JP2004520654A - クラッカー追跡システムとその方法、およびこれを利用した認証システムとその方法 - Google Patents

クラッカー追跡システムとその方法、およびこれを利用した認証システムとその方法 Download PDF

Info

Publication number
JP2004520654A
JP2004520654A JP2002588402A JP2002588402A JP2004520654A JP 2004520654 A JP2004520654 A JP 2004520654A JP 2002588402 A JP2002588402 A JP 2002588402A JP 2002588402 A JP2002588402 A JP 2002588402A JP 2004520654 A JP2004520654 A JP 2004520654A
Authority
JP
Japan
Prior art keywords
user
location information
web agent
web
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002588402A
Other languages
English (en)
Inventor
ワン スー キム,
Original Assignee
トライオプス コーポレイション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by トライオプス コーポレイション filed Critical トライオプス コーポレイション
Publication of JP2004520654A publication Critical patent/JP2004520654A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2111Location-sensitive, e.g. geographical location, GPS
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2119Authenticating web pages, e.g. with suspicious links
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Mathematical Physics (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

【課題】本発明の目的は、クラッカーの源泉位置を確認することのできるクラッカー追跡システム、および方法を提供することにある。
【解決手段】上記のような目的を達成するためになされた本発明は、一定のウェブページ内に挿入するウェブエージェントと、HTTPヘッダーを分析してユーザーのアクセス位置情報を表示するための位置表示手段と、該HTTPヘッダーを分析して獲得された前記ユーザーの位置情報とウェブエージェントによって獲得されたユーザーの位置情報を照合するための照合手段と、前記ウェブエージェントによって獲得された位置情報を利用してユーザーの源泉位置情報を検索するための追跡手段と、前記ウェブエージェントはユーザーの位置情報を伝送して、ユーザーのコンピュータにダウンロードされることを特徴とする。
【選択図】図15

