording the determination result and the like, an unauthorized access user list file 15a, a router disconnection user list file 15b, an FW disconnection user list file 15c, an error file 15d, and a break file 15e are used.
[0042]
Next, the operation of the unauthorized intruder detection system 1 will be described. For convenience of explanation, the router communication record 23, the FW communication record 33, and the WWW communication record 43 are stored on the corresponding date as shown in FIG. It is assumed that the content of the processing is reflected. Further, a user with a user ID “XXX” (X is one letter of the alphabet) is referred to as “X user”. For example, the user with the user ID “AAA” is described as “user A”.
[0043]
First, when the communication record collection unit 11 is started at a fixed time or manually, communication records are collected. That is, the router communication record 23 is obtained from the radius server 2, the FW communication record 33 is obtained from the firewall 3, and the WWW communication record 43 is obtained from the detailed information providing system 4.
[0044]
The router communication record 23 and the FW communication record 33 are acquired as files using the ftp function. On the other hand, the WWW communication record 43 is converted into a file after acquisition using a read command.
[0045]
As shown in FIG. 3, since each connection log and disconnection log of the router communication record 23, the FW communication record 33, and the WWW communication record 43 have the date recorded, the past date is designated when the computer is started up. In this case, it is possible to extract only the date on which the date is specified.
[0046]
At the end of each day, the RADIUS server 2 and the firewall 3 file only the date of the current date, store the date in the file name, and save them as the router communication record 23 and the FW communication record 33, respectively. The communication record collection unit 11 obtains a file including the specified date in the file name from the radius server 2 and the firewall 3 using the ftp function.
[0047]
On the other hand, as for the WWW communication record 43, only the data on the specified date is extracted from the file obtained after acquisition using the read command.
[0048]
FIG. 4 is a diagram exemplifying the communication records 23, 33, 43 after the execution of the above-described processing by the communication record collection unit 11. As described above, it is assumed that the communication records 23, 33, and 43 have been designated as of February 2, 2002, and reflect only the processing contents of FIG.
[0049]
Next, the communication record organizing unit 12 transfers abnormal logs (for example, logs that do not follow the log format) in the communication records 23, 33, and 43 to the error file 15d. If the date is not specified, a log in which a predetermined number of days have elapsed is output to the error file 15d.
[0050]
Next, the communication record organizing unit 12 sorts the communication records 23, 33, and 43 using the first sort key as an IP address and the second sort key as a connection time or a disconnection time.
[0051]
FIG. 5 is a diagram showing the communication records 23, 33, and 43 after the above-described processing has been performed by the communication record organizing unit 12. As shown in this figure, in the router communication record 23 at this time, the log at 18:00, which was recorded in the router communication record 23 of FIG. 4 and whose status was determined to be undeterminable, has already been moved to the error file 15d. Have been.
[0052]
Next, the unauthorized access determination unit 13 performs a check / matching process on the communication records 23, 33, and 43 shown in FIG.
[0053]
First, a log whose status is not OK is extracted from the router communication record 23 and output to the router disconnected user list file 15b. Further, a log whose status is other than OK is extracted from the FW communication record 33 and output to the FW disconnected user list file 15c. If the connection log and the disconnection log are not aligned in the router communication record 23 and the FW communication record 33, the surplus log is output to the break file 15e.
[0054]
Therefore, the router connection log 23A at 17:00 in which the status is set to connection NG in the router communication record 23 of FIG. 5 is output to the FW disconnected user list file 15c.
[0055]
Next, the presence / absence check of the same IP between three points is performed. Specifically, the processing 51 following the first log (simply referred to as a router log, FW log, and WWW connection log) in each of the communication records 23, 33, and 43 is performed, and the processing 52 is subsequently performed.
[0056]
(Equation 1)
Process 51:
When router log IP address <FW log IP address
→ Since there is no FW log corresponding to the router log, the router log is output to the break file 15e.
When router log IP address> FW log IP address
→ Since there is no router log corresponding to the FW log, the FW log is output to the break file 15e.
When router log IP address = FW log IP address
→ Both the router log and the FW log are recorded in the communication records 23 and 33.
Process 52:
When router log IP address = FW log IP address = WWW connection log IP address
→ The router log, the FW log, and the WWW log are left in each of the communication records 23, 33, and 43.
