JP2007156681A - インターネットの不正アクセス処理システム及び処理方法 - Google Patents
インターネットの不正アクセス処理システム及び処理方法 Download PDFInfo
- Publication number
- JP2007156681A JP2007156681A JP2005348956A JP2005348956A JP2007156681A JP 2007156681 A JP2007156681 A JP 2007156681A JP 2005348956 A JP2005348956 A JP 2005348956A JP 2005348956 A JP2005348956 A JP 2005348956A JP 2007156681 A JP2007156681 A JP 2007156681A
- Authority
- JP
- Japan
- Prior art keywords
- address
- unauthorized access
- source
- log data
- provider
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】インターネット上で発生する不正アクセス対策に関し、効率的かつ迅速に感染源を特定し、不正アクセスの防止に寄与するインターネットの不正アクセス処理システム及び処理方法を提供することを課題とする。
【解決手段】情報収集サーバ2からインターネット8を介して送られた不正アクセスに係るログデータを受信し解析する管理サーバ4において、ログデータを受信するデータ受信部20と、ログデータに含まれる送信元IPアドレスからどのプロバイダが管理するIPアドレスに係るアクセスデータであるかを、各プロバイダ毎に分類してプロバイダを特定するIPアドレス比較部24と、上記特定したプロバイダが管理するIPアドレス貸出し情報から、このIPアドレスに係るクライアントを特定するクライアント検出部26と、を有する構成である。
【選択図】 図1
【解決手段】情報収集サーバ2からインターネット8を介して送られた不正アクセスに係るログデータを受信し解析する管理サーバ4において、ログデータを受信するデータ受信部20と、ログデータに含まれる送信元IPアドレスからどのプロバイダが管理するIPアドレスに係るアクセスデータであるかを、各プロバイダ毎に分類してプロバイダを特定するIPアドレス比較部24と、上記特定したプロバイダが管理するIPアドレス貸出し情報から、このIPアドレスに係るクライアントを特定するクライアント検出部26と、を有する構成である。
【選択図】 図1
Description
本発明は、インターネット上で発生する不正アクセス対策の技術を提供するインターネットの不正アクセス処理システム及び処理方法に関する。
従来、インターネットを利用したビジネス等のサービスが本格化するにつれて不正アクセスが問題となっており、不正アクセス行為の禁止等に関する法律も制定されている。
このような不正アクセスを防止するため、ファイアウォールシステムや個々のコンピュータ等における不正アクセスの強化が行われている。しかし、上記ファイアウォールシステムや不正アクセスの強化等の対策のみでは、不正アクセスの発生を抑止することは困難である。
このような不正アクセスを防止するため、ファイアウォールシステムや個々のコンピュータ等における不正アクセスの強化が行われている。しかし、上記ファイアウォールシステムや不正アクセスの強化等の対策のみでは、不正アクセスの発生を抑止することは困難である。
例えば、社内におけるメールサーバについてみても不正アクセスと思われるアクセスが相当な量で発生している。特に、特定のポート(例えばポート135,1433等)へのアクセスが異常に多く発生しているものと考えられ、このようなアクセスはDos攻撃と呼ばれ、装置のバッファオーバーフローを誘発させる。
また上記ポートはインターネットに直接露出される事はないが、インターネットに無線LANやモデムを介して直接接続されるマシンは危険に曝され、通常このような攻撃はアクセス元がコンピュータウィルスに犯されている可能性が高く、このコンピュータウィルスが次第に感染を広げて多大な攻撃が行われる。
上記不正アクセスとウィルス感染に対しては、図3に示すようにファイアウォールを設ける等の対策がとられている。しかし、同図にも示すように、無線LANやモデムを使用して直接インターネットに接続されたコンピュータのグループは、ウィルス感染のある危険なグループで、これ以外のファイアウォール或いはルータを介したグループは安全と考えられているが、これらのグループであっても、上記Dos攻撃を受けると一般のルータやファイアウォールはバッファオーバーフローのおそれがある。
このようなバッファオーバーフローが起きた場合、ウィルスを送り込まれたコンピュータは自身が感染源になりかねない。また、例えファイアウォールを有するサーバであってもバッファ領域が少ない場合にはオーバフローの危険があるという問題がある。また、上記不正アクセス自体を根絶するのは困難であるという問題がある。
本発明は上記問題点を解決するためになされたものであり、効率的かつ迅速に感染源を特定し、不正アクセスの防止に寄与するインターネットの不正アクセス処理システム及び処理方法を提供することを目的とする。