Description

【0001】
(発明の分野)
本発明は、コンピュータの保安に関し、より詳しくは、コンピュータネットワーク、およびシステムに対する不法侵入への防止に関するものである。
【0002】
(関連技術の説明)
一般に、インターネットの拡散に伴ってリモートコンピュータでファイルを伝送したり、リモートコンピュータにローギングすることができる。また、電子モルとか、ワールドワイドウェブのようなサービスを利用することもできる。一方で、インターネットで保安と関連づけてシステムとプロトコルの構築が遠隔ネットワークのコンピュータへの侵入とか、通信データの傍受による不法侵入者によって重要なファイルの削除、あるいは秘密情報の盗難などのごとき不法行為が発生して遅延されうる。
【0003】
このような不法行為を根絶するため、侵入防止システム(IDS)とか、保安ゲートウェー、あるいは防火壁のごとき保安システムがしばしば企業内の組織ネットワークに設置される。その侵入防止システムは、不法侵入者(たとえば、クラッカーの侵入を制御したり、探知する機能をリアルタイムで提供する。防火壁は不法ユーザーの侵入とか、あるいはアクセスを遮断する。
【0004】
ところで、侵入探知システムと防火壁は、共通的にネットワーク上でパケットを分析して得られた情報を利用して行われることになるという点から問題点を有する。たとえば、ウェブサーバーにアクセスして自己の情報を隠すクラッカーは、クラッカーの源泉的な位置情報でないHTTP情報だけで防火壁とか侵入探知システムを確認することができる。
【0005】
いまのところ、すべてのウェブサーバーらのアクセス記録はHTTP情報を利用して制作される。クラッカーがプラクシーサーバー、または、中間経由地を利用して接近することになると、クラッカーの源泉位置情報でないプラクシーサーバー、または、中間経由地の位置情報がウェブサーバーに残るようになる。プラクシーサーバー情報、または、中間経由地情報を利用してクラッカーを追跡することはできなくなる。たとえ、中間経由地の位置情報が確認されたとしても、クラッカーの追跡には多くの時間と費用が要求される。
【0006】
図1は、スクリーンの従来技術に従う典型的なプラクシーサーバーを示している。ウェブブラウザーは、図1に示すプラクシーサーバーを通してウェブサーバーにアクセスすることができる。一般的にウェブサイト内データリソースの最初のページまたは電子掲示板への不法コンテンツの作成者は、自己の情報を隠す習性がある。たとえば、ユーザーがデータのアップロード、あるいは文章を作成しつつプラクシーサーバーを利用した自己の情報を隠すことになると、図2に示すごとく、HTTP情報がエラーとして記録されることから、ユーザーの源泉位置を確認できないようにつくる。
【0007】
図3は、従来技術に従うアパッチサーバーのアクセスログを示す。図4は、従来技術に従うアパッチサーバーのエラーログを示す。図3および4から分かるように、プラクシーサーバー住所だけがウェブサーバーに記録され、クラッカーの源泉(原)位置は、従来の保安システムによって確認されえない。
【0008】
そこで、従来よりさらに進んで、クラッカーの源泉位置を確認することのできるクラッカートラッキングシステムに対する緊急な要求がありうる。
【0009】
(発明の要旨)
そこで、本発明は上記の問題点を解決するためになされたものであって、本発明の目的は、クラッカーの源泉位置を確認することのできるクラッカー追跡システム、および方法を提供することにある。
【0010】
また、本発明の他の目的は、クラッカーの源泉位置を確認できるよう、クラッカー追跡システムと方法を利用した認証システム、および方法を提供することにある。
【0011】
上記のような目的を達成するためになされた本発明は、一定のウェブページ内に挿入するウェブエージェントと、HTTPヘッダーを分析してユーザーのアクセス位置情報を表示するための位置表示手段と、該HTTPヘッダーを分析して獲得された前記ユーザーの位置情報とウェブエージェントによって獲得されたユーザーの位置情報を照合するための照合手段と、前記ウェブエージェントによって獲得された位置情報を利用してユーザーの源泉位置情報を検索するための追跡手段と、を包含し、前記ウェブエージェントはユーザーの位置情報を伝送して、ユーザーのコンピュータにダウンロードされることを特徴とする。
【0012】
本発明は、a)一定のウェブページ内にウェブエージェントを挿入する段階と、b)HTTPヘッダーを分析する段階と、c)ユーザーコンピュータの位置情報を伝送するためにユーザーコンピュータにウェブエージェントがダウンローディングする段階と、d)前記HTTPヘッダーを分析して獲得されたユーザーの位置情報とウェブエージェントとによって獲得されたユーザーの位置情報を照合する段階とを包含することを特徴とする。
【0013】
