JP2004320453A - Unauthorized access warning device and its program - Google Patents
Unauthorized access warning device and its program Download PDFInfo
- Publication number
- JP2004320453A JP2004320453A JP2003111678A JP2003111678A JP2004320453A JP 2004320453 A JP2004320453 A JP 2004320453A JP 2003111678 A JP2003111678 A JP 2003111678A JP 2003111678 A JP2003111678 A JP 2003111678A JP 2004320453 A JP2004320453 A JP 2004320453A
- Authority
- JP
- Japan
- Prior art keywords
- unauthorized access
- information
- warning
- sender
- network connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
【0001】
【発明の属する技術分野】
この発明は、サーバ装置と端末とを含むネットワークシステムで使用される不正アクセス警告装置と、この装置で使用される不正アクセス警告プログラムに関する。
【0002】
【従来の技術】
加入者網や、インターネット等のコンピュータ・ネットワークを介して端末からサーバ装置に対し行われる不正アクセスは、ネットワークの伝送速度及び端末の処理速度の高速化や、自動ハッキングツールの流出等に伴い増加の一途を辿っている。特に、自動ハッキングツールを使用した不正アクセスに関しては、ネットワーク技術やサーバに関する知識の浅い人でも比較的簡単に行うことができるため、今後さらに増加することが予想される。
【0003】
一方、このようなサーバ装置に対する不正アクセスに対抗するために、例えばインターネットの技術分野では、WWW(World Wide Web)サーバに対する不正アクセスを防止する不正アクセス警告装置が使用されている。この不正アクセス警告装置は、例えばWWWサーバのサンプルファイルに対するアクセス要求や、バッファのオーバフローを狙ったURL(Uniform Resource Locator)に対する不正なアクセス要求を監視する。そして、不正アクセスが検出された場合に、上記アクセス要求の応答として警告メッセージを発信元の端末へ送り返す機能を有する(例えば、特許文献1を参照。)。
このような不正アクセス警告装置を設けると、例えばブラウザを使用してWWWサーバに対し不正アクセスを行った発信者の端末に対し警告メッセージを表示することが可能となり、以後の不正アクセスを抑止させることができる。
【0004】
【特許文献1】
特開2000−76191号公報。
【0005】
【発明が解決しようとする課題】
ところが、この種の従来の不正アクセス警告装置には、次のような解決すべき課題があった。すなわち、発信者からの不正アクセスが例えばHTTP(Hyper Text Transfer Protocol)のように返答を要求するプロトコルを使用して行われた場合には、返答パケットを利用して警告メッセージを発信者へ通知することが可能である。
【0006】
しかし、返答を要求しないプロトコルを使用した不正アクセスに対しては、不正アクセスを検出することはできても、警告メッセージを発信者に通知することができない。一般に、故意の不正アクセスは応答を求めない一方向のアクセスであることが多いため、上記した従来の不正アクセス警告装置では十分な抑止効果が期待できない。また、ブラウザを使用せずに不正アクセスが行われた場合には、警告メッセージを送信してもこの警告メッセージは発信者の端末に表示されない。したがって、この場合にも警告による抑止効果が期待できない。
【0007】
そこで、本発明者等は次のような対策を提案している。すなわち、端末とサーバ装置との間に不正アクセス警告装置を設け、端末からサーバ装置に対する不正アクセス要求が到来した場合にこの不正アクセスに関する履歴情報を記憶する。そして、以後端末からアクセス要求が到来するごとに、その発信者が過去に不正アクセスを行った経歴のある発信者であるか否かを、上記履歴情報をもとに判定し、上記アクセス要求の発信者が過去に不正アクセスを行った経歴のある発信者だった場合には、当該発信者に対し警告情報を通知する。
このような警告装置であれば、返答を求めないプロトコルやブラウザ等を使用しないアクセス手段を用いて不正アクセスが行われたとしても、同じ発信者がその後正当なアクセスを行った時点で、当該発信者に対し警告情報を通知することが可能となる。
【0008】
しかし、この従来提案した警告装置では、端末からのすべてのアクセス要求について、当該アクセス要求の発信者が過去に不正アクセスを行った経歴があるか否かを履歴情報をもとに判定する処理を行う必要がある。そして、不正アクセスの経歴のある発信者が見つかると、警告メッセージを作成して当該発信者へ送信する処理が行われる。このため、サーバ装置に対するアクセス数が少ない場合にはそれほど間題にならないが、アクセス数が多くなると上記判定処理及び警告メッセージの作成・送信処理によってアクセス要求の流通に遅延が発生する可能性がある。遅延が発生するとスループットの低下を招き、これがサービスの低下につながるため非常に好ましくない。
【0009】
この発明は上記事情に着目してなされたもので、その目的とするところは、サーバ装置に対するアクセスが増加しても、不正アクセス警告装置の負荷増大による遅延を発生させることなく、また通常のサービスを妨げることなく、不正アクセスを送信した発信者に対して確実に警告を通知することが可能な不正アクセス警告装置とそのプログラムを提供することにある。
【0010】
【課題を解決するための手段】
上記目的を達成するためにこの発明では次のような手段を講じている。
先ず第1の発明は、端末とサーバ装置との間に配置されるネットワーク接続装置に不正アクセス警告装置を接続し、この不正アクセス警告装置において、上記端末からサーバ装置に対する不正アクセス要求が上記ネットワーク接続装置を介して転送された場合に、当該不正アクセス要求の発信元アドレス情報をもとに、当該不正アクセス要求の発信者から以後発信される通信情報を自己の不正アクセス警告装置へ転送させるためのルート情報を作成し、この作成されたルート情報を上記ネットワーク接続装置に設定する。そして、以後上記ルート情報に従いネットワーク接続装置から通信情報が転送された場合に、当該通信情報の発信者に対し警告情報を通知するようにしている。
【0011】
したがって第1の発明によれば、端末から送信された不正アクセス要求や、過去に不正アクセスを行った経歴のある端末から送信された通信情報は、ネットワーク接続装置から不正アクセス警告装置にもれなく転送されて、不正アクセスに対する警告処理が行われる。このため、例えば返答を求めないプロトコルやブラウザ等を使用しないアクセス手段を用いて不正アクセスが行われたとしても、同じ発信者がその後正当なアクセスを行った時点で、当該発信者に対し警告情報を通知することが可能となる。すなわち、不正アクセスに対し十分な警告機能を発揮することができる。
【0012】
また第1の発明によれば、端末から送信された正常なアクセス要求や通信情報については、不正アクセス警告装置を経由することなくネットワーク接続装置からそのままサーバ装置へ伝送される。このため、サーバ装置に対するアクセス要求や通信情報は、伝送遅延を生じることなくサーバ装置へ伝送されることになり、これによりアップリンクにおけるスループットの低下は防止され、サービス性を高く保つことが可能となる。
【0013】
次に第2の発明では、不正アクセス警告装置において、不正アクセス要求の発信元アドレス情報をもとに、当該不正アクセス要求の発信者を宛先として以後サーバ装置から送信される通信情報を自己の不正アクセス警告装置へ転送させるためのルート情報を作成し、この作成されたルート情報をネットワーク接続装置に設定する。そして、以後上記ルート情報に従いネットワーク接続装置から端末宛の通信情報が転送された場合に、当該通信情報の宛先となる発信者に対し警告情報を通知するようにしている。
【0014】
したがって第2の発明によれば、サーバ装置から、不正アクセスを行った経歴のある端末へ向け送信された通信情報は、ネットワーク接続装置から不正アクセス警告装置にもれなく転送され、不正アクセスに対する警告処理が行われる。このため、不正アクセスを行った発信者に対し、サーバ装置から当該発信者へ送られる通信情報を利用して警告情報を確実に通知することが可能となる。
【0015】
また第2の発明によれば、サーバ装置から、不正アクセスを行った経歴のない発信者へ伝送される通信情報は、不正アクセス警告装置を経由することなくネットワーク接続装置からそのまま端末へ伝送される。このため、上記通信情報は伝送遅延を生じることなく端末へ伝送されることになり、これによりダウンリンクにおけるスループットの低下は防止され、サービス性は高く保たれる。
【0016】
さらに第3の発明では、不正アクセス警告装置において、不正アクセス要求の発信元アドレス情報をもとに、当該不正アクセス要求の発信者を宛先として以後サーバ装置が送信する通信情報を不正アクセス警告装置へ宛てて送信させるためのルート情報を作成し、この作成されたルート情報をサーバ装置に設定する。そして、上記ルート情報に従い上記サーバ装置が送信した通信情報がネットワーク接続装置から転送された場合に、当該通信情報の宛先となる発信者に対し警告情報を通知するようにしている。
【0017】
したがって第3の発明によれば、不正アクセスを行った経歴のある端末宛ての通信情報は、サーバ装置において宛先が不正アクセス警告装置に変更されたのち送信される。このため、不正アクセスを行った経歴のある端末宛ての通信情報はもれなく不正アクセス警告装置へ転送され、不正アクセスに対する警告処理が行われる。このため、不正アクセスを行った発信者に対しては、サーバ装置から当該発信者へ送られる通信情報を利用して警告情報を確実に通知することが可能となる。
【0018】
また第3の発明によれば、不正アクセスを行った経歴のない端末宛ての通信情報は、宛先が変更されずにサーバ装置からそのまま送信される。このため、上記通信情報は不正アクセス警告装置を経由せず、この結果伝送遅延を生じることなく端末へ伝送されることになり、これによりダウンリンクにおけるスループットの低下は防止され、サービス性は高く保たれる。
【0019】
なお、第2及び第3の発明において、不正アクセス警告装置に転送される端末宛の通信情報は、フレームサイズの再計算等により遅延が発生する可能性がある。しかし、この通信情報は、元々サーバ装置に対して不正アクセスを行った発信者への返信情報であるため、正常なアクセスを行っている他の発信者に対するサービスの低下にはつながらない。
【0020】
また、上記第1乃至第3の発明には次のような具体的な各種構成が考えられる。
第1の構成は、端末からサーバ装置に対する不正アクセス要求がネットワーク接続装置から転送された場合に、当該不正アクセスに関する履歴情報を作成して記憶する。そして、通信情報が転送された場合に、当該通信情報の発信者又は宛先が過去に不正アクセスを行った経歴のある発信者であるか否かを上記履歴情報をもとに判定し、過去に不正アクセスを行った経歴のある発信者であると判定された場合に、当該通信情報の宛先となる発信者に対し警告情報を通知するものである。この構成を備えることにより、履歴情報をもとに不正アクセスの経歴の有無をさらに正確に判定することが可能となる。
【0021】
第2の構成は、サーバ装置から送信された通信情報に替えて、警告情報を該当する発信者の端末へ送信するものである。この構成によれば、サーバ装置から返送される通信情報に替えて警告情報が通知されるので、例えば故意に不正アクセスを行った発信者に対して強い警告を与えることができる。また、アドレスの偽造や誤りに対しても警告を与えることとができる。
【0022】
第3の構成は、サーバ装置から送信された通信情報に、警告情報を付加或いは挿入して該当する発信者の端末へ送信するものである。この構成によれば、サーバ装置からの返答情報に付加又は含めたかたちで警告情報が発信者に通知されるので、発信者の不慣れや誤操作が原因となって結果的に不正アクセスが行われた場合に、当該発信者に対し返答情報を利用して注意を喚起することができる。
【0023】
第4の構成は、不正アクセス検出時にその履歴情報を作成し記憶しておく。そして、過去に不正アクセスを行った経歴のある発信者宛ての通信情報が転送された場合に、当該発信者が過去に行った不正アクセスの悪質度を上記履歴情報をもとに判定し、この悪質度の判定結果に基づいて予め用意された複数の警告通知処理を選択的に実行するものである。
【0024】
このような構成であると、不正アクセスの悪質度に応じて適切な警告処理が自動的に選択されて実行される。例えば、故意と認められる不正アクセスについてはその発信者に対し強い警告を与えるための処理が選択されて実行され、一方不慣れや誤操作が原因と認められる不正アクセスについてはその発信者に対し操作上の注意を促す等の緩い警告を与えるための処理が選択されて実行される。
【0025】
第5の構成は、不正アクセス検出時に作成し記憶しておいた不正アクセス履歴情報をもとに、不正アクセスの内容を表す情報とこの不正アクセスの内容に対応する警告メッセージとを含む警告情報を作成し、この作成した警告情報を該当する発信者の端末へ送信するものである。このように構成すると、発信者に対し不正アクセスの内容を明確に通知して、注意を促すことができる。
【0026】
第6の構成は、不正アクセス警告装置を、不正アクセス検知部と不正アクセス警告部とに分けて構成するものである。このような構成にすると、例えば不正アクセス検知部或いは不正アクセス警告部のいずれか一方が既に備えられている場合には、不足する構成又は機能のみを追加するだけで既存の構成をそのまま使用してこの発明を実施することが可能となり、これにより設備費のコストダウンを図ることができる。
【0027】
【発明の実施の形態】
(第1の実施形態)
この発明の第1の実施形態は、ネットワーク接続装置に不正アクセス警告装置を接続する。そして、端末からサーバ装置に対する不正アクセス要求が送信された場合に、不正アクセス警告装置において上記不正アクセスに関する履歴情報を作成して記憶すると共に、以後上記不正アクセスを行った端末から送信されるアクセス要求をサーバ装置へ転送せずに不正アクセス警告装置へ転送させるためのルート情報を作成してネットワーク接続装置に設定する。そして、以後このルート情報に従いネットワーク接続装置からアクセス要求が転送された場合に、不正アクセス警告装置から発信者に対し警告情報を通知するようにしたものである。
【0028】
図1は、この発明の第1の実施形態に係わる不正アクセス警告装置を備えたネットワークシステムの概略構成図である。
同図において、NWは通信ネットワークであり、例えばPSTN(Public Switched Telephone Network)やISDN(Integrated Service Digital Network)等の有線加入者ネットワークと、移動通信ネットワークと、専用線ネットワークと、CATV(Cable Television)ネットワークと、インターネットに代表されるコンピュータ・ネットワークとを含んでいる。
【0029】
この通信ネットワークNWには、多数の端末TM1〜TMnが接続されると共に、ネットワーク接続装置NCを介してサーバ装置SVが接続される。各端末TM1〜TMnは、固定電話機やパーソナル・コンピュータ、移動通信端末、テレビジョン端末からなり、上記サーバ装置SVに対するアクセス機能を有する。サーバ装置SVは、例えばWWWサーバからなり、上記端末TM1l〜TMnからのアクセス要求に応じてウエブデータのダウンロード等を行う機能を有する。
【0030】
ところで、上記ネットワーク接続装置NCには不正アクセス警告装置ASが接続される。不正アクセス警告装置ASは、端末TM1〜TMnからサーバ装置SVに対する不正アクセスを監視して、不正アクセスを行った発信者に対し警告を通知する機能を有するもので、例えば次のように構成される。図2はその機能構成を示すブロック図である。
【0031】
すなわち、不正アクセス警告装置ASは、入出力部11と、制御部12と、不正アクセス検出部13と、不正アクセス情報データベース14と、サーバ情報データベース15と、発信者情報データベース16と、ルート情報管理部17と、警告情報作成部18とを備えている。なお、以後データベースについてはDBと略称する。
【0032】
入出力部11は、ネットワーク接続装置NCとの間で通信パケットの送受信処理を行う。不正アクセス情報DB14には、既知の複数種類の不正アクセスパターンが予め記憶されている。サーバ情報DB15には、保護しようとするサーバ装置SVが提供するサービス種別等、サーバ装置SVに現在設定されている運用状態を表す情報が記憶されている。発信者情報DB16には、端末TM1〜TMnからサーバ装置SVに対して行われた不正アクセスに関する履歴情報が記憶される。
【0033】
不正アクセス検出部13は、端末TM1〜TMnから到来したアクセス要求が不正アクセスであるか否かを、上記不正アクセス情報DB14或いはサーバ情報DB15をもとに判定する。そして、その判定結果を制御部12に通知する。
【0034】
制御部12は、端末TM1〜TMnから到来したアクセス要求が不正アクセスであると上記不正アクセス検出部13により判定された場合に、当該不正アクセスの内容と発信者のアドレス情報を含む履歴情報を作成し、この履歴情報を上記発信者情報DB16に記憶させる。また、上記履歴情報の中から発信者のアドレス情報をルート情報管理部17に通知し、ルート情報管理部17で作成されたルート情報を入出力部11からネットワーク接続装置NCへ通知する。さらに、ネットワーク接続装置NCから転送されたアクセス要求に対して、過去に不正アクセスを行った発信者であるか否かを上記発信者情報DB16の履歴情報をもとに判定する。そして、発信者が不正アクセスの前歴を持つ場合には、上記警告情報作成部18により作成された警告情報を該当する発信者の端末へ送信するように制御する。
【0035】
ルート情報管理部17は、上記制御部12から通知された発信者のアドレス情報をもとに、当該発信者からの通信はすべて当該不正アクセス警告装置ASへと送られるようにルート情報を作成する。そして、この作成されたルート情報を上記制御部12に通知する。
【0036】
一方、上記ネットワーク接続装置NCは、例えばルータ、スイッチ又はゲートウエイからなるもので、次のように構成される。図4はその構成を示す機能ブロック図である。すなわち、ネットワーク接続装置NCは入出力部21,22,23と、転送部24と、ルーティング情報データベース25とを備えている。
【0037】
入出力部21は、不正アクセス警告装置ASとの間で通信パケットの送受信処理を行う。入出力部22は、通信ネットワークNWとの間で通信パケットの送受信処理を行う。入出力部23は、サーバ装置SVとの間で通信パケットの送受信処理を行う。
【0038】
ルーティング情報DB25には、送信先のIPアドレスに対する転送先が登録されており、また送信元IPアドレスに基づく転送先が登録されている。転送部24は、各入出力部21,22,23で受信された通信パケットに対し、上記ルーティング情報DB25に登録されたルーティング情報をもとに、転送先となる入出力部へ転送する処理を行う。