以上の技術的課題を解決するため、本発明に係るインターネットの不正アクセス処理システムは、図1に示すように、インターネット8上に設けられ、受信したデータの内から不正アクセスに係るデータに日付時刻情報を付し、これをログデータとして採取する情報収集サーバ2と、上記情報収集サーバ2からインターネット8を介して送られた上記ログデータを受信し解析する管理サーバ4と、を有する不正アクセス処理システムにおいて、上記管理サーバは、上記情報収集サーバ4から送られた上記ログデータを受信するデータ受信部20と、上記ログデータに含まれる送信元IPアドレスを、各プロバイダに割当てられた業者IPアドレス情報に基づいて比較分類し、各ログデータが、上記送信元IPアドレスからどのプロバイダが管理するIPアドレスに係るアクセスデータであるかを、各プロバイダ毎に分類してプロバイダを特定するIPアドレス比較部24と、上記特定したプロバイダが管理するIPアドレス貸出し情報に基づき、上記送信元IPアドレス及び日付時刻情報から、この送信元IPアドレスに係るクライアントを特定するクライアント検出部26と、を有する構成である。
また、上記クライアント検出部26は、上記IPアドレス貸出し情報から、上記送信元IPアドレスに係るクライアントのMACアドレスを検出してクライアントを特定することである。
以下、上記クライアントは、インターネットを利用するコンピュータ(パソコン)或いはそのコンピュータの利用者(ユーザー)をさすものとする。また、上記プロバイダにはホスティングサービスも含まれるものとする。
上記不正アクセスとは、受信したデータの内から使用が制限されるポートにアクセスがあったものを指し、これを不正アクセスに係るデータとして採取する。
また、上記業者IPアドレス情報は、各プロバイダにそれぞれ割当てられ、そのプロバイダが利用可能なIPアドレスの範囲が規定された情報である。
上記不正アクセスとは、受信したデータの内から使用が制限されるポートにアクセスがあったものを指し、これを不正アクセスに係るデータとして採取する。
また、上記業者IPアドレス情報は、各プロバイダにそれぞれ割当てられ、そのプロバイダが利用可能なIPアドレスの範囲が規定された情報である。
上記IPアドレス貸出し情報は、プロバイダが管理するクライアントのIPアドレス、貸出した時期、クライアントのドメイン名及びコンピュータの固有情報であるMACアドレスなどが含まれている。さらにIPアドレス貸出し情報には、IPアドレスが変動アドレスの場合には、特定のクライアントに貸し出したIPアドレス毎に、その貸出し期間が規定された情報が含まれる。このためIPアドレス貸出し情報を参照すれば、ログデータに含まれる送信元IPアドレスとそのログを採取した日付時刻から、そのIPアドレスを利用したクライアントが特定でき、ドメイン名、MACアドレスを見つけ出しこれからクライアントが特定できる。そして、上記特定したプロバイダ及び特定したクライアントのアドレスなどに関するデータをリストアップしまた所定機関に送り、特定したクライアントに係る詳細情報をその管理元のプロバイダから得ることで、各クライアントに対する不正アクセスの防止措置をとる。
本発明に係るインターネットの不正アクセス処理システムは、上記IPアドレス比較部24において、上記情報収集サーバから受けたログデータに含まれる送信元IPアドレスを、国内に割当てられた国内IPアドレス情報に基づいて比較分類し、上記送信元IPアドレスが国内に割当てられたものか海外のものかを判別し、上記送信元IPアドレスが国内の場合に、上記プロバイダの特定を行う構成である。
ここで上記国内IPアドレス情報は、海外及び国内で使用されるIPアドレスのうち国内に割当てられたIPアドレスの範囲が規定された情報をさす。
ここで上記国内IPアドレス情報は、海外及び国内で使用されるIPアドレスのうち国内に割当てられたIPアドレスの範囲が規定された情報をさす。
本発明に係るインターネットの不正アクセス処理方法は、インターネット8上に設けられた情報収集サーバ2において、通信のために必要なポート以外のポートにアクセスがあったデータを不正アクセスに係るデータとしてこれに日付時刻情報を付し、これをログデータとして採取し、このログデータを管理サーバ4に送り、上記管理サーバ4において、上記ログデータに含まれる送信元IPアドレスを、各プロバイダに割当てられた業者IPアドレス情報に基づいて比較分類し、各ログデータが、上記送信元IPアドレスからどのプロバイダが管理するIPアドレスに係るアクセスデータであるかを、各プロバイダ毎に分類してプロバイダを特定し、上記特定したプロバイダが管理するIPアドレス貸出し情報に基づき、上記送信元IPアドレス及び日付時刻情報から、この送信元IPアドレスに係るクライアントを特定することである。
上記通信のために必要なポート以外のポートとは、特定のアプリケーションに割当てられて使用が制限されたポートなどを指す。
上記情報収集サーバからログデータを管理サーバに送る場合、例えばインターネット等の通信回線又は記憶媒体を介して上記ログデータを管理サーバに送り、一方、管理サーバは、データ受信部或いは記憶媒体からのデータ読取り部を設けてログデータの供給を受ける。
上記情報収集サーバからログデータを管理サーバに送る場合、例えばインターネット等の通信回線又は記憶媒体を介して上記ログデータを管理サーバに送り、一方、管理サーバは、データ受信部或いは記憶媒体からのデータ読取り部を設けてログデータの供給を受ける。
本発明に係るインターネットの不正アクセス処理方法は、上記IPアドレス貸出し情報から、上記送信元IPアドレスに係るクライアントのMACアドレスを検出してクライアントを特定することである。
本発明に係るインターネットの不正アクセス処理方法は、上記情報収集サーバにおいて、上記ログデータから日付時刻情報、送信元IPアドレス及びポート番号を抽出し、これを固定フォーマットの解析用のログデータとして記録し、このログデータを上記管理サーバに送ることである。