本発明は、また、前記HTTPヘッダーを分析して獲得された位置情報と、ウェブエージェントによって獲得された位置情報とが同一でない場合、ウェブエージェントによって獲得された位置情報を利用してユーザーの位置を検索する段階を含むことを特徴とする。
【0014】
本発明は、さらにまた、前記データベース内部にウェブエージェントによって獲得された位置情報とHTTPヘッダーを分析して獲得された位置情報を貯蔵する段階とを含むことを特徴とする。
【0015】
本発明は、さらにまた、ユーザーの位置情報を伝送するためにユーザーのコンピュータにダウンロードして一定のウェブページ内に挿入するウェブエージェントと、HTTPヘッダーを分析してユーザーのアクセス位置情報を表示するための位置表示手段と、前記HTTPヘッダーを分析して獲得された前記ユーザーの位置情報とウェブエージェントによって獲得されたユーザーの位置情報を照合するための照合手段と、前記ウェブエージェントによって獲得された位置情報を利用してユーザーの源泉位置情報を検索するための追跡手段と、を包含し、前記HTTPヘッダーを分析して獲得された前記ユーザーの位置情報が前記ウェブエージェントによって獲得されたユーザーの位置情報と同一の場合、アクセスが許容されるクラッカー追跡システムを含むことを特徴とする。
【0016】
本発明は、さらにまた、a)一定のウェブページ内にウェブエージェントを挿入する段階と、b)HTTPヘッダーを分析する段階と、c)ユーザーコンピュータの位置情報を伝送するためにユーザーコンピュータにウェブエージェントがダウンローディングする段階と、d)前記該HTTPヘッダーを分析して獲得されたユーザーの位置情報とウェブエージェントによって獲得されたユーザーの位置情報を照合する段階と、e)前記HTTPヘッダーを分析して獲得された位置情報が前記ウェブエージェントによって獲得された位置情報と同一の場合、アクセスを許容する段階とを含むことを特徴とする。
【0017】
エラーページを挿入されたウェブエージェントは、エラーが発生するようになってユーザーのコンピュータにダウンロードされる。ウェブエージェントはJAVA(R)アプリットを含む。ウェブエージェントによって獲得されたユーザーの位置情報はアクセス時間、IP住所、ホスト名前、エラー番号、アクセス位置、URLオプション、ウェブブラウザー情報、オペレーティングシステム情報を含む。照合手段はJSPサーバーのJAVA(R)プログラムを含む。
【0018】
本発明は、次のごとき利点を有する。たとえ、クラッカーがクラッカーの源泉位置とか、プラクシーサーバー、中間経由地を利用してウェブサーバーにアクセスするとしても確認できるとともに、コンピュータネットワークとシステム内への不法侵入を有効に防止することができる。
【0019】
(好適な発明の実施形態の詳細な説明)
本発明を明確に理解するため、レファレンスは図面と関連づけて詳細な説明によって説明されるが、それぞれのレファレンス数字はそれぞれの部分を定義する。
【0020】
以下、本発明に従う一実施例について添付の図によって詳述する。
【0021】
図5を参照すると、本発明に従うクラッカー追跡システムを例示したブロック図が示されている。
【0022】
図5において、クラッカー追跡システム100は、ウェブエージェント110、位置情報手段120、照合手段130、追跡手段140、およびデータベース150とを含む。
【0023】
ウェブエージェント110は、エラーページに挿入される。これは非認証クラッカーがたとえば、パーソナルンピュータホームページ(PHP)、共通ゲートウェー、インターフェース(CGI)、アクティブサーバーページ(ASP)、あるいはJAVA(R)サーバーページ(JSP)の脆弱性、あるいはバグを使用するために、ウェブサーバーの脆弱性を非認証クラッカーが分析する一方で、現に契約された位置に加算する場合、エラーが発生されうるからである。
【0024】
代表的なウェブサーバーはインターネット情報サーバー(IIS)、およびアパッチを含む。IISサーバーの場合、エラーページパスは設定されるからインターネット情報サービスの登録情報にユーザー情報のバグを固定することによって、エラーページのディレクトリーがセットされる。アパッチの場合、パス/apache/htdocs/conf/につれて、httpd.confにセットされうる。ウェブサーバーの場合、ウェブエージェント(110)はエラーページの構成をセッティングすることによって、エラーページに挿入されうる。
【0025】
さらに、ウェブエージェント110は、たとえば、認証ページ、電子掲示板、あるいは第1ページのデータリソースのサーバー管理者に与えられた他のページに挿入されうる。
【0026】
図6はウェブエージェント110を含むウェブページに自動接続されるウェブページソース(つまり、エラーページ)を示す。すべてのエラーページは、図6のエラーページに類似の他の態様に取り替えられうる。エラーページ番号ENはタイトルにセットされる。図6のHTMLエラーページはJAVA(R)スクリプト命令JCによってウェブエージェント110を有するウェブページソースに自動接続される。
