JP2004206564A - 不正アクセス検証装置及び方法 - Google Patents

不正アクセス検証装置及び方法 Download PDF

Info

Publication number
JP2004206564A
JP2004206564A JP2002376940A JP2002376940A JP2004206564A JP 2004206564 A JP2004206564 A JP 2004206564A JP 2002376940 A JP2002376940 A JP 2002376940A JP 2002376940 A JP2002376940 A JP 2002376940A JP 2004206564 A JP2004206564 A JP 2004206564A
Authority
JP
Japan
Prior art keywords
packet
access
unauthorized access
response
date
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002376940A
Other languages
English (en)
Inventor
Koichi Takada
浩一 高田
Yoshito Niiyama
義人 新山
Hisatoshi Kobayashi
久敏 小林
Atsushi Suzuki
淳 鈴木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Information and Control Systems Inc
Original Assignee
Hitachi Information and Control Systems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Information and Control Systems Inc filed Critical Hitachi Information and Control Systems Inc
Priority to JP2002376940A priority Critical patent/JP2004206564A/ja
Publication of JP2004206564A publication Critical patent/JP2004206564A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】自ネットワークシステムに接続された保護対象サーバに対する不正アクセスの被害状況の検証を自動化する。
【解決手段】内部ネットワークに接続された保護対象サーバ13への不正アクセスを検出し、アクセス日時を含む不正アクセス通知を出力するIDS12と、前記不正アクセス通知を受信して格納するとともに、保護対象サーバ13へのアクセスに応じて出力される応答パケットを受信して受信日時とともに格納するパケット収集装置14と、を備えて不正アクセス検証装置を構成し、前記パケット収集装置14を、前記不正アクセス通知に含まれるアクセス日時に対応する日時に受信した応答パケットを前記格納した応答パケットの中から抽出し、抽出した応答パケットが予め設定したパターンになっているかどうかを調べて前記不正アクセスによる被害の有無を判定するよう構成する。
【選択図】 図1

