JP2005157650A - 不正アクセス検知システム - Google Patents

不正アクセス検知システム Download PDF

Info

Publication number
JP2005157650A
JP2005157650A JP2003394178A JP2003394178A JP2005157650A JP 2005157650 A JP2005157650 A JP 2005157650A JP 2003394178 A JP2003394178 A JP 2003394178A JP 2003394178 A JP2003394178 A JP 2003394178A JP 2005157650 A JP2005157650 A JP 2005157650A
Authority
JP
Japan
Prior art keywords
unauthorized access
pattern data
unit
access
unauthorized
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003394178A
Other languages
English (en)
Inventor
Hiroyasu Terasawa
弘泰 寺澤
Koji Kubota
幸司 久保田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Holdings Corp
Original Assignee
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Industrial Co Ltd filed Critical Matsushita Electric Industrial Co Ltd
Priority to JP2003394178A priority Critical patent/JP2005157650A/ja
Publication of JP2005157650A publication Critical patent/JP2005157650A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】 少ないリソースで効率的に不正アクセスを検出することができる不正アクセス検知システムを提供する。
【解決手段】 不正アクセス検知サービス部100は、監視対象ネットワーク600への不正アクセスを集計し、集計された不正アクセスから検出数の多い順に一定数を選択し、選択された不正アクセスのパターンデータで構成される、選択不正アクセスパターンデータを作成する。不正アクセス検知サービス部100は、作成した選択不正アクセスパターンデータを、ゲートウェイ200上の不正アクセス検知部300に送信する。不正アクセス検知部300は、外部のネットワークから受けるアクセスについて、当該アクセスのデータと、不正アクセス検知サービス部100によって送信された選択不正アクセスパターンデータに含まれるデータとの一致を判断することによって、不正アクセスを検出する。
【選択図】 図1