本発明に係るインターネットの不正アクセス処理方法は、上記情報収集サーバから、インターネットを介して上記ログデータを上記管理サーバに送ることである。
本発明に係るインターネットの不正アクセス処理方法は、上記管理サーバ4において、上記情報収集サーバから受けたログデータに含まれる送信元IPアドレスを、国内に割当てられた国内IPアドレス情報に基づいて比較分類し、上記送信元IPアドレスが国内に割当てられたものか海外のものかを判別し、上記送信元IPアドレスが国内の場合に、上記プロバイダの特定を行うことである。
本発明に係るインターネットの不正アクセス処理方法は、上記情報収集サーバから、上記ログデータを暗号化し又は圧縮して上記管理サーバに送信する一方、上記管理サーバにおいて、受信したログデータを解読又は解凍伸長して解析することである。
本発明に係るインターネットの不正アクセス処理システムによれば、管理サーバに、ログデータを受信するデータ受信部、送信元IPアドレスからプロバイダを特定するIPアドレス比較部及びIPアドレスに係るクライアントを特定するクライアント検出部を有する構成を採用したから、効率的かつ迅速に不正アクセスに係る感染源を特定することができ、上記特定された感染源のクライアント(利用ユーザー)に対してコンピュータからウィルスを駆除し、又はコンピュータを初期化する等の不正アクセスの防止処置をとることにより不正アクセスの根絶が図れるという効果を奏する。
本発明に係るインターネットの不正アクセス処理システムによれば、クライアントのMACアドレスを検出してクライアントを特定することとしたから、クライアントのコンピュータの特定が的確に行え、不正アクセスの根絶が図れるという効果がある。
本発明に係るインターネットの不正アクセス処理システムによれば、IPアドレス比較部において、送信元IPアドレスが国内か海外かを判別し、国内の場合にプロバイダの特定を行う構成としたから、プロバイダの特定の際に処理の効率化が図れ、また海外に対するアクションをとることにより海外からの不正アクセスの防止にも寄与できるという効果がある。
本発明に係るインターネットの不正アクセス処理方法によれば、情報収集サーバにおいて採取したログデータを管理サーバに送り、管理サーバにおいて送信元IPアドレスからプロバイダを特定し、クライアントを特定することとしたから、効率的かつ迅速に感染源を特定することができ、上記特定された感染源のクライアント(利用ユーザー)に対してコンピュータからウィルスを駆除し、又はコンピュータを初期化する等の不正アクセスの防止処置をとることにより不正アクセスの根絶が図れるという効果を奏する。
本発明に係るインターネットの不正アクセス処理方法によれば、クライアントのMACアドレスを検出してクライアントを特定することとしたから、クライアントの特定が的確に行え、不正アクセスの根絶が図れるという効果がある。
本発明に係るインターネットの不正アクセス処理方法によれば、情報収集サーバにおいて、ログデータから日付時刻情報、送信元IPアドレス及びポート番号を抽出し、これを固定フォーマットのログデータとして管理サーバに送ることとしたから、データ量が縮小されて通信量及び記憶領域の縮小化が図れ、またデータの分析が容易に行えて処理の簡素化、効率化に寄与するという効果がある。
以下、本発明に係る実施の形態を図面に基づいて説明する。
インターネットにおいて、クライアント(インターネットを利用するコンピュータ(パソコン)或いはそのコンピュータの利用者)に対する不正アクセスは、各種サーバ等を経由して送られる。これらの不正アクセスは、多くが特定のポート番号に対するアクセスである。一方、インターネットにおいて、クライアントはプロバイダの変動アドレスサービスを受けているため、一般にはアクセス元のクライアントを特定するのは困難である。しかし、プロバイダであればそのクライアントを判別することができ、コンピュータの識別要素であるIPアドレス等からクライアントを特定することが可能である。
インターネットにおいて、クライアント(インターネットを利用するコンピュータ(パソコン)或いはそのコンピュータの利用者)に対する不正アクセスは、各種サーバ等を経由して送られる。これらの不正アクセスは、多くが特定のポート番号に対するアクセスである。一方、インターネットにおいて、クライアントはプロバイダの変動アドレスサービスを受けているため、一般にはアクセス元のクライアントを特定するのは困難である。しかし、プロバイダであればそのクライアントを判別することができ、コンピュータの識別要素であるIPアドレス等からクライアントを特定することが可能である。
このため、この実施の形態では、クライアントサイドに情報収集を行うための情報収集サーバを設置し、このサーバにより不正アクセスデータを取得しそのログを採取する。そして、上記採取したログデータ等を、管理センターに配置された管理サーバに送って分析、分類し、送信元IPアドレス等を解析することで、不正アクセス元の根源であるクライアントを特定する。
図1は、不正アクセス元のクライアントを特定するための不正アクセス処理システムを示したものである。この処理システムでは、クライアントサイドに情報収集サーバ2が設けられ、一方、管理センターには管理サーバ4が設置され、これら両サーバ間はインターネット8を介して通信が行われる。上記情報収集サーバ2は、インターネット8のネットワーク回線とクライアントとの境界に設置し、クライアントが企業等に係る場合は、インターネット回線と企業内LANとの境界に設置する。また、クライアントサイドのメールサーバ等に必要な情報収集機能を搭載し、これを情報収集サーバ2として併用するようにしてもよい。また、ファイアウォールとして機能するサーバ内に情報収集サーバ2を併設することもできる。