【0039】
次に、以上のように構成された不正アクセス警告装置ASを含むネットワークシステムの動作を、図4及び図5に示す動作シーケンスを用いて説明する。
いま例えば端末TM1からサーバ装置SVに対するアクセス要求が送信されたとする。そうすると上記アクセス要求は、図4に示すようにネットワーク接続装置NCの入出力部22から転送部24に一旦入力された後、入出力部23からサーバ装置SVへそのまま転送される。また同時に上記アクセス要求は、転送部24のミラー機能により入出力部21から不正アクセス警告装置ASへも転送される。
【0040】
不正アクセス警告装置ASでは、上記転送されたアクセス要求が入出力部11を介して不正アクセス検出部13に入力される。不正アクセス検出部13では、先ず不正アクセス情報DB14に記憶されている既知の不正アクセスパターンをもとに、上記転送されたアクセス要求が不正アクセスに該当するものか否かが判定される。そして、この判定により不正アクセスではないと判定されると、続いてサーバ情報DB15に記憶されているサーバ装置SVの運用状態を表す情報をもとに、上記転送されたアクセス要求がサーバ装置SVで提供されているサービスに対応する否かが判定される。そして、サーバ装置SVが提供しているサービスに対応するものであれば、当該アクセス要求は正当なアクセス要求と判断され、特に処理は行われない。
【0041】
これに対し、上記不正アクセス検出部13から不正アクセスである旨が制御部12に報告されると、制御部12は上記不正アクセスである旨の報告に従い、不正アクセスの内容を表す発信者のアドレス情報を含む履歴情報を作成する。そして、この不正アクセスの履歴情報を発信者情報DB16に記憶する。
【0042】
さらに制御部12は、ルート情報管理部17に当該不正アクセスの発信者のアドレス情報を通知すると共にルート情報の作成を指示する。ルート情報管理部17は、上記通知された不正アクセス発信者のアドレス情報、つまり送信元IPアドレスをもとにルート情報を作成し、この作成されたルート情報を制御部12に通知する。上記ルート情報の内容は、以後上記送信元IPアドレスにより送信された通信パケットをすべて不正アクセス警告装置ASへ転送させるように設定される。制御部12は、ルート情報管理部17から通知されたルート情報を入出力部11からネットワーク接続装置NCへ送信する。ネットワーク接続装置NCは、上記不正アクセス警告装置ASから送信されたルート情報を、転送部24によりルーティング情報DB25に追加設定する。
【0043】
さてこの状態で、上記不正アクセスを行った前歴を持つ発信者の端末からアクセス要求が送信されたとする。そうすると、このアクセス要求は図5に示すようにネットワーク接続装置NCの入出力部22を経て転送部24に入力される。転送部24は、上記ルーティング情報DB25に追加設定されたルート情報に従い、上記入力されたアクセス要求を入出力部21から不正アクセス警告装置ASへ転送する。すなわち、不正アクセスを行った前歴を持つ発信者から送信されたアクセス要求は、サーバ装置SVへ転送されず、不正アクセス警告装置ASへのみ転送される。
【0044】
不正アクセス警告装置ASでは、上記アクセス要求が転送されると制御部12により、当該アクセス要求の発信者が過去に不正アクセスを行った経歴を持つ発信者であるか否かが、確認のため再度判定される。この前歴の有無の判定は、発信者情報DB16に記憶されている不正アクセスの履歴情報を検索し、この履歴情報の中から上記到来したアクセス要求の発信者アドレスを含む履歴情報を探すことにより行われる。この前歴の判定の結果、不正アクセスの前歴が見つからなかった場合には、図5に示すように上記アクセス要求はネットワーク接続装置NCを介してサーバ装置SVへ送信される。なお、この場合ネットワーク接続装置NCに登録されている該当ルート情報は抹消される。
【0045】
一方上記前歴判定の結果、不正アクセスの前歴があることが確認されたとする。この場合、上記アクセス要求が返答を期待しないアクセス要求だったとすると、図5に示したように通信終了信号が制御部12により生成され、入出力部11からネットワーク接続装置NCを介して発信元の端末TM1へ送信される。すなわち、不正アクセスの前歴のある端末から送信された、返答を期待しないアクセス要求については、不正アクセス警告装置ASによってサーバ装置SVへの転送が遮断され破棄される。
【0046】
これに対し、上記アクセス要求が例えばHTTPやtelnet、FTP(File Transfer Protocol)、ICMP(Internet Control Message Protocol)等のように返答を期待するプロトコルによって送信されたものだったとする。この場合、図5に示すように制御部12から警告情報作成部18に対し警告情報の作成指示が与えられる。そして、この指示に従い警告情報作成部18により警告情報が作成されると、この警告情報は制御部12の制御により入出力部11からネットワーク接続装置NCを介して発信元の端末TM1へ送信される。上記警告情報には、履歴情報から抽出された不正アクセスの内容を表す情報と、この情報に対応する警告メッセージとが含められる。したがって、発信者は上記警告情報に含まれる不正アクセスの内容を表す情報と警告メッセージにより、不正アクセスの内容を明確に認識できる。
【0047】
以上述べたように第1の実施形態では、ネットワーク接続装置NCに接続された不正アクセス警告装置ASにおいて、端末TM1〜TMnからサーバ装置SVに対する不正アクセスが到来した場合に、この不正アクセスに関する履歴情報を作成して発信者情報DB16に記憶すると共に、当該発信者から送られた通信パケットをサーバ装置SVへ転送せずに不正アクセス警告装置ASに転送させるルート情報を作成してネットワーク接続装置NCに登録する。そして、以後上記不正アクセスの前歴がある端末からアクセス要求が送信された場合に、このアクセス要求を上記ルート情報に従いネットワーク接続装置NCから不正アクセス警告装置ASへ転送し、この不正アクセス警告装置ASで不正アクセスの前歴の有無を再確認したのち当該発信者の端末に対し警告情報を送信するようにしている。
【0048】
したがって、不正アクセスの前歴がある発信者がアクセス要求を送信した場合には、その発信者に対し警告情報を送信することができ、警告装置としての機能を果たすことができる。一方、不正アクセスの前歴のない発信者から送信されたアクセス要求は、ネットワーク接続装置NCからそのままサーバ装置SVへ送られる。このため、端末からサーバ装置SVに向かうアップリンクにおいて伝送遅延が発生することはなく、スループットの低下は発生しない。
【0049】
(第2の実施形態)
この発明の第2の実施形態は、サーバ装置に対する不正アクセス要求がネットワーク接続装置を介して転送された場合に、不正アクセス警告装置において上記不正アクセスに関する履歴情報を作成して記憶すると共に、以後サーバ装置から上記不正アクセス要求を行った発信者宛てに送信される返答情報を不正アクセス警告装置へ転送させるためのルート情報を作成してネットワーク接続装置に設定する。そして、以後このルート情報に従いネットワーク接続装置から不正アクセス警告装置へ返答情報が転送された場合に、当該返答情報に替えて警告情報を発信者へ通知するようにしたものである。
【0050】
図6は、この第2の実施形態に係わる不正アクセス警告装置ASの動作を説明するためのシーケンス図である。なお、不正アクセス警告装置AS及びネットワーク接続装置NCの機能構成については、その処理内容を除いて前記図2及び図3と同一なので、ここでは図2及び図3を引用して説明を行う。
【0051】
不正アクセス警告装置ASのルート情報管理部17は、サーバ装置SVから不正アクセスの前歴がある発信者宛てに送信される返答情報を端末TM1〜TMnへ転送せずに不正アクセス警告装置ASへ転送させるためのルート情報を作成する機能を備えている。
【0052】
不正アクセス警告装置ASの制御部12は、ルート情報設定制御機能と、警告制御機能とを備えている。ルート情報設定制御機能は、上記ルート情報管理部17により作成されたルート情報をネットワーク接続装置NCへ送り、このネットワーク接続装置NCのルーティング情報DB25に追加登録する。
【0053】
警告制御機能は、サーバ装置SVから端末TM1〜TMnへ宛てた返答情報が上記ルート情報に従いネットワーク接続装置NCから転送された場合に、宛先端末TM1〜TMnによる不正アクセスの前歴を再確認した後、上記返答情報に替えて警告情報を宛先の端末TM1〜TMnへ向け送信する機能を備える。
【0054】
このような構成であるから、前記第1の実施形態と同様に不正アクセス警告装置ASでは、端末TM1〜TMnからサーバ装置SVへのアクセス要求がネットワーク接続装置NCを介して転送されるごとに、不正アクセス検出部13において当該アクセス要求が不正アクセスに該当するか否かが判定される。この判定の結果、不正アクセスと判定されると、図4に示したように不正アクセスの内容を表す発信者のアドレス情報を含む履歴情報が作成され、この不正アクセスの履歴情報は発信者情報DB16に記憶される。
【0055】
さらに不正アクセス警告装置ASでは、ルート情報管理部17において、上記不正アクセスの送信元IPアドレスをもとにルート情報が作成される。このルート情報の内容は、以後サーバ装置SVから不正アクセスを行った発信者宛てに送信される返答情報を端末へ転送せずに不正アクセス警告装置ASへ転送させるように設定される。この作成されたルート情報は、制御部12の制御により入出力部11からネットワーク接続装置NCへ送信される。ネットワーク接続装置NCでは、上記不正アクセス警告装置ASから送られたルート情報がルーティング情報DB25に追加設定される。
【0056】
さてこの状態で、上記不正アクセスを行った前歴を持つ発信者の端末TM1からアクセス要求が送信され、このアクセス要求に応じてサーバ装置SVから返答情報が送信されたとする。そうすると、この返答情報は図6に示すようにネットワーク接続装置NCの入出力部23を経て転送部24に入力される。転送部24は、上記ルーティング情報DB25に追加設定されたルート情報に従い、上記入力された返答情報を入出力部21から不正アクセス警告装置ASへ転送する。すなわち、不正アクセスを行った前歴を持つ発信者宛ての返答情報は、端末TM1へ転送されず不正アクセス警告装置ASへ転送される。
【0057】
上記返答情報が転送されると不正アクセス警告装置ASでは、制御部12により、当該返答情報の送信宛先である発信者が過去に不正アクセスを行った経歴を持つ発信者であるか否かが、確認のため再度判定される。この前歴の有無の判定は、発信者情報DB16に記憶されている不正アクセスの履歴情報を検索し、この履歴情報の中から上記到来したアクセス要求の発信者アドレスを含む履歴情報を探すことにより行われる。この前歴の判定の結果、不正アクセスの前歴が見つからなかった場合には、図6に示すように上記返答情報はネットワーク接続装置NCを介して宛先の端末TM1へ送信される。なお、この場合ネットワーク接続装置NCに登録されている該当ルート情報は抹消される。
【0058】
一方上記前歴判定の結果、不正アクセスの前歴があることが確認されたとする。そうすると不正アクセス警告装置ASでは、図6に示すように制御部12から警告情報作成部18に対し警告情報の作成指示が与えられる。そして、この指示に従い警告情報作成部18により警告情報が作成されると、この警告情報は制御部12の制御により返答情報に替わって入出力部11からネットワーク接続装置NCを介して発信元の端末TM1へ送信される。上記警告情報には、履歴情報から抽出された不正アクセスの内容を表す情報と、この情報に対応する警告メッセージとが含められる。したがって、発信者は上記警告情報に含まれる不正アクセスの内容を表す情報と警告メッセージにより、不正アクセスの内容を明確に認識できる。
【0059】
このように第2の実施形態では、端末TM1〜TMnからサーバ装置SVに対する不正アクセスがネットワーク接続装置NCから転送された場合に、以後サーバ装置SVからこの不正アクセスを行った前歴のある発信者に対する返答情報をすべて不正アクセス警告装置ASへ転送するようにルート情報を作成し、このルート情報をネットワーク接続装置NCに登録する。そして、以後このルート情報に従いネットワーク接続装置NCから不正アクセス警告装置ASへ返答情報が転送された場合に、宛先となる発信者の不正アクセスの前歴が再確認されたのち、上記返答情報に替えて警告情報を発信者の端末へ通知するようにしている。
【0060】
したがって、不正アクセスを行った前歴のある発信者がアクセス要求を送信すると、このアクセス要求に応じてサーバ装置SVが返送する返答情報に替えて警告情報が発信者に通知される。したがって、不正アクセスを行った前歴のある発信者に対して警告情報を確実に送信することができ、これにより警告装置としての機能を十分に果たすことができる。
【0061】
一方、端末TM1〜TMnから送信されたすべてのアクセス要求はネットワーク接続装置NCを介してそのままサーバ装置SVへ転送されるので、アップリンク上では伝送遅延は発生しない。また、サーバ装置SVから送信される返答情報のうち、不正アクセスの前歴がない端末宛ての返答情報については、ネットワーク接続装置NCをそのまま通過して端末へ転送される。したがって、サーバ装置SVから端末TM1〜TMnに向かうダウンリンクにおいても、伝送遅延が発生することはなく、これによりスループットの低下は発生しない。
【0062】
(第3の実施形態)
この発明の第3の実施形態は、サーバ装置に対する不正アクセス要求がネットワーク接続装置を介して転送された場合に、不正アクセス警告装置において上記不正アクセスに関する履歴情報を作成して記憶すると共に、不正アクセス要求の発信者を宛先として以後サーバ装置が送信する返答情報を不正アクセス警告装置へ宛てて送信させるためのルート情報を作成し、この作成されたルート情報をサーバ装置に設定する。そして、以後このルート情報に従い、上記サーバ装置から不正アクセス警告装置宛てに返答情報を送信させ、不正アクセス警告装置ではこの返答情報に替えて警告情報を発信者に通知するようにしたものである。
【0063】
図7及び図8はそれぞれ、第3の実施形態に係わるネットワーク接続装置NC及びサーバ装置SVの機能構成を示すブロック図である。なお、不正アクセス警告装置ASの機能構成については、その処理内容を除いて前記図2と同一なので、ここでは図2を引用して説明を行う。
【0064】
ネットワーク接続装置NCは、図7に示すように入出力部31,32,33と、転送部34とを備えている。入出力部31は、不正アクセス警告装置ASとの間で通信パケットの送受信処理を行う。入出力部32は、通信ネットワークNWとの間で通信パケットの送受信処理を行う。入出力部33は、サーバ装置SVとの間で通信パケットの送受信処理を行う。転送部34は、上記入出力部31,32,33により受信された通信パケットを、その宛先アドレスと予め用意されたルート情報とに従い送信先に対応する入出力部へ転送する。
【0065】
サーバ装置SVは、図8に示すように入出力部41と、サーバアプリケーション42と、ルーティング情報DB43とを備えている。入出力部41は、ネットワーク接続装置NCとの間で通信パケットの送受信処理を行う。サーバアプリケーション42は、端末TM1〜TMnから到来したアクセス要求に応じ、対応する返答情報を作成して上記入出力部41から要求元の端末TM1〜TMnへ向け送信させる。ルーティング情報DB43には、後述する不正アクセス警告装置ASから送られるルート情報が格納される。
【0066】
不正アクセス警告装置ASのルート情報管理部17は、サーバ装置SVが不正アクセス要求の発信者を宛先として返答情報を送信する場合に、その宛先アドレスを不正アクセス警告装置AS宛てに変更させるためのルート情報を作成する機能を備えている。
【0067】
不正アクセス警告装置ASの制御部12は、ルート情報の設定制御機能と、警告制御機能とを備えている。このうちルート情報の設定制御機能は、上記ルート情報管理部17により作成されたルート情報を、ネットワーク接続装置NCを介してサーバ装置SVへ送り、このサーバ装置SVのルーティング情報DB43に追加登録する。
【0068】
警告制御機能は、サーバ装置SVから不正アクセス警告装置ASへ宛てた返答情報がネットワーク接続装置NCを介して転送された場合に、宛先となる端末TM1〜TMnの不正アクセスの前歴を再確認した後に、上記返答情報に替えて警告情報を宛先の端末TM1〜TMnへ向け送信する機能を備える。
【0069】
次に、以上のように構成された不正アクセス警告装置ASを含むネットワークシステムの動作を、図9及び図10に示す動作シーケンスを用いて説明する。
いま例えば端末TM1からサーバ装置SVに対するアクセス要求が送信されたとする。そうすると上記アクセス要求は、図9に示すようにネットワーク接続装置NCの入出力部32から転送部34に一旦入力されたのち、入出力部33からサーバ装置SVへとそのまま転送される。また同時に上記アクセス要求は、転送部34のミラー機能により入出力部31から不正アクセス警告装置ASへも転送される。
【0070】
不正アクセス警告装置ASでは、上記転送されたアクセス要求が入出力部11を介して不正アクセス検出部13に入力される。不正アクセス検出部13では、先ず不正アクセス情報DB14に記憶されている既知の不正アクセスパターンをもとに、上記転送されたアクセス要求が不正アクセスに該当するものか否かが判定される。そして、この判定により不正アクセスではないと判定されると、続いてサーバ情報DB15に記憶されているサーバ装置SVの運用状態を表す情報をもとに、上記転送されたアクセス要求がサーバ装置SVで提供されているサービスに対応するか否かが判定される。そして、サーバ装置SVが提供しているサービスに対応するものであれば、当該アクセス要求は正当なアクセス要求と判断され、特に処理は行われない。
【0071】
これに対し、上記不正アクセス検出部13から不正アクセスである旨が制御部12に報告されると、制御部12は上記不正アクセスである旨の報告に従い、不正アクセスの内容を表す情報及び発信者のアドレス情報を含む履歴情報を作成する。そして、この不正アクセスの履歴情報を発信者情報DB16に記憶する。
【0072】
さらに制御部12は、ルート情報管理部17に当該不正アクセスの発信者のアドレス情報を通知すると共にルート情報の作成を指示する。ルート情報管理部17は、上記通知された不正アクセスの送信元IPアドレスをもとにルート情報を作成し、この作成されたルート情報を制御部12に通知する。上記ルート情報の内容は、サーバ装置SVが不正アクセス要求の発信者を宛先として返答情報を送信する場合に、その宛先アドレスを不正アクセス警告装置AS宛てに変更させるように設定される。制御部12は、ルート情報管理部17から通知されたルート情報を入出力部11からサーバ装置SVに向け送信する。サーバ装置SVは、上記不正アクセス警告装置ASから送信されたルート情報を、ルーティング情報DB43に追加設定する。
【0073】
さてこの状態で、上記不正アクセスを行った前歴を持つ発信者の端末TM1からアクセス要求が送信されたとする。そうするとサーバ装置SVは、上記アクセス要求に対応する返答情報をサーバアプリケーション42により作成する。そして、この返答情報の送信先アドレスを、ルーティング情報DB43に設定されているルート情報に従い、端末TM1のアドレスから不正アクセス警告装置ASのアドレスに変更したのち、入出力部41から送信する。
【0074】
