JP2009048648A - Unauthorized access preventing device and unauthorized access preventing program - Google Patents

Unauthorized access preventing device and unauthorized access preventing program Download PDF

Info

Publication number
JP2009048648A
JP2009048648A JP2008256261A JP2008256261A JP2009048648A JP 2009048648 A JP2009048648 A JP 2009048648A JP 2008256261 A JP2008256261 A JP 2008256261A JP 2008256261 A JP2008256261 A JP 2008256261A JP 2009048648 A JP2009048648 A JP 2009048648A
Authority
JP
Japan
Prior art keywords
delay time
password
crack degree
password crack
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008256261A
Other languages
Japanese (ja)
Other versions
JP4334605B2 (en
Inventor
Masamichi Tateoka
正道 楯岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Digital Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Solutions Corp filed Critical Toshiba Corp
Priority to JP2008256261A priority Critical patent/JP4334605B2/en
Publication of JP2009048648A publication Critical patent/JP2009048648A/en
Application granted granted Critical
Publication of JP4334605B2 publication Critical patent/JP4334605B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Information Transfer Between Computers (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide an unauthorized access preventing device capable of eliminating any password crack attack without hindering the use of a server device by authorized users. <P>SOLUTION: The unauthorized access preventing device 100 comprises a packet analyzing section 1 analyzing a received authentication result and detecting an authentication success notice or an authentication failure notice and client identification information; a password crack degree storage section 3 storing a coefficient for computing a password crack degree; a password crack degree computing section 2 updating the coefficient in a password crack degree storage means based on the authentication success notice and the authentication failure notice; a delay time computing section 4 computing a delay time in transmitting the notice of the authentication result to a client terminal based on the coefficient in the password crack degree storage section 3; and a holding section 6 holding the notice of the authentication result until the computed delay time passes. <P>COPYRIGHT: (C)2009,JPO&INPIT

Description

本発明は、不特定多数あるいは特定多数のクライアント端末とサーバ装置からなるネットワークシステムにおいて、サーバ装置への不正アクセスの防止を行うための不正アクセス防止装置に関する。   The present invention relates to an unauthorized access prevention device for preventing unauthorized access to a server device in a network system comprising an unspecified number or a specified number of client terminals and a server device.

近年のネットワークの利用の拡大にともない、悪意の第三者によるサーバ装置やネットワーク内への不正アクセスが増加している。悪意の第三者がパスワードとして辞書に記載の全ての用語等の多種多様な単語を片端から入力し、サーバ装置やネットワーク内への不正アクセスを試みることをパスワードクラックと呼ぶ。この攻撃により、ネットワーク内の情報使用の権限を不正利用される事件が多発している。このため、サーバ装置に対してパスワードクラック攻撃がなされた際に、それを排除し、サーバ装置の信頼性を素早く回復する必要がある。   With the recent expansion of network use, unauthorized access to server devices and networks by malicious third parties is increasing. When a malicious third party inputs various words such as all terms described in the dictionary as a password from one end and attempts unauthorized access to the server device or the network, it is called password cracking. Due to this attack, there have been many incidents of unauthorized use of the authority to use information in the network. For this reason, when a password crack attack is made on the server device, it is necessary to eliminate it and quickly restore the reliability of the server device.

従来、不特定多数あるいは特定多数のクライアント端末とサーバ装置からなるネットワークシステムにおいて、パスワードクラック攻撃を排除する方法としては、誤ったパスワードを連続して入力した回数などに基づきシステムの不正利用を検出し、不正利用が検出されたときに、当該ユーザに関する登録情報を自動的に削除する方法がある(特許文献1参照。)。   Conventionally, in a network system consisting of an unspecified number or a large number of specified client terminals and server devices, a method for eliminating password cracking attacks is to detect unauthorized use of the system based on the number of times an incorrect password has been entered continuously. There is a method of automatically deleting registration information related to the user when unauthorized use is detected (see Patent Document 1).

また、誤ったパスワードを連続して入力した回数などに基づきシステムの不正利用を検出し、不正利用が検出されたときに、当該アクセスが利用するプロトコルを自動的に使用不可とする方法がある(特許文献2参照。)。
特開平10−340254号公報 特開2004−164415号公報 In addition, there is a method of detecting unauthorized use of a system based on the number of times an incorrect password is continuously input, and automatically disabling the protocol used by the access when unauthorized use is detected ( (See Patent Document 2).
Japanese Patent Laid-Open No. 10-340254 JP 2004-164415 A

しかしながら、誤ったパスワードの連続入力などにより当該ユーザに関する登録情報を自動的に削除する場合、悪意の第三者によるパスワードクラック攻撃のために不正利用として検出される状態になった場合には正当なユーザの登録情報が削除される。これにより正当なユーザがサーバ装置を使用できなくなってしまうという問題がある。   However, if the registration information related to the user is automatically deleted due to incorrect input of the wrong password, etc., it is legitimate if it is detected as unauthorized use due to a password cracking attack by a malicious third party. User registration information is deleted. As a result, there is a problem that a legitimate user cannot use the server device.

更に、誤ったパスワードの連続入力などにより使用されるプロトコルを自動的に使用不可能にする場合においても、悪意の第三者によるパスワードクラック攻撃のために不正利用として検出される状態になった場合には当該プロトコルが使用不可能となる。これにより正当なユーザが当該プロトコルを用いてサーバ装置を使用できなくなってしまうという問題がある。   In addition, even when the protocol used due to incorrect input of the wrong password is automatically disabled, it is detected as unauthorized use due to a password cracking attack by a malicious third party. This protocol cannot be used. As a result, there is a problem that a legitimate user cannot use the server device using the protocol.

また、いずれの場合においても、正当なユーザが再度サーバ装置を使用できるようにするためには、管理者による当該ユーザの登録情報の復元などの当該プロトコルを再度使用許可する為の復旧作業が必要となり、管理者の手間がかかるという問題がある。   In any case, in order to allow a legitimate user to use the server device again, it is necessary for the administrator to perform a recovery work for permitting the use of the protocol again, such as restoring the registration information of the user. Therefore, there is a problem that it takes time and effort of the administrator.

さらに、これら従来の方法は、いずれも認証が必要なサーバ装置のサービス毎に、上記パスワードクラック攻撃を排除する仕組みを実装する必要があり、既存のサーバ装置にパスワードクラック攻撃を排除する能力を付加する場合、当該サーバ装置上で動作するサービス毎に、上記パスワードクラック攻撃を排除する仕組みを追加する為の手間を必要とするという問題もあった。   Furthermore, each of these conventional methods must implement a mechanism to eliminate the password cracking attack for each server device service that requires authentication, and adds the ability to eliminate password cracking attacks to existing server devices. In this case, there is also a problem that it takes time and effort to add a mechanism for eliminating the password cracking attack for each service operating on the server device.

本発明は上記の問題点に鑑みてなされたものであり、正当なユーザによるサーバ装置の利用を妨げること無く、パスワードクラック攻撃を排除する事ができる不正アクセス防止装置を提供することを特徴とする目的とする。   The present invention has been made in view of the above problems, and provides an unauthorized access prevention device that can eliminate a password crack attack without hindering the use of a server device by a legitimate user. Objective.

上記問題点を解決する為、本発明の第1の特徴は、(イ)ネットワークにおいてクライアント端末とサーバ装置の間に配置される不正アクセス防止装置であって、サーバ装置よりクライアント端末に対する認証結果を受信し、認証結果を解析して認証成功の通知又は認証失敗の通知、およびクライアント端末を特定するクライアント識別情報を検出するパケット解析手段と、(ロ)パスワードクラックの試みがなされている可能性を示すパスワードクラック度を算出する為の係数を格納するパスワードクラック度記憶手段と、(ハ)認証成功の通知及び認証失敗の通知を基にパスワードクラック度記憶手段内の係数を更新するパスワードクラック度算出手段と、(ニ)パスワードクラック度記憶手段より取得した係数を基に、クライアント端末へ対し認証結果の通知を送信する際の遅延時間を算出する遅延時間算出手段と、(ホ)算出された遅延時間が経過するまで認証結果の通知を保留する保留手段とを備える不正アクセス防止装置であることを要旨とする。   In order to solve the above problems, a first feature of the present invention is (i) an unauthorized access prevention device arranged between a client terminal and a server device in a network, wherein an authentication result for the client terminal is received from the server device. A packet analysis means that receives and analyzes the authentication result to detect the authentication success notification or the authentication failure notification and the client identification information for identifying the client terminal; and (b) the possibility of password cracking attempts Password crack degree storage means for storing a coefficient for calculating the password crack degree to be shown, and (c) password crack degree calculation for updating the coefficient in the password crack degree storage means based on the notification of authentication success and the notification of authentication failure. And (d) the client end based on the coefficient obtained from the password crack degree storage means. An unauthorized access prevention apparatus comprising: a delay time calculating means for calculating a delay time when sending a notification of an authentication result to the user; and (e) a holding means for holding the notification of the authentication result until the calculated delay time elapses. It is a summary.