上記情報収集サーバ2はコンピュータ、メモリ等を中心に構成され、不正アクセスに係るログ採取部12、ログデータから必要な解析情報を抽出して記録する解析データ抽出部14、及びログデータを管理サーバに送信するデータ送信部16を有する。上記ログ採取部12は、不正アクセスに係るデータのログ(原始ログデータ)を採取し、これに採取した日付及び時刻情報を付して記憶する。ここで、不正アクセスとしてログ採取の対象となるのは、原則として一般クライアントが自由に使えるポート番号(Private Ports)を除いたポート番号、例えば特定のアプリケーションに割り当てられたポート番号(Well Known Ports, Registered Ports)等の使用が制限されたポートにアクセスしようとするデータである。
解析データ抽出部14は、上記原始ログデータを分析し送信元IPアドレスなどのヘッダ情報を抽出し解析に必要な所定のフォーマットに変換しこれをログ(解析ログデータ)として記憶する。この解析ログデータは、ヘッダ情報など固定サイズで構成可能な情報のみからなり、データ長を固定とし、また情報の配列を一定にして記憶及び分析の際の便宜を図っている。データ送信部16は、上記原始ログデータ及び解析ログデータの暗号化等を行い、この暗号化等を行ったデータを管理サーバ4に送信する。
上記情報収集サーバ2と管理サーバ4とは、インターネット8を介して接続され通信が行われる。上記インターネット8を利用した通信には種々の接続形態があり、VPN(仮想的な専用回線)接続、専用の暗号通信ソフトによりデータを暗号化した接続、公開鍵と秘密鍵を利用した暗号化通信による接続、データを圧縮した通信により通信時間を節約する方式、或いは其のままテキストで通信する方式がある。ここでの情報収集サーバ2と管理サーバ4との通信は、データを暗号化(さらに圧縮することも可能)した通信を行うことでデータの秘密保護を図る。
上記管理サーバ4についてもコンピュータ、メモリを中心に構成され、情報収集サーバ2から送られてきたログデータを受信し、併せてこのログデータを解凍、解読するデータ受信部20、データベース化部22、IPアドレスを比較分類するIPアドレス比較部24、送信元IPアドレスからクライアント(不正アクセス元)を特定するクライアント検出部26、及びデータの出力部28を有する。上記データベース化部22は、上記受信したログデータ(原始ログデータ及び解析ログデータと)をデータベース化して記録し、利用の効率化を図る。このとき、原始ログデータとこれを解析した解析ログデータとは関連付けをして記憶する。
上記IPアドレス比較部24は、上記データベースから読み出したログデータに含まれる送信元IPアドレスの送信元が、国内からのものか又は海外からのものかを比較分類する。この際、原始ログデータに比べて解析ログデータの方が、データ内における送信元IPアドレス等の個別情報の配置位置が固定されているため分析が容易であり処理の効率化が図れるので、ここでは解析ログデータを利用する。なお、情報収集サーバから受けたログデータ(原始ログデータ)を、管理サーバにおいて解析ログデータに変換してこれをデータベース化し、分析に用いるようにしてもよい。
インターネットは国際的なネットワークであるため、送信元を国内と海外に分類して以降の処理を分け、ここでは送信元IPアドレスが国内からのものについて分析する。送信元IPアドレスが海外からのものについては、別途データベース化し、不正アクセス情報の分析整理或いは海外のプロバイダなどからの要請により開示し、不正アクセス防止に利用する。
このとき、国内に割当てられて利用可能なIPアドレスの範囲については、国内のIPアドレス管理機関であるNIC;Network Information Center(例えばJPNIC;日本ネットワークインフォメーションセンター)が管理しており、この国内で利用可能なIPアドレス情報が記録された国内IPアドレス表に基づいて、IPアドレス比較部24では送信元IPアドレスが国内のものか海外のものかの分類を行う。
上記国内IPアドレス情報は、NIC30から供給を受け、通信手段により或いは記憶媒体を介して管理サーバ4に取り入れ、国内IPアドレス表として管理する。また上記NICは、国内の各プロバイダにIPアドレスの割当てを行っており、各プロバイダに割当てられたIPアドレスに関する業者IPアドレス情報はNIC30からの供給を受け、通信手段により或いは記憶媒体を介して管理サーバ4に取り入れ、業者IPアドレス表として管理する。
さらに、上記IPアドレス比較部24では、上記業者IPアドレス表を参照し、上記情報収集サーバ2から受けたログデータの送信元IPアドレスが、どのプロバイダに割当てられたIPアドレスかを比較し分類する。そして、送信元IPアドレスからそのIPアドレスを管理するプロバイダを特定し、併せてログデータをプロバイダ毎に分類し、不正アクセスリストとしてデータベース化する。
さらに、上記データベース化では、同一の送信元IPアドレスについてはその不正アクセスの回数等についても、データベースに加える。また、同一の宛先IPアドレスに連続的に不正アクセスが行われているデータについても、その回数等についてデータベース化して、例えばポートスキャンなどの不正アクセスの判断情報とする。
上記クライアント検出部26では、国内の各プロバイダ32が管理するIPアドレス貸出し情報を参照し、上記データベース化されたログデータの送信元IPアドレスから、該当するクライアントのドメイン名、MACアドレス(Media Access Control Address)を検出してクライアントを特定する。このMACアドレスは、クライアントのコンピュータの固有情報である。