サーバ装置SVから上記返答情報が送信されると、この返答情報は図10に示すようにネットワーク接続装置NCの入出力部33を経て転送部34に入力される。転送部34は、上記返答情報の宛先アドレスが不正アクセス警告装置ASのアドレスとなっているため、上記返答情報を入出力部31から不正アクセス警告装置ASへ転送する。すなわち、不正アクセスを行った前歴を持つ端末TM1へ送られるべき返答情報は、端末TM1へは転送されず不正アクセス警告装置ASへ転送される。
【0075】
上記返答情報が転送されると不正アクセス警告装置ASでは、制御部12により、当該返答情報の送信宛先である発信者が過去に不正アクセスを行った経歴を持つ発信者であるか否かが、確認のため再度判定される。この前歴の有無の判定は、発信者情報DB16に記憶されている不正アクセスの履歴情報を検索し、この履歴情報の中から上記到来したアクセス要求の発信者アドレスを含む履歴情報を探すことにより行われる。この前歴の判定の結果、不正アクセスの前歴が見つからなかった場合には、図10に示すように上記返答情報はネットワーク接続装置NCを介して宛先の端末TM1へ送信される。なお、この場合サーバ装置SVのルーティング情報DB43に登録されている該当ルート情報は抹消される。
【0076】
一方上記前歴判定の結果、不正アクセスの前歴があることが確認されたとする。そうすると不正アクセス警告装置ASでは、図10に示すように制御部12から警告情報作成部18に対し警告情報の作成指示が与えられる。そして、この指示に従い警告情報作成部18により警告情報が作成されると、この警告情報は制御部12の制御により返答情報に替わって入出力部11からネットワーク接続装置NCを介して発信元の端末TM1へ送信される。上記警告情報には、履歴情報から抽出された不正アクセスの内容を表す情報と、この情報に対応する警告メッセージとが含められる。したがって端末TM1の発信者は、上記警告情報に含まれる不正アクセスの内容を表す情報と警告メッセージにより、不正アクセスの内容を明確に認識できる。
【0077】
以上述べたように第3の実施形態では、サーバ装置SVに対する不正アクセス要求がネットワーク接続装置NCを介して転送された場合に、不正アクセス警告装置ASにおいて、不正アクセス要求の発信者を宛先として以後サーバ装置SVが送信する返答情報を不正アクセス警告装置ASへ宛てて送信させるためのルート情報を作成し、この作成されたルート情報をサーバ装置SVに設定する。そして、以後このルート情報に従い上記サーバ装置SVが送信する返答情報をネットワーク接続装置NCを介して不正アクセス警告装置ASに転送し、不正アクセス警告装置ASから上記返答情報に替えて警告情報を発信者の端末に送信するようにしている。
【0078】
したがって、不正アクセスを行った前歴のある発信者がアクセス要求を送信すると、このアクセス要求に応じてサーバ装置SVが返送する返答情報に替えて警告情報が発信者に通知される。したがって、不正アクセスを行った前歴のある発信者に対して警告情報を確実に送信することができ、これにより警告装置としての機能を十分に果たすことができる。
【0079】
一方、端末TM1〜TMnから送信されたすべてのアクセス要求はネットワーク接続装置NCを介してそのままサーバ装置SVへ転送されるので、アップリンク上では伝送遅延は発生しない。またサーバ装置SVでは、不正アクセスの前歴がある端末宛の返答情報についてのみアドレス情報が不正アクセス警告装置ASに変更され、不正アクセスの前歴がない端末宛ての返答情報については宛先アドレスが変更されずにそのまま送信される。このため、不正アクセスの前歴がない端末宛ての返答情報については、ネットワーク接続装置NCをそのまま通過して端末TM1へ転送されることになる。したがって、サーバ装置SVから端末TM1〜TMnに向かうダウンリンクにおいても、伝送遅延が発生することはなく、これによりスループットの低下は発生しない。
【0080】
(第4の実施形態)
この発明の第4の実施形態は、不正アクセス警告装置を不正アクセス警告装置本体と不正アクセス警告装置検知部とに分けて構成する。そして、端末からサーバ装置に対するアクセス要求が送信された場合に、不正アクセス警告装置検知部において上記不正アクセスに関する履歴情報を作成して記憶する。一方、不正アクセス警告装置本体は、上記不正アクセス警告装置検知部との間で通信を行って上記履歴情報を取得し、この履歴情報に含まれる発信者のアドレス情報をもとに、不正アクセス要求の発信者を宛先として以後サーバ装置が送信する返答情報を不正アクセス警告装置本体へ宛てに変更して送信させるためのルート情報を作成し、この作成されたルート情報をサーバ装置に設定する。そして、以後このルート情報に従い、上記サーバ装置から不正アクセス警告装置宛てに返答情報を送信させ、不正アクセス警告装置ではこの返答情報に替えて警告情報を発信者に通知するようにしたものである。
【0081】
図11は、この発明の第4の実施形態に係わる不正アクセス警告装置を備えたネットワークシステムの概略構成図である。本実施形態では、不正アクセス警告装置を、不正アクセス警告装置本体AS1と、不正アクセス警告装置検知部AS2とに分けて構成しており、これらの不正アクセス警告装置本体AS1及び不正アクセス警告装置検知部AS2をネットワーク接続装置NCにそれぞれ通信回線を介して接続している。また、不正アクセス警告装置本体AS1と不正アクセス警告装置検知部AS2との間は通信回線を介して相互に接続される。
【0082】
図12は、上記不正アクセス警告装置本体AS1及び不正アクセス警告装置検知部AS2の機能構成を示すブロック図である。
先ず不正アクセス警告装置本体AS1は、入出力部51,52と、制御部53と、発信者情報DB54と、ルート情報管理部55と、警告情報作成部56とを備えている。
【0083】
入出力部51は、ネットワーク接続装置NCとの間で通信パケットの送受信処理を行う。入出力部52は、不正アクセス警告装置検知部AS2との間で通信パケットの送受信処理を行う。発信者情報DB54には、端末TM1〜TMnからサーバ装置SVに対して行われた不正アクセスに関する履歴情報が記憶される。
【0084】
制御部53は、入出力部52を介して定期的に不正アクセス警告装置検知部AS2と通信を行い、新たに検知された不正アクセスの履歴情報を取得する。そして、この取得された履歴情報に含まれる不正アクセスの内容及び発信者のアドレス情報を発信者情報DB54に記憶させる。また、上記発信者のアドレス情報をルート情報作成指示と共にルート情報管理部55に通知して、ルート情報を作成させる。そして、ルート情報管理部55により作成されたルート情報を、入出力部51からサーバ装置SVへ送信する。
【0085】
また制御部53は、サーバ装置SVから送信された端末宛の返答情報がネットワーク接続装置NCを介して転送入力された場合に、当該返答情報の宛先となる発信者について不正アクセスの前歴があることを確認する。この判定の結果、発信者が不正アクセスの前歴を持つ場合には、警告情報作成部56により作成された警告情報を上記返答情報に替えて該当する発信者の端末へ送信する。
【0086】
ルート情報管理部55は、上記制御部53から送られた発信者のアドレス情報をもとに、当該発信者に対する返答情報をすべて不正アクセス警告装置本体AS1へ向け送信させるようにルート情報を作成して、上記制御部53に通知する。
【0087】
次に、不正アクセス警告装置検知部AS2は、入出力部61,62と、不正アクセス検出部63と、不正アクセス情報DB64と、サーバ情報DB65と、発信者情報DB66とを備えている。
【0088】
入出力部61は、ネットワーク接続装置NCから転送された通信パケットの受信処理を行う。入出力部62は、不正アクセス警告装置本体AS1との間で通信パケットの送受信処理を行う。不正アクセス情報DB64には、既知の複数種類の不正アクセスパターンが記憶されている。サーバ情報DB65には、保護しようとするサーバ装置SVが提供しているサービス種別等、サーバ装置SVに現在設定されている運用状態を表す情報が記憶されている。
【0089】
不正アクセス検出部63は、端末TM1〜TMnから到来したアクセス要求が不正アクセスであるか否かを、上記不正アクセス情報DB64或いはサーバ情報DB65をもとに判定する。そして、上記不正アクセス検出部63にて不正アクセスであると判定された場合に、当該不正アクセスの内容と発信者のアドレス情報を含む履歴情報を作成し、この履歴情報を発信者情報DB66に記憶させる。また、不正アクセス警告装置本体AS1から不正アクセス履歴の照会があった場合には、発信者情報DB66に保存されている情報を取り出し、入出力部62を介して不正アクセス警告装置本体AS1に送信する。
なお、ネットワーク接続装置NC及びサーバ装置SVの機能構成はそれぞれ第3の実施形態で述べた図7及び図8と同一なので、ここでの説明は省略する。
【0090】
次に、以上のように構成された不正アクセス警告装置ASを含むシステムの動作を、図13乃至図15に示す動作シーケンス図を使用して説明する。
いま例えば端末TM1からサーバ装置SVに対するアクセス要求が送信されたとする。そうすると上記アクセス要求は、図13に示すようにネットワーク接続装置NCの入出力部32から転送部34に一旦入力されたのち、入出力部33からサーバ装置SVへとそのまま転送される。また同時に上記アクセス要求は、転送部34のミラー機能により入出力部31から不正アクセス警告装置検知部AS2へも転送される。
【0091】
不正アクセス警告装置検知部AS2では、上記転送されたアクセス要求が入出力部61を介して不正アクセス検出部63に入力される。不正アクセス検出部63では、先ず不正アクセス情報DB64に記憶されている既知の不正アクセスパターンをもとに、上記転送されたアクセス要求が不正アクセスに該当するものか否かが判定される。そして、この判定により不正アクセスではないと判定されると、続いてサーバ情報DB65に記憶されているサーバ装置SVの運用状態を表す情報をもとに、上記転送されたアクセス要求がサーバ装置SVで提供されているサービスに対応するか否かが判定される。そして、サーバ装置SVが提供しているサービスに対応するものであれば、当該アクセス要求は正当なアクセス要求と判断され、特に処理は行われない。
【0092】
これに対し、上記アクセス要求が不正アクセスであると判定されると、不正アクセス検出部63は不正アクセスの内容を表す情報及び発信者のアドレス情報を含む履歴情報を作成する。そして、この不正アクセスの履歴情報を発信者情報DB66に記憶する。
【0093】
一方、図14に示すように不正アクセス警告装置本体AS1は、制御部53の制御の下、入出力部52から不正アクセス警告装置検知部AS2に対し、新しく追加された不正アクセスの履歴情報の問い合わせを定期的に行っている。不正アクセス警告装置検知部AS2は、入出力部62で上記問い合わせを受信すると、不正アクセス検出部63が発信者情報DB66に登録されている不正アクセスの履歴情報の中から、新しく追加された不正アクセスの履歴情報を読み出し、この読み出された履歴情報を入出力部62から不正アクセス警告装置本体AS1へ送信する。
【0094】
不正アクセス警告装置本体AS1は、図14に示すように、上記不正アクセス警告装置検知部AS2から送信された不正アクセスの履歴情報を入出力部52で受信すると、この受信された不正アクセスの履歴情報を制御部53により発信者情報DB54に記憶する。そして制御部53は、ルート情報管理部55に対し、上記記憶された履歴情報に含まれる不正アクセス発信者のIPアドレスを通知すると共にルート情報の作成を指示する。
【0095】
ルート情報管理部55は、上記通知された不正アクセスの送信元IPアドレスをもとにルート情報を作成し、この作成されたルート情報を制御部53に通知する。上記ルート情報の内容は、サーバ装置SVが不正アクセス要求の発信者を宛先として返答情報を送信する場合に、その宛先アドレスを不正アクセス警告装置本体AS1宛てに変更させるように設定される。制御部53は、ルート情報管理部55により作成されたルート情報を、図14に示すように入出力部51からサーバ装置SVへ送信する。サーバ装置SVは、上記不正アクセス警告装置本体AS1から送信されたルート情報を、入出力部41で受信してルーティング情報DB43に追加設定する。
【0096】
さてこの状態で、上記不正アクセスを行った前歴を持つ発信者の端末TM1からアクセス要求が送信されたとする。そうするとサーバ装置SVは、上記アクセス要求に対応する返答情報をサーバアプリケーション42により作成する。そして、この返答情報の宛先アドレスを、ルーティング情報DB43に設定されているルート情報に従い、端末TM1のアドレスから不正アクセス警告装置ASのアドレスに変更したのち、入出力部41から送信する。
【0097】
サーバ装置SVから上記返答情報が送信されると、この返答情報は図15に示すようにネットワーク接続装置NCの入出力部33を経て転送部34に入力される。転送部34は、上記返答情報の宛先アドレスが不正アクセス警告装置本体AS1のアドレスとなっているため、上記返答情報を入出力部31から不正アクセス警告装置本体AS1へ転送する。すなわち、不正アクセスを行った前歴を持つ端末TM1へ送られるべき返答情報は、端末TM1へは転送されず不正アクセス警告装置本体AS1へ転送される。
【0098】
上記返答情報が転送されると不正アクセス警告装置本体AS1では、制御部53により、当該返答情報の送信宛先である発信者が過去に不正アクセスを行った経歴を持つ発信者であるか否かが、確認のため判定される。この前歴の有無の判定は、発信者情報DB54に記憶されている不正アクセスの履歴情報を検索し、この履歴情報の中から上記到来したアクセス要求の発信者アドレスを含む履歴情報を探すことにより行われる。この前歴の確認判定の結果、不正アクセスの前歴が見つからなかった場合には、図15に示すように上記返答情報はネットワーク接続装置NCを介して宛先の端末TM1へ送信される。なお、この場合サーバ装置SVのルーティング情報DB43に登録されている該当ルート情報は抹消される。
【0099】
一方、上記前歴判定の結果、不正アクセスの前歴があることが確認されたとする。そうすると不正アクセス警告装置本体AS1では、図15に示すように制御部53から警告情報作成部56に対し警告情報の作成指示が与えられる。そして、この指示に従い警告情報作成部56により警告情報が作成されると、この警告情報は制御部53の制御により返答情報に替わって入出力部51からネットワーク接続装置NCを介して発信元の端末TM1へ送信される。上記警告情報には、履歴情報から抽出された不正アクセスの内容を表す情報と、この情報に対応する警告メッセージとが含められる。したがって端末TM1の発信者は、上記警告情報に含まれる不正アクセスの内容を表す情報と警告メッセージにより、不正アクセスの内容を明確に認識できる。
【0100】
以上のように第4の実施形態では、不正アクセス警告装置本体AS1において、不正アクセス警告装置検知部AS2により検出された、不正アクセスの前歴がある発信者のIPアドレスをもとに、不正アクセス要求の発信者を宛先として以後サーバ装置SVが送信する返答情報を不正アクセス警告装置本体AS1へ宛てに変更して送信させるためのルート情報を作成し、この作成されたルート情報をサーバ装置SVへ送信して登録する。そして、以後このルート情報に従い、上記サーバ装置SVが不正アクセスの前歴のある発信者宛の返答情報を不正アクセス警告装置本体AS1宛てに変更して送信し、不正アクセス警告装置本体AS1はこの返答情報に替えて警告情報を発信者に通知するようにしている。
【0101】
したがって、不正アクセスを行った前歴のある発信者がアクセス要求を送信すると、前記第3の実施形態と同様に、このアクセス要求に応じてサーバ装置SVが返送する返答情報に替えて警告情報が発信者に通知される。したがって、不正アクセスを行った前歴のある発信者に対して警告情報を確実に送信することができ、これにより警告装置としての機能を十分に果たすことができる。
【0102】
一方、端末TM1〜TMnから送信されたすべてのアクセス要求はネットワーク接続装置NCを介してそのままサーバ装置SVへ転送されるので、アップリンク上では伝送遅延は発生しない。またサーバ装置SVでは、不正アクセスの前歴がある端末宛の返答情報についてのみアドレス情報が不正アクセス警告装置本体AS1に変更され、不正アクセスの前歴がない端末宛ての返答情報については宛先アドレスが変更されずにそのまま送信される。このため、不正アクセスの前歴がない端末宛ての返答情報については、ネットワーク接続装置NCをそのまま通過して端末TM1へ転送されることになる。したがって、サーバ装置SVから端末TM1〜TMnに向かうダウンリンクにおいても、伝送遅延が発生することはなく、これによりスループットの低下は発生しない。
【0103】
さらに第4の実施形態では、不正アクセス警告装置ASを不正アクセス警告装置本体AS1と不正アクセス警告装置検知部AS2とに分けて構成している。このため、不正アクセス警告装置検知部或いは不正アクセス警告装置本体のいずれか一方が既に備えられている場合には、不足する構成又は機能のみを追加するだけで既存の構成をそのまま使用してこの発明を実施することが可能となり、これにより設備費のコストダウンを図ることができる。
【0104】
(その他の実施形態)
前記第1及び第2の実施形態においても、前記第4の実施形態と同様に不正アクセス警告装置ASを不正アクセス警告装置本体AS1と不正アクセス警告装置検知部AS2とに分けて構成してもよい。
【0105】
また、警告情報を作成する際には、該当する発信者の最新の不正アクセスの内容を表す情報だけでなく、上記発信者ごとに整理された履歴情報をもとに、該当する発信者に係わる過去のすべての不正アクセスの内容を表す情報を警告情報に含めて発信者に通知するようにしてもよい。さらに、不正アクセスの件数や不正アクセスの悪質度に応じて、異なる警告メッセージを警告情報に含めて通知するようにするとよい。
【0106】
また、アクセス要求の発信者が過去に不正を行った前歴があると判定された場合に、不正アクセスの履歴情報をもとに不正アクセスの悪質度(不正アクセスの回数や頻度を含む)を判定する。そして、この判定された悪質度に応じて、警告情報の通知処理の内容を異ならせるようにしてもよい。
【0107】
例えば、悪質度が所定の基準以下の場合には、発信者から到来したアクセス要求をそのままサーバ装置SVに転送し、このアクセス要求に対するサーバ装置SVからの返答情報に、警告情報を添付或いは挿入して発信者に通知する。一方、悪質度が所定の基準を超えている場合には、発信者から到来したアクセス要求がたとえ正当であっても、この正当なアクセス要求をサーバ装置SVには送らずに破棄して、その応答情報に替えて警告情報を発信者に通知するようにする。
【0108】
このように構成すると、例えば不正アクセスの内容が誤操作によるものと判断される発信者に対しては、サーバ装置SVからの返答情報を利用して、誤操作を指摘する比較的軽い注意を発信者に通知することができる。一方、不正アクセス回数又は頻度が多かったり故意の不正アクセスと判断される発信者に対しては、サーバ装置SVに対するアクセスを遮断しかつ警告メッセージの内容を強いものとすることで、発信者に対しより強い警告を与えることが可能となる。
【0109】
さらに、発信者に対し一度警告情報を通知した後は、当該発信者に対する警告情報の通知を一旦停止し、当該発信者が再度不正アクセスを行った場合に警告情報の通知を再開するように構成してもよい。
【0110】