Description

【0001】
【発明の属する技術分野】
本発明は、コンピュータに対する不正アクセスの被害の有無を検証する装置および方法に係り、特に、手作業で実施していた不正アクセスの被害の有無を自動的に行う装置および方法に関する。
【0002】
【従来の技術】
従来、不正アクセスに対する被害状況の検証は、攻撃対象となったサーバのシステムやサービスのアクセスログを参照することにより手作業で行われていた。
【0003】
これまで、自ネットワークシステムへの不正アクセスの脅威に対して、外部から内部への不正アクセスのファイアウォールによる防御、侵入検知システム(以下、IDSという)による不正アクセスの検知、セキュリティ検査機能による各種サーバにおけるセキュリティホールの発見および対策等のセキュリティ技術が一般的に用いられていた。
【0004】
特開2000−90031号公報には、ネットワークを流れるデータを収集し、収集したデータをアプリケーションレベルのデータに再構築することにより、意味のあるデータにすることができ、その意味のあるデータを利用することによって、データ中の不正の有無を判定する方法が開示されている。ネットワークを介して、アプリケーションプログラム間でデータの送受信を行う場合、送信アプリケーションプログラムが送信するデータは、プロトコルスタックにおいて、細分化されたパケットとしてネットワークに送信される。このパケットを収集し、そのパケット単体を参照しても不正の判断をおこなうことは困難であり、これらのパケットを収集し、アプリケーションが送受信するレベルのデータに再構築する(戻す)ことによって、データ中の不正の有無を判断しようとするものである。
【0005】
【特許文献1】
特開2000−90031号公報
【0006】
【発明が解決しようとする課題】
しかし、前記セキュリティ対策を実施しているにも関わらず、実際に不正アクセスが行われた場合には、ファイアウォールを潜り抜けた不正アクセスをIDSにて検知するものの、攻撃対象となったサーバが実際に被害を受けたのか、あるいは、セキュリティホールの対策により被害を受けずに済んだのかということを即座に判断することはできず、この事実を検証するためには、システム管理者による当該サーバのシステムやサービスのアクセスログの確認作業が必要であった。
【0007】
また、現在、この確認に用いられるアクセスログ自体も改ざんの危険にさらされている。攻撃者(不正アクセスの実行者)は、不正侵入の痕跡を消すためにアクセスログの改ざんを行う場合がある。よって、アクセスログから不正アクセスの被害状況を検証する際には、アクセスログ自体の信頼性をも証明する必要がある。
【0008】
さらに、アクセスログは、OS、搭載アプリケーションに応じてそれぞれ格納場所およびフォーマット形式が異なる。被害状況を確認するためには高度な知識と経験が必要となってくる。
【0009】
このように、不正アクセスに対する被害状況を検証することは、非常に困難でかつ時間を要する作業であった。しかも、システム管理者により手作業で実施しなければならないという問題を抱えていた。
【0010】
また、前記特許文献1記載の方法では、データ中の不正の有無が判断できても、不正アクセスによる被害の有無を判断することはできないという問題があった。
【0011】
本発明は、自ネットワークシステムに接続された保護対象サーバに対する不正アクセスの被害状況の検証を自動化することを目的とする。
【0012】
【課題を解決するための手段】
本発明では、不正アクセスが検出された攻撃パケットと攻撃対象サーバが返す応答パケットとの対応付けと、攻撃対象サーバのアクセスログと攻撃および応答パケットとの対応付けにより、自ネットワークシステムに接続された保護対象サーバに対する不正アクセスの被害状況の検証の自動化を実現する。
【0013】
通常、不正アクセスに対する検証・監査において用いられる保護対象サーバ上のアクセスログは、ファイル形式の情報であり、比較的容易にその内容を改ざんすることが可能である。一方、保護対象サーバが接続されたネットワークを流れるパケットについては、リアルタイムな情報であり、その内容を改ざんすることは不可能な情報である。この信頼のおけるパケット情報を不正アクセスに対する被害状況の検証に用いる。被害には、アクセスログの改ざんも含まれる。
【0014】
不正アクセスに対する被害状況の検証は、攻撃パケットと攻撃対象サーバが返す応答パケットの対応付けを行い、その応答パケットの詳細情報を元に被害状況の検証を行う。また、アクセスログの改ざん(削除/追加/変更)有無は、同一事象にて発生したパケットとアクセスログを抽出し、双方の存在有無チェックにより検証する。
【0015】
【発明の実施の形態】
本発明の実施の形態を、図1〜図20を用いて説明する。図1は、本発明の実施の形態である不正アクセス検証・監査装置を含むシステム全体構成図である。
【0016】
図示のシステムは、インターネットに接続された内部ネットワーク(自ネットワークともいう)と、この内部ネットワークに接続され監査対象となるアクセスログ16を出力する保護対象サーバ13と、この内部ネットワークに接続され、前記保護対象サーバ13に対する不正アクセスを監視する計算機であるIDS(不正アクセス検出手段)12と、同じくこの内部ネットワークに接続され、内部ネットワークを流れるパケットをその都度収集/保管するパケット収集手段であるパケット収集装置14と、保護対象サーバ13で出力されるアクセスログとパケット収集装置14で収集したパケットを一括取りこんで管理し、収集したアクセスログの監査を実施するログ監査手段であるログ監査装置15と、を含んで構成されている。パケット収集装置14は、収集したパケット17を保管するパケット関連データベース部を備え、ログ監査装置15は、パケット収集装置14で収集したパケット17を一括取りこんでパケット19として管理するパケット関連データベース部と、保護対象サーバ13で出力されるアクセスログ16を一括収集してアクセスログ18として管理するアクセスログ関連データベース部を備えている。
【0017】
前記内部ネットワークに接続された計算機(保護対象サーバ13)に対して不正アクセスを試みようとしている攻撃者の計算機(以下、攻撃者という)11は、インターネットに接続されている。保護対象サーバ13は、入力される要求信号(アクセス)に基いて処理を行い、処理結果を応答パケットとして前記内部ネットワークに出力する。
【0018】