このIPアドレス貸出し情報には、そのプロバイダが管理するクライアントのIPアドレス、クライアントのMACアドレス、クライアントのドメイン名などが含まれている。また、クライアントに貸し出したIPアドレスとともに、その貸し出した日付時間情報も含まれている。通常、クライアント(利用ユーザー)はプロバイダのインターネット接続サービスを受けて、インターネットに加入することになる。このため、クライアントの接続情報であるIPアドレス、クライアントのドメイン名、コンピュータの固有情報であるMACアドレスはプロバイダが認識し管理している。
このため管理サーバ4は、国内の各プロバイダが管理するIPアドレス貸出し情報を、各プロバイダ32から得る。各プロバイダ32は、自己が管理するIPアドレス貸出し情報を、圧縮暗号化したデータに変換して秘密を保護し、管理センターの管理サーバ4に暗号化通信により送信する。上記IPアドレス貸出し情報を受信した管理サーバ4では、圧縮されたデータを復元(解凍)し暗号を解読し、IPアドレス貸出し情報をデータベース化して記憶し管理する。
上記のように、上記ログデータの送信元IPアドレスから、このIPアドレスを管理するプロバイダが有する上記IPアドレス貸出し情報に基づいて送信元IPアドレスに該当するクライアント(不正アクセス元)が特定できる。IPアドレスが固定の場合には、IPアドレス貸出し情報に基づいて、送信元IPアドレスに該当するクライアントを検出する。
また、クライアントがプロバイダによる変動アドレスサービス(Dynamic DNS)を受けている場合であっても、上記IPアドレス貸出し情報には、特定のクライアントに貸し出したIPアドレスが貸出し期間とともに規定され、これからログデータに含まれる送信元IPアドレスとそのログを採取した日時から、そのIPアドレスを利用したクライアントのドメイン名、コンピュータのMACアドレスからクライアントを特定することができる。
上記不正アクセスデータの送信元のクライアントが特定できれば、上記データの出力部28は、解析ログデータ、不正アクセスの送信元として特定したクライアント(加害者)に関するMACアドレス、ドメイン名、日時からなるデータを各プロバイダ毎に出力する。なお、ドメイン名からプロバイダを認識することもできる。このデータ出力の形態は選択により、通信によるデータ送信、データの記憶媒体への記憶、又は印字装置へのプリント等の形態で出力する。
ここで、上記処理システムの稼動動作を、図2に示す処理概要フロー図に基づいて説明する。上記クライアントサイドの情報収集サーバ2では、不正アクセスに係るデータを検出採取し、ログを取る(S1)。
この不正アクセスデータの検出の際には、ログ採取部12において、ファイアウォールでTCP、UDP及びICMPに関する全てのポートを閉塞する。そして、通信のために必要となる最低限のポートをオープンにして、その他のポートにアクセスがあったデータを監視し分析し、不正アクセスと判断したデータのログ(原始ログデータ)を取る。この不正アクセスの範囲は限定されないが、上記特定のアプリケーションに割当てられ使用が制限されたポートへアクセスしようとするデータは不正アクセスの可能性が高い。
上記不正アクセスデータのログ採取と並行して、解析データ抽出部14においてそのデータのへダー内容等を分析抽出し、抽出したデータを所定のフォーマットに変換したログ(解析ログデータ)を作成しこれを記録する。上記解析ログデータは、不正アクセス元の分析及び特定に必要な情報を集めたものであり、不正アクセスがあった日付及び時刻、アクセス元(加害元)である送信元IPアドレス、アクセスがあったポート番号、が含まれる。このポート番号には、符号に関する情報(tcp,upd)を付加してもよい。また、解析ログデータに、アクセスを受けた宛先IPアドレス、TCP/UDP或いはICMPの種別を含めることとしてもよい。何れにしても、解析ログデータは情報内容及びデータサイズを固定化(例えば、カンマ区切りのCSVフォーマットにより)して解析の便宜を図り、データベース化を容易にする。
そして情報収集サーバ2は、データ送信部16において上記原始ログデータ及び解析ログデータの圧縮、暗号化処理を行い、このログデータを管理センターの管理サーバ4へ送信する(S2)。このとき原始ログデータは情報量が多いため、管理サーバ4からの要求があった場合など、必要に応じて管理サーバ4へ送ることができる。
一方、管理センターの管理サーバ4は、データ受信部20においてログデータを受信し解凍伸長し、さらにデータベース化部22においてログデータをデータベース化する(S3)。このとき、解析ログデータはデータ長が固定化されているため、データベースへの入力が簡単に行える。
そして、IPアドレス比較部24において上記解析ログデータを読み出し、上記取込済の国内に割当てられたIPアドレス情報が規定された国内IPアドレス表に基づき、上記解析ログデータにおける不正アクセスデータの送信元IPアドレスを比較分類し、送信元が国内からのものか或いは海外からのものかを区別する(S4)。上記国内に割当てられた国内IPアドレス情報はNICより供給を受けておく(S5)。そして、このログデータの送信元IPアドレスが海外からのものである場合には、海外からの不正アクセスデータとして別途データベース化する(S6)。