さらに、前記第2及び第3の実施形態ではサーバ装置SVから端末宛てに送信された返答情報に替えて警告情報を発信者の端末へ送信するようにしたが、サーバ装置SVから送信された返答情報に警告情報を付加或いは挿入して該当する発信者の端末へ送信するようにしてもよい。このように構成すれば、サーバ装置SVからの返答情報に付加又は含めたかたちで警告情報が発信者に通知されるので、発信者の不慣れや誤操作が原因となって結果的に不正アクセスが行われた場合に、当該発信者に対し返答情報を利用するかたちで注意を喚起することができる。
【0111】
また、前記第1乃至第4の各実施形態で述べた不正アクセス警告装置は、その処理の一部又はすべてをソフトウエア、つまりプログラムをコンピュータに実行させることにより実現してもよい。
【0112】
その他、サーバ装置の設置場所やその機能と構成、端末の種類やその機能と構成、不正アクセス警告装置の構成及びその機能、不正アクセスに対する警告処理の手順とその内容等についても、この発明の要旨を逸脱しない範囲で種々変形して実施できる。
【0113】
要するに、この発明は上記各実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記各実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、各実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組み合せてもよい。
【0114】
【発明の効果】
以上詳述したようにこの発明では、不正アクセスを行った発信者のアドレス情報をもとに、当該発信者から発信された通信情報又は当該発信者宛の通信情報を不正アクセス警告装置へ転送させるためのルート情報を作成してネットワーク接続装置又はサーバ装置に設定し、このルート情報に従い、不正アクセスを行った発信者が送信した通信情報又は当該発信者宛の通信情報を不正アクセス警告装置へ転送して、不正アクセスに対する警告処理を行うようにしている。
【0115】
したがってこの発明によれば、サーバ装置に対するアクセスが増加しても、不正アクセス警告装置の負荷増大による遅延を発生させることなく、また通常のサービスを妨げることなく、不正アクセスを送信した発信者に対して確実に警告を通知することが可能な不正アクセス警告装置とそのプログラムを提供することができる。
【図面の簡単な説明】
【図1】この発明の第1の実施形態に係わる不正アクセス警告装置を備えたネットワークシステムの概略構成図。
【図2】図1に示した不正アクセス警告装置の構成を示すブロック図。
【図3】図1に示したネットワークシステムのネットワーク接続装置の構成を示すブロック図。
【図4】図2に示した不正アクセス警告装置を備えたネットワークシステムの動作を示すシーケンス図。
【図5】図2に示した不正アクセス警告装置を備えたネットワークシステムの動作を示すシーケンス図。
【図6】この発明の第2の実施形態に係わる不正アクセス警告装置を備えたネットワークシステムの動作を示すシーケンス図。
【図7】この発明の第3の実施形態に係わるネットワーク接続装置の構成を示すブロック図。
【図8】この発明の第3の実施形態に係わるサーバ装置の構成を示すブロック図。
【図9】この発明の第3の実施形態に係わる不正アクセス警告装置を備えたネットワークシステムの動作を示すシーケンス図。
【図10】この発明の第3の実施形態に係わる不正アクセス警告装置を備えたネットワークシステムの動作を示すシーケンス図。
【図11】この発明の第4の実施形態に係わる不正アクセス警告装置を備えたネットワークシステムの概略構成図。
【図12】図11に示した不正アクセス警告装置の構成を示すブロック図。
【図13】図12に示した不正アクセス警告装置を備えたネットワークシステムの動作を示すシーケンス図。
【図14】図12に示した不正アクセス警告装置を備えたネットワークシステムの動作を示すシーケンス図。
【図15】図12に示した不正アクセス警告装置を備えたネットワークシステムの動作を示すシーケンス図。
【符号の説明】
NW…通信ネットワーク、TM1〜TMn…端末、SV…サーバ装置、AS…不正アクセス警告装置、AS1…不正アクセス警告装置本体、AS2…不正アクセス警告装置検知部、11,21,22,23,31,32,33,41,51,52,61,62…入出力部、12,53…制御部、13,63…不正アクセス検出部、14,64…不正アクセス情報データベース、15,65…サーバ情報データベース、16,54,66…発信者情報データベース、17,55…ルート情報管理部、18,56…警告情報作成部、24,34…転送部、25,43…ルーティング情報データベース、42…サーバアプリケーション。[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to an unauthorized access warning device used in a network system including a server device and a terminal, and an unauthorized access warning program used in the device.
[0002]
[Prior art]
Unauthorized access from terminals to server devices via subscriber networks or computer networks such as the Internet has increased due to the increase in network transmission speed and terminal processing speed, and the outflow of automatic hacking tools. It is going on all the time. In particular, unauthorized access using an automatic hacking tool can be relatively easily performed even by a person with little knowledge of network technology and servers, and is expected to increase in the future.
[0003]
On the other hand, in order to combat such unauthorized access to the server device, for example, in the technical field of the Internet, an unauthorized access warning device that prevents unauthorized access to a WWW (World Wide Web) server is used. This unauthorized access warning device monitors, for example, an access request to a sample file of a WWW server and an unauthorized access request to a URL (Uniform Resource Locator) aimed at buffer overflow. Then, when an unauthorized access is detected, a function of sending back a warning message to the source terminal as a response to the access request is provided (for example, see Patent Document 1).
By providing such an unauthorized access warning device, for example, it is possible to display a warning message to a terminal of a caller who has made an unauthorized access to a WWW server using a browser, thereby suppressing subsequent unauthorized access. Can be.
[0004]
[Patent Document 1]
JP-A-2000-76191.
[0005]
[Problems to be solved by the invention]
However, this kind of conventional unauthorized access warning device has the following problems to be solved. That is, when an unauthorized access from a caller is performed using a protocol that requires a reply, such as HTTP (Hyper Text Transfer Protocol), a warning message is sent to the caller using a reply packet. It is possible.
[0006]
However, for unauthorized access using a protocol that does not require a response, even if the unauthorized access can be detected, a warning message cannot be notified to the sender. In general, intentional unauthorized access is often a one-way access that does not require a response, so that the above-described conventional unauthorized access warning device cannot expect a sufficient deterrent effect. Further, when unauthorized access is performed without using a browser, even if a warning message is transmitted, the warning message is not displayed on the terminal of the caller. Therefore, also in this case, the deterrent effect by the warning cannot be expected.
[0007]
Therefore, the present inventors have proposed the following countermeasures. That is, an unauthorized access warning device is provided between the terminal and the server device, and when an unauthorized access request to the server device comes from the terminal, history information on the unauthorized access is stored. Thereafter, each time an access request comes from a terminal, it is determined whether or not the sender is a sender having a history of unauthorized access in the past based on the history information, and If the caller has a history of unauthorized access in the past, the caller is notified of warning information.
With such a warning device, even if an unauthorized access is performed using a protocol that does not require a response or an access means that does not use a browser, when the same caller subsequently makes a legitimate access, the corresponding call is transmitted. Warning information to the user.
[0008]
However, in the conventionally proposed warning device, for all access requests from the terminal, a process of determining whether or not the sender of the access request has a history of unauthorized access in the past based on history information is performed. There is a need to do. When a caller with a history of unauthorized access is found, a process of creating a warning message and transmitting the message to the caller is performed. For this reason, when the number of accesses to the server device is small, the problem is not so large. However, when the number of accesses is large, the distribution of the access request may be delayed due to the determination processing and the creation / transmission processing of the warning message. . When the delay occurs, a decrease in throughput is caused, which leads to a decrease in service.
[0009]
SUMMARY OF THE INVENTION The present invention has been made in view of the above circumstances. It is intended that even if access to a server device increases, a delay due to an increase in the load on an unauthorized access warning device does not occur and a normal service is provided. It is an object of the present invention to provide an unauthorized access warning device capable of surely notifying a sender who has transmitted an unauthorized access of a warning without preventing the unauthorized access and a program therefor.
[0010]
[Means for Solving the Problems]
In order to achieve the above object, the present invention takes the following measures.
According to a first aspect of the present invention, an unauthorized access warning device is connected to a network connection device disposed between a terminal and a server device. In the unauthorized access warning device, an unauthorized access request from the terminal to the server device is transmitted to the network connection device. When transferred via the device, based on the source address information of the unauthorized access request, the communication information transmitted thereafter from the sender of the unauthorized access request is transferred to its own unauthorized access warning device. Route information is created, and the created route information is set in the network connection device. Then, when the communication information is transferred from the network connection device in accordance with the route information, warning information is notified to a sender of the communication information.
[0011]
Therefore, according to the first invention, an unauthorized access request transmitted from a terminal or communication information transmitted from a terminal having a history of unauthorized access in the past is transferred from the network connection device to the unauthorized access warning device without fail. Then, a warning process for unauthorized access is performed. For this reason, even if unauthorized access is made using a protocol that does not require a response or access means that does not use a browser, for example, when the same sender makes a legitimate access, warning information is sent to the sender. Can be notified. That is, a sufficient warning function against unauthorized access can be exerted.