When router log IP address = FW log IP address <WWW connection log IP address
→ Since there is no WWW log corresponding to the router log and the FW log, the router log and the FW log are output to the break file 15e.
When router log IP address = FW log IP address> WWW connection log IP address
→ Since there is no router log and FW log for the WWW log, the WWW log is output to the break file 15e.
[0057]
FIG. 6 is a diagram showing the communication records 23, 33, and 43 after the execution of the above-described processing by the unauthorized access determination unit 13. As shown in this figure, in the router communication record 23 at this time, the log at 17:00, which was present in the router communication record 23 of FIG. 5 and whose status was recorded as connection NG, has already been moved to the break file 15e. Have been. Similarly, the router logs at 16:00 and 16:03 that existed in the router communication record 23 of FIG. 5 have been moved to the break file 15e. The FW logs of 16:02 and 16:03 that existed in the FW communication record 33 of FIG. 5 have been moved to the break file 15e.
[0058]
Next, the unauthorized access determination unit 13 performs a range time check on each of the communication records 23, 33, and 43 shown in FIG.
[0059]
That is, the following check is performed for logs having the same IP address.
[0060]
Connection time of router connection log 23A ≦ connection time of FW connection log 33A, and disconnection time of router disconnection log 23B ≧ disconnection time of FW disconnection log 33B, and connection time of FW connection log 33A ≦ connection of WWW connection log 43A. When the time and the disconnection time of the FW disconnection log 33B ≧ the connection time of the WWW connection log 43A, the range time check is OK, and the logs are left in the communication records 23, 33, and 43. 15e.
[0061]
FIG. 7 is a diagram illustrating the communication records 23, 33, and 43 after the execution of the range time check by the unauthorized access determination unit 13. As shown in this figure, in the router communication record 23 at this time, the router logs at 19:00 and 20:00 that existed in the router communication record 23 in FIG. 6 have already been moved to the break file 15e. Similarly, the FW logs of 19:02 and 20:00 that existed in the FW communication record 33 of FIG. 6 have already been moved to the break file 15e. Also, the WWW connection log 43A of 18:55, which existed in the WWW communication record 43 of FIG. 6, has already been moved to the break file 15e.
[0062]
Next, the unauthorized access determination unit 13 performs unauthorized determination on each of the communication records 23, 33, and 43 shown in FIG.
[0063]
That is, logs with different user IDs are extracted from the logs of the same IP address and output to the unauthorized access user list file 15a. It should be noted that the same IP address does not always correspond in a 1: 1: 1 manner, so processing is performed by a user ID matching method.
[0064]
FIG. 8 is a diagram illustrating a user ID matching method. Here, for convenience of explanation, the connection time of the FW connection log indicated by (1), the disconnection time of the FW disconnection log indicated by (1), the connection time of the FW connection log indicated by (2), and the FW indicated by (2) The disconnection time of the disconnection log is within the range between the connection time of the router connection log indicated by (1) and the disconnection time of the router disconnection log indicated by (1).
[0065]
The connection time of the WWW log indicated by (1), (2), (3) and (4) is the connection time of the FW connection log indicated by (1) and the disconnection time of the FW cut log indicated by (1). And within the range. The connection time of the WWW log indicated by (5), (6) and (7) is a range between the connection time of the FW connection log indicated by (2) and the disconnection time of the FW cut log indicated by (2). It is assumed that
[0066]
(Equation 2)
(1) Check the user ID of the router log (1) and the user ID of the FW log (1).
→ If there is a mismatch, the fact that there is a mismatch is stored in the FW.
(2) Check the user ID of the FW log (1) and the user ID of the WWW log (1).
→ If they do not match, the fact that they do not match is stored in WWW.
(3) Check the user ID of the FW log (1) and the user ID of the WWW log (2).
→ If they do not match, the fact that they do not match is stored in WWW.
(4) The same processing is performed from WWW log (3) to WWW log (4).
(5) Check the user ID of the router connection log (1) and the user ID of the FW log (2).
→ If there is a mismatch, the fact that there is a mismatch is stored in the FW.
(6) Check the user ID of the FW log (2) and the user ID of the WWW log (5).
→ If they do not match, the fact that they do not match is stored in WWW.
(7) The same processing is performed for the WWW logs (6) and (7).
(8) Based on the stored mismatch information, the router connection log (1), the FW connection log (1), and the WWW log (1) in which a mismatch has occurred are described in the unauthorized access user list file 15a.
[0067]
Next, the result editing unit 14 attaches a header (title) to the data of the unauthorized access user list file 15a, the router disconnection user list file 15b, and the FW disconnection user list file 15c, and edits the line feed and the like so that the data can be easily viewed. To