また管理サーバ4では、上記比較の結果、上記ログデータの送信元IPアドレスが国内からのものである場合には、送信元IPアドレスがどのプロバイダの管理下にあるかを分類する。このときはIPアドレス比較部24において、上記業者IPアドレス表を参照し、不正アクセスデータの送信元IPアドレスがどのプロバイダに割当てられたIPアドレスであるかを分類しプロバイダを特定する。
さらにクライアント検出部26において、プロバイダが管理する上記IPアドレス貸し出し情報に基づいてクライアントを特定する(S7)。このとき、IPアドレスとその貸し出し日時の情報から、このIPアドレスを利用したクライアントが特定でき、このIPアドレスに関するドメイン名、MACアドレスが特定でき、この日時に不正アクセスデータを送信したクライアントを特定する。上記送信元のIPアドレスは、固定アドレス或いは変動アドレスがあるが、変動アドレスであっても、プロバイダサーバーのDHCPのIPアドレス貸し出し情報からクライアントのドメイン名及びコンピュータのMACアドレスを判別し、クライアントを特定することができる。上記IPアドレス貸し出し情報は、これを管理する国内の各プロバイダから供給を受け(S9,S10)、各プロバイダから暗号化通信により送られた情報を、解読復元しデータベース化しておく(S8)。
そして管理サーバ4において、プロバイダ毎に不正アクセスデータについての不正アクセスリストを作成する。このリストには、上記特定した不正アクセスの送信元のIPアドレス、及びこのIPアドレスに関連しクライアントを特定するMACアドレス、ドメイン名、アクセスの日時等を記録し、またこの不正アクセスデータに付随させる。これらIPアドレス、MACアドレス、ドメイン名に係るクライアントの詳細な情報は上記特定した管理元のプロバイダで登録管理されている。ドメイン名は変更される可能性があるが、日時の情報によりその日時に使用されたドメイン名からクライアントが特定できる。このように、上記クライアントを特定する情報は、プロバイダ毎に記録され、必要に応じて不正アクセスデータを付して記録され、さらに暗号化されて通信により或いは記憶媒体を介して所定の公安委員会に送られる(S11)。
公安委員会では、上記感染源のクライアントを、IPアドレス及びこれを貸し出したプロバイダ、及びMACアドレス、ドメイン名から特定し、管理元のプロバイダ或いはドメイン名の登録管理機関との連携により捜査を行い、法律(不正アクセス禁止法)の適用などの処置をとる。これにより、感染源のクライアント(利用ユーザー)に対して不正アクセスを防止する措置をとることができ、コンピュータからウィルスを駆除し、又はコンピュータを初期化することにより不正アクセスの根絶が図れる。
2 情報収集サーバ
4 管理サーバ
8 インターネット
4 管理サーバ
8 インターネット
Claims (9)
- インターネット上に設けられ、受信したデータの内から不正アクセスに係るデータに日付時刻情報を付し、これをログデータとして採取する情報収集サーバと、
上記情報収集サーバからインターネットを介して送られた上記ログデータを受信し解析する管理サーバと、を有する不正アクセス処理システムにおいて、
上記管理サーバは、
上記情報収集サーバから送られた上記ログデータを受信するデータ受信部と、
上記ログデータに含まれる送信元IPアドレスを、各プロバイダに割当てられた業者IPアドレス情報に基づいて比較分類し、各ログデータが、上記送信元IPアドレスからどのプロバイダが管理するIPアドレスに係るアクセスデータであるかを、各プロバイダ毎に分類してプロバイダを特定するIPアドレス比較部と、
上記特定したプロバイダが管理するIPアドレス貸出し情報に基づき、上記送信元IPアドレス及び日付時刻情報から、この送信元IPアドレスに係るクライアントを特定するクライアント検出部と、を有することを特徴とするインターネットの不正アクセス処理システム。 - 上記クライアント検出部は、上記IPアドレス貸出し情報から、上記送信元IPアドレスに係るクライアントのMACアドレスを検出してクライアントを特定することを特徴とする請求項1記載のインターネットの不正アクセス処理システム。
- 上記IPアドレス比較部において、上記情報収集サーバから受けたログデータに含まれる送信元IPアドレスを、国内に割当てられた国内IPアドレス情報に基づいて比較分類し、上記送信元IPアドレスが国内に割当てられたものか海外のものかを判別し、
上記送信元IPアドレスが国内の場合に、上記プロバイダの特定を行うことを特徴とする請求項1又は請求項2記載のインターネットの不正アクセス処理システム。 - インターネット上に設けられた情報収集サーバにおいて、通信のために必要なポート以外のポートにアクセスがあったデータを不正アクセスに係るデータとしてこれに日付時刻情報を付し、これをログデータとして採取し、このログデータを管理サーバに送り、
上記管理サーバにおいて、
上記ログデータに含まれる送信元IPアドレスを、各プロバイダに割当てられた業者IPアドレス情報に基づいて比較分類し、各ログデータが、上記送信元IPアドレスからどのプロバイダが管理するIPアドレスに係るアクセスデータであるかを、各プロバイダ毎に分類してプロバイダを特定し、
上記特定したプロバイダが管理するIPアドレス貸出し情報に基づき、上記送信元IPアドレス及び日付時刻情報から、この送信元IPアドレスに係るクライアントを特定することを特徴とするインターネットの不正アクセス処理方法。 - 上記IPアドレス貸出し情報から、上記送信元IPアドレスに係るクライアントのMACアドレスを検出してクライアントを特定することを特徴とする請求項4記載のインターネットの不正アクセス処理方法。