[0012]
According to the first aspect, the normal access request and the communication information transmitted from the terminal are transmitted from the network connection device to the server device without passing through the unauthorized access warning device. Therefore, an access request or communication information to the server device is transmitted to the server device without causing a transmission delay, thereby preventing a decrease in throughput in the uplink and maintaining high serviceability. Become.
[0013]
Next, in the second invention, in the unauthorized access warning device, based on the source address information of the unauthorized access request, the communication information transmitted from the server device to the sender of the unauthorized access request as the destination is used by the unauthorized access warning device. Route information for transfer to the access warning device is created, and the created route information is set in the network connection device. Then, when the communication information addressed to the terminal is transferred from the network connection device in accordance with the route information, the warning information is notified to the caller who is the destination of the communication information.
[0014]
Therefore, according to the second invention, the communication information transmitted from the server device to the terminal having a history of unauthorized access is transferred from the network connection device to the unauthorized access warning device without fail, and the warning process for the unauthorized access is performed. Done. For this reason, it is possible to reliably notify the caller who has performed the unauthorized access of the warning information by using the communication information sent from the server device to the caller.
[0015]
According to the second invention, the communication information transmitted from the server device to the caller who has no background of unauthorized access is transmitted from the network connection device to the terminal without passing through the unauthorized access warning device. . For this reason, the communication information is transmitted to the terminal without causing a transmission delay, thereby preventing a decrease in downlink throughput and maintaining high serviceability.
[0016]
Further, in the third invention, in the unauthorized access warning device, based on the source address information of the unauthorized access request, communication information transmitted from the server device to the sender of the unauthorized access request is transmitted to the unauthorized access warning device. Route information for transmission to the destination is created, and the created route information is set in the server device. Then, when the communication information transmitted by the server device according to the route information is transferred from the network connection device, warning information is notified to a caller serving as a destination of the communication information.
[0017]
Therefore, according to the third aspect, communication information addressed to a terminal having a history of unauthorized access is transmitted after the destination is changed to the unauthorized access warning device in the server device. For this reason, communication information addressed to a terminal having a history of unauthorized access is transferred to the unauthorized access warning device without exception, and a warning process for unauthorized access is performed. For this reason, it is possible to reliably notify the caller who has performed the unauthorized access of the warning information by using the communication information sent from the server device to the caller.
[0018]
Further, according to the third aspect, communication information addressed to a terminal having no history of unauthorized access is transmitted from the server without change in destination. For this reason, the communication information does not pass through the unauthorized access warning device, and as a result, is transmitted to the terminal without a transmission delay, thereby preventing a decrease in downlink throughput and maintaining high serviceability. Dripping.
[0019]
In the second and third inventions, the communication information addressed to the terminal transferred to the unauthorized access warning device may have a delay due to recalculation of the frame size or the like. However, since this communication information is reply information to a caller who has originally made an unauthorized access to the server device, it does not lead to a decrease in service for other callers who have made a normal access.
[0020]
The first to third inventions may have the following various specific configurations.
In the first configuration, when an unauthorized access request to a server device is transferred from a terminal to a network connection device, history information relating to the unauthorized access is created and stored. Then, when the communication information is transferred, it is determined based on the history information whether or not the sender or destination of the communication information is a sender having a history of unauthorized access in the past. If it is determined that the sender has a history of unauthorized access, the sender of the communication information is notified of warning information. With this configuration, it is possible to more accurately determine the presence or absence of a history of unauthorized access based on the history information.
[0021]
In the second configuration, warning information is transmitted to the corresponding caller's terminal instead of the communication information transmitted from the server device. According to this configuration, since the warning information is notified instead of the communication information returned from the server device, a strong warning can be given to, for example, a caller who has intentionally made unauthorized access. In addition, a warning can be given to forgery or error of the address.
[0022]
In the third configuration, warning information is added to or inserted into the communication information transmitted from the server device, and the communication information is transmitted to the corresponding sender terminal. According to this configuration, the alert information is notified to the sender in a form added to or included in the response information from the server device, and as a result, unauthorized access was performed due to inexperienced or erroneous operation of the sender. In this case, the caller can be alerted using the response information.
[0023]
In a fourth configuration, history information is created and stored when an unauthorized access is detected. Then, when communication information addressed to a sender having a history of unauthorized access in the past is transferred, the malicious degree of the unauthorized access performed by the sender in the past is determined based on the history information, and A plurality of warning notification processes prepared in advance are selectively executed based on the result of the determination of the degree of maliciousness.
[0024]
With such a configuration, an appropriate warning process is automatically selected and executed according to the degree of maliciousness of unauthorized access. For example, for unauthorized access that is deemed to be intentional, a process for giving a strong warning to the sender is selected and executed, while for unauthorized access that is found to be caused by inexperienced or erroneous operation, the sender is notified of the operation. A process for giving a loose warning such as calling attention is selected and executed.
[0025]
In the fifth configuration, based on the unauthorized access history information created and stored at the time of detecting the unauthorized access, warning information including information indicating the content of the unauthorized access and a warning message corresponding to the content of the unauthorized access is generated. The generated warning information is transmitted to the terminal of the corresponding sender. With this configuration, it is possible to clearly notify the contents of the unauthorized access to the caller and call attention.