[0068]
FIG. 9 is a diagram showing the states of the unauthorized access user list file 15a, the router disconnected user list file 15b, and the FW disconnected user list file 15c after processing by the result editing unit 14.
[0069]
The unauthorized access user list file 15a includes a result including a user ID of an unauthorized access log obtained by changing the user ID to an unauthorized user ID, and a user ID of a regular access log accessed with a regular user ID. Since the results are associated with each other, it is possible to list unauthorized users.
[0070]
Specifically, as shown in FIG. 9, the unauthorized access user list file 15a includes an unauthorized access made by changing the user ID from “BBB” to “GGG” and a user ID changed from “CCC” to “FFF”. A log of unauthorized access made after the change is recorded. A program for displaying the log stored in the unauthorized access user list file 15a on the display device or printing the log on the printing device is set in the unauthorized intruder detection system 1, and the program is activated to execute the processing. May be actually performed.
[0071]
The router disconnection user list file 15b records information when the router authentication is not successful (NG) due to a password error or the like. In the FW disconnected user list file 15c, information when FW authentication is not successful (NG) due to a password error or the like is recorded.
[0072]
Note that the computer program that causes the unauthorized intruder detection system 1 to execute the above-described processing is recorded on a computer-readable recording medium such as a semiconductor memory, a magnetic disk, an optical disk, a magneto-optical disk, and a magnetic tape, and then recorded on the recording medium. Can be widely distributed by transporting or storing it in a server such as the Internet and then transmitting it via a communication network. Further, in the present invention, the address may be not only the IP address as described above but also another type of address.
[0073]
【The invention's effect】
As described above, according to the present invention, a communication record in which a log including a connection source address, user identification information, and connection time or disconnection time recorded by connection and disconnection with user authentication to a server is collected. And a communication record that collects logs including the connection source address, user identification information, and connection time recorded by the connection with user authentication to the server connected during the connection to the server. Via the server, the connection time of the log including the connection time in the communication record of the server connected earlier, and the address and user identification information of the log in the communication record and the connection time of the log. A log including the connection time between the disconnection time of the log including the close disconnection time and the relevant address is searched from the communication record of the server connected later, and the server connected earlier is searched. Since the user identification information of the log including the connection time in the communication record of the server is compared with the user identification information of the log retrieved from the communication record of the server to be connected later, a plurality of authentications are performed. Unauthorized access to the computer system in which is performed can be detected.
[Brief description of the drawings]
FIG. 1 is a diagram showing a configuration and a use form of an unauthorized intruder detection system 1 to which the present invention is applied.
FIG. 2 is a diagram showing an initial router communication record 23, FW communication record 33, and WWW communication record 43.
FIG. 3 is a diagram showing that the initial router communication record 23, FW communication record 33, and WWW communication record 43 are dated.
FIG. 4 is a diagram exemplifying communication records 23, 33, and 43 after execution of processing by a communication record collection unit 11;
FIG. 5 is a diagram showing communication records 23, 33, and 43 after execution of processing by the communication record organizing unit 12.
FIG. 6 is a diagram showing communication records 23, 33, and 43 after execution of processes 51 and 52 by the unauthorized access determination unit 13;
FIG. 7 is a diagram showing communication records 23, 33, and 43 after execution of a range time check by the unauthorized access determination unit 13;
FIG. 8 is a diagram showing a user ID matching method.
FIG. 9 is a diagram showing states of an unauthorized access user list file 15a, a router disconnected user list file 15b, and a FW disconnected user list file 15c after processing by the result editing unit 14.
FIG. 10 is a diagram illustrating an operation of a computer system in which authentication is performed a plurality of times for each purpose.
[Explanation of symbols]
1 Intruder detection system
2 Radius server
3 Firewall server
4 Detail information providing system
10 WWW server
11 Communication record collection unit
12 Communication Record Arrangement Department
13 Unauthorized access judgment unit
21, 31, 41 Authentication Department
22, 32, 42 Communication recording unit
23, 33, 43 Communication record
100 statement information providing center
200 user terminal