図2を参照して、不正アクセスによる被害有無の検証方法について説明する。攻撃者11から保護対象サーバ13宛に不正にアクセスする信号(攻撃パケット21)が送信されたとする。攻撃パケット21は、内部ネットワークを流れ、保護対象サーバ13、IDS12およびパケット収集装置14において受信される。
【0019】
攻撃パケット21を受信した保護対象サーバ13は、受信した攻撃パケット21に応じた処理を行い、アクセスログ16に記録し、処理結果として応答パケット22を内部ネットワーク、インターネットを介して攻撃者11に送信する。
【0020】
保護対象サーバ13から攻撃者11宛に送信される応答パケット22は、パケット収集装置14においても受信され、応答パケット76として記録される。
【0021】
また、攻撃パケット21を受信したIDS12は、受信したパケットが攻撃パケットであることを検知し、不正アクセス通知23を送信する。
【0022】
IDS12から送信される不正アクセス通知23は、パケット収集装置14において受信され記録される。
【0023】
不正アクセスによる被害有無の検証は、パケット収集装置14において、次のように行われる。
【0024】
記録されている不正アクセス通知23に関連のある応答パケット22を、記録されている応答パケットから後述する手順で抽出する。抽出した応答パケット22の応答データと、パケット収集装置14に予め記録されている応答パターンとを比較し、不正アクセスによる被害の有無を決定する。ここでいう被害は、不正なアクセス(攻撃パケット)に対して、攻撃パケットの要求に対応した処理を行い、処理結果を応答パケットとして攻撃者11宛に送信したことをいう。
【0025】
図4は、パケット収集装置14において、不正アクセスによる被害の有無を検証する際の処理の流れを機能ブロック図として示したものである。パケット収集装置14は、不正アクセス通知記録部45と、IDS12が送信する不正アクセス通知23を受信し、前記不正アクセス通知記録部45に記録する不正アクセス通知記録機能42と、応答パケット記録部46と、保護対象サーバ13が攻撃者11宛に送信する応答パケット22を受信し、応答パケット記録部46に記録する応答パケット記録機能41と、攻撃パケット記録部49と、攻撃者11が保護対象サーバ13宛に送信する攻撃パケット21を受信し、攻撃パケット記録部49に記録する攻撃パケット記録機能48と、保護対象サーバ13が攻撃者11に対して送信する可能性のある応答データのパターンと、その応答データが返された時の被害の可能性の有無との対応を定義する応答パターンテーブル47と、不正アクセス通知記録部45に記録してある不正アクセス通知23を取得するとともに、取得した不正アクセス通知23に相当するアクセス(攻撃パケット)に対応する応答パケット22を応答パケット記録部46から抽出する不正応答パケット群抽出機能43と、不正応答パケット群抽出機能43にて取得した応答パケット22に相当する応答結果(不正アクセスによる被害の有無)を応答パターンテーブル47から抽出する応答結果識別機能44と、を含んで構成される。
【0026】
不正アクセス通知23は、IDS12が、攻撃パケット21を受信することにより、不正アクセスを検知した時にパケット収集装置14に送信される。
【0027】
不正応答パケット群抽出機能43は、不正アクセスによる被害の有無を検証する必要が生じた時、すなわちIDS12が不正アクセスを検知した時に動作する。不正応答パケット群抽出機能43は、サーバ管理者が不正アクセスによる被害の有無を検証する指示を入力したときにも動作を開始するように構成してある。
【0028】
不正応答パケット群抽出機能43は動作を開始すると、不正アクセス通知記録部45に記録してある不正アクセス通知23を取得する。次に、取得した不正アクセス通知23に相当する応答パケット22を応答パケット記録部46から抽出する。
【0029】
応答パターンテーブル47には、保護対象サーバ13が攻撃者11に対して送信する可能性のある応答データのパターンと、その応答データが返された時の被害の可能性の有無との対応が定義されている。応答データのパターンは、応答データを生成するアプリケーションソフト、つまり保護対象サーバ13に格納されているソフトで決まる。保護対象サーバ13に複数のアプリケーションソフトが格納されている場合、あるいは一つのアプリケーションソフトに複数の機能がある場合、攻撃パケットがどのアプリケーションソフトにアクセスするか、あるいはどの機能にアクセスするかは、攻撃パケットに含まれる宛先ポートで規定される。したがって、攻撃パケット21に対応する応答パケットのパターンが、攻撃パケット21に含まれる宛先ポートで規定されるアプリケーションソフトあるいは機能で生成される応答データのパターンに合致していれば、保護対象サーバ13は不正にアクセスした攻撃パケット21に正常に応答した、すなわち被害を受けたことになる。逆に、攻撃パケット21に対応する応答パケットのパターンがそのアプリケーションソフトあるいは機能で生成される応答データのパターンに合致していなければ、保護対象サーバ13は不正にアクセスした攻撃パケット21に正常に応答しておらず、被害はなかったと考えてよい。
【0030】
図6は、不正アクセス通知記録部45に記録される不正アクセス通知23の構造例を示す。IDS12から送信される不正アクセス通知23は、1つの不正アクセスについて、不正アクセス検知日時61、不正アクセス名称62、送信元アドレス63、宛先アドレス64、宛先ポート65および、その他の情報により構成される。不正アクセス名称62は、予め不正アクセスのパターンを決め、検出順に割り当てたパターンごとの一貫番号で、宛先ポート65は、アクセスするプログラムを識別するための番号である。
【0031】
図7は、応答パケット記録部46に記録される応答パケット76の構造例を示す。応答パケット76は、保護対象サーバ13から攻撃者11宛に送信される応答パケット22と、その応答パケット22を応答パケット記録機能41にて受信したパケット取得日時71とで構成される。保護対象サーバ13から攻撃者11宛に送信される応答パケット22は、宛先アドレス72、送信元アドレス73、送信元ポート74、応答データ75および、その他の情報ににより構成される。
【0032】