[0026]
In the sixth configuration, the unauthorized access warning device is configured by being divided into an unauthorized access detection unit and an unauthorized access warning unit. With such a configuration, for example, when one of the unauthorized access detection unit and the unauthorized access warning unit is already provided, the existing configuration can be used as it is by simply adding only the missing configuration or function. This makes it possible to implement the present invention, thereby making it possible to reduce equipment costs.
[0027]
BEST MODE FOR CARRYING OUT THE INVENTION
(1st Embodiment)
In the first embodiment of the present invention, an unauthorized access warning device is connected to a network connection device. Then, when an unauthorized access request to the server device is transmitted from the terminal, the unauthorized access warning device creates and stores history information on the unauthorized access, and thereafter, an access request transmitted from the terminal that has performed the unauthorized access. Is created and set in the network connection device so as to transfer the data to the unauthorized access warning device without transferring the data to the server device. Then, when an access request is transferred from the network connection device in accordance with the route information, the unauthorized access warning device notifies the caller of warning information.
[0028]
FIG. 1 is a schematic configuration diagram of a network system including an unauthorized access warning device according to the first embodiment of the present invention.
In the figure, NW is a communication network, for example, a wired subscriber network such as a Public Switched Telephone Network (PSTN) or an Integrated Service Digital Network (ISDN), a mobile communication network, a dedicated line network, and a CATVelevable (Cable TV). It includes a network and a computer network represented by the Internet.
[0029]
A large number of terminals TM1 to TMn are connected to this communication network NW, and a server SV is connected via a network connection device NC. Each of the terminals TM1 to TMn includes a fixed telephone, a personal computer, a mobile communication terminal, and a television terminal, and has an access function to the server SV. The server device SV is composed of, for example, a WWW server, and has a function of downloading web data in response to an access request from the terminals TM11 to TMn.
[0030]
Incidentally, an unauthorized access warning device AS is connected to the network connection device NC. The unauthorized access warning device AS has a function of monitoring unauthorized access to the server device SV from the terminals TM1 to TMn and notifying a caller who has performed the unauthorized access of a warning, and is configured as follows, for example. . FIG. 2 is a block diagram showing the functional configuration.
[0031]
That is, the unauthorized access warning device AS includes an input /
[0032]
The input /
[0033]
The unauthorized
[0034]
When the unauthorized
[0035]
The route
[0036]
On the other hand, the network connection device NC comprises, for example, a router, a switch, or a gateway, and is configured as follows. FIG. 4 is a functional block diagram showing the configuration. That is, the network connection device NC includes input /
[0037]
The input /
[0038]
In the
[0039]
Next, the operation of the network system including the unauthorized access warning device AS configured as described above will be described with reference to the operation sequences shown in FIGS.
Assume that an access request to the server SV has been transmitted from the terminal TM1. Then, the access request is once input from the input /
[0040]
In the unauthorized access warning device AS, the transferred access request is input to the unauthorized
[0041]
On the other hand, when the unauthorized
[0042]
Further, the
[0043]
Now, in this state, it is assumed that an access request is transmitted from a terminal of a caller having a previous history of performing the unauthorized access. Then, this access request is input to the
[0044]
In the unauthorized access warning device AS, when the access request is transferred, the
[0045]
On the other hand, it is assumed that as a result of the previous history determination, it is confirmed that there is a previous history of unauthorized access. In this case, assuming that the access request is an access request not expecting a response, a communication end signal is generated by the
[0046]
On the other hand, it is assumed that the access request has been transmitted by a protocol such as HTTP, telnet, FTP (File Transfer Protocol), ICMP (Internet Control Message Protocol), etc., for which a response is expected. In this case, as shown in FIG. 5, a warning information creation instruction is given from the
[0047]
As described above, in the first embodiment, when an unauthorized access to the server SV from the terminals TM1 to TMn arrives at the unauthorized access warning device AS connected to the network connection device NC, the history information on the unauthorized access is obtained. Is created and stored in the
[0048]
Therefore, when a caller who has a history of unauthorized access transmits an access request, warning information can be transmitted to the caller, and a function as a warning device can be achieved. On the other hand, an access request transmitted from a caller who has no previous history of unauthorized access is directly transmitted from the network connection device NC to the server device SV. For this reason, no transmission delay occurs in the uplink from the terminal to the server device SV, and a decrease in throughput does not occur.
[0049]
(Second embodiment)
According to a second embodiment of the present invention, when an unauthorized access request to a server device is transferred via a network connection device, the unauthorized access warning device creates and stores history information on the unauthorized access, Route information for transferring reply information transmitted from the device to the caller who made the above unauthorized access request to the unauthorized access warning device is created and set in the network connection device. Thereafter, when reply information is transferred from the network connection device to the unauthorized access warning device according to the route information, the warning information is notified to the sender instead of the reply information.
[0050]
FIG. 6 is a sequence diagram for explaining the operation of the unauthorized access warning device AS according to the second embodiment. Since the functional configurations of the unauthorized access warning device AS and the network connection device NC are the same as those in FIGS. 2 and 3 except for the processing contents, the description will be made with reference to FIGS.
[0051]
The route
[0052]
The
[0053]
The warning control function is to reconfirm the previous history of the unauthorized access by the destination terminals TM1 to TMn when the reply information addressed to the terminals TM1 to TMn from the server device SV is transferred from the network connection device NC according to the above route information. A function of transmitting warning information to the destination terminals TM1 to TMn in place of the response information is provided.
[0054]
With such a configuration, in the unauthorized access warning device AS, as in the first embodiment, every time an access request from the terminals TM1 to TMn to the server device SV is transferred via the network connection device NC, The unauthorized
[0055]
Further, in the unauthorized access warning device AS, route information is created in the route
[0056]
Now, in this state, it is assumed that an access request has been transmitted from the terminal TM1 of the caller having a previous history of performing the above unauthorized access, and reply information has been transmitted from the server SV in response to the access request. Then, the reply information is input to the
[0057]
When the response information is transferred, in the unauthorized access warning device AS, the
[0058]
On the other hand, it is assumed that as a result of the previous history determination, it is confirmed that there is a previous history of unauthorized access. Then, in the unauthorized access warning device AS, the
[0059]
As described above, in the second embodiment, when an unauthorized access to the server device SV is transferred from the terminals TM1 to TMn from the network connection device NC, a caller having a previous history of performing the unauthorized access from the server device SV is hereinafter referred to. Route information is created so that all reply information is transferred to the unauthorized access warning device AS, and this route information is registered in the network connection device NC. Then, when the reply information is transferred from the network connection device NC to the unauthorized access warning device AS in accordance with the route information, the previous history of the unauthorized access of the caller as the destination is reconfirmed. Warning information is sent to the sender's terminal.
[0060]
Therefore, when a sender who has a history of unauthorized access transmits an access request, warning information is notified to the sender instead of the response information returned by the server SV in response to the access request. Therefore, it is possible to reliably transmit warning information to a sender who has a history of performing unauthorized access, and thereby sufficiently function as a warning device.
[0061]
On the other hand, all the access requests transmitted from the terminals TM1 to TMn are directly transferred to the server device SV via the network connection device NC, so that no transmission delay occurs on the uplink. Also, of the reply information transmitted from the server SV, reply information addressed to a terminal having no previous history of unauthorized access passes through the network connection device NC as it is and is transferred to the terminal. Therefore, even in the downlink from the server device SV to the terminals TM1 to TMn, there is no transmission delay, so that the throughput does not decrease.
[0062]
(Third embodiment)
According to a third embodiment of the present invention, when an unauthorized access request to a server device is transferred via a network connection device, the unauthorized access warning device creates and stores history information on the unauthorized access, Route information for transmitting reply information transmitted by the server device to the unauthorized access warning device from the sender of the request thereafter is created, and the created route information is set in the server device. Then, in accordance with the route information, the server transmits reply information to the unauthorized access warning device, and the unauthorized access warning device notifies the sender of the warning information instead of the response information.
[0063]
FIGS. 7 and 8 are block diagrams showing the functional configurations of the network connection device NC and the server device SV according to the third embodiment. Note that the functional configuration of the unauthorized access warning device AS is the same as that of FIG. 2 except for the processing content, and thus the description will be given with reference to FIG.
[0064]
As shown in FIG. 7, the network connection device NC includes input /
[0065]
As shown in FIG. 8, the server SV includes an input /
[0066]
The route
[0067]
The
[0068]
The warning control function is provided, when the reply information addressed from the server device SV to the unauthorized access warning device AS is transferred via the network connection device NC, after reconfirming the previous history of the unauthorized access of the destination terminals TM1 to TMn. And a function of transmitting warning information to the destination terminals TM1 to TMn in place of the response information.
[0069]
Next, the operation of the network system including the unauthorized access warning device AS configured as described above will be described using the operation sequence shown in FIGS.
Assume that an access request to the server SV has been transmitted from the terminal TM1. Then, the access request is temporarily input from the input /
[0070]
In the unauthorized access warning device AS, the transferred access request is input to the unauthorized
[0071]
On the other hand, when the unauthorized
[0072]
Further, the
[0073]
Now, in this state, it is assumed that an access request has been transmitted from the terminal TM1 of the caller having a previous history of performing the unauthorized access. Then, the server SV creates response information corresponding to the access request by the
[0074]
When the response information is transmitted from the server SV, the response information is input to the
[0075]
When the response information is transferred, in the unauthorized access warning device AS, the
[0076]
On the other hand, it is assumed that as a result of the previous history determination, it is confirmed that there is a previous history of unauthorized access. Then, in the unauthorized access warning apparatus AS, a warning information creation instruction is given from the
[0077]
As described above, in the third embodiment, when an unauthorized access request to the server device SV is transferred through the network connection device NC, the unauthorized access warning device AS sets the destination to the sender of the unauthorized access request. Route information for transmitting reply information transmitted by the server SV to the unauthorized access warning device AS is created, and the created route information is set in the server SV. Then, the reply information transmitted by the server device SV is transferred to the unauthorized access warning device AS via the network connection device NC in accordance with the route information, and the warning information is transmitted from the unauthorized access warning device AS instead of the reply information. To be sent to the terminal.
[0078]
Therefore, when a sender who has a history of unauthorized access transmits an access request, warning information is notified to the sender instead of the response information returned by the server SV in response to the access request. Therefore, it is possible to reliably transmit warning information to a sender who has a history of performing unauthorized access, and thereby sufficiently function as a warning device.
[0079]
On the other hand, all the access requests transmitted from the terminals TM1 to TMn are directly transferred to the server device SV via the network connection device NC, so that no transmission delay occurs on the uplink. In the server SV, the address information is changed to the unauthorized access warning device AS only for the reply information addressed to the terminal having the history of unauthorized access, and the destination address is not changed for the reply information addressed to the terminal having no history of the unauthorized access. Is sent as is. Therefore, reply information addressed to a terminal having no previous history of unauthorized access passes through the network connection device NC and is transferred to the terminal TM1. Therefore, even in the downlink from the server device SV to the terminals TM1 to TMn, there is no transmission delay, so that the throughput does not decrease.
[0080]
(Fourth embodiment)
In the fourth embodiment of the present invention, the unauthorized access warning device is divided into an unauthorized access warning device main body and an unauthorized access warning device detection unit. Then, when an access request to the server device is transmitted from the terminal, the unauthorized access warning device detection unit creates and stores history information on the unauthorized access. On the other hand, the unauthorized access warning device main body communicates with the unauthorized access warning device detection unit to acquire the history information, and performs an unauthorized access request based on the address information of the sender included in the history information. Reply information transmitted from the server device to the sender of the destination is sent to the main body of the unauthorized access warning device, and route information is created for transmission. The created route information is set in the server device. Then, in accordance with the route information, the server transmits reply information to the unauthorized access warning device, and the unauthorized access warning device notifies the sender of the warning information instead of the response information.
[0081]
FIG. 11 is a schematic configuration diagram of a network system including an unauthorized access warning device according to the fourth embodiment of the present invention. In this embodiment, the unauthorized access warning device is divided into an unauthorized access warning device main body AS1 and an unauthorized access warning device detection unit AS2, and these unauthorized access warning device main body AS1 and unauthorized access warning device detection unit AS2 are configured. AS2 is connected to the network connection device NC via a communication line. Further, the unauthorized access warning device main body AS1 and the unauthorized access warning device detection unit AS2 are mutually connected via a communication line.
[0082]
FIG. 12 is a block diagram showing a functional configuration of the unauthorized access warning device main body AS1 and the unauthorized access warning device detection unit AS2.
First, the unauthorized access warning device main body AS1 includes input /
[0083]
The input /
[0084]
The
[0085]
Further, when the response information addressed to the terminal transmitted from the server device SV is transferred and input via the network connection device NC, the
[0086]
The route
[0087]
Next, the unauthorized access warning device detection unit AS2 includes input /
[0088]
The input /
[0089]
The unauthorized
Note that the functional configurations of the network connection device NC and the server device SV are the same as those shown in FIGS. 7 and 8 described in the third embodiment, and a description thereof will be omitted.
[0090]
Next, the operation of the system including the unauthorized access warning device AS configured as described above will be described with reference to the operation sequence diagrams shown in FIGS.