【0027】
図7は、ウェブエージェント110を含むウェブページソースを示す。JAVA(R)アプリットで形成されたウェブエージェントを含むエラーページJSPは、ユーザーのコンピュータにダウンローディングされる。言い換えれば、アクセスを試みるユーザーがエラーを発生する場合、ウェブエージェント110は、クラッカーコンピュータにダウンローディングされる。これは、JAVA(R)アプリットがユーザーコンピュータにダウンローディングされる属性を有してウェブブラウザーのJAVA(R)仮想マシーン(JVM)が自動的に実行されるからである。
【0028】
ユーザーコンピュータにダウンローディングされるウェブエージェント110は、ソケットをオープンしてユーザーのコンピュータの位置情報を伝達するから、エージェントサーバーに対するインターネットアドレス、およびホストネームがJAVA(R)を形成する。ウェブエージェント110に伝達されたデータはJAVA(R)データ接続性(JDBC)を通して、JDBCドライバーを支持するデータベース150に貯蔵される。
【0029】
ウェブエージェント110は、ユーザーコンピュータの位置情報を伝達してから、消滅されるようプログラムされうる。その際、図8のエラーページのみがウェブブラウザーに表示されるから、ユーザーは自己のコンピュータで行われるウェブエージェント110の動作を認識することができない。
【0030】
位置指定ユニット120は、インターネットアドレス、およびホストネームのような情報を抽出するようHTTPヘッダーを分析する。
【0031】
エージェントサーバーは、データベース150のHTTPヘッダーに含まれた位置情報を貯蔵する。
【0032】
図9および10は、HTTPヘッダーを分析して求めたウェブエージェント、および位置情報で求められたユーザーの位置情報を示す。アクセスタイム、IPアドレス、ホストネーム、エラー番号、アクセス位置、URL位置、ウェブブラウザー情報、および演算体系情報は、データベース150に貯蔵されてサーバー管理者に示される。そのうえに、ウェブエージェントは媒体アクセス制御(MAC)情報をエージェントサーバーに伝達して、これをデータベース150に貯蔵する。MAC情報は、ユーザーコンピュータに搭載されたLANカードに記録されたLANカード情報であり、決して変更されない。MAC情報は、クラッキング確証事実として使用されうる。MAC情報を求めるために、MAC住所のリクエストを、ネットワークベージック入力/出力システム(NETBIOS)を使用してユーザーIPに伝送する。
【0033】
照合手段130(たとえば、JSPサーバーのJAVA(R)プログラム)は、ウェブエージェント110によって伝達されたユーザーのインターネットアドレス、およびユーザーのホストネームとHTTPヘッダーに含まれたものとを照合する。図11は、ウェブエージェント110によって伝達されたユーザーのインターネットアドレス、およびユーザーのホストネームとHTTPヘッダーに含まれたものとを照合する照合ルーチンを示す。ウェブエージェント(110)によって伝達されたユーザーのインターネットアドレス、およびユーザーのホストネームとHTTPヘッダーに含まれたものとが一致する場合、ユーザーは、認証されたアクセスとしてみなされる。さもなければ、自己の原位置を隠す非認証クラッカーとしてみなされる。
【0034】
図12は、照合手段130で求めたユーザーコンピュータの情報を示す。演算体系(OS)とウェブブラウザー情報はHTTP情報を使用して求められる。インターネットアドレスはユーザーの原位置を追跡するのに使用される。つまり、クラッカーがウェブエージェント110から求められる。ウェブエージェント110から求められたHTTPヘッダーとインターネットアドレスとホストネームを分析して求めた演算体系情報とウェブブラウザーは保証人、あるいは追跡データとして使用されうる。
【0035】
追跡手段140は、たとえば、ウェブエージェント110から求められたフーイズ(whois)サービスを使用してクラッカーの元のインターネットアドレスを検索する。図13は、フーイズサービスにて検索した結果のスクリーンを示す。
【0036】
その自己の位置情報を隠すクラッカーは、データベース150のブラックリストに継続して貯蔵され、サーバー管理者として示される。
【0037】
サーバー管理者は、検索されたインターネットアドレスのウェブサーバーアクセスURLを使用して、クラッカーを攻撃する脆弱性を探し出すため、データベース150に記録されたエラーログを使用して連続するエラーを原因とするインターネットアドレスを検索することができる。
【0038】
サーバー管理者は、図14に示すプロクシーサーバーリストをもつことができるため、プロクシーサーバーは専らクラッカーを使用して探し出す。