Claims (6)

サーバへの、ユーザ認証を伴う接続および切断により記録された接続元のアドレスとユーザ識別情報と接続時刻または切断時刻とを含むログを集めた通信記録と、当該サーバへの接続中に接続されるサーバへの、ユーザ認証を伴う接続により記録された接続元のアドレスとユーザ識別情報と接続時刻とを含むログを集めた通信記録とを通信回線を介して取得する通信記録取得手段と、
該通信記録取得手段により取得された、先に接続されるサーバの通信記録の中の接続時刻を含むログの当該接続時刻と、当該通信記録の中の当該ログのアドレスおよびユーザ識別情報ならびに当該ログの接続時刻に最も近い切断時刻を含むログの当該切断時刻と、の間の接続時刻と当該アドレスとを含むログを、前記通信記録取得手段により取得された、後に接続されるサーバの通信記録の中から検索するログ検索手段と、
先に接続されるサーバの通信記録の中の、接続時刻を含む前記ログのユーザ識別情報と、後に接続されるサーバの通信記録の中から前記検索されたログのユーザ識別情報とを比較する不正アクセス検出手段と
を備える不正アクセス検出装置。A communication record that collects logs including a connection source address, user identification information, and connection time or disconnection time recorded by connection and disconnection with user authentication to the server, and is connected during connection to the server. Communication record acquisition means for acquiring, via a communication line, a communication record in which a log including a connection source address, user identification information, and connection time recorded by a connection with user authentication to a server is obtained,
The connection time of the log including the connection time in the communication record of the server connected earlier, which is acquired by the communication record acquisition means, the address and user identification information of the log in the communication record, and the log The log including the connection time and the address between the disconnection time of the log including the disconnection time closest to the connection time of the log obtained by the communication record obtaining unit, and the communication record of the server to be connected later Log search means for searching from inside,
Unauthorized comparison between the user identification information of the log including the connection time in the communication record of the server connected earlier and the user identification information of the log searched from the communication record of the server connected later. An unauthorized access detection device comprising access detection means. 前記不正アクセス検出手段は、比較対象のユーザ識別情報同士が異なる場合は、不正アクセスがあった場合のものとして予め設定された処理を行うことを特徴とする請求項1記載の不正アクセス検出装置。2. The unauthorized access detection device according to claim 1, wherein when the user identification information to be compared is different, the unauthorized access detection unit performs a process set in advance as a case where there is an unauthorized access. サーバへの、ユーザ認証を伴う接続および切断により記録された接続元のアドレスとユーザ識別情報と接続時刻または切断時刻とを含むログを集めた通信記録と、当該サーバへの接続中に接続されるサーバへの、ユーザ認証を伴う接続により記録された接続元のアドレスとユーザ識別情報と接続時刻とを含むログを集めた通信記録とを通信回線を介して取得する通信記録取得段階と、
該通信記録取得段階で取得された、先に接続されるサーバの通信記録の中の接続時刻を含むログの当該接続時刻と、当該通信記録の中の当該ログのアドレスおよびユーザ識別情報ならびに当該ログの接続時刻に最も近い切断時刻を含むログの当該切断時刻と、の間の接続時刻と当該アドレスとを含むログを、前記通信記録取得段階で取得された、後に接続されるサーバの通信記録の中から検索するログ検索段階と、
先に接続されるサーバの通信記録の中の、接続時刻を含む前記ログのユーザ識別情報と、後に接続されるサーバの通信記録の中から前記検索されたログのユーザ識別情報とを比較する不正アクセス検出段階と
を備える不正アクセス検出方法。A communication record that collects logs including a connection source address, user identification information, and connection time or disconnection time recorded by connection and disconnection with user authentication to the server, and is connected during connection to the server. A communication record acquisition step of acquiring, via a communication line, a communication record that has collected logs including a connection source address, user identification information, and connection time recorded by a connection with user authentication to the server,
The connection time of the log including the connection time in the communication record of the previously connected server, the address and the user identification information of the log in the communication record, and the log acquired in the communication record acquisition stage. The disconnection time of the log including the disconnection time closest to the connection time, the log including the connection time between the connection time and the address, the log obtained in the communication record obtaining step, the communication record of the server to be connected later A log search stage to search from inside,
Unauthorized comparison between the user identification information of the log including the connection time in the communication record of the server connected earlier and the user identification information of the log searched from the communication record of the server connected later. An unauthorized access detection method comprising an access detection step. 前記不正アクセス検出段階の比較対象のユーザ識別情報同士が異なる場合は、不正アクセスがあった場合のものとして予め設定された処理を行うことを特徴とする請求項1記載の不正アクセス検出方法。2. The unauthorized access detection method according to claim 1, wherein when the user identification information to be compared in the unauthorized access detection step is different from each other, a process set in advance as an unauthorized access is performed. 請求項3または4記載の不正アクセス検出方法を実行させるコンピュータプログラム。A computer program for executing the unauthorized access detection method according to claim 3. 請求項3または4記載の不正アクセス検出方法を実行させるコンピュータプログラムを記録した記録媒体。A recording medium storing a computer program for executing the unauthorized access detection method according to claim 3.
JP2002283579A 2002-09-27 2002-09-27 Unauthorized access detection device, its method, computer program, and recording medium with computer program recorded thereon Pending JP2004118699A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002283579A JP2004118699A (en) 2002-09-27 2002-09-27 Unauthorized access detection device, its method, computer program, and recording medium with computer program recorded thereon