Assume that an access request to the server SV has been transmitted from the terminal TM1. Then, the access request is temporarily input from the input /
[0091]
In the unauthorized access warning device detection unit AS2, the transferred access request is input to the unauthorized
[0092]
On the other hand, if the access request is determined to be an unauthorized access, the unauthorized
[0093]
On the other hand, as shown in FIG. 14, under the control of the
[0094]
As shown in FIG. 14, the unauthorized access warning device main body AS1 receives the unauthorized access history information transmitted from the unauthorized access warning device detection unit AS2 at the input /
[0095]
The route
[0096]
Now, in this state, it is assumed that an access request has been transmitted from the terminal TM1 of the caller having a previous history of performing the unauthorized access. Then, the server SV creates response information corresponding to the access request by the
[0097]
When the response information is transmitted from the server SV, the response information is input to the
[0098]
When the response information is transferred, in the unauthorized access warning device main body AS1, the
[0099]
On the other hand, it is assumed that the result of the previous history determination confirms that there is a previous history of unauthorized access. Then, in the unauthorized access warning device main body AS1, as shown in FIG. 15, a warning information creation instruction is given from the
[0100]
As described above, in the fourth embodiment, the unauthorized access warning device main body AS1 detects an unauthorized access request based on the IP address of a caller who has a history of unauthorized access, detected by the unauthorized access warning device detection unit AS2. Reply information transmitted from the server SV to the sender of the destination is changed to the unauthorized access warning device main body AS1 to create route information for transmission, and the created route information is transmitted to the server SV. And register. Then, in accordance with the route information, the server device SV changes the response information addressed to the caller who has a history of unauthorized access to the unauthorized access warning device main body AS1 and transmits it, and the unauthorized access warning device main body AS1 transmits the response information. Instead, warning information is sent to the caller.
[0101]
Therefore, when a caller having a previous history of unauthorized access sends an access request, warning information is sent instead of the reply information returned by the server SV in response to this access request, as in the third embodiment. Is notified. Therefore, the warning information can be reliably transmitted to the caller who has a previous history of performing the unauthorized access, whereby the function as the warning device can be sufficiently performed.
[0102]
On the other hand, all the access requests transmitted from the terminals TM1 to TMn are directly transferred to the server device SV via the network connection device NC, so that no transmission delay occurs on the uplink. In the server SV, the address information is changed to the unauthorized access warning device main body AS1 only for the response information addressed to the terminal having a history of unauthorized access, and the destination address is changed for the response information addressed to the terminal having no history of unauthorized access. Sent as is. Therefore, reply information addressed to a terminal having no previous history of unauthorized access passes through the network connection device NC and is transferred to the terminal TM1. Therefore, even in the downlink from the server device SV to the terminals TM1 to TMn, there is no transmission delay, so that the throughput does not decrease.
[0103]
Further, in the fourth embodiment, the unauthorized access warning device AS is divided into an unauthorized access warning device main body AS1 and an unauthorized access warning device detection unit AS2. Therefore, when either the unauthorized access warning device detection unit or the unauthorized access warning device main body is already provided, the present invention can be used by simply adding only the missing configuration or function and using the existing configuration as it is. Can be implemented, thereby reducing the equipment cost.
[0104]
(Other embodiments)
Also in the first and second embodiments, similarly to the fourth embodiment, the unauthorized access warning device AS may be divided into an unauthorized access warning device main body AS1 and an unauthorized access warning device detection unit AS2. .
[0105]
Also, when creating the warning information, not only the information indicating the latest unauthorized access content of the corresponding sender, but also the relevant sender based on the history information arranged for each sender. Information indicating the contents of all past unauthorized accesses may be included in the warning information and notified to the caller. Furthermore, different warning messages may be included in the warning information and notified according to the number of unauthorized accesses and the degree of malicious access.
[0106]
In addition, when it is determined that the sender of the access request has a previous history of making an unauthorized act, the degree of malicious access (including the number and frequency of unauthorized access) is determined based on the history information of the unauthorized access. I do. Then, the content of the notification process of the warning information may be changed according to the determined degree of maliciousness.
[0107]
For example, when the degree of maliciousness is equal to or less than a predetermined standard, an access request arrived from a caller is transferred to the server SV as it is, and warning information is attached or inserted into response information from the server SV for the access request. To notify the caller. On the other hand, if the degree of maliciousness exceeds the predetermined standard, even if the access request from the sender is valid, the valid access request is discarded without being sent to the server SV. Alert information is sent to the caller instead of response information.
[0108]
With such a configuration, for example, for a caller whose contents of unauthorized access are determined to be due to an erroneous operation, the response information from the server device SV is used to give the sender a relatively light attention indicating the erroneous operation. Can be notified. On the other hand, for a caller whose number or frequency of unauthorized access is high or which is determined to be intentional unauthorized access, access to the server device SV is blocked and the content of the warning message is strengthened, so that It is possible to give a stronger warning.
[0109]
Furthermore, after the notification of the warning information to the caller once, the notification of the warning information to the caller is temporarily stopped, and the notification of the warning information is restarted when the caller makes an unauthorized access again. May be.
[0110]
Further, in the second and third embodiments, the warning information is transmitted to the terminal of the caller in place of the response information transmitted from the server SV to the terminal, but the response transmitted from the server SV is transmitted. Warning information may be added to or inserted into the information and transmitted to the terminal of the corresponding sender. With this configuration, the alert information is notified to the sender in a form added to or included in the response information from the server SV, and as a result, unauthorized access is performed due to inexperienced or erroneous operation of the sender. In this case, the caller can be alerted by using the reply information.
[0111]
The unauthorized access warning device described in each of the first to fourth embodiments may be realized by causing a computer to execute software, that is, a program, for part or all of the processing.
[0112]
In addition, the gist of the present invention also relates to the installation location of the server device and its function and configuration, the type of terminal and its function and configuration, the configuration and function of the unauthorized access warning device, the procedure and contents of warning processing for unauthorized access, and the like. Various modifications can be made without departing from the scope of the present invention.
[0113]
In short, the present invention is not limited to the above embodiments as they are, and can be embodied by modifying the components without departing from the scope of the invention in the implementation stage. In addition, various inventions can be formed by appropriately combining a plurality of constituent elements disclosed in the above embodiments. For example, some components may be deleted from all the components shown in each embodiment. Further, components of different embodiments may be appropriately combined.
[0114]
【The invention's effect】
As described above in detail, according to the present invention, based on the address information of the caller who has performed the unauthorized access, the communication information transmitted from the caller or the communication information addressed to the caller is transferred to the unauthorized access warning device. Route information for the network connection device or server device, and in accordance with this route information, transfer the communication information transmitted by the caller who made the unauthorized access or the communication information addressed to the caller to the unauthorized access warning device Then, a warning process for unauthorized access is performed.
[0115]
Therefore, according to the present invention, even if the access to the server device increases, the caller who transmitted the unauthorized access can be provided without causing a delay due to an increase in the load on the unauthorized access warning device and without interrupting the normal service. And an unauthorized access warning device capable of surely notifying a warning.
[Brief description of the drawings]
FIG. 1 is a schematic configuration diagram of a network system including an unauthorized access warning device according to a first embodiment of the present invention.
FIG. 2 is a block diagram showing a configuration of an unauthorized access warning device shown in FIG. 1;
FIG. 3 is a block diagram showing a configuration of a network connection device of the network system shown in FIG. 1;
FIG. 4 is a sequence diagram showing an operation of a network system including the unauthorized access warning device shown in FIG. 2;
FIG. 5 is a sequence diagram showing an operation of the network system including the unauthorized access warning device shown in FIG. 2;
FIG. 6 is a sequence diagram showing an operation of a network system including the unauthorized access warning device according to the second embodiment of the present invention.
FIG. 7 is a block diagram showing a configuration of a network connection device according to a third embodiment of the present invention.
FIG. 8 is a block diagram showing a configuration of a server device according to a third embodiment of the present invention.
FIG. 9 is a sequence diagram showing an operation of the network system including the unauthorized access warning device according to the third embodiment of the present invention.
FIG. 10 is a sequence diagram showing an operation of a network system including an unauthorized access warning device according to a third embodiment of the present invention.
FIG. 11 is a schematic configuration diagram of a network system including an unauthorized access warning device according to a fourth embodiment of the present invention.
FIG. 12 is a block diagram showing a configuration of the unauthorized access warning device shown in FIG. 11;
FIG. 13 is a sequence diagram showing an operation of the network system including the unauthorized access warning device shown in FIG. 12;
FIG. 14 is a sequence diagram showing an operation of the network system including the unauthorized access warning device shown in FIG. 12;
FIG. 15 is a sequence diagram showing an operation of the network system including the unauthorized access warning device shown in FIG. 12;
[Explanation of symbols]
NW: communication network, TM1 to TMn: terminal, SV: server device, AS: unauthorized access warning device, AS1: unauthorized access warning device main body, AS2: unauthorized access warning
Claims (19)
前記端末から前記サーバ装置に対する不正アクセス要求が前記ネットワーク接続装置から転送された場合に、当該不正アクセス要求の発信元アドレス情報をもとに、当該不正アクセス要求の発信者から以後発信される通信情報を自己の不正アクセス警告装置へ転送させるためのルート情報を作成する手段と、
前記作成されたルート情報を前記ネットワーク接続装置に設定する手段と、
前記ルート情報に従い前記ネットワーク接続装置から通信情報が転送された場合に、当該通信情報の発信者に対し警告情報を通知する警告通知手段と
を具備することを特徴とする不正アクセス警告装置。An unauthorized access warning device connected to a network connection device provided between the terminal and the server device,
Communication information transmitted from the sender of the unauthorized access request based on the source address information of the unauthorized access request when an unauthorized access request to the server device is transferred from the network connection device from the terminal; Means for creating route information for transferring the information to its own unauthorized access warning device;
Means for setting the created route information in the network connection device,
When the communication information is transferred from the network connection device in accordance with the route information, a warning notifying unit for notifying a sender of the communication information of warning information is provided.
前記端末から前記サーバ装置に対する不正アクセス要求が前記ネットワーク接続装置から転送された場合に、当該不正アクセス要求の発信元アドレス情報をもとに、当該不正アクセス要求の発信者を宛先として以後前記サーバ装置から送信される通信情報を自己の不正アクセス警告装置へ転送させるためのルート情報を作成する手段と、
前記作成されたルート情報を前記ネットワーク接続装置に設定する手段と、
前記ルート情報に従い前記ネットワーク接続装置から通信情報が転送された場合に、当該通信情報の宛先となる発信者に対し警告情報を通知する警告通知手段とを具備することを特徴とする不正アクセス警告装置。An unauthorized access warning device connected to a network connection device provided between the terminal and the server device,
When an unauthorized access request from the terminal to the server device is transferred from the network connection device, the server device is addressed to the sender of the unauthorized access request based on the source address information of the unauthorized access request. Means for creating route information for transferring communication information transmitted from the device to its own unauthorized access warning device,
Means for setting the created route information in the network connection device,
An unauthorized access warning device, comprising: warning notification means for notifying warning information to a caller serving as a destination of the communication information when communication information is transferred from the network connection device according to the route information. .
前記端末から前記サーバ装置に対する不正アクセス要求が前記ネットワーク接続装置から転送された場合に、当該不正アクセス要求の発信元アドレス情報をもとに、当該不正アクセス要求の発信者を宛先として以後前記サーバ装置が送信する通信情報を自己の不正アクセス警告装置へ宛てて送信させるためのルート情報を作成する手段と、
前記作成されたルート情報を前記サーバ装置に設定する手段と、
前記ルート情報に従い前記サーバ装置が送信した通信情報が前記ネットワーク接続装置から転送された場合に、当該通信情報の宛先となる発信者に対し警告情報を通知する警告通知手段と
を具備することを特徴とする不正アクセス警告装置。An unauthorized access warning device connected to a network connection device provided between the terminal and the server device,
When an unauthorized access request from the terminal to the server device is transferred from the network connection device, the server device is addressed to the sender of the unauthorized access request based on the source address information of the unauthorized access request. Means for creating route information for transmitting communication information transmitted by the device to its own unauthorized access warning device,
Means for setting the created route information in the server device;
When the communication information transmitted by the server device according to the route information is transferred from the network connection device, the communication device further includes a warning notification unit that notifies warning information to a caller serving as a destination of the communication information. Unauthorized access warning device.
前記通信情報が転送された場合に、当該通信情報の発信者又は宛先が過去に不正アクセスを行った経歴のある発信者であるか否かを、前記履歴記憶手段に記憶されている履歴情報をもとに判定する判定手段と
を、さらに具備し、
前記警告通知手段は、前記転送された通信情報の発信者又は宛先が過去に不正アクセスを行った経歴のある発信者であると前記判定手段が判定した場合に、当該通信情報の宛先となる発信者に対し警告情報を通知することを特徴とする請求項1乃至3のいずれかに記載の不正アクセス警告装置。History storage means for creating and storing history information on the unauthorized access when an unauthorized access request to the server device is transferred from the terminal from the network connection device;
When the communication information is transferred, whether or not the sender or destination of the communication information is a sender with a history of unauthorized access in the past is determined based on the history information stored in the history storage unit. And determining means based on the determination,
The warning notifying unit, when the determining unit determines that the sender or the destination of the transferred communication information is a sender having a history of unauthorized access in the past, the transmission as the destination of the communication information. The unauthorized access warning device according to claim 1, wherein warning information is notified to a user.
過去に不正アクセスを行った経歴のある発信者宛ての通信情報が転送された場合に、当該発信者が過去に行った不正アクセスの悪質度を前記履歴記憶手段に記憶されている履歴情報をもとに判定する手段と、
前記悪質度の判定結果に基づいて、予め用意された複数の警告通知処理を選択的に実行する手段と
を備えることを特徴とする請求項4記載の不正アクセス警告装置。The warning notifying means,
When communication information addressed to a caller who has a history of unauthorized access in the past is transferred, the malicious information of the unauthorized access performed by the caller in the past may be stored in the history information stored in the history storage unit. Means for determining
5. The unauthorized access warning device according to claim 4, further comprising means for selectively executing a plurality of prepared warning notification processes based on the result of the determination of the degree of maliciousness.