【0039】
図15は、本発明に従うクラッカー追跡方法を例示したフローチャートである。
【0040】
ウェブエージェント110は、サーバー管理者の望むウェブページ(たとえば、エラーページ)に挿入される(ステップS100)。ユーザーがウェブブラウザーにアクセスする際、位置情報手段110は、HTTPヘッダーを分析してインターネットアドレス、およびホストネームをデータベース150に貯蔵する(ステップS110)。エラー発生時(ステップS120)、ウェブエージェント110は、エラーページとともにユーザーコンピュータにダウンローディングされてユーザーコンピュータの内部アドレス、およびホストネームのような位置情報を伝送する(ステップS130)。ユーザーコンピュータの位置情報はデータベース150に貯蔵される。照合手段130は、HTTPヘッダーから求められた位置情報とウェブエージェントから求めた位置情報をを照合する(ステップS140)。HTTPヘッダーから分析して求められた位置情報とウェブエージェントから求めた位置情報とが一致する場合、ユーザーは認証されたユーザーとしてみなされる(ステップS150)。HTTPヘッダーから分析して求められた位置情報とウェブエージェントから求めた位置情報とが不一致である場合、ユーザーはクラッカーとしてみなされてデータベース150のブラックリストに貯蔵される(ステップS160)。クラッカーの位置はウェブエージェントから求められた位置情報を使用するフーイズサービスのような追跡手段140で検索される(ステップS170)。
【0041】
上述の追跡システムおよび方法は、多様な産業分野に適用されうる。
【0042】
図16は、本発明に従うクラッカー追跡システムを使用した認証方法を例示したフローチャートである。図16のステップ200〜ステップ240は、図15のステップ100〜ステップ140と同一であるから、重複する説明を避けるためにこれを省略する。
【0043】
HTTPヘッダーから分析して求められた位置情報とウェブエージェントから求めた位置情報とが一致する場合、ユーザーは、認証されたユーザーとしてみなされる。よって、ユーザーのアクセスは所定の認証方法が許容される(ステップS250)。ところで、HTTPヘッダーから分析して求められた位置情報とウェブエージェントから求めた位置情報とが不一致である場合、ユーザーは、クラッカーとしてみなされてデータベース150のブラックリストに貯蔵される。よって、クラッカーのアクセスはカットオーフされてエラーページが出力される(ステップS260)。
【0044】
上述のように、クラッカー追跡システムと方法、および認証システムと方法を使用すれば、プロクシーサーバー、および中間点を使用したウェブサーバーにクラッカーがアクセスするとしても、クラッカーの原理が識別されうるし、したがって非認証侵入者のコンピュータネットワークおよびシステムへの侵入を有効に防止できる優れる効果がある。
【0045】
本発明は好ましき実施例を参照して特別に図示されて説明されているが、この分野で熟練された技術者であれば、他の態様への変更、および詳細が本発明の思想、および範囲から逸脱されることなしに可能であることが理解できることだろう。
【図面の簡単な説明】
【図1】
従来技術に従ってスクリーンに掲示される典型的なプラクシーサーバーを示す。
【図2】
従来技術に従う文書作成(COMPOSITION)が掲示板になされる際、存続するプラクシーサーバーアドレスを示す。
【図3】
従来技術に従うアパッチサーバーのアクセスログを示す。
【図4】
従来技術に従うアパッチサーバーのエラーログを示す。
【図5】
本発明に従うクラッカー追跡システムを示すブロックダイアグラムである。
【図6】
本発明に従うウェブエージェントを含むウェブページに自動連結されるエラーページを示す。
【図7】
本発明に従うウェブエージェントを含むウェブページソースを示す。
【図8】
本発明に従うウェブブラウザーに図示されるエラーページを示す。
【図9】
本発明に従うHTTPヘッダーを分析して獲得された位置情報とウェブエージェントによって獲得されたユーザーの位置情報を示す。
【図10】
本発明に従うHTTPヘッダーを分析して獲得された位置情報とウェブエージェントによって獲得されたユーザーの位置情報を示す。
【図11】
ウェブエージェントによって伝送されたユーザーのホスト名前とインターネット住所をHTTPヘッダーに含まれるものと照合する照合ルーチンを示す。
【図12】
本発明に従う照合手段によって獲得されたユーザーコンピュータの情報を示す。
【図13】
本発明に従うフーイズサービスによって検索されたスクリーンの結果を示す。
【図14】
本発明に従うプラクシーサーバーリストを示す。
【図15】
本発明に従うクラッカー追跡方法を表示す流れ図を示す。
【図16】
本発明に従うクラッカー追跡方法を利用する認証方法を表示する流れ図を示す。