本発明の第1の特徴は、(ヘ)パスワードクラック度記憶手段は、クライアント識別情報毎に遅延時間算出の係数となる重み係数表を格納し、遅延時間算出手段は、重み係数表を参照してパスワードクラック度を算出し、パスワードクラック度を基に遅延時間を算出し、(ト)パスワードクラック度記憶手段は、クライアント端末からの認証要求の累積値を格納するアクセス回数表を格納し、遅延時間算出手段は、アクセス回数表の累積値が多いクライアント端末に対しては低め、アクセス回数表の累積値が少ないクライアント端末に対しては高めにパスワードクラック度を算出し、パスワードクラック度を基に遅延時間を算出し、(チ)認証結果は、サーバ装置での認証に利用するユーザID情報を含み、パスワードクラック度記憶手段は、ユーザID情報毎に遅延時間算出の係数となる重み係数表を格納し、遅延時間算出手段は、重み係数表を参照してパスワードクラック度を算出し、パスワードクラック度を基に遅延時間を算出することを加えても良い。   The first feature of the present invention is that (f) the password crack degree storage means stores a weighting coefficient table as a delay time calculation coefficient for each client identification information, and the delay time calculation means refers to the weighting coefficient table. The password cracking degree is calculated, and the delay time is calculated based on the password cracking degree. (G) The password cracking degree storing means stores an access count table for storing the cumulative value of the authentication request from the client terminal, and the delay. The time calculation means calculates the password crack rate lower for client terminals with a large cumulative value in the access count table, and higher for client terminals with a small cumulative value in the access count table. (H) The authentication result includes user ID information used for authentication in the server device, and the password crack degree storage means A weighting coefficient table serving as a delay time calculation coefficient is stored for each user ID information, and the delay time calculation means calculates a password crack degree with reference to the weighting coefficient table and calculates a delay time based on the password crack degree. You may add.

本発明の第2の特徴は、(イ)ネットワークにおいてクライアント端末とサーバ装置の間に配置される不正アクセス防止装置であって、サーバ装置よりクライアント端末に対する認証結果を受信し、認証結果を解析して認証成功の通知又は認証失敗の通知、およびサーバ装置を特定するサーバ識別情報を検出するパケット解析手段と、(ロ)パスワードクラックの試みがなされている可能性を示すパスワードクラック度を算出する為の係数を格納するパスワードクラック度記憶手段と、(ハ)認証成功の通知及び認証失敗の通知を基にパスワードクラック度記憶手段内の係数を更新するパスワードクラック度算出手段と、(ニ)パスワードクラック度記憶手段より取得した係数を基に、クライアント端末へ対し認証結果の通知を送信する際の遅延時間を算出する遅延時間算出手段と、(ホ)算出された遅延時間が経過するまで認証結果の通知を保留する保留手段とを備える不正アクセス防止装置であることを要旨とする。   A second feature of the present invention is (a) an unauthorized access prevention device arranged between a client terminal and a server device in a network, which receives an authentication result for the client terminal from the server device and analyzes the authentication result. Packet analysis means for detecting notification of authentication success or authentication failure, and server identification information for identifying the server device, and (b) calculating the password cracking degree indicating the possibility of password cracking attempts. (C) a password crack degree calculating means for updating a coefficient in the password crack degree storage means based on a notification of authentication success and a notification of authentication failure, and (d) a password crack. Based on the coefficient obtained from the degree storage means, when sending the authentication result notification to the client terminal A delay time calculating means for calculating a length of time, and summarized in that a trusted device and a holding means for holding the authentication result notification until the elapse of the delay time calculated (e).

本発明の不正アクセス防止装置によると、正当なユーザのサーバ装置の利用を妨げること無く、パスワードクラック攻撃を排除する事ができる。   According to the unauthorized access preventing apparatus of the present invention, it is possible to eliminate a password cracking attack without hindering the use of a legitimate user's server apparatus.

パスワードクラック攻撃の排除に伴う正当なユーザによるサーバ装置の利用停止から、管理者が復旧処理を行うための手間を不要にすることができる。   Since the use of the server device by a legitimate user due to the elimination of the password crack attack is stopped, the trouble for the administrator to perform the recovery process can be eliminated.

既存のサーバ装置にパスワードクラック攻撃を排除する能力を付加する場合、当該サーバ装置上で動作するサービス毎に、パスワードクラック攻撃を排除する機構を追加するなどの手間をかけずに、パスワードクラック攻撃を排除する能力を追加することができる。   When adding the ability to eliminate password cracking attacks to existing server devices, password cracking attacks can be implemented without adding a mechanism to eliminate password cracking attacks for each service running on the server device. The ability to eliminate can be added.

次に、図面を参照して、本発明の実施の形態を説明する。以下の図面の記載において、同一又は類似の部分には同一又は類似の符号を付している。ただし、図面は模式的なものであることに留意すべきである。   Next, embodiments of the present invention will be described with reference to the drawings. In the following description of the drawings, the same or similar parts are denoted by the same or similar reference numerals. However, it should be noted that the drawings are schematic.

<第1の実施の形態>
(不正アクセス防止装置)
本発明の実施の形態に係る不正アクセス防止装置100は図1に示すように、複数のネットワーク外クライアント端末13a、13b、13cおよび複数のネットワーク内クライアント端末14a、14b、14cとルータ11を介して接続されている。更に複数のネットワーク内サーバ装置15a、15b、15cと接続されている。不正アクセス防止装置100はこれらのクライアント端末側およびサーバ装置側装置間のパケット転送を行っている。ネットワーク外クライアント端末はルータ11に、インターネット12等を介して接続されている。 <First Embodiment>
(Unauthorized access prevention device)
As illustrated in FIG. 1, the unauthorized access prevention apparatus 100 according to the embodiment of the present invention includes a plurality of client terminals 13 a, 13 b, 13 c and a plurality of client terminals 14 a, 14 b, 14 c in the network and a router 11. It is connected. Further, it is connected to a plurality of in-network server devices 15a, 15b, 15c. The unauthorized access prevention apparatus 100 performs packet transfer between these client terminal side and server apparatus side apparatuses. The client terminal outside the network is connected to the router 11 via the Internet 12 or the like.

不正アクセス防止装置100は、パスワードクラック度記憶部3、遅延時間算出部4、パケット転送部5、クライアント側インタフェース7、サーバ側インタフェース8及びパスワードクラック度処理部9等を備えている。   The unauthorized access prevention apparatus 100 includes a password crack degree storage unit 3, a delay time calculation unit 4, a packet transfer unit 5, a client side interface 7, a server side interface 8, a password crack degree processing unit 9, and the like.

パケット転送部5は、クライアントとサーバ装置の間の通信に関わるパケットを転送する機能を持つ。パケット転送部5は保留部6を備える。保留部6は保留手段であり、遅延時間算出部4によって算出された遅延時間が経過するまで認証結果の通知を保留する。   The packet transfer unit 5 has a function of transferring packets related to communication between the client and the server device. The packet transfer unit 5 includes a holding unit 6. The holding unit 6 is a holding unit, and holds the notification of the authentication result until the delay time calculated by the delay time calculating unit 4 elapses.

パスワードクラック度処理部9は、パスワードクラックの試みがなされている可能性を示すパスワードクラック度を算出する為の変数、係数および所定データ等を取得し、遅延時間算出部4に出力する機能を持つ。パスワードクラック度処理部9はパケット解析部1およびパスワードクラック度算出部2を備えている。   The password crack degree processing unit 9 has a function of acquiring variables, coefficients, predetermined data, and the like for calculating a password crack degree indicating the possibility of password cracking attempts, and outputting them to the delay time calculating unit 4 . The password crack degree processing unit 9 includes a packet analysis unit 1 and a password crack degree calculation unit 2.