図8は、応答パターンテーブル47の構造例を示した図である。応答パターンテーブル47は、保護対象サーバ13から攻撃者11宛に送信される可能性のある応答パケット22内の応答データのパターンを定義する。1つの応答データパターン定義85について、サービス種別81、ポート番号82、応答データパターン83、応答結果84により構成される。ポート番号82は前記宛先ポート65に相当するもので、サービス種別81はポート番号で指定されるサービスである。
【0033】
図14は、不正アクセス通知記録機能42の処理の流れをフローチャートで示したものである。不正アクセス通知記録機能42は、最初に不正アクセス通知23の受信を試みる(ステップ141)。次に受信の結果を判定する(ステップ142)。不正アクセス通知23が受信されていなければ、ステップ141に戻り、再度、不正アクセス通知23の受信を試みる。不正アクセス通知23が受信されていれば、受信した不正アクセス通知23を不正アクセス通知記録部45に記録する(ステップ143)。記録が終了したら、再度、ステップ141に戻り、不正アクセス通知23の受信を試みる。ステップ141〜ステップ143の処理を繰り返し実行する。
【0034】
図15は、応答パケット記録機能41の処理の流れをフローチャートで示したものである。応答パケット記録機能41は、最初に応答パケット22の受信を試みる(ステップ151)。次に受信の結果を判定する(ステップ152)。応答パケット22が受信されていなければ、ステップ151に戻り、再度、応答パケット22の受信を試みる。応答パケット22が受信されていれば、受信した応答パケット22を応答パケット記録部46に記録する(ステップ153)。記録が終了したら、再度、ステップ151に戻り、応答パケット22の受信を試みる。ステップ151〜ステップ153の処理を繰り返し実行する。
【0035】
図16は、攻撃パケット記録機能48の処理の流れをフローチャートで示したものである。攻撃パケット記録機能48は、最初に攻撃パケット21の受信を試みる(ステップ161)。次に受信の結果を判定する(ステップ162)。攻撃パケット21が受信されていなければ、ステップ161に戻り、再度、攻撃パケット21の受信を試みる。攻撃パケット21が受信されていれば、受信した攻撃パケット21を攻撃パケット記録部49に記録する(ステップ163)。記録が終了したら、再度、ステップ161に戻り、攻撃パケット21の受信を試みる。ステップ161〜ステップ163の処理を繰り返し実行する。
【0036】
図17は、不正応答パケット群抽出機能43の処理の流れをフローチャートで示したものである。不正応答パケット群抽出機能43は、先に述べたように、IDS12が不正アクセスを検知したときに動作を開始し、最初に、不正アクセス通知記録部45から1つの不正アクセス通知23を取り出す(ステップ171)。取り出した不正アクセス通知23から、不正アクセス検知日時61、送信元アドレス63、宛先アドレス64、宛先ポート65を取り出す(ステップ172)。次に取り出した不正アクセス通知23に相当する応答パケット22を応答パケット記録部46から抽出するための抽出条件の設定を行う。応答パケット抽出条件の宛先アドレスに不正アクセス通知23から取り出した送信元アドレスを設定する(ステップ173)。応答パケット抽出条件の送信元アドレスに不正アクセス通知23から取り出した宛先アドレスを設定する(ステップ174)。応答パケット抽出条件のパケット取得日時に不正アクセス通知23から取り出した不正アクセス検知日時を設定する(ステップ175)。ステップ173〜ステップ175で設定した応答パケット抽出条件をもとに、応答パケット記録部46から不正応答パケットを抽出する。厳密には、不正アクセス検知日時とパケット取得日時は一致しないが、両者の差が予め設定した範囲内であれば、両者は対応するものであるとして対応付けて抽出する。
【0037】
図18は、応答結果識別機能44の処理の流れをフローチャートで示したものである。応答結果識別機能44は、最初に、不正応答パケット群抽出機能43で抽出した不正応答パケットから送信元ポートおよび応答データを取り出す(ステップ181)。次に不正応答パケットに相当する応答結果を応答パターンテーブル47から抽出するための抽出条件の設定を行う。応答結果抽出条件のポート番号に不正応答パケットから取り出した送信元ポートを設定する(ステップ182)。応答結果抽出条件の応答データパターンに不正応答パケットから取り出した応答データを設定する(ステップ183)。ステップ182〜183で設定した応答結果抽出条件をもとに、応答パターンテーブル47から応答結果(被害あり、もしくは被害なし)を抽出する。
【0038】
これで、不正アクセスによる被害の有無が自動的に検証される。
【0039】
次に、図3に示したログ監査装置15によるアクセスログの監査方法について説明する。まず、アクセスログの監査を行う際には、事前に、監査対象サーバすなわち保護対象サーバ13およびパケット収集装置14にて格納されているアクセスログ16およびパケット17を収集することが前提となる。ログ監査装置15では、保護対象サーバ13から事前に収集したアクセスログ18の中から監査を行いたいアクセスログをユーザが指定し、その要求に基づき、指定されたアクセスログの監査をログ監査装置15が自動的に実施する。
【0040】
ここで、ログ監査装置15で実施するアクセスログの監査方法について説明する。ログ監査装置15では、アクセスログが改ざんされているか否かを検証するために、パケットとの比較検証を行う。パケットは、実際の通信において、リアルタイムに流れている情報であり、ファイル形式の情報のように攻撃者が不正侵入の痕跡を削除することを目的に、その内容を改ざんするといったことが不可能な情報である。ログ監査装置15は、この性質を用いて、信頼のおけるパケットの内容とこれに合致するロギング情報(図9もしくは図10に示すアクセスログの1行分、つまり一つのアクセスのログ)の有無を検証する。
【0041】
すなわち、ログ監査装置15は、パケットが存在するにも関わらず、これに対応するロギング情報が存在しない、また、パケットが存在しないにも関わらずロギング情報が存在する、さらには、存在するパケットの内容と異なるロギング情報が存在するということの有無を検証し、この結果から当該アクセスログの改ざん(ロギング情報の削除/追加/変更)有無の監査を実施する。
【0042】
なお、本実施の形態においては、ロギング情報の削除および追加を重点に置き、ロギング情報の変更については、オプション機能として別途追加可能とする。
【0043】