Claims (30)

  1. 一定のウェブページ内に挿入するウェブエージェントと、
    HTTPヘッダーを分析してユーザーのアクセス位置情報を表示するための位置表示手段と、
    該HTTPヘッダーを分析して獲得された前記ユーザーの位置情報とウェブエージェントによって獲得されたユーザーの位置情報を照合するための照合手段と、
    前記ウェブエージェントによって獲得された位置情報を利用してユーザーの源泉位置情報を検索するための追跡手段と、を包含し、
    前記ウェブエージェントは、ユーザーの位置情報を伝送して、ユーザーのコンピュータにダウンロードされることを特徴とするのクラッカー追跡システム。
  2. 前記ウェブエージェントは、エラーページ内に挿入され、エラーが発生する場合、前記ユーザーのコンピュータにダウンロードされることを特徴とする請求項1に記載のクラッカー追跡システム。
  3. 前記ウェブエージェントは、JAVA(R)アプリットを含むことを特徴とする請求項1に記載のクラッカー追跡システム。
  4. 前記ウェブエージェントによって獲得された前記ユーザーの位置情報と前記HTTPヘッダーを分析して獲得された前記ユーザーの位置情報とを貯蔵するためのデータベースを、さらに含むことを特徴とする請求項1に記載のクラッカー追跡システム。
  5. 前記ウェブエージェントによって獲得されたユーザーの位置情報は、アクセス時間、IP住所、ホスト名前、エラー番号、アクセス位置、URLオプション、ウェブブラウザー情報、オペレーティングシステム情報とMAC情報とを含むことを特徴とする請求項1に記載のクラッカー追跡システム。
  6. 前記照合手段は、JSPサーバーのJAVA(R)プログラムを含むことを特徴とする請求項1に記載のクラッカー追跡システム。
  7. a)一定のウェブページ内にウェブエージェントを挿入する段階と、
    b)HTTPヘッダーを分析する段階と、
    c)ユーザーコンピュータの位置情報を伝送するためにユーザーコンピュータにウェブエージェントがダウンローディングする段階と、
    d)前記HTTPヘッダーを分析して獲得されたユーザーの位置情報とウェブエージェントとによって獲得されたユーザーの位置情報を照合する段階と、
    を包含することを特徴とするクラッカー追跡方法。
  8. 前記HTTPヘッダーを分析して獲得された位置情報と、ウェブエージェントによって獲得された位置情報とが同一でない場合、ウェブエージェントによって獲得された位置情報を利用してユーザーの位置を検索する段階を、さらに含むことを特徴とする請求項7に記載のクラッカー追跡方法。
  9. 前記データベース内部にウェブエージェントによって獲得された位置情報とHTTPヘッダーを分析して獲得された位置情報を貯蔵する段階を、さらに含むことを特徴とする請求項7に記載のクラッカー追跡方法。
  10. 前記ウェブエージェントは、エラーページ内に挿入され、エラーが発生する場合、前記ユーザーのコンピュータにダウンロードされることを特徴とする請求項7に記載のクラッカー追跡方法。
  11. 前記ウェブエージェントは、JAVA(R)アプリットを含むことを特徴とする請求項7に記載のクラッカー追跡方法。
  12. 前記ウェブエージェントによって獲得されたユーザーの位置情報は、アクセス時間、IP住所、ホスト名前、エラー番号、アクセス位置、URLオプション、ウェブブラウザー情報、オペレーティングシステム情報とMAC情報とを含むことを特徴とする請求項7に記載のクラッカー追跡方法。
  13. 前記(d)段階は、JSPサーバーのJAVA(R)プログラムによって行われることを特徴とする請求項7に記載のクラッカー追跡方法。
  14. ユーザーの位置情報を伝送するためにユーザーのコンピュータにダウンロードして一定のウェブページ内に挿入するウェブエージェントと、
    HTTPヘッダーを分析してユーザーのアクセス位置情報を表示するための位置表示手段と、
    前記HTTPヘッダーを分析して獲得された前記ユーザーの位置情報とウェブエージェントによって獲得されたユーザーの位置情報をと照合するための照合手段と、
    前記ウェブエージェントによって獲得された位置情報を利用してユーザーの源泉位置情報を検索するための追跡手段と、を包含し、
    前記HTTPヘッダーを分析して獲得された前記ユーザーの位置情報が前記ウェブエージェントによって獲得されたユーザーの位置情報と同一の場合、アクセスが許容されるクラッカー追跡システムを含むことを特徴とする認証システム。
  15. 前記ウェブエージェントは、エラーが発生する場合、前記ユーザーのコンピュータにダウンロードされてエラーページ内に挿入されることを特徴とする請求項14に記載の認証システム。
  16. 前記ウェブエージェントは、JAVA(R)アプリットを含むことを特徴とする請求項14に記載の認証システム。
  17. 前記ウェブエージェントによって獲得された前記ユーザーの位置情報と前記HTTPヘッダーを分析して獲得された、前記ユーザーの位置情報とを貯蔵するためのデータベースを、さらに含むことを特徴とする請求項14に記載の認証システム。
  18. 前記ウェブエージェントによって獲得されたユーザーの位置情報は、アクセス時間、IP住所、ホスト名前、エラー番号、アクセス位置、URLオプション、ウェブブラウザー情報、オペレーティングシステム情報とMAC情報とを含むことを特徴とする請求項14に記載の認証システム。
  19. 前記照合手段は、JSPサーバーのJAVA(R)プログラムを含むことを特徴とする請求項14に記載の認証システム。
  20. a)一定のウェブページ内にウェブエージェントを挿入する段階と、
    b)HTTPヘッダーを分析する段階と、
    c)ユーザーコンピュータの位置情報を伝送するためにユーザーコンピュータにウェブエージェントがダウンローディングする段階と、
    d)前記HTTPヘッダーを分析して獲得されたユーザーの位置情報とウェブエージェントによって獲得されたユーザーの位置情報を照合する段階と、
    e)前記HTTPヘッダーを分析して獲得された位置情報が前記ウェブエージェントによって獲得された位置情報と同一の場合、アクセスを許容する段階と、
    を含むことを特徴とする認証方法。
  21. 前記HTTPヘッダーを分析して獲得された位置情報とウェブエージェントによって獲得された位置情報とが同一でない場合、ウェブエージェントによって獲得された位置情報を利用してユーザーの位置を検索する段階を、さらに含むことを特徴とする請求項20に記載の認証方法。
  22. 前記データベース内部にウェブエージェントによって獲得された位置情報と、HTTPヘッダーを分析して獲得された位置情報とを貯蔵する段階を、さらに含むことを特徴とする請求項20に記載の認証方法。
  23. 前記ウェブエージェントエラーページ内に挿入され、エラーが発生する場合、前記ユーザーのコンピュータにダウンロードされることを特徴とする請求項20に記載の認証方法。
  24. 前記ウェブエージェントは、JAVA(R)アプリットを含むことを特徴とする請求項20に記載の認証方法。
  25. 前記ウェブエージェントによって獲得されたユーザーの位置情報は、アクセス時間、IP住所、ホスト名前、エラー番号、アクセス位置、URLオプション、ウェブブラウザー情報、オペレーティングシステム情報とMAC情報とを含むことを特徴とする請求項20に記載の認証方法。
  26. 前記(d)段階は、JSPサーバーのJAVA(R)プログラムによって行われることを特徴とする請求項20に記載の認証方法。
  27. 前記MAC情報は、NETBIOSを利用して前記ユーザーのIP住所に対するMAC住所を要請することを伝送して獲得することを特徴とする請求項1に記載のクラッカー追跡システム。
  28. 前記MAC情報は、NETBIOSを利用して前記ユーザーのIP住所に対するMAC住所を要請することを伝送して獲得することを特徴とする請求項12に記載のクラッカー追跡方法。
  29. 前記MAC情報は、NETBIOSを利用して前記ユーザーのIP住所に対するMAC住所を要請することを伝送して獲得することを特徴とする請求項18に記載の認証システム。
  30. 前記MAC情報は、NETBIOSを利用して前記ユーザーのIP住所に対するMAC住所を要請することを伝送して獲得することを特徴とする請求項25に記載のクラッカー追跡方法。
JP2002588402A 2001-05-09 2001-12-12 クラッカー追跡システムとその方法、およびこれを利用した認証システムとその方法 Pending JP2004520654A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020010027537A KR100615470B1 (ko) 2001-05-09 2001-05-09 웹 에이전트를 이용한 불법 침입자 추적 및 접근자 인증시스템과 그 방법
PCT/KR2001/002150 WO2002091213A1 (en) 2001-05-09 2001-12-12 Cracker tracing system and method, and authentification system and method using the same