パケット解析部1は、パケット解析手段であり、サーバ装置よりクライアント端末に対する認証結果を受信し、認証結果を解析して認証成功の通知又は認証失敗の通知、およびクライアント端末を特定するクライアント識別情報を検出する。パケット解析部1は、認証失敗検出部1a、認証成功検出部1bおよびクライアント識別情報抽出部1c等を備えている。認証失敗検出部1aは、サーバ装置15a〜15cでの認証処理が失敗したことを検出する。認証成功検出部1bは、サーバ装置15a〜15cでの認証処理が成功したことを検出する。クライアント識別情報抽出部1cは、送受信されるパケットよりクライアント識別情報を抽出する。   The packet analysis unit 1 is a packet analysis unit, receives an authentication result for the client terminal from the server device, analyzes the authentication result, notifies the authentication success notification or the authentication failure notification, and client identification information for identifying the client terminal. To detect. The packet analysis unit 1 includes an authentication failure detection unit 1a, an authentication success detection unit 1b, a client identification information extraction unit 1c, and the like. The authentication failure detection unit 1a detects that authentication processing in the server devices 15a to 15c has failed. The authentication success detection unit 1b detects that the authentication processing in the server devices 15a to 15c has succeeded. The client identification information extraction unit 1c extracts client identification information from the transmitted / received packet.

クライアント側から送信されるパケットは、一例として図2(a)のように、サーバ識別情報、クライアント識別情報、要求リソース識別情報、ユーザIDおよびパスワード等より構成される。サーバ識別情報は図1のサーバ装置15a〜15cのIPアドレス(192.168.1.200〜192.168.1.202)などである。クライアント識別情報は図1のクライアント端末13a〜14cのIPアドレス(10.0.0.1〜192.168.0.33)などである。要求リソース識別情報はサーバのURL等である。ユーザIDはサーバアクセスの際の認証処理に使用される予め各ユーザに割り当てられているIDである。パスワードはサーバアクセスの際の認証処理に使用される予め各ユーザが設定しているパスワードである。サーバ側から送信されるパケットは、一例として図2(b)のように、クライアント識別情報、サーバ識別情報および認証結果等から構成される。認証結果はアクセス要求を受けたサーバ装置15a〜15cが要求元クライアント端末へ対し、アクセスの許可、不許可を伝達する為のデータである。   As an example, a packet transmitted from the client side includes server identification information, client identification information, request resource identification information, a user ID, a password, and the like as shown in FIG. The server identification information is the IP addresses (192.168.1.200 to 192.168.1.202) of the server devices 15a to 15c in FIG. The client identification information is the IP address (10.0.0.1 to 192.168.0.33) of the client terminals 13a to 14c in FIG. The requested resource identification information is the URL of the server. The user ID is an ID assigned to each user in advance that is used for authentication processing when accessing the server. The password is a password set in advance by each user and used for authentication processing at the time of server access. As an example, a packet transmitted from the server side includes client identification information, server identification information, an authentication result, and the like as shown in FIG. The authentication result is data for the server apparatuses 15a to 15c receiving the access request to transmit permission / denial of access to the requesting client terminal.

パスワードクラック度算出部2は、パスワードクラック度算出手段であり、認証成功の通知及び認証失敗の通知を基にパスワードクラック度記憶手段内の係数を更新する。又、パケット解析部1より取得する送信されたパケットが示す認証失敗若しくは成功情報、クライアント識別情報、サーバ識別情報等と、パスワードクラック度記憶部3が保持するパスワードクラック度を算出する為の変数、係数および所定データ等を取得する。   The password crack degree calculation unit 2 is a password crack degree calculation unit, and updates the coefficient in the password crack degree storage unit based on the notification of authentication success and the notification of authentication failure. Further, authentication failure or success information indicated by the transmitted packet acquired from the packet analysis unit 1, client identification information, server identification information, and the like, and a variable for calculating the password crack degree held by the password crack degree storage unit 3, Coefficients and predetermined data are acquired.

パスワードクラック度記憶部3は、パスワードクラック度記憶手段であり、パスワードクラックの試みがなされている可能性を示すパスワードクラック度を算出する為の係数を格納する。   The password crack degree storage unit 3 is a password crack degree storage means, and stores a coefficient for calculating a password crack degree indicating a possibility that a password crack is attempted.

遅延時間算出部4は、遅延時間算出手段であり、パスワードクラック度記憶部3より取得した係数を基に、クライアント端末へ対し認証結果の通知を送信する際の遅延時間を算出する。又、パケット転送部5の保留部6に対し、算出した遅延時間の間、パケットを保留する指示を出す。   The delay time calculation unit 4 is a delay time calculation unit, and calculates a delay time when transmitting a notification of the authentication result to the client terminal based on the coefficient acquired from the password crack degree storage unit 3. In addition, an instruction to hold the packet for the calculated delay time is issued to the holding unit 6 of the packet transfer unit 5.

クライアント側インタフェース7はクライアント端末13a〜14cとパケットを送受信する機能を持つ。サーバ側インタフェース8はサーバ装置15a〜15cとパケットを送受信する機能を持つ。   The client side interface 7 has a function of transmitting and receiving packets to and from the client terminals 13a to 14c. The server side interface 8 has a function of transmitting and receiving packets to and from the server devices 15a to 15c.

(不正アクセス防止方法)
以下、不正アクセス防止装置100の動作について図3のフローチャートを参照して説明する。尚、図1のパスワードクラック度記憶部3には、図4および図5のようなテーブルが格納されているものとする。 (Illegal access prevention method)
Hereinafter, the operation of the unauthorized access preventing apparatus 100 will be described with reference to the flowchart of FIG. It is assumed that tables as shown in FIGS. 4 and 5 are stored in the password crack degree storage unit 3 of FIG.

(a)先ずステップS101において、図1のパケット転送部5が何かのパケットを受信すると、ステップS102において、そのパケットがクライアント側からサーバ側へのものか、サーバ側からクライアント端末へのものかを判断する。クライアント側からサーバ側へのパケットである場合、図2(a)のサーバ識別情報が示すサーバ装置15a〜15cへ転送する(S109)。サーバ側からクライアント端末へのパケットである場合ステップS103に進み、認証結果通知のパケットであるか否かを判断する。認証結果通知のパケットでない場合、そのパケットはクライアント側へ転送する(S109)。認証結果通知のパケットである場合、ステップS104に進み、認証失敗検出部1aが認証結果が失敗であるかを検出し、認証成功検出部1bが認証結果が成功であるかを検出する。クライアント識別情報抽出部1cは、クライアント端末13a〜14cのIPアドレスを検出する。 (A) First, in step S101, when the packet transfer unit 5 in FIG. 1 receives some packet, in step S102, whether the packet is from the client side to the server side or from the server side to the client terminal. Judging. If the packet is from the client side to the server side, the packet is transferred to the server devices 15a to 15c indicated by the server identification information in FIG. 2A (S109). If the packet is from the server side to the client terminal, the process proceeds to step S103, and it is determined whether the packet is an authentication result notification packet. If it is not an authentication result notification packet, the packet is transferred to the client side (S109). If it is an authentication result notification packet, the process proceeds to step S104, where the authentication failure detection unit 1a detects whether the authentication result is unsuccessful, and the authentication success detection unit 1b detects whether the authentication result is successful. The client identification information extraction unit 1c detects the IP addresses of the client terminals 13a to 14c.

(b)認証結果が失敗であった場合、ステップS106において、パスワードクラック度算出部2は、パスワードクラック度記憶部3より係数を取得する。第1の実施の形態では係数として図4のようなこれまで行ったクライアントIPアドレス毎の連続失敗回数の計数値を使用する。パスワードクラック度算出部2は、パスワードクラック度記憶部3に保持されたクライアントのIPアドレスに対応する計数値を加算する。すなわち、クライアントIPアドレスが「192.168.0.32」であった場合、対応する計数値を検索し、図4の場合「7」であったものを、「8」へと増加させる。パスワードクラック度算出部2は、増加後の計数値である8を、パスワードクラック度の値として出力する。 (B) If the authentication result is unsuccessful, in step S106, the password crack degree calculation unit 2 acquires a coefficient from the password crack degree storage unit 3. In the first embodiment, the count value of the number of consecutive failures for each client IP address as shown in FIG. 4 is used as a coefficient. The password crack degree calculation unit 2 adds a count value corresponding to the client IP address held in the password crack degree storage unit 3. That is, when the client IP address is “192.168.0.32”, the corresponding count value is searched, and the value “7” in FIG. 4 is increased to “8”. The password crack degree calculation unit 2 outputs 8 which is the increased count value as the password crack degree value.