- 上記情報収集サーバにおいて、上記ログデータから日付時刻情報、送信元IPアドレス及びポート番号を抽出し、これを固定フォーマットの解析用のログデータとして記録し、このログデータを上記管理サーバに送ることを特徴とする請求項4又は5記載の不正アクセス処理方法。
- 上記情報収集サーバから、インターネットを介して上記ログデータを上記管理サーバに送ることを特徴とする請求項4、5又は6記載のインターネットの不正アクセス処理方法。
- 上記管理サーバにおいて、上記情報収集サーバから受けたログデータに含まれる送信元IPアドレスを、国内に割当てられた国内IPアドレス情報に基づいて比較分類し、上記送信元IPアドレスが国内に割当てられたものか海外のものかを判別し、
上記送信元IPアドレスが国内の場合に、上記プロバイダの特定を行うことを特徴とする請求項4乃至7の何れかに記載のインターネットの不正アクセス処理方法。 - 上記情報収集サーバから、上記ログデータを暗号化し又は圧縮して上記管理サーバに送信する一方、上記管理サーバにおいて、受信したログデータを解読又は解凍伸長して解析することを特徴とする請求項4乃至8の何れかに記載のインターネットの不正アクセス処理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005348956A JP2007156681A (ja) | 2005-12-02 | 2005-12-02 | インターネットの不正アクセス処理システム及び処理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005348956A JP2007156681A (ja) | 2005-12-02 | 2005-12-02 | インターネットの不正アクセス処理システム及び処理方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2007156681A true JP2007156681A (ja) | 2007-06-21 |
Family
ID=38240986
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005348956A Pending JP2007156681A (ja) | 2005-12-02 | 2005-12-02 | インターネットの不正アクセス処理システム及び処理方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2007156681A (ja) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009066349A1 (ja) * | 2007-11-19 | 2009-05-28 | Duaxes Corporation | 通信制御装置及び通信制御方法 |
| JP2009193473A (ja) * | 2008-02-15 | 2009-08-27 | Zakura Inc | アフィリエイト広告監視システム及び方法 |
| JP2010233168A (ja) * | 2009-03-30 | 2010-10-14 | Secom Co Ltd | 通信制御装置及び監視装置 |
| KR101005093B1 (ko) * | 2008-07-15 | 2011-01-04 | 인터리젠 주식회사 | 클라이언트 식별 방법 및 장치 |
| WO2015005578A1 (ko) * | 2013-07-10 | 2015-01-15 | 주식회사 좋은친구 | 통신 단말기의 해킹 방지 방법 및 해킹 방지 방법이 실행되는 통신 단말기 |
| JP2015198455A (ja) * | 2015-03-31 | 2015-11-09 | 株式会社ラック | 処理システム、処理装置、処理方法およびプログラム |
| JP2016148939A (ja) * | 2015-02-10 | 2016-08-18 | 日本電信電話株式会社 | 検出システム、検出方法、検出プログラム、蓄積装置および蓄積方法 |
| CN112688939A (zh) * | 2020-12-23 | 2021-04-20 | 上海欣方智能系统有限公司 | 非法组织信息的确定方法、装置、电子设备及存储介质 |
| JP7367831B2 (ja) | 2019-09-04 | 2023-10-24 | 日本電気株式会社 | トラフィック制御システム |
-
2005
- 2005-12-02 JP JP2005348956A patent/JP2007156681A/ja active Pending
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009066349A1 (ja) * | 2007-11-19 | 2009-05-28 | Duaxes Corporation | 通信制御装置及び通信制御方法 |
| JP2009193473A (ja) * | 2008-02-15 | 2009-08-27 | Zakura Inc | アフィリエイト広告監視システム及び方法 |
| KR101005093B1 (ko) * | 2008-07-15 | 2011-01-04 | 인터리젠 주식회사 | 클라이언트 식별 방법 및 장치 |
| JP2010233168A (ja) * | 2009-03-30 | 2010-10-14 | Secom Co Ltd | 通信制御装置及び監視装置 |
| WO2015005578A1 (ko) * | 2013-07-10 | 2015-01-15 | 주식회사 좋은친구 | 통신 단말기의 해킹 방지 방법 및 해킹 방지 방법이 실행되는 통신 단말기 |