前記ネットワーク接続装置に接続されると共に、前記不正アクセス検知部に対し通信回線を介して接続される不正アクセス警告部とを具備し、
前記不正アクセス検知部は、
前記端末から前記サーバ装置に対するアクセス要求が到来した場合に、当該アクセス要求が不正アクセスであるか否かを判定する手段を備え、
前記不正アクセス警告部は、
前記不正アクセス検知部により前記アクセス要求が不正アクセスと判定された場合に、当該不正アクセスの発信者情報をもとに、当該不正アクセスの発信者から以後発信される通信情報を自己の不正アクセス警告部へ転送させるためのルート情報を作成する手段と、
前記作成されたルート情報を前記ネットワーク接続装置に設定する手段と、
前記ルート情報に従い前記ネットワーク接続装置から通信情報が転送された場合に、当該通信情報の発信者に対し警告情報を通知する警告通知手段とを備えることを特徴とする不正アクセス警告装置。An unauthorized access detection unit connected to a network connection device provided between the terminal and the server device;
An unauthorized access warning unit connected to the network connection device and connected to the unauthorized access detection unit via a communication line,
The unauthorized access detection unit,
When an access request for the server device arrives from the terminal, the device includes means for determining whether the access request is an unauthorized access,
The unauthorized access warning unit,
If the access request is determined to be an unauthorized access by the unauthorized access detection unit, the communication information transmitted from the sender of the unauthorized access based on the sender information of the unauthorized access is used to warn the user of the unauthorized access. Means for creating route information to be forwarded to the department;
Means for setting the created route information in the network connection device,
When the communication information is transferred from the network connection device in accordance with the route information, a warning notifying unit for notifying a sender of the communication information of warning information is provided.
前記ネットワーク接続装置に接続されると共に、前記不正アクセス検知部に対し通信回線を介して接続される不正アクセス警告部とを具備し、
前記不正アクセス検知部は、
前記端末から前記サーバ装置に対するアクセス要求が到来した場合に、当該アクセス要求が不正アクセスであるか否かを判定する手段を備え、
前記不正アクセス警告部は、
前記不正アクセス検知部により前記アクセス要求が不正アクセスと判定された場合に、当該不正アクセスの発信者情報をもとに、当該不正アクセスの発信者を宛先として以後前記サーバ装置から送信される通信情報を自己の不正アクセス警告部へ転送させるためのルート情報を作成する手段と、
前記作成されたルート情報を前記ネットワーク接続装置に設定する手段と、
前記ルート情報に従い前記ネットワーク接続装置から通信情報が転送された場合に、当該通信情報の宛先となる発信者に対し警告情報を通知する警告通知手段とを備えることを特徴とする不正アクセス警告装置。An unauthorized access detection unit connected to a network connection device provided between the terminal and the server device;
An unauthorized access warning unit connected to the network connection device and connected to the unauthorized access detection unit via a communication line,
The unauthorized access detection unit,
When an access request for the server device arrives from the terminal, the device includes means for determining whether the access request is an unauthorized access,
The unauthorized access warning unit,
When the access request is determined to be unauthorized access by the unauthorized access detection unit, based on the sender information of the unauthorized access, communication information transmitted from the server device to the sender of the unauthorized access thereafter Means for creating route information for transferring the information to its own unauthorized access warning unit,
Means for setting the created route information in the network connection device,
When the communication information is transferred from the network connection device in accordance with the route information, the unauthorized access warning device includes warning notification means for notifying a caller serving as a destination of the communication information of warning information.
前記ネットワーク接続装置に接続されると共に、前記不正アクセス検知部に対し通信回線を介して接続される不正アクセス警告部とを具備し、
前記不正アクセス検知部は、
前記端末から前記サーバ装置に対するアクセス要求が到来した場合に、当該アクセス要求が不正アクセスであるか否かを判定する手段を備え、
前記不正アクセス警告部は、
前記不正アクセス検知部により前記アクセス要求が不正アクセスと判定された場合に、当該不正アクセスの発信者情報をもとに、当該不正アクセスの発信者を宛先として以後前記サーバ装置が送信する通信情報を自己の不正アクセス警告部へ宛てて送信させるためのルート情報を作成する手段と、
前記作成されたルート情報を前記サーバ装置に設定する手段と、
前記ルート情報に従い前記サーバ装置が送信した通信情報が前記ネットワーク接続装置から転送された場合に、当該通信情報の宛先となる発信者に対し警告情報を通知する警告通知手段とを備えることを特徴とする不正アクセス警告装置。An unauthorized access detection unit connected to a network connection device provided between the terminal and the server device;
An unauthorized access warning unit connected to the network connection device and connected to the unauthorized access detection unit via a communication line,
The unauthorized access detection unit,
When an access request for the server device arrives from the terminal, the device includes means for determining whether the access request is an unauthorized access,
The unauthorized access warning unit,
When the access request is determined to be unauthorized access by the unauthorized access detection unit, based on the sender information of the unauthorized access, the communication information transmitted by the server device to the sender of the unauthorized access thereafter. Means for creating route information for transmission to its own unauthorized access warning unit,
Means for setting the created route information in the server device;
When communication information transmitted by the server device according to the route information is transferred from the network connection device, the communication device further includes a warning notification unit that notifies warning information to a caller serving as a destination of the communication information. Unauthorized access warning device.
前記アクセス要求が不正アクセスと判定された場合に、当該不正アクセスに関する履歴情報を作成して記憶する手段を備え、
前記不正アクセス警告部は、さらに
前記通信情報が転送された場合に、当該通信情報の発信者又は宛先が過去に不正アクセスを行った経歴のある発信者であるか否かを、前記不正アクセス検知部に記憶されている履歴情報をもとに判定する判定手段を備え、
前記警告通知手段は、前記転送された通信情報の発信者又は宛先が過去に不正アクセスを行った経歴のある発信者であると前記判定手段が判定した場合に、当該通信情報の宛先となる発信者に対し警告情報を通知することを特徴とする請求項9乃至11のいずれかに記載の不正アクセス警告装置。The unauthorized access detection unit further includes, when the access request is determined to be unauthorized access, a unit that creates and stores history information regarding the unauthorized access,
The unauthorized access warning unit is further configured to, when the communication information is transferred, determine whether a sender or a destination of the communication information is a sender having a history of unauthorized access in the past, by the unauthorized access detection. Determining means based on the history information stored in the section,
The warning notifying unit, when the determining unit determines that the sender or the destination of the transferred communication information is a sender having a history of unauthorized access in the past, the transmission as the destination of the communication information. 12. The unauthorized access warning device according to claim 9, wherein the warning information is notified to a user.
前記転送された通信情報の発信者が過去に不正アクセスを行った経歴のある発信者であると前記判定手段が判定した場合に、当該発信者が過去に行った不正アクセスの悪質度を前記履歴記憶手段に記憶されている履歴情報をもとに判定する手段と、
前記悪質度の判定結果に基づいて、予め用意された複数の警告通知処理を選択的に実行する手段と
を備えることを特徴とする請求項12記載の不正アクセス警告装置。The warning notifying means,
When the determination unit determines that the sender of the transferred communication information is a sender who has a history of unauthorized access in the past, the history of the malicious access performed by the sender in the past is stored in the history. Means for determining based on history information stored in the storage means,
13. The unauthorized access warning device according to claim 12, further comprising means for selectively executing a plurality of prepared warning notification processes based on the result of the determination of the degree of maliciousness.
前記端末から前記サーバ装置に対する不正アクセス要求が前記ネットワーク接続装置から転送された場合に、当該不正アクセス要求の発信元アドレス情報をもとに、当該不正アクセス要求の発信者から以後発信される通信情報を自己の不正アクセス警告装置へ転送させるためのルート情報を作成する処理と、
前記作成されたルート情報を前記ネットワーク接続装置に設定する処理と、
前記ルート情報に従い前記ネットワーク接続装置から通信情報が転送された場合に、当該通信情報の発信者に対し警告情報を通知する処理と
を、前記コンピュータに実行させる不正アクセス警告装置のプログラム。A program of an unauthorized access warning device that is connected to a network connection device provided between a terminal and a server device, and executes a warning process for unauthorized access by a computer,
Communication information transmitted from the sender of the unauthorized access request based on the source address information of the unauthorized access request when an unauthorized access request to the server device is transferred from the network connection device from the terminal; Processing to create route information for transferring the information to its own unauthorized access warning device;
A process of setting the created route information in the network connection device;
A program for causing the computer to execute, when communication information is transferred from the network connection device in accordance with the route information, a process of notifying a sender of the communication information of warning information.
前記端末から前記サーバ装置に対する不正アクセス要求が前記ネットワーク接続装置から転送された場合に、当該不正アクセス要求の発信元アドレス情報をもとに、当該不正アクセス要求の発信者を宛先として以後前記サーバ装置から送信される通信情報を自己の不正アクセス警告装置へ転送させるためのルート情報を作成する処理と、
前記作成されたルート情報を前記ネットワーク接続装置に設定する処理と、
前記ルート情報に従い前記ネットワーク接続装置から通信情報が転送された場合に、当該通信情報の宛先となる発信者に対し警告情報を通知する処理と
を、前記コンピュータに実行させる不正アクセス警告装置のプログラム。A program of an unauthorized access warning device that is connected to a network connection device provided between a terminal and a server device, and executes a warning process for unauthorized access by a computer,
When an unauthorized access request from the terminal to the server device is transferred from the network connection device, the server device is addressed to the sender of the unauthorized access request based on the source address information of the unauthorized access request. A process of creating route information for transferring communication information transmitted from the device to its own unauthorized access warning device,
A process of setting the created route information in the network connection device;
A program for causing the computer to execute, when the communication information is transferred from the network connection device in accordance with the route information, a process of notifying the sender of the communication information of the warning information.
前記端末から前記サーバ装置に対する不正アクセス要求が前記ネットワーク接続装置から転送された場合に、当該不正アクセス要求の発信元アドレス情報をもとに、当該不正アクセス要求の発信者を宛先として以後前記サーバ装置が送信する通信情報を自己の不正アクセス警告装置へ宛てて送信させるためのルート情報を作成する処理と、
前記作成されたルート情報を前記サーバ装置に設定する処理と、
前記ルート情報に従い前記サーバ装置が送信した通信情報が前記ネットワーク接続装置から転送された場合に、当該通信情報の宛先となる発信者に対し警告情報を通知する警告通知処理と
を、前記コンピュータに実行させる不正アクセス警告装置のプログラム。A program of an unauthorized access warning device that is connected to a network connection device provided between a terminal and a server device, and executes a warning process for unauthorized access by a computer,
When an unauthorized access request from the terminal to the server device is transferred from the network connection device, the server device is addressed to the sender of the unauthorized access request based on the source address information of the unauthorized access request. A process of creating route information for transmitting communication information to be transmitted to its own unauthorized access warning device;
A process of setting the created route information in the server device;
Executing, when the communication information transmitted by the server device according to the route information is transferred from the network connection device, a warning notification process of notifying warning information to a caller serving as a destination of the communication information, to the computer. An unauthorized access warning device program that causes
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003111678A JP2004320453A (en) | 2003-04-16 | 2003-04-16 | Unauthorized access warning device and its program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003111678A JP2004320453A (en) | 2003-04-16 | 2003-04-16 | Unauthorized access warning device and its program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004320453A true JP2004320453A (en) | 2004-11-11 |
Family
ID=33472160
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003111678A Pending JP2004320453A (en) | 2003-04-16 | 2003-04-16 | Unauthorized access warning device and its program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004320453A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007259137A (en) * | 2006-03-23 | 2007-10-04 | Ntt Communications Kk | Packet transfer device, packet transfer method, and program |
JP4686642B1 (en) * | 2010-06-11 | 2011-05-25 | 大野 泰嗣 | Nuisance call rejection system |
-
2003
- 2003-04-16 JP JP2003111678A patent/JP2004320453A/en active Pending
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007259137A (en) * | 2006-03-23 | 2007-10-04 | Ntt Communications Kk | Packet transfer device, packet transfer method, and program |
WO2007119491A1 (en) * | 2006-03-23 | 2007-10-25 | Ntt Communications Corporation | Packet transfer device, packet transfer method, and program |
US8091136B2 (en) | 2006-03-23 | 2012-01-03 | Ntt Communications Corporation | Packet transfer device, packet transfer method, and program |
JP4686642B1 (en) * | 2010-06-11 | 2011-05-25 | 大野 泰嗣 | Nuisance call rejection system |
JP2011259355A (en) * | 2010-06-11 | 2011-12-22 | Ono Yasuji | Nuisance call connection refusal system |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1903745B1 (en) | System and method for preventing spam over internet telephony | |
US8599695B2 (en) | Selective internet priority service | |
US9071974B2 (en) | Mobile telephone firewall and compliance enforcement system and method | |
US9166938B2 (en) | System and method for improved notifications | |
US11509665B2 (en) | System, method and computer readable medium for message authentication to subscribers of an internet service provider | |
JP2008526144A (en) | Method, system and apparatus for realizing data service security in a mobile communication system | |
CA2326251A1 (en) | System, method and computer program product for support of bearer path services in a distributed control network | |
JP2004320453A (en) | Unauthorized access warning device and its program | |
Cisco | Release Notes for the BTS 10200 Release 2.0 | |
JP2007264990A (en) | Automatic notification device of illegal communication and automatic notification program of unauthorized communication | |
US8046419B2 (en) | Method of processing open asynchronous application service event and open web service gateway implementing the same | |
JP2003330887A (en) | Illegal access warning device, server device, and illegal access warning program | |
KR100814248B1 (en) | System for preventing mobile terminal from receiving call in mobile network and method therefor | |
JP2007066117A (en) | Information notification method and server | |
CA2700809C (en) | Process to protect against viruses/spam in mobile broadcast networks | |
JP3781680B2 (en) | Terminal for performing packet transmission by wireless communication, and program for the terminal | |
WO2006075378A1 (en) | Network management program, server control program, network management device, server, and network management method | |
JP2001268261A (en) | Method for providing data communication service using mobile network, mobile unit for receiving data communication service using the mobile network, and external device | |
JP3392098B2 (en) | Switch for intelligent network service between networks | |
KR101328035B1 (en) | Method and apparatus for preventing wap abnormal connection | |
JP2007096941A (en) | Repeater system | |
EP1903830A1 (en) | Cellular data system security method | |
JP2002305552A (en) | Dialup connection method, communication network system, server unit and communication terminal | |
JP2003324460A (en) | Method for displaying error message in access control and gateway device | |
JP2007013614A (en) | Communication control apparatus and communication control method |