(c)ステップS107において、パスワードクラック度算出部2から、パスワードクラック度値として8を受信した遅延時間算出部4は、この8という値に基づき、遅延時間を算出する。パスワードクラック度が高いほど、長い遅延時間とすべきであることは勿論である。ここでは、パスワードクラック度をpとして、仮に、遅延時間算出式を2−1とすると、遅延時間は255秒となる。遅延時間を算出した遅延時間算出部4は、保留部6に、255秒という遅延時間を通知する。尚、上記では計算式を用いて計算しているが、図5のように予め遅延時間のテーブルを作成してパスワードクラック度記憶部3に格納しておき、それを参照して遅延時間を決定しても構わない。 (C) In step S107, the delay time calculation unit 4 that has received 8 as the password crack degree value from the password crack degree calculation unit 2 calculates the delay time based on the value of 8. Of course, the higher the password cracking degree, the longer the delay time should be. Here, assuming that the password crack degree is p and the delay time calculation formula is 2 p −1, the delay time is 255 seconds. The delay time calculation unit 4 that has calculated the delay time notifies the holding unit 6 of a delay time of 255 seconds. In the above description, the calculation formula is used. However, as shown in FIG. 5, a delay time table is created in advance and stored in the password crack degree storage unit 3, and the delay time is determined with reference to the table. It doesn't matter.

(d)ステップS108においては、遅延時間255秒と保留部6は、サーバ側インタフェース8にて受信したサーバ装置15a〜15cからの認証失敗の通知を、指定された255秒間保留する。この255秒が経過したのちに、パケット転送部5はクライアント側インタフェース7を介して、認証失敗の通知を送信元のクライアント端末13a〜14cへと送出する。 (D) In step S108, the delay time 255 seconds and the holding unit 6 hold the notification of the authentication failure from the server devices 15a to 15c received by the server side interface 8 for the designated 255 seconds. After 255 seconds have elapsed, the packet transfer unit 5 sends an authentication failure notification to the transmission source client terminals 13a to 14c via the client side interface 7.

この際、遅延時間の起点として、サーバ側インタフェース8が、サーバ装置15a〜15cからの認証失敗の通知を受信した時刻を用いる方法や、当該受信したサーバ装置15a〜15cからの認証失敗の通知よりも前に、当該クライアント端末13a〜14cへサーバ装置15a〜15cから認証失敗の通知が行なわれた時刻を用いる方法などが考えられるが、いずれにしてもその効果は同様である。   At this time, as a starting point of the delay time, a method using the time when the server side interface 8 receives the notification of the authentication failure from the server devices 15a to 15c, or the notification of the authentication failure from the received server devices 15a to 15c. Before that, the method using the time when the authentication failure notification is performed from the server devices 15a to 15c to the client terminals 13a to 14c can be considered, but the effect is the same in any case.

又、遅延時間の間に新たなパケットを受信した場合、遅延時間の終了まで保留部6で保留しても良いし、そのまま廃棄しても良い。   When a new packet is received during the delay time, it may be held by the holding unit 6 until the end of the delay time, or may be discarded as it is.

(e)尚、認証が成功していた場合、ステップS110にて、認証成功処理を行う。認証成功処理としては、例えば、図4の認証失敗回数を0に設定する。これにより、ステップS107の遅延時間は0となり、ステップS108にて保留部6は認証成功の通知を保留すること無く、送信元のクライアント端末13a〜14cに送信する(S109)。 (E) If authentication is successful, authentication success processing is performed in step S110. As the authentication success process, for example, the number of authentication failures in FIG. As a result, the delay time in step S107 becomes 0, and in step S108, the holding unit 6 transmits the authentication success notification to the transmission source client terminals 13a to 14c without holding the notification (S109).

上記によると、あるクライアント端末がパスワードクラック攻撃を行なっている場合、パスワードクラック度算出部2から出力されるパスワードクラック度は、加算され、遅延時間は、図5のように次第に延長されていく。これにより、悪意の第三者のクライアント端末が、辞書にある単語を片端から入力して試したり、考えられる全ての鍵をリストアップしてクラッキングを試みようとしても、パスワードが探り当てられる可能性を低くすることができる。例えば、図5の場合、失敗16回目で遅延時間は約18時間となり、一日に十数個のパスワードしか試行できないこととなる。   According to the above, when a certain client terminal is performing a password crack attack, the password crack degree output from the password crack degree calculation unit 2 is added, and the delay time is gradually extended as shown in FIG. As a result, even if a malicious third-party client terminal tries to enter a word in the dictionary from one end or tries to list all possible keys and attempt cracking, the password may be found. Can be lowered. For example, in the case of FIG. 5, the delay time is about 18 hours at the 16th failure, and only a dozen passwords can be tried per day.

正当なユーザであっても、パスワードを打ち間違えることにより、2〜3回連続してパスワードを誤ることはあるが、一般的なユーザであれば、3回程度の誤りの後には、正しいパスワードが入力可能と思われる。よって、正しいパスワードを含む認証要求が送られると、速やかに認証成功の通知を受けることができ、以降のサーバ装置15a〜15c間のアクセスに支障がでることもない。   Even if it is a legitimate user, it is possible to mistake the password twice or three times consecutively by entering a wrong password. However, if the user is a general user, the correct password will be changed after about three mistakes. It seems that input is possible. Therefore, when an authentication request including a correct password is sent, notification of successful authentication can be promptly received, and subsequent access between the server apparatuses 15a to 15c is not hindered.

このように、本発明の第1の実施の形態によると、正当なユーザのサーバ装置の利用を妨げること無く、パスワードクラック攻撃を排除する事が可能なサーバ装置保護装置を実現することができ、パスワードクラック攻撃の排除に伴う正当なユーザのサーバ装置の利用停止から、管理者が復旧処理を行うための手間をなくすことができる。又、不正アクセス防止装置100を当該サーバ装置とクライアントの間に挿入するのみで上記の効果を得ることができるため、装置追加の際の手間が少なくて済む。   Thus, according to the first embodiment of the present invention, it is possible to realize a server device protection device capable of eliminating a password crack attack without hindering the use of a legitimate user's server device, It is possible to eliminate the trouble for the administrator to perform the recovery process from the suspension of the use of the server device of the legitimate user accompanying the elimination of the password crack attack. In addition, since the above-described effect can be obtained only by inserting the unauthorized access prevention device 100 between the server device and the client, it is possible to reduce the effort for adding the device.

(変更例1)
尚、ステップS107の図4においては、認証失敗の回数のみを数えているが、ステップS110の認証成功処理において、認証成功の回数を図6のように保持することも可能である。この場合、図1の社内ネットワークのクライアント端末14a〜14cのように認証成功回数の多いIPアドレスであれば、遅延時間を少なめに設定したり、社外ネットワークのクライアント端末13a〜13cのように認証成功回数の少ないIPアドレスであれば、遅延時間を多めに設定したりすることができる。 (Modification 1)
In FIG. 4 in step S107, only the number of authentication failures is counted. However, in the authentication success process in step S110, the number of authentication successes can be held as shown in FIG. In this case, if the IP address has a large number of successful authentications such as the client terminals 14a to 14c in the in-house network shown in FIG. 1, the delay time is set to be small, or the authentication succeeds like the client terminals 13a to 13c in the external network. For an IP address with a small number of times, a longer delay time can be set.

(変更例2)
認証失敗回数および認証成功回数の累積値等を基にして、遅延時間の算出を行う際に、重み係数を使用しても良い。 (Modification 2)
A weighting factor may be used when calculating the delay time based on the cumulative number of authentication failures and authentication successes.

この場合、図7に示すようになり図1と比較して、パスワードクラック度算出部2が重み係数取得部2aを、パスワードクラック部記憶部3aが図8の重み係数テーブルを更に備えるようにする。これによると、ステップS107の遅延時間算出部4の処理は、図1のIPアドレス192.168.0.31のクライアント端末14aの重み係数は1であるため上記の処理と変わらないが、IPアドレス192.168.0.32のクライアント端末14bの重み係数は10であるため、例えば4回認証に失敗すると(2−1)*重み係数となり、15*10=150で、150秒の遅延時間を算出することとなる。 In this case, as shown in FIG. 7, as compared with FIG. 1, the password crack degree calculation unit 2 further includes a weighting factor acquisition unit 2a, and the password cracking unit storage unit 3a further includes the weighting factor table of FIG. . According to this, the processing of the delay time calculation unit 4 in step S107 is not different from the above processing because the weighting factor of the client terminal 14a of the IP address 192.168.0.31 in FIG. Since the weighting factor of the client terminal 14b of 192.168.0.32 is 10, for example, when authentication fails four times, (2 4 −1) * weighting factor is obtained, and 15 * 10 = 150, and a delay time of 150 seconds Will be calculated.

この重み係数はクライアント端末毎に決定しても良いし、社内ネットワークのクライアント端末14a〜14cと社外ネットワークのクライアント端末13a〜13cを区別するなど端末の配置を鑑みて、図9に示すようにネットワークのアドレス範囲の単位で決定しても良い。   This weighting factor may be determined for each client terminal, or in consideration of terminal arrangement such as distinguishing the client terminals 14a to 14c in the in-house network from the client terminals 13a to 13c in the outside network, as shown in FIG. It may be determined in units of the address range.