図5は、ログ監査装置15の内部にて、アクセスログを監査する際の処理の流れを機能ブロック図にて示したものである。ログ監査装置15は、収集したアクセスログ18と監査対象サーバ情報テーブル56を格納するアクセスログ関連データベース部と、宛先ポート番号変換テーブル57と収集したパケット19を格納するパケット関連データベース部と、指定されたアクセス日時の範囲のアクセスログをアクセスログ18から取り出すアクセスログ日時範囲取り出し機能51と、監査対象サーバ情報テーブル56から監査対象サーバのアドレスを取り出す監査対象サーバアドレス取り出し機能52と、監査対象サーバ情報テーブル56から監査対象アクセスログのログ形式種別を取り出すアクセスログログ形式種別取り出し機能53と、監査対象サーバアドレス取り出し機能52およびアクセスログログ形式種別取り出し機能53にて取り出したアドレスおよびログ形式及び指定されたアクセス日時の範囲を元に、監査に使用するパケット群をパケット19から抽出する関連パケット群抽出機能54と、抽出された前記パケット群と前記取り出された指定日時範囲のアクセスログを比較して、アクセスログの改ざん有無を監査するアクセスログ監査機能55と、を含んで構成されている。保護対象サーバが複数ある場合に、監査対象サーバを識別するために、監査対象サーバのアドレスが取り出される。
【0044】
なお、監査対象アクセスログがsyslog形式の場合には、改ざん有無を監査する際、サービス種別も必要となるため、宛先ポート番号変換テーブル57を元に、パケットの構成情報である宛先ポート番号をサービス種別に変換する。
【0045】
次に、図5のログ監査装置15が参照するテーブルおよびファイルの構成について、図9〜図13を参照して説明する。
【0046】
図9および図10は、ログ監査装置15のアクセスログ18の構造例を示した図である。アクセスログは、対象OS、搭載アプリケーションによりそれぞれ形式が異なる。よって、本発明では、一般的に使用されているWeb形式のアクセスログとsyslog形式のアクセスログの2つを例に説明する。Web形式のアクセスログ96は、送信元アドレス91、アクセス日時92、処理コマンド93、処理状態94、送信バイト数95で構成される。処理状態94は、前記図7の応答データ75のOK,NG、図8の応答データパターン83のOK,NG、に相当する情報である。
【0047】
また、syslog形式のアクセスログ104は、アクセス日時101、実行サービス102、詳細情報(送信元アドレス)103で構成される。実行サービス102は前記サービス種別に相当する。
【0048】
図11は、監査対象サーバ情報テーブル56の構造例を示した図である。監査対象サーバ情報テーブル56は、アクセスログファイル名称111、ログ形式種別112、出力先アドレス(宛先アドレス)113で構成される。アクセスログログ形式種別取り出し機能53は、これらの情報を元に、ユーザから指定されたアクセスログのログ形式種別を特定し、監査対象サーバアドレス取り出し機能52は、監査対象サーバのアドレスを特定する。なお、本監査対象サーバ情報テーブル56は、予めユーザが定義するテーブルである。
【0049】
図12は、パケット19の構造例を示す。パケット19は、アクセス日時121、送信元アドレス122、宛先アドレス123、送信元ポート124、宛先ポート125で構成される。送信元ポート124は、送信元のサービス種別を示す番号である。アクセス日時121は、パケット収集装置14が受信(取得あるいは収集)した日時である。
【0050】
図13は、宛先ポート番号変換テーブル57の構造例を示す。宛先ポート番号変換テーブル57は、ポート番号131、サービス種別132で構成される。アクセスログ監査機能55は、これらの情報を元に、抽出したパケットに含まれる宛先ポート番号からサービス種別を識別する。本宛先ポート番号変換テーブル57は、予めウェルノンポートとして一般的に使用されている情報を格納しておくが、独自ポートを使用するシステムの場合には、ユーザによるカスタマイズを可能とする。
【0051】
次に、図19〜図21のフローチャートを用いて、ログ監査装置15がアクセスログの監査を実施する際の処理の流れを説明する。
【0052】
図19は、ログ監査装置15がアクセスログの監査を実施する際の一連の処理の流れをフローチャートで示したものである。ログ監査装置15のアクセスログ日時範囲取り出し機能51は、ユーザからのアクセスログの監査要求を受け付けた後、監査対象アクセスログをアクセスログ関連データベース部から読み込み、監査対象アクセスログ内の先頭および終端のアクセス日時を取り出す(ステップ191)。次に、監査対象サーバアドレス取り出し機能52は、監査対象サーバ情報テーブル56より監査対象サーバアドレス(図11の出力先アドレス)113を取り出す(ステップ192)。次に、アクセスログログ形式種別取り出し機能53は、監査対象サーバ情報テーブル56より監査対象アクセスログのログ形式種別112を取り出す(ステップ193)。関連パケット群抽出機能54は、ステップ191およびステップ192で取得されたアクセス日時の範囲および監査対象サーバアドレス113を元に、監査に使用するパケット群をパケット19から抽出する(ステップ194)。アクセスログ監査機能55は、ステップ193で取得した監査対象アクセスログのログ種別によりパケットの識別を行い(ステップ195)、Web形式の監査(ステップ196)、または、syslog形式の監査(ステップ197)を実施する。なお、Web形式およびsyslog形式以外のログ形式であるアクセスログについては、オプション機能として別途追加可能とする(ステップ198)。
【0053】
図20は、図19で示したWeb形式のアクセスログ監査(ステップ196)の処理の流れを詳細に示したフローチャートである。まず、ステップ194にて抽出したパケット群の先頭から順に個別パケット情報を読み込み、アクセス日時、送信元アドレスを取り出す(ステップ201)。次に、監査対象アクセスログの先頭から個別ロギング情報を読み込み、アクセス日時、送信元アドレスを取り出す(ステップ202)。ステップ201およびステップ202にて取り出した情報の比較を行い(ステップ203)、比較結果が一致した場合には、アクセスログが改ざんされていないことが証明されるため、次の個別パケット情報に対する個別ロギング情報の監査を実施する(ステップ204からステップ201へ遷移)。ここで、個別パケット情報の終端に達した場合には、次のステップ206に遷移する。ステップ203にて、比較結果が不一致となった場合には、次の個別ロギング情報の監査を実施する(ステップ205からステップ202へ遷移)。ここで、個別ロギング情報の終端に達した場合には、監査に用いた個別パケット情報と合致する個別ロギング情報は無いことから、ロギング情報の改ざん(削除)があったことを出力し(ステップ207)、次の個別パケット情報に対する個別ロギング情報の監査を実施する(ステップ207からステップ201へ遷移)。全ての個別パケット情報に対する監査が終了した後、個別パケット情報に含まれない個別ロギング情報については改ざん(追加)があったことを出力する(ステップ206)。