Publications (1)

Publication Number Publication Date
JP2004520654A true JP2004520654A (ja) 2004-07-08

Family

ID=19709684

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002588402A Pending JP2004520654A (ja) 2001-05-09 2001-12-12 クラッカー追跡システムとその方法、およびこれを利用した認証システムとその方法

Country Status (5)

Country Link
US (1) US20030172155A1 (ja)
JP (1) JP2004520654A (ja)
KR (1) KR100615470B1 (ja)
CN (1) CN1440530A (ja)
WO (1) WO2002091213A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010033539A (ja) * 2008-07-30 2010-02-12 Korea Electronics Telecommun リバースキャッシングプロキシを用いたウェブ基盤の逆追跡システム

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6836801B1 (en) * 2000-10-12 2004-12-28 Hewlett-Packard Development Company, L.P. System and method for tracking the use of a web tool by a web user by using broken image tracking
KR20030033713A (ko) * 2001-10-24 2003-05-01 주식회사 김정훈시큐어 해커 침입에 따른 방어 및 공격모드 자동 설정시스템과 그설정방법
KR20030033712A (ko) * 2001-10-24 2003-05-01 주식회사 김정훈시큐어 해커 침입에 따른 마스터 및 에이전트 모드의 집단방어 방법
KR100439170B1 (ko) * 2001-11-14 2004-07-05 한국전자통신연구원 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역추적 방법
KR100439169B1 (ko) * 2001-11-14 2004-07-05 한국전자통신연구원 코드의 이동성을 적용한 세션 정보 관리를 통한 공격자 역추적 방법
KR100468232B1 (ko) * 2002-02-19 2005-01-26 한국전자통신연구원 분산된 침입탐지 에이전트와 관리자 시스템을 이용한네트워크 기반 침입자 역추적 시스템 및 그 방법
CN1650598A (zh) * 2002-03-18 2005-08-03 松下电器产业株式会社 Ddns服务器、ddns客户终端和ddns系统以及万维网服务器终端、其网络系统和访问控制方法
KR100608210B1 (ko) * 2004-02-25 2006-08-08 이형우 에스브이엠 기반 패킷 마킹 기법을 적용한 근원지 역추적방법 및 라우터
KR100667304B1 (ko) * 2004-09-03 2007-01-10 인터리젠 주식회사 Http/https 보안을 위한 자동 위치 추적 방법 및 모니터링 서버
US20070011744A1 (en) * 2005-07-11 2007-01-11 Cox Communications Methods and systems for providing security from malicious software
US8601159B2 (en) * 2005-09-27 2013-12-03 Microsoft Corporation Distributing and arbitrating media access control addresses on ethernet network
US8176568B2 (en) 2005-12-30 2012-05-08 International Business Machines Corporation Tracing traitor coalitions and preventing piracy of digital content in a broadcast encryption system
CN101014047A (zh) * 2007-02-06 2007-08-08 华为技术有限公司 一种定位多媒体子系统网络攻击来源的方法、装置及防攻击系统
US11838851B1 (en) 2014-07-15 2023-12-05 F5, Inc. Methods for managing L7 traffic classification and devices thereof
CN104301302B (zh) * 2014-09-12 2017-09-19 深信服网络科技(深圳)有限公司 越权攻击检测方法及装置
US10182013B1 (en) 2014-12-01 2019-01-15 F5 Networks, Inc. Methods for managing progressive image delivery and devices thereof
US11895138B1 (en) 2015-02-02 2024-02-06 F5, Inc. Methods for improving web scanner accuracy and devices thereof