尚、重み係数はIPアドレス毎ではなく、ユーザID毎に設定することも可能である。この場合、図1と比較して図10に示すように、パケット解析部1はユーザID抽出部1dを、パスワードクラック度算出部2はユーザID重み係数取得部2bを、パスワードクラック度記憶部3bは図11のユーザID重み係数テーブルを更に備えるようにする。   The weighting factor can be set not for each IP address but for each user ID. In this case, as shown in FIG. 10 in comparison with FIG. 1, the packet analysis unit 1 uses the user ID extraction unit 1d, the password crack degree calculation unit 2 uses the user ID weight coefficient acquisition unit 2b, and the password crack degree storage unit 3b. Is further provided with the user ID weighting coefficient table of FIG.

ユーザID抽出部1dは、図2(a)の受信パケット毎にユーザIDを抽出し、図11のユーザID重み係数テーブルを参照して重み係数を設定する。図11の重み設定によると、ユーザID「ab00001」を用いてアクセスされた場合に比較して、ユーザID「ab00002」を用いてアクセスされた場合は、パスワードを誤った場合の遅延時間が10倍長くなる。このような構成を取ることにより、例えば、より機密度の高い情報を扱うユーザのユーザIDを用いてアクセスされた場合は、パスワードを誤った場合の遅延時間をより長くする事が可能となり、機密度の高い情報へのアクセスほど、より強固にパスワードクラック攻撃を排除する能力を付加することができる。   The user ID extraction unit 1d extracts a user ID for each received packet in FIG. 2A, and sets a weighting factor with reference to the user ID weighting factor table in FIG. According to the weight setting of FIG. 11, the delay time when the password is incorrect is 10 times longer when accessed using the user ID “ab00001” than when accessed using the user ID “ab00001”. become longer. By adopting such a configuration, for example, when accessed using the user ID of a user who handles highly sensitive information, it becomes possible to further increase the delay time when the password is incorrect. The higher the density of access to information, the stronger the ability to eliminate password cracking attacks.

(変更例3)
重み付けの他、クライアント端末13a〜14cからサーバ装置15a〜15cへのアクセス要求の送信回数をカウントすることにより、クラッキングを検出することも可能である。この場合、図1と比較して図12に示すよう、パケット解析部1はアクセス要求抽出部1eを、パスワードクラック度算出部2はアクセス回数取得部2cを、パスワードクラック度記憶部3cは図13のクライアントIPアドレスアクセス回数テーブルを更に備えるようにする。 (Modification 3)
In addition to weighting, it is also possible to detect cracking by counting the number of transmissions of access requests from the client terminals 13a to 14c to the server devices 15a to 15c. In this case, as shown in FIG. 12 in comparison with FIG. 1, the packet analysis unit 1 is the access request extraction unit 1e, the password crack degree calculation unit 2 is the access number acquisition unit 2c, and the password crack degree storage unit 3c is FIG. The client IP address access frequency table is further provided.

認証成功回数の多いクライアント端末13a〜14cからアクセスされた場合そのアクセスは正当なユーザによるものである可能性が高く、認証成功回数の少ない若しくは0であるクライアント端末13a〜14cからアクセスされた場合は、不正なユーザによるものである可能性が高いと判断することができる。   When accessed from the client terminals 13a to 14c having a large number of successful authentications, the access is likely to be made by a legitimate user, and when accessed from the client terminals 13a to 14c having a small number of successful authentications or 0 Therefore, it can be determined that there is a high possibility of being by an unauthorized user.

よって、認証成功回数の少ない若しくは0であるクライアント端末13a〜14cからアクセスされた場合は、認証成功回数の多いクライアント端末13a〜14cからアクセスされた場合と比較して、パスワードを誤った場合の遅延時間を長くする。   Therefore, when access is made from client terminals 13a to 14c with a small number of successful authentications or 0, a delay due to an incorrect password is compared with access from client terminals 13a to 14c with a high number of successful authentications. Increase time.

このように構成することにより、正当なユーザは遅延時間による不便を被ることがなく、スワードクラック攻撃を排除する能力を付加することができる。   By configuring in this way, a legitimate user does not suffer from the inconvenience due to the delay time, and can add the ability to eliminate the password crack attack.

<第2の実施の形態>
第1の実施の形態においてはクライアント端末13a〜14cからのアクセスの注目してクラッキング攻撃の検出を行っていたが、サーバ装置15a〜15cの動作やアクセスに注目することにより、クラッキング攻撃を発見することも可能である。 <Second Embodiment>
In the first embodiment, the cracking attack is detected by paying attention to the access from the client terminals 13a to 14c, but the cracking attack is found by paying attention to the operation and access of the server devices 15a to 15c. It is also possible.

本発明の第2の実施の形態に係る不正アクセス防止装置200は図14に示すように、パスワードクラック度記憶部30およびパスワードクラック度処理部90を備え、パスワードクラック度処理部90はパケット解析部10とパスワードクラック度算出部20を備える。パケット解析部10は認証失敗検出部1a、認証成功検出部1bおよび送受信するパケットよりサーバIPアドレス等のサーバ識別情報を抽出するサーバ識別情報抽出部10aを備える。その他は図1の不正アクセス防止装置100と同様の構成を有するため説明を省略する。   As illustrated in FIG. 14, the unauthorized access prevention apparatus 200 according to the second embodiment of the present invention includes a password crack degree storage unit 30 and a password crack degree processing unit 90, and the password crack degree processing unit 90 is a packet analysis unit. 10 and a password crack degree calculation unit 20. The packet analysis unit 10 includes an authentication failure detection unit 1a, an authentication success detection unit 1b, and a server identification information extraction unit 10a that extracts server identification information such as a server IP address from a packet to be transmitted / received. The rest of the configuration is the same as that of the unauthorized access prevention device 100 of FIG.

以下、不正アクセス防止装置200の動作について図15を参照して説明する。   Hereinafter, the operation of the unauthorized access preventing apparatus 200 will be described with reference to FIG.

(a)ステップS201〜S203においては、図3のステップS101〜S103と同様にサーバ装置からクライアント端末への認証結果通知のパケットを検出する動作を行う。 (A) In steps S201 to S203, an operation for detecting an authentication result notification packet from the server device to the client terminal is performed as in steps S101 to S103 of FIG.

(b)ステップS204において、認証失敗検出部1aが認証結果が失敗であるかを検出し、認証成功検出部1bが認証結果が成功であるかを検出する。サーバ識別情報抽出部10aは、サーバ装置15a〜15cのIPアドレスを検出する。認証結果が失敗であった場合、ステップS206において、パスワードクラック度算出部20は、パスワードクラック度記憶部30より係数を取得する。係数としては、例えばサーバIPアドレス毎の連続失敗回数の計数値を使用する。パスワードクラック度算出部20は、パスワードクラック度記憶部30に保持されたサーバのIPアドレスに対応する計数値を加算し、パスワードクラック度の値として出力する。 (B) In step S204, the authentication failure detection unit 1a detects whether the authentication result is a failure, and the authentication success detection unit 1b detects whether the authentication result is a success. The server identification information extraction unit 10a detects the IP addresses of the server devices 15a to 15c. When the authentication result is unsuccessful, the password crack degree calculation unit 20 acquires a coefficient from the password crack degree storage unit 30 in step S206. As the coefficient, for example, a count value of the number of consecutive failures for each server IP address is used. The password crack degree calculation unit 20 adds the count value corresponding to the IP address of the server held in the password crack degree storage unit 30, and outputs the value as the password crack degree value.

(c)ステップS207において、パスワードクラック度算出部20から、パスワードクラック度を受信した遅延時間算出部4は、遅延時間を算出する。ステップS208においては、保留部6は、サーバ側インタフェース8にて受信したサーバ装置15a〜15cからの認証失敗の通知を、指定された遅延時間の間保留する。この遅延時間経過後、パケット転送部5はクライアント側インタフェース7を介して、認証失敗の通知を送信元のクライアント端末13a〜14cへと送出する。 (C) In step S207, the delay time calculation unit 4 that has received the password crack degree from the password crack degree calculation unit 20 calculates a delay time. In step S208, the holding unit 6 holds the notification of the authentication failure from the server devices 15a to 15c received by the server side interface 8 for a specified delay time. After the delay time elapses, the packet transfer unit 5 sends an authentication failure notification to the transmission source client terminals 13a to 14c via the client side interface 7.