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002283579A JP2004118699A (en) 2002-09-27 2002-09-27 Unauthorized access detection device, its method, computer program, and recording medium with computer program recorded thereon

Publications (1)

Publication Number Publication Date
JP2004118699A true JP2004118699A (en) 2004-04-15

Family

ID=32277401

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002283579A Pending JP2004118699A (en) 2002-09-27 2002-09-27 Unauthorized access detection device, its method, computer program, and recording medium with computer program recorded thereon

Country Status (1)

Country Link
JP (1) JP2004118699A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010511210A (en) * 2006-10-25 2010-04-08 アークサイト,インク. Technology for tracking changing state data to help computer network security

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010511210A (en) * 2006-10-25 2010-04-08 アークサイト,インク. Technology for tracking changing state data to help computer network security

Similar Documents

Publication Publication Date Title
EP2684329B1 (en) System and method for real time data awareness and file tracking
CA2683600C (en) A system and method for creating a list of shared information on a peer-to-peer network
CN104378283B (en) A kind of sensitive mail filtering system and method based on customer end/server mode
JP4364901B2 (en) Attack database structure
US7814327B2 (en) Document registration
CN100399750C (en) System and method of facilitating the identification of a computer on a network
JP5144488B2 (en) Information processing system and program
WO2002086724A1 (en) System and method for analyzing logfiles
WO2003100619A1 (en) Unauthorized access detection apparatus, unauthorized access detection program, and unauthorized access detection method
JP2006302170A (en) Log management method and device
JP4903386B2 (en) Searchable information content for pre-selected data
CN101378396A (en) Phishing notification service
US20180316702A1 (en) Detecting and mitigating leaked cloud authorization keys
JPH11252158A (en) Electronic mail information management method and device and storage medium recording electronic mail information management processing program
CN106650359A (en) System and method for collecting object information and matching information
CN110619209A (en) Method and system for analyzing and judging web intrusion event
JP2004118699A (en) Unauthorized access detection device, its method, computer program, and recording medium with computer program recorded thereon
JP5069168B2 (en) Network operation monitoring system, manager device, and network operation monitoring method
KR101612893B1 (en) Privacy information scanning system and scanning method
JP4704393B2 (en) Screen playback system
JP2009163373A (en) Client terminal equipment, relay server, information processing system, control method for client terminal equipment, control method for relay server and program
JP4780744B2 (en) Web computing system
JP2002351702A (en) Method and device for preparing terminal operation statistical data utilizing online
US7716176B1 (en) Method and an apparatus to filter autosupport data
JPH10289143A (en) Information input and retrieval processing method for data base, and stored information sharing method

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060106

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060117

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20060606