【0054】
図21は、図19で示したsyslog形式のアクセスログ監査(ステップ197)の処理の流れを詳細に示したフローチャートである。まず、ステップ194にて抽出したパケット群の先頭から順に個別パケット情報を読み込み、アクセス日時、送信元アドレス、宛先ポート番号を取り出す(ステップ211)。次に、宛先ポート番号変換テーブル57を読み込み(ステップ212)、これを元に、ステップ211で取り出した宛先ポート番号をサービス種別に変換する(ステップ213)。監査対象アクセスログの先頭から個別ロギング情報を読み込み、アクセス日時、送信元アドレス、サービス種別を取り出す(ステップ214)。ステップ211からステップ214にて取り出した情報の比較を行い(ステップ215)、比較結果が一致した場合には、アクセスログが改ざんされていないことが証明されるため、次の個別パケット情報に対する個別ロギング情報の監査を実施する(ステップ216からステップ211へ遷移)。ここで、個別パケット情報の終端に達した場合には、次のステップ218に遷移する。ステップ215にて、比較結果が不一致となった場合には、次の個別ロギング情報の監査を実施する(ステップ217からステップ214へ遷移)。ここで、個別ロギング情報の終端に達した場合には、監査に用いた個別パケット情報と合致する個別ロギング情報は無いことから、ロギング情報の改ざん(削除)があったことを出力し(ステップ219)、次の個別パケット情報に対する個別ロギング情報の監査を実施する(ステップ219からステップ211へ遷移)。全ての個別パケット情報に対する比較が終了した後、個別パケット情報に含まれない個別ロギング情報については改ざん(追加)があったことを出力する(ステップ218)。
【0055】
上記実施の形態によれば、不正アクセスが行われた場合の、攻撃対象となったサーバの被害有無の検証を自動的に実施することが可能となる。また、保護対象である各種サーバが出力するアクセスログの改ざん有無の監査を、監査の対象とする日時範囲を指定するだけで自動的に行うことが可能となる。
【0056】
【発明の効果】
本発明によれば、不正アクセスが行われた場合の、攻撃対象となったサーバの被害有無の検証を自動的に実施することが可能となる。また、保護対象である各種サーバが出力するアクセスログの改ざん有無の監査も可能となる。
【図面の簡単な説明】
【図1】本発明の実施の形態に係る不正アクセス検証・監査装置のシステム全体構成図である。
【図2】図1に示す実施の形態の不正アクセス検証装置部のシステム構成を表したブロック図である。
【図3】図1に示す実施の形態のアクセスログ監査装置部のシステム構成を表したブロック図である。
【図4】図1に示す実施の形態における不正アクセスによる被害の有無を検証する際の処理の流れを表した機能ブロック図である。
【図5】図1に示す実施の形態におけるアクセスログの改ざん有無を監査する際の処理の流れを表した機能ブロック図である。
【図6】図1に示す実施の形態における不正アクセス通知のフォーマットとその構造例を示した図である。
【図7】図1に示す実施の形態における応答パケットのフォーマットとその構造例を示した図である。
【図8】図1に示す実施の形態における応答パターンテーブルのフォーマットとその構造例を示した図である。
【図9】図1に示す実施の形態におけるアクセスログ(Web形式)のフォーマットとその構造例を示した図である。
【図10】図1に示す実施の形態におけるアクセスログ(syslog形式)のフォーマットとその構造例を示した図である。
【図11】図1に示す実施の形態における監査対象サーバ情報テーブルのフォーマットとその構造例を示した図である。
【図12】図1に示す実施の形態におけるパケットのフォーマットとその構造例を示した図である。
【図13】図1に示す実施の形態における宛先ポート番号変換テーブルのフォーマットとその構造例を示した図である。
【図14】図1に示す実施の形態における不正アクセス通知記録機能の処理の流れをフローチャートで示した図である。
【図15】図1に示す実施の形態における応答パケット記録機能の処理の流れをフローチャートで示した図である。
【図16】図1に示す実施の形態における攻撃パケット記録機能の処理の流れをフローチャートで示した図である。
【図17】図1に示す実施の形態における不正応答パケット群抽出機能の処理の流れをフローチャートで示した図である。
【図18】図1に示す実施の形態における応答結果識別機能の処理の流れを示すフローチャートである。
【図19】図1に示す実施の形態におけるログ監査装置の処理の流れを示すフローチャートである。
【図20】図1に示す実施の形態におけるWeb形式アクセスログの監査処理の流れを示すフローチャートである。
【図21】図1に示す実施の形態におけるsyslog形式のアクセスログの監査処理の流れを示すフローチャートである。
【符号の説明】
11 攻撃者の計算機
12 IDS
13 保護対象サーバ
14 パケット収集装置
15 ログ監査装置
16 アクセスログ
17 パケット
18 アクセスログ
19 パケット
21 攻撃パケット
22 応答パケット
23 不正アクセス通知
41 応答パケット記録機能
42 不正アクセス通知記録機能
43 不正応答パケット群抽出機能
44 応答結果識別機能
45 不正アクセス通知記録部
46 応答パケット記録部
47 応答パターンテーブル
48 攻撃パケット記録機能
49 攻撃パケット記録部
51 アクセスログ日時範囲取り出し機能
52 監査対象サーバアドレス取り出し機能
53 アクセスログログ形式種別取り出し機能
54 関連パケット群抽出機能
55 アクセスログ監査機能
56 監査対象サーバ情報テーブル
57 宛先ポート番号変換テーブル
76 応答パケット
85 応答パターン
96 Web形式アクセスログ
104 syslog形式アクセスログ

Claims (7)

  1. 保護対象サーバへの不正アクセスを検出し、アクセス日時を含む不正アクセス通知を出力する不正アクセス検出手段と、前記不正アクセス通知を受信して格納するとともに、保護対象サーバへのアクセスに応じて出力される応答パケットを受信して受信日時とともに格納するパケット収集手段と、を有してなり、前記パケット収集手段は、前記不正アクセス通知に含まれるアクセス日時に対応する日時に受信した応答パケットを前記格納した応答パケットの中から抽出し、抽出した応答パケットの内容に基いて前記不正アクセスによる被害の有無を判定するよう構成されている不正アクセス検証装置。
  2. 内部ネットワークに接続され、この内部ネットワークを介して入力される要求信号に基づいて処理を行い、処理結果を応答パケットとして前記内部ネットワークに出力するコンピュータと、前記内部ネットワークに接続され、前記コンピュータに不正にアクセスする信号を検出してアクセス日時を含む不正アクセス通知を前記ネットワークに出力する不正アクセス検出手段と、前記内部ネットワークに接続され、前記応答パケットと前記不正アクセス通知を受信して格納するパケット収集手段と、を有してなり、
    前記パケット収集手段は、前記不正アクセス通知に含まれるアクセス日時に対応する日時に受信した応答パケットを前記格納した応答パケットの中から抽出し、抽出した応答パケットの内容に基いて前記不正アクセスによる被害の有無を判定するよう構成されている不正アクセス検証装置。
  3. 請求項1または2に記載の不正アクセス検証装置において、前記不正アクセス通知は、不正アクセスの送信元アドレス、宛先アドレス、及び宛先ポートを含んで構成されているとともに、格納された前記応答パケットは、パケット取得日時、送信元アドレス、宛先アドレス、送信元ポート及び応答データを含んで構成され、前記パケット収集手段は、不正アクセス通知に含まれるアクセス日時に相当するパケット取得日時、不正アクセス通知に含まれる送信元アドレスに合致する宛先アドレス、不正アクセス通知に含まれる宛先アドレスに合致する送信元アドレス、をそれぞれ備えた応答パケットを前記格納された応答パケットから抽出する不正応答パケット群抽出機能と、前記保護対象サーバのサービスのポート番号とこのサービスから出力される可能性のある応答データのパターンとが組み合わせて対応付けて記載され、各組み合わせについて不正アクセスの場合の被害の有無が定義された応答パターンテーブルと、前記不正応答パケット群抽出機能で抽出された応答パケットのサービスと応答データを抽出し、抽出した応答データのパターンとサービスのポート番号の組合せに合致する組合せを前記応答パターンテーブルから検索し、検索結果に基いて不正アクセスによる被害の有無を判断する応答結果識別機能と、を有してなることを特徴とする不正アクセス検証装置。
  4. 保護対象サーバが接続された内部ネットワークを流れるパケットと前記保護対象サーバが出力するアクセスログを収集、格納するログ監査手段を有してなる不正アクセス検証装置であって、前記ログ監査手段は、収集した前記アクセスログと収集した前記パケットのうちの前記保護対象サーバへ送信されたものを対応付け、アクセスログに対応するパケットがない場合とパケットに対応するアクセスログがない場合のいずれかもしくは双方の場合に、不正アクセスの被害があると判断するよう構成されている不正アクセス検証装置。
  5. 請求項4に記載の不正アクセス検証装置において、前記内部ネットワークを流れるパケットをその都度収集して格納するパケット収集手段を備え、前記ログ監査手段は、前記パケット収集手段が格納したパケットが取りこまれるパケット関連データベース部と、前記保護対象サーバが出力するアクセスログが取り込まれて格納されるアクセスログ関連データベース部と、前記アクセスログ関連データベース部から指定されたアクセス日時範囲のアクセスログを取り出す機能と、前記パケット関連データベース部から指定された日時範囲に収集されたパケット群を取り出す機能と、前記取り出されたパケット群の各パケットについて、収集日時、送信元アドレスを取り出し、取り出した収集日時、送信元アドレスを前記取り出されたアクセスログの各ロギング情報のアクセス日時、送信元アドレスと順次比較して合致するロギング情報の有無を検出し、取り出されたパケット群のすべてのパケットについてこの手順を繰り返してパケットに合致するロギング情報の有無およびロギング情報に合致するパケットの有無を検出する機能と、を有してなることを特徴とする不正アクセス検証装置。
  6. 保護対象サーバへの不正アクセスを検知してアクセス日時を含む不正アクセス通知を出力する手順と、前記不正アクセス通知を受信して格納するとともに、前記保護対象サーバからアクセスに対応して出力される応答パケットを受信して格納する手順と、前記不正アクセス通知に含まれるアクセス日時に対応した時刻に受信した応答パケットを前記格納された応答パケットの中から抽出する手順と、抽出した応答パケットの内容に基いて前記不正アクセスによる被害の有無を判定する手順と、を含んでなる不正アクセス検証方法。
  7. 保護対象サーバが接続された内部ネットワークを流れるパケットと、前記保護対象サーバが出力するアクセスログを収集格納する手順と、収集されたパケットのうちの指定された日時範囲に前記保護対象サーバにアクセスしたパケット群を取り出す手順と、前記指定された日時範囲のアクセスログを前記収集されたアクセスログの中から取り出す手順と、前記取り出したパケット群の各パケットのアクセス日時と送信元アドレスを前記取り出したアクセスログの各ロギング情報のアクセス日時と送信元アドレスに対比して、アクセス日時と送信元アドレスが合致する相手のいないパケットもしくはアクセスログのロギング情報の有無を検出する手順と、を含んでなる不正アクセス検証方法。
JP2002376940A 2002-12-26 2002-12-26 不正アクセス検証装置及び方法 Pending JP2004206564A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002376940A JP2004206564A (ja) 2002-12-26 2002-12-26 不正アクセス検証装置及び方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002376940A JP2004206564A (ja) 2002-12-26 2002-12-26 不正アクセス検証装置及び方法

Publications (1)

Publication Number Publication Date
JP2004206564A true JP2004206564A (ja) 2004-07-22

Family

ID=32814261

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002376940A Pending JP2004206564A (ja) 2002-12-26 2002-12-26 不正アクセス検証装置及び方法

Country Status (1)

Country Link
JP (1) JP2004206564A (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006279636A (ja) * 2005-03-30 2006-10-12 Hitachi Ltd クライアント間通信ログの整合性保証管理システム
JP2009539271A (ja) * 2005-06-06 2009-11-12 インターナショナル・ビジネス・マシーンズ・コーポレーション コンピュータ・ネットワーク侵入検出のシステムおよび方法
US8892510B2 (en) 2010-06-02 2014-11-18 Fujitsu Limited Analysis-program storing recording medium, analyzing apparatus, and analytic method
WO2015097889A1 (ja) * 2013-12-27 2015-07-02 三菱電機株式会社 情報処理装置及び情報処理方法及びプログラム
WO2015121923A1 (ja) * 2014-02-12 2015-08-20 三菱電機株式会社 ログ分析装置、不正アクセス監査システム、ログ分析プログラム及びログ分析方法

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006279636A (ja) * 2005-03-30 2006-10-12 Hitachi Ltd クライアント間通信ログの整合性保証管理システム
JP2009539271A (ja) * 2005-06-06 2009-11-12 インターナショナル・ビジネス・マシーンズ・コーポレーション コンピュータ・ネットワーク侵入検出のシステムおよび方法
JP4742144B2 (ja) * 2005-06-06 2011-08-10 インターナショナル・ビジネス・マシーンズ・コーポレーション Tcp/ipプロトコル・ベースのネットワーク内への侵入を試行するデバイスを識別する方法およびコンピュータ・プログラム
US8272054B2 (en) 2005-06-06 2012-09-18 International Business Machines Corporation Computer network intrusion detection system and method
US8892510B2 (en) 2010-06-02 2014-11-18 Fujitsu Limited Analysis-program storing recording medium, analyzing apparatus, and analytic method
WO2015097889A1 (ja) * 2013-12-27 2015-07-02 三菱電機株式会社 情報処理装置及び情報処理方法及びプログラム
CN105849741A (zh) * 2013-12-27 2016-08-10 三菱电机株式会社 信息处理装置、信息处理方法及程序
GB2536384A (en) * 2013-12-27 2016-09-14 Electric Corporation Mitsubishi Information processing device, information processing method, and program
JPWO2015097889A1 (ja) * 2013-12-27 2017-03-23 三菱電機株式会社 情報処理装置及び情報処理方法及びプログラム
WO2015121923A1 (ja) * 2014-02-12 2015-08-20 三菱電機株式会社 ログ分析装置、不正アクセス監査システム、ログ分析プログラム及びログ分析方法
US9965624B2 (en) 2014-02-12 2018-05-08 Mitsubishi Electric Corporation Log analysis device, unauthorized access auditing system, computer readable medium storing log analysis program, and log analysis method

Similar Documents

Publication Publication Date Title
CN101635730B (zh) 中小企业内网信息安全托管方法与系统
US8266250B2 (en) Communication detection device, method, and program for peer-to-peer communication
US7565693B2 (en) Network intrusion detection and prevention system and method thereof
US20100031093A1 (en) Internal tracing method for network attack detection
KR101239401B1 (ko) 보안 시스템의 로그 분석 시스템 및 방법
CN110677381B (zh) 渗透测试的方法及装置、存储介质、电子装置
US20050273673A1 (en) Systems and methods for minimizing security logs
US20030084328A1 (en) Method and computer-readable medium for integrating a decode engine with an intrusion detection system
CN105812200B (zh) 异常行为检测方法及装置
US20030083847A1 (en) User interface for presenting data for an intrusion protection system
JP2010508598A (ja) ストリング分析を利用する1つまたは複数のパケット・ネットワークでの望まれないトラフィックを検出する方法および装置
CN110768951B (zh) 验证系统漏洞的方法及装置、存储介质、电子装置
JP4984531B2 (ja) サーバ監視プログラム、中継装置、サーバ監視方法
CN110768949B (zh) 探测漏洞的方法及装置、存储介质、电子装置
CN113660115B (zh) 基于告警的网络安全数据处理方法、装置及系统
CN112163198B (zh) 一种主机登录安全检测方法、系统、装置及存储介质
CN110765333A (zh) 采集网站信息的方法及装置、存储介质、电子装置
CN110768950A (zh) 渗透指令的发送方法及装置、存储介质、电子装置
JP2002041468A (ja) 不正アクセス防止サービスシステム
CN111526109A (zh) 自动检测web威胁识别防御系统的运行状态的方法及装置
JP2004206564A (ja) 不正アクセス検証装置及び方法
JP4309102B2 (ja) 不正コマンド・データ検知方式、不正コマンド・データ検知方法および不正コマンド・データ検知プログラム
JP2004030287A (ja) 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム
JP2005227982A (ja) セキュリティ監視機能を備えたネットワークシステム、ログデータ解析端末及び情報端末
JP4437410B2 (ja) セキュリティ管理装置及びプログラム