このように、サーバ装置15a〜15c毎に遅延時間を設定することにより、例えばクライアント端末14aからサーバ装置15aへの認証要求が連続して失敗している場合でも、クライアント端末14aからサーバ装置15b、15cへの認証要求においては影響を受けない為、正当なユーザへの影響を少なくすることが可能となる。又、サーバ装置15aへのアクセス遅延時間が通常と比べて長すぎるということは、サーバ装置15aがパスワードクラック攻撃を受けている可能性があるため、正当なクライアント端末をそのようなクラック攻撃から守ることが出来、更にこの異変に気づいたクライアント端末が、ネットワーク管理者に通報することも可能となる。   Thus, by setting the delay time for each of the server devices 15a to 15c, for example, even when authentication requests from the client terminal 14a to the server device 15a continuously fail, the client device 14a to the server device 15b, Since the authentication request to 15c is not affected, it is possible to reduce the influence on the legitimate user. Also, if the access delay time to the server device 15a is too long compared to the normal case, the server device 15a may be subjected to a password cracking attack, so that a legitimate client terminal is protected from such a cracking attack. In addition, the client terminal that has noticed this change can also notify the network administrator.

(変更例1)
サーバ装置15a〜15cにおいても、その重要度に応じて重みを設定することができる。 (Modification 1)
Also in the server apparatuses 15a to 15c, weights can be set according to the importance.

この場合、図14と比較して図16のように、パスワードクラック度算出部20が重み係数取得部20aを、パスワードクラック部記憶部30aが図17のサーバ重み係数テーブルを更に備えるようにする。これにより、ステップS207の遅延時間算出処理は、図14のサーバIPアドレス192.168.1.200のサーバ装置15aおよびサーバIPアドレス192.168.1.202のサーバ装置15cの重み係数は1であるため上記の処理と変わらないが、サーバIPアドレス192.168.1.201のサーバ装置15bの重み係数は10であるため、10倍の遅延時間を設定することとなる。   In this case, as shown in FIG. 16 in comparison with FIG. 14, the password crack degree calculation unit 20 further includes a weighting factor acquisition unit 20a, and the password cracking unit storage unit 30a further includes the server weighting factor table in FIG. Thereby, in the delay time calculation process in step S207, the weight coefficient of the server device 15a with the server IP address 192.168.1.200 and the server device 15c with the server IP address 192.168.1.202 in FIG. However, since the weighting factor of the server device 15b with the server IP address 192.168.1.201 is 10, the delay time is set to 10 times.

この重み係数は社内ネットワークのサーバ装置の配置を鑑みて、ネットワークのアドレス範囲の単位で決定しても良い。   This weighting factor may be determined in units of a network address range in consideration of the arrangement of server devices in the in-house network.

このような構成を取ることにより、より機密度の高い情報が格納されているサーバ装置へアクセスされた場合は、パスワードを誤った場合の遅延時間をより長くすることが可能となり、機密度の高い情報へのアクセスほど、より強固にパスワードクラック攻撃を排除する能力を付加することができる。   By adopting such a configuration, when accessing a server device in which more sensitive information is stored, it becomes possible to increase the delay time when the password is incorrect, and the confidentiality is high. The more access to information, the stronger the ability to eliminate password cracking attacks.

(変更例2)
サーバ装置15a〜15cのサーバ識別情報として、IPアドレスではなくURLなどのリソースを用いて、そのリソースの重要度に応じて重みを設定することも可能である。 (Modification 2)
As server identification information of the server devices 15a to 15c, it is possible to set a weight according to the importance of the resource by using a resource such as a URL instead of an IP address.

この場合、図14と比較して図18のように、パケット解析部10が要求リソース識別情報抽出部10bを、パスワードクラック度算出部20がリソース重み係数取得部20bを、パスワードクラック部記憶部30bが図19のリソース重み係数テーブルを更に備えるようにする。これにより、ステップS207の遅延時間算出処理は、リソース重み係数取得部20bが取得する図19のリソース重み係数テーブルを基に行われ、「http://abc.def.com/index.html」や「http://abc.def.com/title_logo.jpg」のリソースへのアクセスと比較して「http://abc.def.com/important.dat 」のリソースへのアクセスは、パスワードを誤った場合の遅延時間が10倍長くなるよう設定される。   In this case, as shown in FIG. 18 in comparison with FIG. 14, the packet analysis unit 10 uses the requested resource identification information extraction unit 10b, the password crack degree calculation unit 20 uses the resource weight coefficient acquisition unit 20b, and the password crack unit storage unit 30b. Is further provided with the resource weight coefficient table of FIG. Thereby, the delay time calculation process of step S207 is performed based on the resource weighting coefficient table of FIG. 19 acquired by the resource weighting coefficient acquiring unit 20b, and “http://abc.def.com/index.html” or Access to resources at "http://abc.def.com/important.dat" compared to access to resources at "http://abc.def.com/title_logo.jpg" The delay time is set to be 10 times longer.

このような構成を取ることにより、例えば、より機密度の高い情報を示すURLへアクセスされた場合は、パスワードを誤った場合の遅延時間をより長くすることが可能となり、機密度の高い情報へのアクセスほど、より強固にパスワードクラック攻撃を排除する能力を付加することができる。   By adopting such a configuration, for example, when a URL indicating more sensitive information is accessed, it is possible to increase the delay time when the password is incorrect, and to the highly sensitive information. The more access, the stronger the ability to eliminate password cracking attacks can be added.

(変更例3)
重み付けの他、サーバ装置15a〜15cのリソースへのアクセス回数をカウントすることにより、クラッキングを検出することも可能である。 (Modification 3)
In addition to weighting, it is also possible to detect cracking by counting the number of accesses to the resources of the server apparatuses 15a to 15c.

この場合、図14と比較して図20のように、パケット解析部10がアクセス要求抽出部10cを、パスワードクラック度算出部20がリソースアクセス回数取得部20cを、パスワードクラック部記憶部30cが図21のリソースアクセス回数テーブルを更に備えるようにする。これにより、ステップS207の遅延時間算出処理は、リソースアクセス回数取得部20cが取得する図21のアクセス回数を基に算出される。例えば、図21に示す、アクセス回数が多い上段と下段の「http://abc.def.com/index.html」や「http://abc.def.com/title logo.jpg 」へのアクセスと比較して、中段のアクセス回数が少ない「http://abc.def.com/confidential/important.dat」へのアクセスに対しては、パスワードを誤った場合の遅延時間をより長くする。この他、アクセス回数値が0である場合や、アクセス回数値がリソースアクセス回数テーブルに格納されていない場合、アクセス回数として、1以下の値を遅延時間算出部4に渡すことで、遅延時間を長くする。   In this case, as shown in FIG. 20 in comparison with FIG. 14, the packet analysis unit 10 shows the access request extraction unit 10c, the password crack degree calculation unit 20 shows the resource access frequency acquisition unit 20c, and the password crack unit storage unit 30c shows the diagram. 21 resource access frequency table is further provided. Thereby, the delay time calculation process of step S207 is calculated based on the access count of FIG. 21 acquired by the resource access count acquisition unit 20c. For example, as shown in FIG. 21, access to “http://abc.def.com/index.html” and “http://abc.def.com/title logo.jpg” in the upper and lower rows where the number of accesses is large. Compared to, the access time to “http://abc.def.com/confidential/important.dat”, which has a lower number of accesses in the middle, is made longer for the wrong password. In addition, when the access count value is 0, or when the access count value is not stored in the resource access count table, the delay time is set by passing a value of 1 or less to the delay time calculation unit 4 as the access count. Lengthen.

アクセス回数の少ない若しくは0であるURLは、通常はアクセスされることを想定していないリソースであり、機密度の高い情報が格納されている可能性がある。又、そのようなURLへのアクセスにおいてパスワードを誤るユーザは、不正なユーザの可能性が高いと判断できる。よって、アクセス回数の少ない若しくは0のURLへの接続は、アクセス回数の多いURLへの接続と比較して、パスワードを誤った場合の遅延時間を長くする。   A URL with a small number of accesses or 0 is a resource that is not normally assumed to be accessed, and may contain highly sensitive information. Moreover, it can be judged that the user who mistakes a password in access to such URL has a high possibility of an unauthorized user. Therefore, a connection to a URL with a small number of accesses or 0 has a longer delay time when a password is incorrect than a connection to a URL with a large number of accesses.

このようにリソースのアクセス回数をカウントするよう構成することにより、正当なユーザが遅延時間による不便を被ることがなく、機密度の高い情報へのアクセスほど、より強固にパスワードクラック攻撃を排除する能力を付加することができる。   By configuring to count the number of resource accesses in this way, legitimate users do not suffer from inconvenience due to delay time, and the ability to eliminate password cracking attacks more firmly with access to sensitive information Can be added.