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6300863B1 (en) * 1994-11-15 2001-10-09 Absolute Software Corporation Method and apparatus to monitor and locate an electronic device using a secured intelligent agent via a global network
US5623601A (en) * 1994-11-18 1997-04-22 Milkway Networks Corporation Apparatus and method for providing a secure gateway for communication and data exchanges between networks
US5826014A (en) * 1996-02-06 1998-10-20 Network Engineering Software Firewall system for protecting network elements connected to a public network
JP3165366B2 (ja) * 1996-02-08 2001-05-14 株式会社日立製作所 ネットワークセキュリティシステム
US5892903A (en) * 1996-09-12 1999-04-06 Internet Security Systems, Inc. Method and apparatus for detecting and identifying security vulnerabilities in an open network computer communication system
US5805801A (en) * 1997-01-09 1998-09-08 International Business Machines Corporation System and method for detecting and preventing security
US6119165A (en) * 1997-11-17 2000-09-12 Trend Micro, Inc. Controlled distribution of application programs in a computer network
KR20000002671A (ko) * 1998-06-22 2000-01-15 이동우 시큐리티시스템을이용한소프트웨어의불법사용감시방법및그시스템
KR20000010253A (ko) * 1998-07-31 2000-02-15 최종욱 조정자 에이젼트를 이용한 침입 탐지 시스템 및 침입 탐지 시스템의 침입 탐지 모듈
US6405318B1 (en) * 1999-03-12 2002-06-11 Psionic Software, Inc. Intrusion detection system
US6735702B1 (en) * 1999-08-31 2004-05-11 Intel Corporation Method and system for diagnosing network intrusion
US6853988B1 (en) * 1999-09-20 2005-02-08 Security First Corporation Cryptographic server with provisions for interoperability between cryptographic systems
US6442696B1 (en) * 1999-10-05 2002-08-27 Authoriszor, Inc. System and method for extensible positive client identification
KR20000054538A (ko) * 2000-06-10 2000-09-05 김주영 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체
KR100369414B1 (ko) * 2000-10-25 2003-01-29 박지규 트로이형 감시프로그램이 기록된 기록매체 및 트로이형감시프로그램을 이용한 인터넷 온라인 감시 및 인증 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010033539A (ja) * 2008-07-30 2010-02-12 Korea Electronics Telecommun リバースキャッシングプロキシを用いたウェブ基盤の逆追跡システム
US8341721B2 (en) 2008-07-30 2012-12-25 Electronics And Telecommunications Research Institute Web-based traceback system and method using reverse caching proxy

Also Published As

Publication number Publication date
KR100615470B1 (ko) 2006-08-25
CN1440530A (zh) 2003-09-03
WO2002091213A1 (en) 2002-11-14
US20030172155A1 (en) 2003-09-11
KR20010078887A (ko) 2001-08-22

Similar Documents

Publication Publication Date Title
US11245662B2 (en) Registering for internet-based proxy services
US9860251B2 (en) Dynamic encryption of a universal resource locator
JP4733886B2 (ja) アプリケーションのプロトコル特性を抽出するための方法とシステム
JP5917573B2 (ja) リアル・タイム・データ・アウェアネスおよびファイル追跡のシステムおよび方法
JP2004520654A (ja) クラッカー追跡システムとその方法、およびこれを利用した認証システムとその方法
JP5254656B2 (ja) ドライブバイ・ファーミングに対するリファラーチェックを介したクライアント側の保護
JP4685881B2 (ja) データストリームのセキュリティタギングによる分散トラフィックスキャニング
US8271636B2 (en) Rule-based networking device
US6993588B2 (en) System and methods for securely permitting mobile code to access resources over a network
CN112602301B (zh) 用于高效网络保护的方法和系统
EP1330095A1 (en) Monitoring of data flow for enhancing network security
US20070180090A1 (en) Dns traffic switch
US8584240B1 (en) Community scan for web threat protection
IL172178A (en) Application layer security method and system
US8281394B2 (en) Phishing notification service
KR101910496B1 (ko) 광역망 인터넷 프로토콜(wan ip) 검증을 통한 네트워크 기반 프록시 설정 탐지 시스템 및 그를 이용한 유해 사이트 접속 차단 방법
JP2006146297A (ja) セキュリティ管理方法、セキュリティ管理装置およびセキュリティ管理プログラム
Yaacob et al. Moving towards positive security model for web application firewall
US20240020347A1 (en) Browser Application Extension for Payload Detection
WO2006092785A2 (en) Method and apparatus for the dynamic defensive masquerading of computing resources
KR20160142101A (ko) 드라이브 바이 다운로드를 차단하는 네트워크 보안 시스템 및 방법
Kossakowski et al. Securing public web servers
Org et al. D3. 1-CYBER RISK PATTERNS
Kossakowski et al. SECURITY IMPROVEMENT MODULE CMU/SEI-SIM-011
Arnott A review of current firewall technologies

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20061030

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070522