Description

本発明は、不正アクセス検知システム、不正アクセスを検出するためのデータベース作成方法及び方法プログラムに関し、より特定的には、少ないリソースで効率的に不正アクセスを検出することができる不正アクセス検知システムであって、そのシステムで使用される不正アクセスを検出するためのデータベースを作成する方法、及びその方法を実行するためのプログラムに関する。
周知のように、常時接続のブロードバンドインターネット環境は、ADSL(非対称デジタル加入者線)やFTTH(光ファイバ)といったサービスにより、各家庭に広く普及している。このようなサービスの普及により、家庭などにおいて利用される多くの電化製品は、ネットワーク接続可能なインタフェースを持ち、ネットワーク接続が可能となってきている(以下、ネットワーク接続可能な電化製品をネット家電と記す)。
ネット家電やパソコン等の機器は、家庭などにおいてそれぞれ接続されることでネットワークを構築する(以下、宅内ネットワークと記す)。宅内ネットワークに接続された各機器は、情報を共有したり連携したりすることで、新たなサービスを提供することができる。例えば、互いにネットワーク接続されたビデオデッキとテレビとの連携において、ビデオデッキは、映像を離れた部屋にあるテレビにネットワーク経由で配信することが可能である。また宅内ネットワークに接続された各機器は、インターネット等の外部に接続可能な回線(以下、外部ネットワークと記す)と、宅内ネットワークとが接続されることで、外部の機器と情報のやり取りを行うことができる。例えば、ネットワーク接続機能を持つビデオデッキは、外部ネットワークを通して外部の機器から録画予約の指示を受けることができる。そこで、宅内に複数存在するネット家電やパソコン等の機器を集線する機能を持ち、宅内ネットワークと外部ネットワークとを中継するゲートウェイなどの機器(以下、ゲートウェイと記す)を設置することになる。
また、宅内ネットワークに接続された各機器は、宅内ネットワークが外部ネットワークに常時接続されることで、不正アクセス行為やウィルス送信行為などを受ける可能性がある。不正アクセス行為とは、外部ネットワークから行う不正な攻撃のことであり、不正侵入、サービス不能(DoS)攻撃、及びシステムの弱点を突いた攻撃などを行うことである。ウィルス送信行為とは、外部ネットワークからウィルスを送信するなどウィルスによる攻撃を行うことである。以下、不正アクセス行為とウィルス送信行為とを合わせて、不正アクセスと呼ぶことにする。
そこで、ゲートウェイは、宅内ネットワークへの不正アクセスを検出し防止するために、侵入検知システムやファイアウォールなどの機能を備える必要がある。なお、このゲートウェイは、宅内ネットワークに限らず、SOHO(小人数のオフィスや、家庭で仕事をする個人事業者)ネットワークなどで利用可能である。
ファイアウォールとは、内部ネットワークと外部ネットワークとの境界に設置され、外部ネットワークからの攻撃を防ぎ内部ネットワークを保護するシステムである。ファイアウォールの基本的な機能は、パケットフィルタリングを行うことである。パケットフィルタリングとは、外部ネットワークからの通信パケットを見て、内部ネットワークへの入り口にあたるTCP/UDPポートのON/OFFを行うことである。ファイアウォールは、TCP/UDPポートを全てOFFにすることで、外部ネットワークからの通信を完全に遮断することができる。しかし、内部ネットワーク内の各機器は、TCP/UDPポートが全てOFFであると、外部ネットワーク向けのサービス(WEBやメール、FTP等のサービス)を行うことができない。そこで、ファイアウォールは、内部ネットワーク内の各機器が提供するサービスに限って、対応するポートをONにすることになる。
ファイアウォールは、パケットフィルタリングなどによって多くの不正アクセスを防ぐことができる。しかし、巧妙に細工された(パケット改ざんやウィルス送信などされた)不正アクセスは、ONになっているポートを抜けるように行われる。ファイアウォールは、巧妙に細工された不正アクセスを正当なアクセスと区別することができず、不正なパケット(データ)を内部ネットワークへ通してしまう場合がある。そこで、侵入検知システムは、外部ネットワークから受信するパケットが正当なものであるかどうかを見分けるために使われる。そのため、侵入検知システムは、ファイアウォールの内側に設置されるのが基本である。
侵入検知システムにおける不正アクセスを検出する方法は、パターンデータ(シグネチャ)を用いたものが一般的である。パターンデータとは、不正アクセスに使われるパケットにある特徴的なパターンのことである。パターンデータを用いた侵入検知システムは、過去に認識された攻撃パターン(パターンデータ)を全てデータベースに記憶している。このような侵入検知システムは、侵入パケットを解析する際に、パターンデータと侵入パケットとを比較することで、不正アクセスであるか否かを判断する。
昨今、インターネットの利用人口の急激な増加に伴い、悪意者などによる不正アクセス攻撃が急増している。このように急増する不正アクセスによる攻撃を防止するために、侵入検知システムは、莫大な種類のパターンデータを持つ必要があり、また新たな不正アクセスに対応するためパターンデータを日々更新する必要がある。そのため、厳重にセキリティを管理する必要がある企業やプロバイダなどでは、膨大な種類のパターンデータを持ち、詳細に不正アクセスを検出することができる侵入検知システムを導入している。
侵入検知システムの高精度化、パターンデータの分散管理手法を図った技術として、特許文献1の公報に開示されている技術がある。この公報に開示された侵入検知システムによると、予め侵入パターンに応じた複数の検出パターンを用意しておき、必要に応じて検出パターンを動的に切り換える。また、侵入の可能性を示すような軽微な兆候も監視対象として、そのレベルに応じて監視体制を変更する。本侵入検出システムによると、侵入パターンに応じた検出パターンを用いて侵入を検出するため、様々な侵入パターンを1つにまとめた検出パターンを用いるより、精度の高い侵入検知が可能である。
特開2002−342276号公報
宅内ネットワークやSOHOネットワークなどの比較的小規模なネットワークに導入される侵入検知システムは、様々な不正アクセスが検出でき、かつ、少ないリソースで実現される必要がある。
企業やプロバイダなどで広く使われている侵入検知システムは、莫大な種類の不正アクセスをパターンデータとして有している。そのため、比較的小規模なネットワークに適応するのには、無駄が多く、リソースも大きいため不向きである。また、特許文献1の公報に開示されている侵入検知システムの場合も、侵入パターン(パターンデータ)自体は全て別途持っておかねばならず、大きなリソースが必要となる。また、新たな侵入パターンが発見された際のパターンデータの更新方法などは検討されていないため、新たな侵入には対処できない。
それ故に、本発明の目的は、比較的小規模なネットワークに適応できる、少ないリソースで効率的に不正アクセスを検出することができる不正アクセス検知システム、及びそのシステムで使用される不正アクセスを検出するためのデータベースを作成する方法、並びに方法実行プログラムを提供することである。
本発明は、不正アクセスに関する情報を提供する不正アクセス検知サービス部と、不正アクセス検知サービス部から提供される情報を用いて不正アクセスを検出するゲートウェイとが、ネットワークを介して接続される不正アクセス検知システムに向けられている。そして上記目的を達成させるために、本発明の不正アクセス検知システムは、不正アクセス検知サービス部、及びゲートウェイを備える。
不正アクセス検知サービス部は、全不正アクセス検知部、全パターンデータ記憶部、パターンデータ作成部、パターンデータ記憶部、及びパターンデータ提供部を備えている。
全パターンデータ記憶部は、既知の不正アクセスのパターンデータを記憶している。全不正アクセス検知部は、所定の監視対象ネットワークへのアクセスのデータと、全パターンデータ記憶に記憶されているパターンデータとを比較することで不正アクセスを検出する。パターンデータ作成部は、全不正アクセス検知部によって検出された不正アクセスを一定期間毎に集計し、集計された不正アクセスから所定数の不正アクセスを選択し、選択された不正アクセスのパターンデータで構成される選択不正アクセスパターンデータを、全パターンデータ記憶部を参照して作成する。パターンデータ記憶部は、パターンデータ作成部によって作成された選択不正アクセスパターンデータを記憶する。パターンデータ提供部は、パターンデータ記憶部に記憶されている選択不正アクセスパターンデータを、ゲートウェイにネットワークを介して送信する。
好ましくは、パターンデータ作成部は、集計された不正アクセスから、検出数の多い順に所定数の不正アクセスを選択する。
また、全パターンデータ記憶部は、検知の重要性が高いパターンデータについてその重要度をさらに記憶する構成としてもよい。その場合は、パターンデータ作成部は、集計された不正アクセスから、重要度の高い順に所定数の不正アクセスを選択することもできる。
さらに、パターンデータ作成部は、全不正アクセス検知部によって検出された不正アクセスのうち、ウィルス送信行為による不正アクセスだけを一定期間毎に集計してもよいし、不正アクセス行為による不正アクセスだけを一定期間毎に集計してもよい。
好ましくは、パターンデータ作成部は、全不正アクセス検知部によって検出された不正アクセスを、一定期間毎に、ウィルス送信行為による不正アクセスと不正アクセス行為による不正アクセスとに分類して集計し、集計された各不正アクセスからそれぞれ所定数の不正アクセスを選択する。
ゲートウェイは、不正アクセス検知部を備えている。不正アクセス検知部は、外部のネットワークから受けるアクセスについて、当該アクセスのデータと、パターンデータ提供部によって送信された選択不正アクセスパターンデータに含まれるデータとの一致を判断することによって、不正アクセスを検出する。
不正アクセス検知部は、パターンデータ管理部、パターンデータ更新部、及びデータ解析部を備えている。パターンデータ管理部は、少なくとも選択不正アクセスパターンデータを記憶する。パターンデータ更新部は、パターンデータ提供部から選択不正アクセスパターンデータを受信するたびに、パターンデータ管理部に記憶される選択不正アクセスパターンデータを更新して記憶する。データ解析部は、外部のネットワークからアクセスを受け付け、受け付けたアクセスについて、当該アクセスのデータと、パターンデータ管理部に記憶されている選択不正アクセスパターンデータに含まれるデータとの一致を判断することによって、不正アクセスを検出する。
この不正アクセス検知部の構成に、データ解析部によって不正アクセスが検出されたとき、不正アクセスの検出を通知するアラートを、ゲートウェイに接続されるユーザ端末に送出するアラート発生部をさらに備えてもよい。
選択不正アクセスパターンデータは、少なくとも、不正アクセスのパターンデータが記述されたパターンデータ情報と、不正アクセスに対処するパッチ情報を与えるURLと警告の内容とが記述された不正アクセス情報とで構成される。なお、アラート発生部は、さらにパターンデータ情報又は不正アクセス情報の少なくとも一方を、ユーザ端末に送出することもできる。
なお、データ解析部は、検出した不正アクセスの情報を、パターンデータ作成部にさらに通知してもよい。この場合、パターンデータ作成部は、データ解析部から通知された不正アクセスを集計に加えることもできる。
また、ゲートウェイの構成に、外部のネットワークからアクセスを受け付け、所定のアクセスを遮断させるファイアウォールをさらに備える構成としてもよい。この構成であれば、不正アクセス検知部は、データ解析部によって不正アクセスが検出されたとき、検出された不正アクセスを遮断するように、ファイアウォールを設定するフィルタリング設定部をさらに備える構成にすることができる。
好ましくは、パターンデータ管理部は、既知の不正アクセスのうち、常に検知すべき不正アクセスのパターンデータを所定数集めたものであるデフォルトパターンデータを、さらに記憶する。この場合、データ解析部は、外部のネットワークから受けるアクセスについて、当該アクセスのデータと、パターンデータ管理部に記憶されている選択不正アクセスパターンデータ又はデフォルトパターンデータのいずれかに含まれるデータとの一致を判断することによって、不正アクセスを検出する。
上述した不正アクセス検知サービス部の全不正アクセス検知部、パターンデータ作成部、及びパターンデータ提供部が行うそれぞれの処理は、一連の処理手順を与える不正アクセスに関する情報を提供する方法として捉えることができる。すなわち、不正アクセス検知サービス部において、所定の監視対象ネットワークへのアクセスのデータと、予め記憶されている既知の不正アクセスのパターンデータとを比較することで不正アクセスを検出し、検出された不正アクセスを一定期間毎に集計し、集計された不正アクセスから所定数の不正アクセスを選択し、選択された不正アクセスのパターンデータで構成される選択不正アクセスパターンデータを、予め記憶されている既知の不正アクセスのパターンデータを参照して作成し、作成された選択不正アクセスパターンデータをゲートウェイにネットワークを介して送信することで、不正アクセスに関する情報を提供する方法である。
また、上述したゲートウェイが行う処理は、不正アクセスを検出する方法として捉えることができる。すなわち、ゲートウェイにおいて、外部のネットワークから受けるアクセスについて、当該アクセスのデータと、送信された選択不正アクセスパターンデータに含まれるデータとの一致を判断することで、不正アクセスを検出する方法である。
それ故に、上述した不正アクセス検知システムの不正アクセス検知サービス部、及びゲートウェイが行うそれぞれの処理は、一連の処理手順を与える不正アクセスを検出する方法として捉えることができる。すなわち、不正アクセスに関する情報を提供する不正アクセス検知サービス部と、不正アクセス検知サービス部から提供される情報を用いて不正アクセスを検出するゲートウェイとが、ネットワークを介して接続される不正アクセス検知システムが不正アクセスを検出する方法であって、不正アクセス検知サービス部において不正アクセスに関する情報を提供する方法と、ゲートウェイにおいて不正アクセスを検出する方法とを合わせる、不正アクセスを検出する方法である。
また、上述した不正アクセス検知サービス部の全不正アクセス検知部、及びパターンデータ作成部が行うそれぞれの処理手順は、一連の処理手順を与える不正アクセスに関する情報を作成するための方法として捉えることもできる。なお、パターンデータ作成部は、集計された不正アクセスから、検出数の多い順に所定数の不正アクセスを選択することを特徴とする。
好ましくは、不正アクセス検知システムにおいて不正アクセスを検出する方法は、一連の処理手順を不正アクセス検知システムに実行させるためのプログラムの形式で提供される。また、不正アクセスに関する情報を作成する方法は、一連の処理手順を不正アクセス検知サービス部に実行させるためのプログラムの形式で提供される。このそれぞれのプログラムは、コンピュータに読み取り可能な記憶媒体に記憶されてもよい。
以上のように本発明においては、現在多く行われている不正アクセス(以下、流行の不正アクセスと記す)を検出し、一定期間毎に集計し、集計された不正アクセスから検出数の多い順に一定数を選択し、選択された不正アクセスのパターンデータで構成される、流行の不正アクセスに対応するリソースの少ないデータベースを作成することができる。また、そのデータベースを使用することで、少ないリソースで効率的に不正アクセスを検出することができる。さらに、データベースを一定期間毎に更新するため、最新の不正アクセスに対応する検出をすることができる。また、不正アクセスが検出された際、それを防ぐためのソフトウェアパッチの情報などもユーザに提供するため、ユーザ個別の対策を立てることができる。またさらに、不正アクセスが検出された際、ファイアウォールと連携することで、同じ不正アクセスの侵入を防ぐことができる。これにより、少ないリソース環境において、不正アクセス検知システムを導入する際、全ての不正アクセスのパターンデータを持つ必要がなくなり、比較的規模小規模なネットワーク環境にも導入することができる。
以下、本発明の実施形態について図面を用いて詳細に説明する。
図1は、本発明の一実施形態に係る不正アクセス検知システムの概要構成を示すブロック図である。
図1において、本実施形態に係る不正アクセス検知システムは、不正アクセス検知サービス部100、ゲートウェイ200、監視対象ネットワーク600、及び1つ以上のユーザ端末500で構成させる。不正アクセス検知サービス部100は、内部ネットワークの外(例えば、ISPや不正アクセス検知サービス提供会社など)に設置され、監視対象ネットワーク600への不正アクセスを監視する。不正アクセス検知サービス部100は、外部ネットワークを通して、ゲートウェイ200に接続される。ゲートウェイ200は、外部ネットワークとユーザ端末500とを中継し、内部ネットワークへの不正アクセスを監視する。ユーザ端末500は、ネット家電やパソコン等の機器である。
まず、不正アクセス検知サービス部100について説明する。図1において、不正アクセス検知サービス部100は、全不正アクセス検知部101、全パターンデータ記憶部102、パターンデータ作成部103、パターンデータ記憶部104、及びパターンデータ提供部105を備えている。
全不正アクセス検知部101は、全パターンデータ記憶部102と連携し、監視対象ネットワーク600への不正アクセスを監視する。全パターンデータ記憶部102は、世界中で発見されている多くの不正アクセスのパターンデータ(以下、全パターンデータと記す)を記憶する。なお、全パターンデータ記憶部102に記憶される全パターンデータは、新たな不正アクセスが発見されたときは、インターネット等を通じて直ちに更新されることが望ましい。
パターンデータ作成部103は、全不正アクセス検知部101で検出された不正アクセスから、選択不正アクセスパターンデータを作成する。選択不正アクセスパターンデータについて詳細は後ほど説明する。パターンデータ記憶部104は、選択不正アクセスパターンデータを記憶する。パターンデータ提供部105は、外部ネットワークを通して選択不正アクセスパターンデータを、不正アクセス検知部300に送信する。
次に、ゲートウェイ200について説明する。図1において、ゲートウェイ200は、不正アクセス検知部300、及びファイアウォール400を備えている。不正アクセス検知部300は、ファイアウォール400を介して受信するパケットを監視し、内部ネットワークへの不正アクセスを検出する。
次に、不正アクセス検知部300について説明する。図1において、不正アクセス検知部300は、データ解析部301、パターンデータ管理部302、パターンデータ更新部303、フィルタリング設定部304、及びアラート発生部305を備えている。
データ解析部301は、パターンデータ管理部302と連携して、ファイアウォール400を介して受信するパケットから不正アクセスを検出する。データ解析部301は、不正アクセスを検出すると、アラート発生部305、及びフィルタリング設定部304に通知する。アラート発生部305は、検出された不正アクセスに対応するアラートや不正アクセス情報を、ユーザ端末500へ通知する。フィルタリング設定部304は、ファイアウォール400に対して、検出された不正アクセスを遮断するようなパケットフィルタリングの設定を行う。
パターンデータ管理部302は、不正アクセスを検出するため選択不正アクセスパターンデータとデフォルトパターンデータとを記憶する。デフォルトパターンデータの詳細は後ほど説明する。パターンデータ更新部303は、パターンデータ提供部105から外部ネットワークを介して選択不正アクセスパターンデータを受信する。パターンデータ更新部303は、パターンデータ管理部302に記憶されている選択不正アクセスパターンデータを更新する。
次に、図2〜図5を参照して、選択不正アクセスパターンデータについて説明する。図2は、選択不正アクセスパターンデータの書式の一例を示す図である。図3は、ウィルス送信行為を対象とした選択不正アクセスパターンデータの一例を示す図である。図4は、不正アクセス行為を対象とした選択不正アクセスパターンデータの一例を示す図である。図5は、重要度の高い順に作成した選択不正アクセスパターンデータの一例を示す図である。
図2を用いて、選択不正アクセスパターンデータの書式の一例について説明する。
図2において、選択不正アクセスパターンデータは、順位とパターンデータ情報と不正アクセス情報とから構成される。パターンデータ情報には、不正アクセス名、重要度(被害状況、ダメージ、感染力)、送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号、キーワード(パケットに含まれる不正アクセスを特徴付けるキーワードなど)、及び添付ファイル(不正アクセスであることを特徴付ける添付ファイルなど)が記述される。
不正アクセス情報には、パッチ情報が記載されたURL(ソフトウェアパッチや、不正アクセスの詳細な情報が掲載されたサイトのURLなど)、及び警告の内容が記載される。不正アクセス検知システムは、不正アクセス情報を用いることで、本システムを利用するユーザに対して、ソフトウェアパッチの在り処や対処の仕方を知らせたり、不正アクセスの種類に対応する警告などを行ったりすることができる。パターンデータ情報、及び不正アクセス情報の項目は、必要に応じて追加、省略が可能である。
図3において、ウィルス送信行為を対象とした選択不正アクセスパターンデータの一例は、不正アクセスのうち特にウィルス送信行為を対象として作成された選択不正アクセスパターンデータである。パターンデータ作成部103は、全不正アクセス検知部101によって監視対象ネットワーク600から検出された不正アクセスのうち、ウィルス送信行為による不正アクセスを一定期間毎に集計し、集計された不正アクセスから、検出数の多い順に一定数を選択し、選択された不正アクセスのパターンデータで構成される、ウィルス送信行為を対象とした選択不正アクセスパターンデータを作成する。
図4において、不正アクセス行為を対象とした選択不正アクセスパターンデータの一例は、不正アクセスのうち特に不正アクセス行為を対象として作成された選択不正アクセスパターンデータである。パターンデータ作成部103は、全不正アクセス検知部101によって監視対象ネットワーク600から検出された不正アクセスのうち、不正アクセス行為による不正アクセスを一定期間毎に集計し、集計された不正アクセスから、検出数の多い順に一定数を選択し、選択された不正アクセスのパターンデータで構成される、不正アクセス行為を対象とした選択不正アクセスパターンデータを作成する。
ここで、不正アクセスを集計する一定期間とは、例えば、1週間であったり、1ヶ月であったりする。一定期間を短めに設定することで、流行の不正アクセスに素早く対応した選択不正アクセスパターンデータを作成することができる。また、一定期間を長めに設定することで、一時的な不正アクセスの流行に左右されにくい選択不正アクセスパターンデータを作成することができる。
また、不正アクセスを選択する一定数とは、例えば、50であったり、100であったりする。例えば、検出数の多い順に10種類のウィルスのパターンデータを記憶するだけで、全体の80%のウィルス送信行為による不正アクセスを検出することができるとする統計もある。
このように、ウィルス送信行為と、不正アクセス行為とに分けて選択不正アクセスパターンデータを作成する理由は、ウィルス送信行為と不正アクセス行為とでは、不正アクセスの頻度が異なるからである。例えば、不正アクセス行為のうちの1つであるサービス不能(DoS)攻撃などは、短い時間に非常に多くの不正アクセスが行われる。
次に、ウィルス送信行為を対象とした選択不正アクセスパターンデータの記述例を、図3において、1位に記述されている「AAA」というウィルスを用いて説明する。図3において、「AAA」というウィルスは、順位(不正アクセスの検出数)が1位であり、被害状況が中レベル(middle)、ダメージが中レベル(middle)、影響力が高レベル(high)であることを示している。また、「AAA」というウィルスは、送信元IPアドレスと送信元ポート番号とは任意(any)、宛先IPアドレスはメールサーバのIPアドレス($SMTP_SERVER)、宛先ポート番号は25であるパケットで、パケットのペイロード内に“MIME”、“aaaa123”が含まれており、電子メールの添付ファイルに“aaaaa.exe”が含まれているパケットであること示している。また、「AAA」というウィルスは、パッチ情報が記載されたURLが“http://www.*.com”であり、警告の内容が“Warring ―― AAAA Detect!!”であることを示している。
次に、不正アクセス行為を対象とした選択不正アクセスパターンデータの記述例を、図4において、1位に記述されている「DDD Buffer Overflow」という不正アクセス行為を用いて説明する。図4おいて、「DDD Buffer Overflow」という不正アクセス行為は、順位(不正アクセスの検出数)が1位であることを示している。また、「DDD Buffer Overflow」という不正アクセス行為は、送信元IPアドレスと送信元ポート番号とは任意(any)、宛先IPアドレスはメールサーバのIPアドレス($SMTP_SERVER)、宛先ポート番号は30であるパケットで、パケットのペイロード内に“/ddd/tstisapi.dll”が含まれているパケットであること示している。また、「DDD Buffer Overflow」という不正アクセス行為は、パッチ情報が記載されたURLが“http://www.*.ac.com/”であり、警告の内容が“Warring ―― DDD Buffer Overflow Detect!!”であることを示している。
また、図5を用いて、重要度の高い順に作成した選択不正アクセスパターンデータの一例を説明する。図5において、重要度の高い順に作成した選択不正アクセスパターンデータは、図3、図4の選択不正アクセスパターンデータが不正アクセスの検出数順に作成されたものに対して、不正アクセスの重要度順に作成されたものである。パターンデータ作成部103は、全不正アクセス検知部101によって監視対象ネットワーク600から検出された不正アクセスを一定期間毎に集計し、重要度の高い順に一定数を選択し、選択された不正アクセスのパターンデータで構成される、重要度の高い順に作成した選択不正アクセスパターンデータを作成する。例えば、図5において、検出数順位8位の「HHH」が、最も重要度が高いと判断され最上位で選択されている。ここで重要度とは、システムや周囲に与える影響を考慮して柔軟に決定される。例えば、図2において、重要度は、被害状況とダメージと感染力とを総合的に判断され決定される。
次に、図6を参照して、デフォルトパターンデータについて説明する。図6は、デフォルトパターンデータの一例を示す図である。デフォルトパターンデータとは、常に検知すべき不正アクセスのパターンデータを一定数集めたものである。デフォルトパターンデータを使用して不正アクセスを検出することで、たまたま選択不正アクセスパターンデータに登録されなかった、常に検知すべき不正アクセスを漏れなく検出することができる。図6において、デフォルトパターンデータの記述例は、選択不正アクセスパターンデータの記述例から、順位を省いたものである。また、デフォルトパターンデータには、選択不正アクセスパターンデータと同じく、ウィルス送信行為を対象としたデフォルトパターンデータと、不正アクセス行為を対象としたデフォルトパターンデータとが存在する。
選択不正アクセスパターンデータ作成時に、デフォルトパターンデータに登録されている不正アクセスが多く検出された場合、その不正アクセスのパターンデータは、選択不正アクセスパターンデータにも登録されることになる。例えば、図6において、「CCC」というデフォルトパターンデータは、図3の選択不正アクセスパターンデータの一例に、検出数順位3位で登録されている。すなわち、不正アクセスのパターンデータは、選択不正アクセスパターンデータと、デフォルトパターンデータとの、両方に登録される場合がある。
なお、不正アクセスのパターンデータは、デフォルトパターンデータに登録されている場合、選択不正アクセスパターンデータに登録されないようにしてもよい。このため、パターンデータ作成部103は、よりリソースの少ない選択不正アクセスパターンデータを作成することができる。ただし、パターンデータ作成部103は、選択不正アクセスパターンデータ作成時に、外部ネットワークを介して、パターンデータ管理部302で保持されているデフォルトパターンデータと、検出された不正アクセスとを比較する処理を行うことが必要となる。
次に、図7〜図12を参照して、本発明の一実施形態に係る不正アクセス検知システムの動作を説明する。
図7は、本発明の一実施形態に係る不正アクセス検知システムの全体動作を示すフローチャートである。図8は、選択不正アクセスパターンデータ作成処理の詳細動作の前半を示すフローチャートである。図9は、選択不正アクセスパターンデータ作成処理の詳細動作の後半を示すフローチャートである。図10は、選択不正アクセスパターンデータの更新処理の詳細動作を示すフローチャートである。図11は、ゲートウェイが不正アクセスを検出するときの詳細動作を示すフローチャートである。図12は、図11のアラート処理の詳細動作を示すフローチャートである。
図7を参照して、不正アクセス検知サービス部100は、選択不正アクセスパターンデータを作成する(ステップS100)。選択不正アクセスパターンデータ作成処理の詳細動作については、図8、図9を用いて説明する。
図8を参照して、全不正アクセス検知部101は、監視対象ネットワーク600への不正アクセスを監視する。全不正アクセス検知部101は、全パターンデータ記憶部102と連携することで、監視対象ネットワーク600への不正アクセスを検出する(ステップS101)。全不正アクセス検知部101と全パターンデータ記憶部102とが連携して不正アクセスを検出するステップS101の動作は、従来から広く用いられている不正アクセス検知システムの動作と同じである。監視対象ネットワーク600は、例えば、ISP等の大規模ネットワークのことであり、多くの不正アクセスが行われているネットワークである。不正アクセス検知サービス部100は、監視対象ネットワーク600への不正アクセスを監視することで、流行の不正アクセスを検出することができる。
全不正アクセス検知部101は、監視対象ネットワーク600への不正アクセスを検出すると、パターンデータ作成部103に通知する。パターンデータ作成部103は、全不正アクセス検知部101から通知された不正アクセスをカウントする(ステップS102)。パターンデータ作成部103は、一定期間の経過毎に(ステップS103)、不正アクセスを集計し、検出数の多い順に一定数の不正アクセスを選択する(ステップS104)。
次に、パターンデータ作成部103は、選択された不正アクセスについて、選択不正アクセスパターンデータの作成を行う(ステップS105〜ステップS113)。
パターンデータ作成部103は、不正アクセスに対応するパターンデータ情報を入手するため、パターンデータ記憶部104に問い合わせを行う。パターンデータ作成部103は、パターンデータ情報がパターンデータ記憶部104から入手できる場合は、パターンデータ情報を入手する(ステップS105)。パターンデータ作成部103は、パターンデータ情報をパターンデータ記憶部104から入手できなかった場合は、全パターンデータ記憶部102に問い合わせを行い、パターンデータ情報を入手する(ステップS106、ステップS107)。パターンデータ作成部103は、ステップS105〜ステップS107を実施することで、不正アクセス検知部101で検出された全ての不正アクセスに対応するパターンデータ情報を入手することができる。
次に、パターンデータ作成部103は、不正アクセスに対応する不正アクセス情報を入手するため、パターンデータ記憶部104に問い合わせを行う。パターンデータ作成部103は、不正アクセス情報をパターンデータ記憶部104から入手できる場合は、不正アクセス情報を入手する(ステップS108)。図9において、パターンデータ作成部103は、不正アクセス情報をパターンデータ記憶部104から入手できなかった場合は、不正アクセス情報を入手するため、全不正アクセス検知部101を介して、外部ネットワークに問い合わせを行う。パターンデータ作成部103は、外部ネットワークから不正アクセス情報を入手できる場合は、不正アクセス情報を入手する(ステップS109、ステップS110)。パターンデータ作成部103は、外部ネットワークを介して、不正アクセス情報を提供するサイト等から、不正アクセス情報の入手を試みるのである。
パターンデータ作成部103は、外部ネットワークから不正アクセス情報を入手できなかった場合は、不正アクセス情報なしで選択不正アクセスパターンデータを作成する(ステップS111、ステップS112)。
一方、パターンデータ作成部103は、パターンデータ記憶部104、あるいは、外部ネットワークから不正アクセス情報を入手できた場合は、不正アクセス情報ありで選択不正アクセスパターンデータを作成する(ステップS109、ステップS111、ステップS113)。
パターンデータ作成部103は、選択不正アクセスパターンデータ作成が完了するまで、ステップS105からステップS113までの動作を繰り返す。パターンデータ作成部103は、選択不正アクセスパターンデータ作成が完了したら(ステップS114)、作成した選択不正アクセスパターンデータを、パターンデータ記憶部104へ保存する(ステップS115)。
なお、ステップS104において、パターンデータ作成部103は、不正アクセスを集計し、検出数の多い順に一定数を選択する動作としたが、重要度の高い順に一定数を選択する動作としてもよい。これにより、不正アクセス検知サービス部100は、重要度の高い順に作成した選択不正アクセスパターンデータを作成することができる。また、パターンデータ作成部103が選択不正アクセスパターンデータを作成するとき、検出数の多い順に作成するか、重要度の高い順に作成するかの選択は、不正アクセス検知システムを導入する側の判断によって、任意に決定することができる。
また、パターンデータ作成部103は、不正アクセスのパターンデータ情報を、パターンデータ記憶部104に問い合わせ(ステップS105)を行った後で、全パターンデータ記憶部102に問い合わせ(ステップS107)を行っている。しかし、パターンデータ作成部103は、ステップS105の動作を省略して、いきなり全パターンデータ記憶部102に問い合わせ(ステップS107)を行ってもよい。なぜなら、全不正アクセス検知部101で検出された不正アクセスは、全パターンデータ記憶部102に記憶されているパターンデータ情報と比較され検出されたものである。そのため、検出された不正アクセスに対応するパターンデータ情報は、必ず全パターンデータ記憶部102に記憶されているはずである。従って、パターンデータ作成部103は、全パターンデータ記憶部102に問い合わせを行うだけで、検出された不正アクセスに対応するパターンデータ情報を入手することができる。ただし、ステップS105を実行することで、全パターンデータ記憶部102への問い合わせ回数を減らすことができる。そのため、全不正アクセス検知部101と全パターンデータ記憶部102とが連携して、監視対象ネットワークへの不正アクセスを検出する処理に与える影響を減らすことができる。また、異なる効果として、例えば、パターンデータ作成部103と全パターンデータ記憶部102とが、離れた場所に設置され互いにネットワーク接続されている場合など、問い合わせのための遅延時間を減らすことができる。
またさらに、図8で例示したステップS104からステップ113とは、パターンデータ作成部103は、ウィルス送信行為を対象とした選択不正アクセスパターンデータと、不正アクセス行為を対象とした選択不正アクセスパターンデータとを作成している。しかし、パターンデータ作成部103は、ウィルス送信行為を対象とした選択不正アクセスパターンデータだけを作成してもよいし、不正アクセス行為を対象とした選択不正アクセスパターンデータだけを作成してもよい。また、パターンデータ作成部103は、ウィルス送信行為と不正アクセス行為とが両方混在する選択不正アクセスパターンデータを作成しても構わない。
図7に戻り、不正アクセス検知システムは、選択不正アクセスパターンデータの更新処理を行う(ステップS200)。選択不正アクセスパターンデータの更新処理とは、不正アクセス検知部300に記憶されている選択不正アクセスパターンデータを、不正アクセス検知サービス部100で作成された選択不正アクセスパターンデータに更新する処理のことである。選択不正アクセスパターンデータ更新処理の詳細動作については図10用いて説明する。
図10を参照して、不正アクセス検知サービス部100において、パターンデータ提供部105は、パターンデータ記憶部104に記憶されている選択不正アクセスパターンデータが更新されたら(ステップS201)、パターンデータ記憶部104から選択不正アクセスパターンデータを取得する。パターンデータ提供部105は、外部ネットワークを介して、選択不正アクセスパターンデータをゲートウェイ200に送信する(ステップS202)。
ゲートウェイ200は、選択不正アクセスパターンデータを受信すると、ファイアウォール400、不正アクセス検知部300、及びデータ解析部301を介して、パターンデータ更新部303に送る。パターンデータ更新部303は、選択不正アクセスパターンデータを受信すると(ステップS203)、パターンデータ管理部302に記憶されている選択不正アクセスパターンデータと、受信した選択不正アクセスパターンデータとが同一であるか否かの判定を行う(ステップS204)。パターンデータ更新部303は、選択不正アクセスパターンデータが同一でないと判定した場合は、パターンデータ管理部302に記憶されている選択不正アクセスパターンデータを、受信した選択不正アクセスパターンデータに更新する(ステップS205)。また、パターンデータ更新部303は、選択不正アクセスパターンデータが同一であると判定した場合は、更新を行わない。
なお、ステップS204において、パターンデータ更新部303は、パターンデータ管理部302に記憶されている選択不正アクセスパターンデータと、受信した選択不正アクセスパターンデータとが同一であるか否かの判定を行う(ステップS204)動作としたが、判定を行わない動作としてもよい。これにより、パターンデータ更新部303は、選択不正アクセスパターンデータを受信すると(ステップS203)、パターンデータ管理部302に記憶されている選択不正アクセスパターンデータを、直ちに受信した選択不正アクセスパターンデータに更新する(ステップS205)。なぜなら、パターンデータ更新部303が受信する選択不正アクセスパターンデータは、ステップS201により、基本的に更新されたものが送られてくるからである。
ただし、ステップS204の判定を行うことで、無駄に選択不正アクセスパターンデータの更新が行われるのを防ぐことができる。例えば、ステップS204の判定を行った方がよいと想定される場合は、不正アクセス検知部300側から、不正アクセス検知サービス部100に問い合わせを行い、選択不正アクセスパターンデータを取得したときである。この場合には、パターンデータ管理部303が受信する選択不正アクセスパターンデータは、パターンデータ管理部302に記憶されている選択不正アクセスパターンデータと同一である可能性がある。
図7に戻り、ゲートウェイ200は、外部ネットワークから受信するパケットの不正アクセス検出処理を行う(ステップS300)。不正アクセス検出処理の詳細動作については図11を用いて説明する。
図11を参照して、ファイアウォール400は、外部ネットワークからゲートウェイに到着するパケットを受信する(ステップS301)。ファイアウォール400は、パケットフィルタリングの設定から受信パケットを通過させるか否かを判断する(ステップS302)。ファイアウォール400は、パケットを通過させると判断した場合は、受信パケットをデータ解析部301へ送る。一方、ファイアウォール400は、パケットを通過させないと判断した場合は、パケットを破棄する(ステップS304)。
データ解析部301は、パケットを受信すると(ステップS303)、パターンデータ管理部302に記憶されている選択不正アクセスパターンデータと、受信パケットとを比較する(ステップS305)。
まず、データ解析部301は、受信パケットと選択不正アクセスパターンデータとが一致しない場合は、パターンデータ管理部302に記憶されているデフォルトパターンデータと受信パケットとを比較する(ステップS306、ステップS307)。データ解析部301は、受信パケットとデフォルトパターンデータとが一致しない場合は、不正アクセス検出なしを判断する(ステップS308、ステップS309)。データ解析部301は、不正アクセス検出なしを判断した場合は、受信パケットをユーザ端末へ送信する(ステップS310)。
一方、データ解析部301は、受信パケットと選択不正アクセスパターンデータとが一致する場合は、不正アクセス検出を判断する(ステップS306、ステップS311)。また、データ解析部301は、受信パケットとデフォルトパターンデータに含まれるデータとが一致する場合は、不正アクセス検出を判断する(ステップS308、ステップS311)。データ解析部301は、不正アクセス検出を判断すると、受信パケットを破棄し(ステップS312)、アラート処理を行う(ステップS400)。アラート処理の詳細動作については図12を用いて説明する。
図12を参照して、データ解析部301は、検出した不正アクセスに対応するパターンデータ情報と不正アクセス情報とをパターンデータ管理部302に問い合わせる(ステップS401)。
データ解析部301は、不正アクセス情報がパターンデータ管理部302に登録されていなければ、パターンデータ情報をアラート発生部305へ通知する。アラート発生部305は、データ解析部301から不正アクセスのパターンデータ情報を通知されると、アラート、及びパターンデータ情報をユーザ端末500へ通知する。(ステップS402、ステップS403)。
一方、データ解析部301は、不正アクセス情報がパターンデータ管理部302に登録されていると、パターンデータ情報と不正アクセス情報とをアラート発生部305へ通知する。アラート発生部305は、データ解析部301から不正アクセスのパターンデータ情報と不正アクセス情報とを通知されると、アラート、パターンデータ情報、及び不正アクセス情報をユーザ端末500へ通知する。(ステップS402、ステップS404)。
アラート発生部305がユーザ端末500へ通知するアラートは、不正アクセスが検出されたことをユーザに知らせる(警告する)ために使われる情報である。アラート発生部305は、ユーザ端末500に対してアラート、パターンデータ情報、及び不正アクセス情報などを通知するとき、例えば、電子メールを用いたり、ユーザ端末500の表示装置に警告等を表示したりする。ユーザ端末500は、例えば、通知されたパターンデータ情報や不正アクセス情報を用いて、不正アクセスのパッチ情報が記載されたURLや警告の内容などを表示装置に表示することができる。
次に、データ解析部301は、不正アクセスの検出をフィルタリング設定部304に通知する。フィルタリング設定部304は、不正アクセスの検出を通知されると、ファイアウォール400に対して、検出された不正アクセスを通過させないようなパケットフィルタリングの設定を行う(ステップS405)。
なお、図11において、データ解析部301は、受信パケットと選択不正アクセスパターンデータとを比較し(ステップS305)、その後で、受信パケットとデフォルトパターンデータとを比較する(ステップS307)動作としているが、どちらの動作を先に行ってもよい。データ解析部301は、ステップS305、ステップS307のどちらの動作を先に行っても、同じように不正アクセスを検出することができる。ただし、選択不正アクセスパターンデータは、流行の不正アクセスのパターンデータであるため、デフォルトパターンデータから不正アクセスを検出するよりも、不正アクセスが検出される頻度が多いはずである。そのため、データ解析部301は、選択不正アクセスパターンデータから不正アクセスを検出する(ステップS305)動作を、ステップS307の動作よりも先に行う方が好ましい。
また、図12を参照してステップS403、ステップS404において、データ解析部301は、アラートや不正アクセス情報などをユーザ端末500へ通知するとき、不正アクセスの送信元IPアドレスやポート番号などの情報を取得することができれば、これらの情報もユーザ端末500へ通知してもよい。これにより、ユーザ端末500は、検出された不正アクセスの情報をより詳細に知ることができる。
また、図1において、ゲートウェイ200は、ファイアウォール400を備えない構成としてもよい。ゲートウェイ200は、ファイアウォール400を備えない構成とすることで、ファイアウォールで不正アクセスの侵入を防ぐことはできなくなる。しかし、ゲートウェイ200は、その分安価に製造され、また、ファイアウォールで必要とされる処理の負担も軽減される。また、ゲートウェイ200がファイアウォール400を備えない構成となる場合、不正アクセス検知部300は、フィルタリング設定部304を備える必要がなくなる。
またさらに、ゲートウェイ200は、ファイアウォール400を備えない構成とする場合、データ解析部301は、繰り返し同じ不正アクセスを受ける可能性がある。そのため、データ解析部301が検出する不正アクセスから、流行の不正アクセスを知ることができる。従って、データ解析部301に次のような動作を追加してもよい。
図12を参照してステップS405において、データ解析部301は、不正アクセスの検出をフィルタリング設定部304に通知する。その後、データ解析部301は、不正アクセスの検出を、ファイアウォール400、外部ネットワーク、監視対象ネットワーク600、及び全不正アクセス検知部101を介して、パターンデータ作成部103に通知してもよい。これにより、パターンデータ作成部103は、データ解析部302から通知された不正アクセスを集計に加えることができ、選択不正アクセスパターンデータ作成処理に反映することができる。そのため、パターンデータ作成部103は、監視対象ネットワーク600への不正アクセスだけを検出するよりも、より多くの不正アクセスを集計することができる。従って、パターンデータ作成部103は、より多くの不正アクセスを反映した選択不正アクセスパターンデータを作成することができる。
以上のように、本発明の一実施形態に係る不正アクセス検出システムによれば、流行の不正アクセスを検出し、一定期間毎に集計し、検出数の多い順に一定数を選択し、対応するパターンデータから、流行の不正アクセスに対応するリソースの少ないデータベースを作成することができる。また、そのデータベースを使用することで、少ないリソースで効率的に不正アクセスを検出することができる。さらに、データベースを一定時間毎に更新するため、新しい流行の不正アクセスに対応する検出をすることができる。また、不正アクセスが検出された際、それを防ぐためのソフトウェアパッチの情報などもユーザに提供するため、ユーザ個別の対策を立てることができる。またさらに、不正アクセスが検出された際、ファイアウォールと連携することで、同じ不正アクセスの侵入を防ぐことができる。これにより、少ないリソース環境において、不正アクセス検知システムを導入する際、全ての不正アクセスのパターンデータを持つ必要がなくなり、比較的規模小規模なネットワーク環境にも導入することができる。
本発明の不正アクセス検知システムは、少ないリソースで不正アクセスを検出し防止すること等に適しており、特に比較的小規模なネットワークへの不正アクセスを検出し防止する場合等に有効である。
本発明の一実施形態に係る不正アクセス検知システムの概要構成を示すブロック図 選択不正アクセスパターンデータの書式の一例を示す図 ウィルス送信行為を対象とした選択不正アクセスパターンデータの一例を示す図 不正アクセス行為を対象とした選択不正アクセスパターンデータの一例を示す図 重要度の高い順に作成した選択不正アクセスパターンデータの一例を示す図 デフォルトパターンデータの一例を示す図 本発明の一実施形態に係る不正アクセス検知システムの全体動作を示すフローチャート 選択不正アクセスパターンデータ作成処理の詳細動作の前半を示すフローチャート 選択不正アクセスパターンデータ作成処理の詳細動作の後半を示すフローチャート 選択不正アクセスパターンデータの更新処理の詳細動作を示すフローチャート ゲートウェイが不正アクセスを検出するときの詳細動作を示すフローチャート 図11のアラート処理の詳細動作示すフローチャート
符号の説明
100 不正アクセス検知サービス部
101 全不正アクセス検知部
102 全パターンデータ記憶部
103 パターンデータ作成部
104 パターンデータ記憶部
105 パターンデータ提供部
200 ゲートウェイ
300 不正アクセス検知部
301 データ解析部
302 パターンデータ管理部
303 パターンデータ更新部
304 フィルタリング設定部
305 アラート発生部
400 ファイアウォール
500 ユーザ端末
600 監視対象ネットワーク


Claims (17)

  1. 不正アクセスに関する情報を提供する不正アクセス検知サービス部と、不正アクセス検知サービス部から提供される情報を用いて不正アクセスを検出するゲートウェイとが、ネットワークを介して接続される不正アクセス検知システムであって、
    前記不正アクセス検知サービス部は、
    既知の不正アクセスのパターンデータを記憶した全パターンデータ記憶部と、
    所定の監視対象ネットワークへのアクセスのデータと、前記全パターンデータ記憶部に記憶されているパターンデータとを比較することで不正アクセスを検出する全不正アクセス検知部と、
    前記全不正アクセス検知部によって検出された不正アクセスを一定期間毎に集計し、集計された不正アクセスから所定数の不正アクセスを選択し、選択された不正アクセスのパターンデータで構成される選択不正アクセスパターンデータを、前記全パターンデータ記憶部を参照して作成するパターンデータ作成部と、
    前記パターンデータ作成部によって作成された前記選択不正アクセスパターンデータを記憶するパターンデータ記憶部と、
    前記パターンデータ記憶部に記憶されている前記選択不正アクセスパターンデータを、前記ゲートウェイにネットワークを介して送信するパターンデータ提供部とを備え、
    前記ゲートウェイは、外部のネットワークから受けるアクセスについて、当該アクセスのデータと、前記パターンデータ提供部によって送信された前記選択不正アクセスパターンデータに含まれるデータとの一致を判断することによって、不正アクセスを検出する不正アクセス検知部を備える、不正アクセス検知システム。
  2. 前記パターンデータ作成部は、集計された不正アクセスから、検出数の多い順に所定数の不正アクセスを選択することを特徴とする、請求項1に記載の不正アクセス検知システム。
  3. 前記全パターンデータ記憶部は、検知の重要性が高いパターンデータについてその重要度をさらに記憶しており、
    前記パターンデータ作成部は、集計された不正アクセスから、前記重要度の高い順に所定数の不正アクセスを選択することを特徴とする、請求項1に記載の不正アクセス検知システム。
  4. 前記パターンデータ作成部は、前記全不正アクセス検知部によって検出された不正アクセスのうち、ウィルス送信行為による不正アクセスを一定期間毎に集計することを特徴とする、請求項1〜3のいずれかに記載の不正アクセス検知システム。
  5. 前記パターンデータ作成部は、前記全不正アクセス検知部によって検出された不正アクセスのうち、不正アクセス行為による不正アクセスを一定期間毎に集計することを特徴とする、請求項1〜3のいずれかに記載の不正アクセス検知システム。
  6. 前記パターンデータ作成部は、前記全不正アクセス検知部によって検出された不正アクセスを、一定期間毎に、ウィルス送信行為による不正アクセスと不正アクセス行為による不正アクセスとに分類して集計し、集計された各不正アクセスからそれぞれ所定数の不正アクセスを選択することを特徴とする、請求項1〜3のいずれかに記載の不正アクセス検知システム。
  7. 前記不正アクセス検知部は、
    少なくとも前記選択不正アクセスパターンデータを記憶するパターンデータ管理部と、
    前記パターンデータ提供部から前記選択不正アクセスパターンデータを受信するたびに、前記パターンデータ管理部に記憶される前記選択不正アクセスパターンデータを更新して記憶するパターンデータ更新部と、
    外部のネットワークからアクセスを受け付け、受け付けたアクセスについて、当該アクセスのデータと、前記パターンデータ管理部に記憶されている前記選択不正アクセスパターンデータに含まれるデータとの一致を判断することによって、不正アクセスを検出するデータ解析部とを備える、請求項1に記載の不正アクセス検知システム。
  8. 前記不正アクセス検知部は、前記データ解析部によって不正アクセスが検出されたとき、不正アクセスの検出を通知するアラートを、前記ゲートウェイに接続されるユーザ端末に送出するアラート発生部をさらに備えることを特徴とする、請求項7に記載の不正アクセス検知システム。
  9. 前記選択不正アクセスパターンデータは、少なくとも、不正アクセスのパターンデータが記述されたパターンデータ情報と、不正アクセスに対処するパッチ情報を与えるURLと警告の内容とが記述された不正アクセス情報とで構成されており、
    前記アラート発生部は、さらに前記パターンデータ情報又は前記不正アクセス情報の少なくとも一方を、前記ユーザ端末に送出することを特徴とする、請求項8に記載の不正アクセス検知システム。
  10. 前記データ解析部は、検出した不正アクセスの情報を、前記パターンデータ作成部にさらに通知し、
    前記パターンデータ作成部は、前記データ解析部から通知された不正アクセスを集計に加えることを特徴とする、請求項7に記載の不正アクセス検知システム。
  11. 前記ゲートウェイは、外部のネットワークからアクセスを受け付け、所定のアクセスを遮断させるファイアウォールをさらに備えることを特徴とする、請求項1に記載の不正アクセス検知システム。
  12. 前記ゲートウェイは、外部のネットワークからアクセスを受け付け、所定のアクセスだけを通過させるファイアウォールをさらに備え、
    前記不正アクセス検知部は、前記データ解析部によって不正アクセスが検出されたとき、検出された不正アクセスを遮断するように、前記ファイアウォールを設定するフィルタリング設定部をさらに備える、請求項7に記載の不正アクセス検知システム。
  13. 前記パターンデータ管理部は、既知の不正アクセスのうち、常に検知すべき不正アクセスのパターンデータを所定数集めたものであるデフォルトパターンデータを、さらに記憶し、
    前記データ解析部は、外部のネットワークから受けるアクセスについて、当該アクセスのデータと、前記パターンデータ管理部に記憶されている前記選択不正アクセスパターンデータ又は前記デフォルトパターンデータのいずれかに含まれるデータとの一致を判断することによって、不正アクセスを検出することを特徴とする請求項7に記載の不正アクセス検知システム。
  14. 不正アクセスに関する情報を提供する不正アクセス検知サービス部と、不正アクセス検知サービス部から提供される情報を用いて不正アクセスを検出するゲートウェイとが、ネットワークを介して接続される不正アクセス検出システムが行う方法であって、
    前記不正アクセス検知サービス部は、
    所定の監視対象ネットワークへのアクセスのデータと、予め記憶されている既知の不正アクセスのパターンデータとを比較することで不正アクセスを検出するステップと、
    前記検出するステップによって検出された不正アクセスを一定期間毎に集計するステップと、
    前記集計するステップによって集計された不正アクセスから所定数の不正アクセスを選択するステップと、
    前記選択するステップによって選択された不正アクセスのパターンデータで構成される選択不正アクセスパターンデータを、予め記憶されている既知の不正アクセスのパターンデータを参照して作成するステップと、
    前記作成するステップによって作成された前記選択不正アクセスパターンデータを、前記ゲートウェイにネットワークを介して送信するステップとを備え、
    前記ゲートウェイは、
    外部のネットワークから受けるアクセスについて、当該アクセスのデータと、前記送信するステップによって送信された前記選択不正アクセスパターンデータに含まれるデータとの一致を判断するステップと、
    前記判断するステップによって一致を判断された場合に、外部のネットワークから受けるアクセスを不正アクセスであると判断するステップとを備える、方法。
  15. 不正アクセスに関する情報を作成するために不正アクセス検知サービス部が行う方法であって、
    所定の監視対象ネットワークへのアクセスのデータと、予め記憶されている既知の不正アクセスのパターンデータとを比較することで不正アクセスを検出するステップと、
    前記検出するステップによって検出された不正アクセスを一定期間毎に集計するステップと、
    前記集計するステップによって集計された不正アクセスから、検出数の多い順に所定数の不正アクセスを選択するステップと、
    前記選択するステップによって選択された不正アクセスのパターンデータで構成される選択不正アクセスパターンデータを、予め記憶されている既知の不正アクセスのパターンデータを参照して作成するステップとを備える、方法。
  16. 不正アクセスに関する情報を提供する不正アクセス検知サービス部と、不正アクセス検知サービス部から提供される情報を用いて不正アクセスを検出するゲートウェイとが、ネットワークを介して接続される不正アクセス検知システムが実行するためのプログラムであって、
    前記不正アクセス検知サービス部に、
    所定の監視対象ネットワークへのアクセスのデータと、予め記憶されている既知の不正アクセスのパターンデータとを比較することで不正アクセスを検出するステップと、
    前記検出するステップによって検出された不正アクセスを一定期間毎に集計するステップと、
    前記集計するステップによって集計された不正アクセスから所定数の不正アクセスを選択するステップと、
    前記選択するステップによって選択された不正アクセスのパターンデータで構成される選択不正アクセスパターンデータを、予め記憶されている既知の不正アクセスのパターンデータを参照して作成するステップと、
    前記作成するステップによって作成された前記選択不正アクセスパターンデータを、前記ゲートウェイにネットワークを介して送信するステップとを実行させ、
    前記ゲートウェイに、
    外部のネットワークから受けるアクセスについて、当該アクセスのデータと、前記送信するステップによって送信された前記選択不正アクセスパターンデータに含まれるデータとの一致を判断するステップと、
    前記判断するステップによって一致を判断された場合に、外部のネットワークから受けるアクセスを不正アクセスであると判断するステップとを実行させるための、プログラム。
  17. 不正アクセスに関する情報を作成するために不正アクセス検知サービス部が実行するプログラムであって、
    所定の監視対象ネットワークへのアクセスのデータと、予め記憶されている既知の不正アクセスのパターンデータとを比較することで不正アクセスを検出するステップと、
    前記検出するステップによって検出された不正アクセスを一定期間毎に集計するステップと、
    前記集計するステップによって集計された不正アクセスから、検出数の多い順に所定数の不正アクセスを選択するステップと、
    前記選択するステップによって選択された不正アクセスのパターンデータで構成される選択不正アクセスパターンデータを、予め記憶されている既知の不正アクセスのパターンデータを参照して作成するステップとを実行させるための、プログラム。