本発明の第1の実施の形態に係る不正アクセス防止装置の構造を示す構造図である。1 is a structural diagram showing a structure of an unauthorized access preventing apparatus according to a first embodiment of the present invention. 送受信するパケットの構造を示すデータ構造図である。It is a data structure figure which shows the structure of the packet transmitted / received. 不正アクセス防止装置のパケット転送動作を示すフローチャートである。It is a flowchart which shows the packet transfer operation | movement of an unauthorized access prevention apparatus. パスワードクラック度記憶部内の認証失敗テーブルを示す図である。It is a figure which shows the authentication failure table in a password crack degree memory | storage part. パスワードクラック度記憶部内の遅延時間テーブルを示す図である。It is a figure which shows the delay time table in a password crack degree memory | storage part. パスワードクラック度記憶部内の認証成功テーブルを示す図である。It is a figure which shows the authentication success table in a password crack degree memory | storage part. 本発明の第1の実施の形態の変更例に係る不正アクセス防止装置の構造を示す図である。It is a figure which shows the structure of the unauthorized access prevention apparatus which concerns on the example of a change of the 1st Embodiment of this invention. パスワードクラック度記憶部内の重み係数テーブルを示す図である。It is a figure which shows the weighting coefficient table in a password crack degree memory | storage part. パスワードクラック度記憶部内の重み係数テーブルを示す図である。It is a figure which shows the weighting coefficient table in a password crack degree memory | storage part. 本発明の第1の実施の形態の変更例に係る不正アクセス防止装置の構造を示す図である。It is a figure which shows the structure of the unauthorized access prevention apparatus which concerns on the example of a change of the 1st Embodiment of this invention. パスワードクラック度記憶部内のユーザID重み係数テーブルを示す図である。It is a figure which shows the user ID weighting coefficient table in a password crack degree memory | storage part. 本発明の第1の実施の形態の変更例に係る不正アクセス防止装置の構造を示す図である。It is a figure which shows the structure of the unauthorized access prevention apparatus which concerns on the example of a change of the 1st Embodiment of this invention. パスワードクラック度記憶部内のクライアントのアクセス回数テーブルを示す図である。It is a figure which shows the access frequency table of the client in a password crack degree memory | storage part. 本発明の第2の実施の形態に係る不正アクセス防止装置の構造を示す図である。It is a figure which shows the structure of the unauthorized access prevention apparatus which concerns on the 2nd Embodiment of this invention. 不正アクセス防止装置のパケット転送動作を示すフローチャートである。It is a flowchart which shows the packet transfer operation | movement of an unauthorized access prevention apparatus. 本発明の第1の実施の形態の変更例に係る不正アクセス防止装置の構造を示す図である。It is a figure which shows the structure of the unauthorized access prevention apparatus which concerns on the example of a change of the 1st Embodiment of this invention. パスワードクラック度記憶部内のサーバ重み係数テーブルを示す図である。It is a figure which shows the server weighting coefficient table in a password crack degree memory | storage part. 本発明の第1の実施の形態の変更例に係る不正アクセス防止装置の構造を示す図である。It is a figure which shows the structure of the unauthorized access prevention apparatus which concerns on the example of a change of the 1st Embodiment of this invention. パスワードクラック度記憶部内のリソース重み係数テーブルを示す図である。It is a figure which shows the resource weighting coefficient table in a password crack degree memory | storage part. 本発明の第1の実施の形態の変更例に係る不正アクセス防止装置の構造を示す図である。It is a figure which shows the structure of the unauthorized access prevention apparatus which concerns on the example of a change of the 1st Embodiment of this invention. パスワードクラック度記憶部内のリソースアクセス回数テーブルを示す図である。It is a figure which shows the resource access frequency table in a password crack degree memory | storage part.

符号の説明Explanation of symbols

1…パケット解析部
1a…認証失敗検出部
1b…認証成功検出部
1c…クライアント識別情報抽出部
1d…ユーザID抽出部
1e…アクセス要求抽出部
2…パスワードクラック度算出部
2a…重み係数取得部
2b…サーバID重み係数取得部
2c…アクセス回数取得部
3、3a、3b、3c…パスワードクラック度記憶部
4…遅延時間算出部
5…パケット転送部
6…保留部
7…クライアント側インタフェース
8…サーバ側インタフェース
9…パスワードクラック度処理部
10…パケット解析部
10a…サーバ識別情報抽出部
10b…要求リソース識別情報抽出部
10c…アクセス要求抽出部
11…ルータ
12…インターネット
13a、13b、13c、14a、14b、14c…クライアント端末
15a、15b、15c…サーバ装置
20…パスワードクラック度算出部
20a…サーバ重み係数取得部
20b…リソース重み係数取得部
20c…リソースアクセス回数取得部
30、30a、30b、30c…パスワードクラック度記憶部
90…パスワードクラック度処理部
100、200…不正アクセス防止装置 DESCRIPTION OF SYMBOLS 1 ... Packet analysis part 1a ... Authentication failure detection part 1b ... Authentication success detection part 1c ... Client identification information extraction part 1d ... User ID extraction part 1e ... Access request extraction part 2 ... Password crack degree calculation part 2a ... Weight coefficient acquisition part 2b ... server ID weighting factor acquisition unit 2c ... access count acquisition unit 3, 3a, 3b, 3c ... password crack degree storage unit 4 ... delay time calculation unit 5 ... packet transfer unit 6 ... holding unit 7 ... client side interface 8 ... server side Interface 9 ... Password crack degree processing unit 10 ... Packet analysis unit 10a ... Server identification information extraction unit 10b ... Request resource identification information extraction unit 10c ... Access request extraction unit 11 ... Router 12 ... Internet 13a, 13b, 13c, 14a, 14b, 14c ... Client terminals 15a, 15b, 15c ... Server device 20 ... Password crack degree calculation unit 20a ... Server weight coefficient acquisition unit 20b ... Resource weight coefficient acquisition unit 20c ... Resource access frequency acquisition unit 30, 30a, 30b, 30c ... Password crack degree storage unit 90 ... Password crack degree processing Unit 100, 200 ... Unauthorized access prevention device

Claims (8)