| JP2016148939A (ja) * | 2015-02-10 | 2016-08-18 | 日本電信電話株式会社 | 検出システム、検出方法、検出プログラム、蓄積装置および蓄積方法 |
| JP2015198455A (ja) * | 2015-03-31 | 2015-11-09 | 株式会社ラック | 処理システム、処理装置、処理方法およびプログラム |
| JP7367831B2 (ja) | 2019-09-04 | 2023-10-24 | 日本電気株式会社 | トラフィック制御システム |
| US11831512B2 (en) | 2019-09-04 | 2023-11-28 | Nec Corporation | Setting system with traffic control rule and traffic control system |
| CN112688939A (zh) * | 2020-12-23 | 2021-04-20 | 上海欣方智能系统有限公司 | 非法组织信息的确定方法、装置、电子设备及存储介质 |
| CN112688939B (zh) * | 2020-12-23 | 2023-04-11 | 上海欣方智能系统有限公司 | 非法组织信息的确定方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2007156681A (ja) | インターネットの不正アクセス処理システム及び処理方法 | |
| Anderson et al. | Deciphering malware’s use of TLS (without decryption) | |
| CN1917426B (zh) | 端口扫描方法与设备及其检测方法与设备、端口扫描系统 | |
| US9135432B2 (en) | System and method for real time data awareness | |
| US9843593B2 (en) | Detecting encrypted tunneling traffic | |
| CN109845228B (zh) | 用于实时检测网络黑客攻击的网络流量记录系统及方法 | |
| Pang et al. | The devil and packet trace anonymization | |
| US9473528B2 (en) | Identification of malware sites using unknown URL sites and newly registered DNS addresses | |
| US10721244B2 (en) | Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program | |
| JP4742144B2 (ja) | Tcp/ipプロトコル・ベースのネットワーク内への侵入を試行するデバイスを識別する方法およびコンピュータ・プログラム | |
| US8955095B2 (en) | Intrusion and misuse deterrence system employing a virtual network | |
| US20160014082A1 (en) | Dynamic resolution of fully qualified domain name (fqdn) address objects in policy definitions | |
| US20090292805A1 (en) | System and method for network monitoring of internet protocol (ip) networks | |
| CN111447232A (zh) | 一种网络流量检测方法及装置 | |
| JP2008299617A (ja) | 情報処理装置、および情報処理システム | |
| WO2010012175A1 (zh) | 一种文件检测方法和装置 | |
| CN108632221B (zh) | 定位内网中的受控主机的方法、设备及系统 | |
| US11777960B2 (en) | Detection of DNS (domain name system) tunneling and exfiltration through DNS query analysis | |
| US20140344931A1 (en) | Systems and methods for extracting cryptographic keys from malware | |
| CN114402567A (zh) | 算法生成的域的在线检测 | |
| CN110581850A (zh) | 一种基于网络流量基因检测方法 | |
| Dai et al. | SSL malicious traffic detection based on multi-view features | |
| US20220191223A1 (en) | System and Method for Intrusion Detection of Malware Traffic based on Feature Information | |
| JP4699893B2 (ja) | パケット解析システム、パケット解析プログラム、パケット解析方法及びパケット取得装置 | |
| JP5682089B2 (ja) | 通信分類装置及び方法 |