JP2003394178A 2003-11-25 2003-11-25 不正アクセス検知システム Pending JP2005157650A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003394178A JP2005157650A (ja) 2003-11-25 2003-11-25 不正アクセス検知システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003394178A JP2005157650A (ja) 2003-11-25 2003-11-25 不正アクセス検知システム

Publications (1)

Publication Number Publication Date
JP2005157650A true JP2005157650A (ja) 2005-06-16

Family

ID=34720330

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003394178A Pending JP2005157650A (ja) 2003-11-25 2003-11-25 不正アクセス検知システム

Country Status (1)

Country Link
JP (1) JP2005157650A (ja)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007028643A (ja) * 2005-07-20 2007-02-01 Avaya Technology Corp 電話内線攻撃の検出、記録および知的防止
JP2007102697A (ja) * 2005-10-07 2007-04-19 Nec Corp 検疫システム及び方法並びにプログラム
JP2007208861A (ja) * 2006-02-06 2007-08-16 Alaxala Networks Corp 不正アクセス監視装置及びパケット中継装置
JP2008052637A (ja) * 2006-08-28 2008-03-06 Kddi Corp 異常検知装置、異常検知プログラム、および記録媒体
JP2010508598A (ja) * 2006-11-03 2010-03-18 アルカテル−ルーセント ユーエスエー インコーポレーテッド ストリング分析を利用する1つまたは複数のパケット・ネットワークでの望まれないトラフィックを検出する方法および装置
JP2017123143A (ja) * 2015-09-30 2017-07-13 エーオー カスペルスキー ラボAO Kaspersky Lab ユーザ機器上でマルウェアを検出するためにアンチウィルス記録セットを生成するシステム及び方法
KR101837726B1 (ko) * 2017-07-11 2018-04-27 주식회사 쿼리시스템즈 부정 예매 차단 방법 및 장치
JP2020013532A (ja) * 2018-06-29 2020-01-23 エーオー カスペルスキー ラブAo Kaspersky Lab コンピュータシステムにおける不正行為を検出するためのシステム及び方法
US10826915B2 (en) 2015-06-02 2020-11-03 Mitsubishi Electric Corporation Relay apparatus, network monitoring system, and program

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007028643A (ja) * 2005-07-20 2007-02-01 Avaya Technology Corp 電話内線攻撃の検出、記録および知的防止
US7653188B2 (en) 2005-07-20 2010-01-26 Avaya Inc. Telephony extension attack detection, recording, and intelligent prevention
JP2007102697A (ja) * 2005-10-07 2007-04-19 Nec Corp 検疫システム及び方法並びにプログラム
JP2007208861A (ja) * 2006-02-06 2007-08-16 Alaxala Networks Corp 不正アクセス監視装置及びパケット中継装置
JP2008052637A (ja) * 2006-08-28 2008-03-06 Kddi Corp 異常検知装置、異常検知プログラム、および記録媒体
JP2010508598A (ja) * 2006-11-03 2010-03-18 アルカテル−ルーセント ユーエスエー インコーポレーテッド ストリング分析を利用する1つまたは複数のパケット・ネットワークでの望まれないトラフィックを検出する方法および装置
US10826915B2 (en) 2015-06-02 2020-11-03 Mitsubishi Electric Corporation Relay apparatus, network monitoring system, and program
JP2017123143A (ja) * 2015-09-30 2017-07-13 エーオー カスペルスキー ラボAO Kaspersky Lab ユーザ機器上でマルウェアを検出するためにアンチウィルス記録セットを生成するシステム及び方法
KR101837726B1 (ko) * 2017-07-11 2018-04-27 주식회사 쿼리시스템즈 부정 예매 차단 방법 및 장치
JP2020013532A (ja) * 2018-06-29 2020-01-23 エーオー カスペルスキー ラブAo Kaspersky Lab コンピュータシステムにおける不正行為を検出するためのシステム及び方法
JP7264631B2 (ja) 2018-06-29 2023-04-25 エーオー カスペルスキー ラブ コンピュータシステムにおける不正行為を検出するためのシステム及び方法

Similar Documents

Publication Publication Date Title
US11271955B2 (en) Platform and method for retroactive reclassification employing a cybersecurity-based global data store
US10701035B2 (en) Distributed traffic management system and techniques
US20190207966A1 (en) Platform and Method for Enhanced Cyber-Attack Detection and Response Employing a Global Data Store
US11882137B2 (en) Network security blacklist derived from honeypot statistics
US7225466B2 (en) Systems and methods for message threat management
US9185127B2 (en) Network protection service
US8375120B2 (en) Domain name system security network
US11240275B1 (en) Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture
EP2408166A1 (en) Filtering method, system and network device therefor
US11258812B2 (en) Automatic characterization of malicious data flows
KR20060013491A (ko) 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치
US20140259140A1 (en) Using learned flow reputation as a heuristic to control deep packet inspection under load
JP2005157650A (ja) 不正アクセス検知システム
USRE48043E1 (en) System, method and computer program product for sending unwanted activity information to a central system
JP2022067092A (ja) サイバーセキュリティ保護システムおよび関連する事前対応型の不審ドメイン警告システム
JP2006067279A (ja) 侵入検知システム及び通信装置
CN110784471A (zh) 黑名单采集管理方法、装置、计算机设备及存储介质
TWI764618B (zh) 網路資安威脅防護系統及相關的前攝性可疑網域示警系統
WO2022165174A1 (en) Cyber-safety threat detection system
JP2022067091A (ja) サイバーセキュリティ保護システムおよび関連する事前対応型の不審ドメイン警告システム
JPWO2007034535A1 (ja) ネットワーク装置、データ中継方法およびプログラム