ネットワークにおいてクライアント端末とサーバ装置の間に配置される不正アクセス防止装置であって、
前記サーバ装置より前記クライアント端末に対する認証結果を受信し、前記認証結果を解析して認証成功の通知又は認証失敗の通知、および前記クライアント端末を特定するクライアント識別情報を検出するパケット解析手段と、
パスワードクラックの試みがなされている可能性を示すパスワードクラック度を算出する為の係数を格納するパスワードクラック度記憶手段と、
前記認証成功の通知及び前記認証失敗の通知を基に前記パスワードクラック度記憶手段内の前記係数を更新するパスワードクラック度算出手段と、
前記パスワードクラック度記憶手段より取得した前記係数を基に、前記クライアント端末へ対し前記認証結果の通知を送信する際の遅延時間を算出する遅延時間算出手段と、
算出された前記遅延時間が経過するまで前記認証結果の通知を保留する保留手段
とを備えることを特徴とする不正アクセス防止装置。 An unauthorized access prevention device arranged between a client terminal and a server device in a network,
A packet analysis means for receiving an authentication result for the client terminal from the server device, analyzing the authentication result to detect a notification of authentication success or a notification of authentication failure, and client identification information for identifying the client terminal;
A password crack degree storage means for storing a coefficient for calculating a password crack degree indicating a possibility that a password crack has been attempted;
A password crack degree calculation means for updating the coefficient in the password crack degree storage means based on the notification of the authentication success and the notification of the authentication failure;
Based on the coefficient acquired from the password crack degree storage means, a delay time calculating means for calculating a delay time when sending the authentication result notification to the client terminal;
An unauthorized access preventing apparatus comprising: a holding unit that holds the notification of the authentication result until the calculated delay time elapses. 前記パスワードクラック度記憶手段は、前記クライアント識別情報毎に遅延時間算出の係数となる重み係数表を格納し、
前記遅延時間算出手段は、前記重み係数表を参照してパスワードクラック度を算出し、前記パスワードクラック度を基に遅延時間を算出することを特徴とする請求項1に記載の不正アクセス防止装置。 The password crack degree storage means stores a weighting coefficient table as a delay time calculation coefficient for each client identification information,
The unauthorized access prevention apparatus according to claim 1, wherein the delay time calculating unit calculates a password crack degree with reference to the weight coefficient table, and calculates a delay time based on the password crack degree. 前記パスワードクラック度記憶手段は、前記クライアント端末からの認証要求の累積値を格納するアクセス回数表を格納し、
前記遅延時間算出手段は、前記アクセス回数表の累積値が多いクライアント端末に対しては低め、前記アクセス回数表の累積値が少ないクライアント端末に対しては高めにパスワードクラック度を算出し、前記パスワードクラック度を基に遅延時間を算出することを特徴とする請求項1に記載の不正アクセス防止装置。 The password crack degree storage means stores an access count table that stores a cumulative value of authentication requests from the client terminal,
The delay time calculating means calculates a password cracking degree lower for a client terminal having a large cumulative value in the access count table, and higher for a client terminal having a small cumulative value in the access count table. The unauthorized access prevention apparatus according to claim 1, wherein the delay time is calculated based on a crack degree. 前記認証結果は、前記サーバ装置での認証に利用するユーザID情報を含み、
前記パスワードクラック度記憶手段は、前記ユーザID情報毎に遅延時間算出の係数となる重み係数表を格納し、
前記遅延時間算出手段は、前記重み係数表を参照してパスワードクラック度を算出し、前記パスワードクラック度を基に遅延時間を算出することを特徴とする請求項1に記載の不正アクセス防止装置。 The authentication result includes user ID information used for authentication in the server device,
The password crack degree storage means stores a weighting coefficient table as a delay time calculation coefficient for each of the user ID information,
The unauthorized access prevention apparatus according to claim 1, wherein the delay time calculating unit calculates a password crack degree with reference to the weight coefficient table, and calculates a delay time based on the password crack degree. ネットワークにおいてクライアント端末とサーバ装置の間に配置される不正アクセス防止装置であって、
前記サーバ装置より前記クライアント端末に対する認証結果を受信し、前記認証結果を解析して認証成功の通知又は認証失敗の通知、および前記サーバ装置を特定するサーバ識別情報を検出するパケット解析手段と、
パスワードクラックの試みがなされている可能性を示すパスワードクラック度を算出する為の係数を格納するパスワードクラック度記憶手段と、
前記認証成功の通知及び前記認証失敗の通知を基に前記パスワードクラック度記憶手段内の前記係数を更新するパスワードクラック度算出手段と、
前記パスワードクラック度記憶手段より取得した前記係数を基に、前記クライアント端末へ対し前記認証結果の通知を送信する際の遅延時間を算出する遅延時間算出手段と、
算出された前記遅延時間が経過するまで前記認証結果の通知を保留する保留手段
とを備えることを特徴とする不正アクセス防止装置。 An unauthorized access prevention device arranged between a client terminal and a server device in a network,
A packet analysis means for receiving an authentication result for the client terminal from the server device, analyzing the authentication result and detecting a notification of authentication success or authentication failure, and server identification information for identifying the server device;
A password crack degree storage means for storing a coefficient for calculating a password crack degree indicating a possibility that a password crack has been attempted;
A password crack degree calculation means for updating the coefficient in the password crack degree storage means based on the notification of the authentication success and the notification of the authentication failure;
Based on the coefficient acquired from the password crack degree storage means, a delay time calculating means for calculating a delay time when sending the authentication result notification to the client terminal;
An unauthorized access preventing apparatus comprising: a holding unit that holds the notification of the authentication result until the calculated delay time elapses. 前記パスワードクラック度記憶手段は、前記サーバ識別情報毎に遅延時間算出の係数となる重み係数表を格納し、
前記遅延時間算出手段は、前記重み係数表を参照してパスワードクラック度を算出し、前記パスワードクラック度を基に遅延時間を算出することを特徴とする請求項5に記載の不正アクセス防止装置。 The password crack degree storage means stores a weighting coefficient table as a delay time calculation coefficient for each server identification information,
6. The unauthorized access prevention apparatus according to claim 5, wherein the delay time calculating means calculates a password crack degree with reference to the weight coefficient table, and calculates a delay time based on the password crack degree. 前記パスワードクラック度記憶手段は、前記サーバ装置毎に前記クライアント端末からの認証要求の累積値を格納するアクセス回数表を格納し、
前記遅延時間算出手段は、前記アクセス回数表の累積値が多いサーバ装置に対しては低め、前記アクセス回数表の累積値が少ないサーバ装置に対しては高めにパスワードクラック度を算出し、前記パスワードクラック度を基に遅延時間を算出することを特徴とする請求項5に記載の不正アクセス防止装置。 The password crack degree storage means stores an access count table for storing a cumulative value of authentication requests from the client terminal for each server device,
The delay time calculating means calculates a password cracking degree lower for a server apparatus having a large cumulative value in the access count table, and higher for a server apparatus having a small cumulative value in the access count table. 6. The unauthorized access preventing apparatus according to claim 5, wherein a delay time is calculated based on a crack degree. 前記認証結果は、前記サーバ装置のリソース情報を含み、
前記パスワードクラック度記憶手段は、前記リソース情報毎に遅延時間算出の係数となるリソース重み係数表を格納し、
前記遅延時間算出手段は、前記リソース重み係数表を参照してパスワードクラック度を算出し、前記パスワードクラック度を基に遅延時間を算出することを特徴とする請求項5に記載の不正アクセス防止装置。 The authentication result includes resource information of the server device,
The password crack degree storage means stores a resource weight coefficient table serving as a delay time calculation coefficient for each resource information,
6. The unauthorized access preventing apparatus according to claim 5, wherein the delay time calculating means calculates a password crack degree with reference to the resource weight coefficient table, and calculates a delay time based on the password crack degree. .
JP2008256261A 2008-10-01 2008-10-01 Unauthorized access prevention device and unauthorized access prevention program Expired - Fee Related JP4334605B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008256261A JP4334605B2 (en) 2008-10-01 2008-10-01 Unauthorized access prevention device and unauthorized access prevention program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008256261A JP4334605B2 (en) 2008-10-01 2008-10-01 Unauthorized access prevention device and unauthorized access prevention program

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2004333533A Division JP2006146433A (en) 2004-11-17 2004-11-17 Unauthorized access prevention apparatus

Publications (2)

Publication Number Publication Date
JP2009048648A true JP2009048648A (en) 2009-03-05
JP4334605B2 JP4334605B2 (en) 2009-09-30

Family

ID=40500737

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008256261A Expired - Fee Related JP4334605B2 (en) 2008-10-01 2008-10-01 Unauthorized access prevention device and unauthorized access prevention program

Country Status (1)

Country Link
JP (1) JP4334605B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114172723A (en) * 2021-12-07 2022-03-11 北京天融信网络安全技术有限公司 Brute force cracking detection method and device
JP7378034B2 (en) 2019-02-01 2023-11-13 パナソニックIpマネジメント株式会社 Face recognition system, face recognition machine, face recognition method and face recognition program

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7378034B2 (en) 2019-02-01 2023-11-13 パナソニックIpマネジメント株式会社 Face recognition system, face recognition machine, face recognition method and face recognition program
CN114172723A (en) * 2021-12-07 2022-03-11 北京天融信网络安全技术有限公司 Brute force cracking detection method and device
CN114172723B (en) * 2021-12-07 2023-07-18 北京天融信网络安全技术有限公司 Violent cracking detection method and device

Also Published As

Publication number Publication date
JP4334605B2 (en) 2009-09-30

Similar Documents

Publication Publication Date Title
JP5382850B2 (en) Anti-phishing detection against client side attacks
US8291472B2 (en) Real-time adjustments to authentication conditions
Doerfler et al. Evaluating login challenges as adefense against account takeover
US10848505B2 (en) Cyberattack behavior detection method and apparatus
WO2016006520A1 (en) Detection device, detection method and detection program
US10320848B2 (en) Smart lockout
JP5987627B2 (en) Unauthorized access detection method, network monitoring device and program
JP2009527855A5 (en)
KR100745044B1 (en) Apparatus and method for protecting access of phishing site
US7032026B1 (en) Method and apparatus to facilitate individual and global lockouts to network applications
CN108259619B (en) Network request protection method and network communication system
JP6564841B2 (en) Verification server, verification method and computer program
JP2008181310A (en) Authentication server and authentication program
JP2017076185A (en) Network monitoring apparatus, network monitoring method, and network monitoring program
CN108259473A (en) Web server scan protection method
US11616774B2 (en) Methods and systems for detecting unauthorized access by sending a request to one or more peer contacts
JP4334605B2 (en) Unauthorized access prevention device and unauthorized access prevention program
US10757118B2 (en) Method of aiding the detection of infection of a terminal by malware
JP5336262B2 (en) User authentication system and user authentication method
JP2006146433A (en) Unauthorized access prevention apparatus
JP2012159980A (en) Server for preventing identification information from being illegally acquired
JP2008141352A (en) Network security system
JP2018142266A (en) Illegal access detector, program and method
JP4991406B2 (en) Information processing apparatus, information processing method, and program
JP2016021621A (en) Communication system and communication method

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090602

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090623

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120703

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4334605

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130703

Year of fee payment: 4

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees