JP2010198386A - 不正アクセス監視システムおよび不正アクセス監視方法 - Google Patents
不正アクセス監視システムおよび不正アクセス監視方法 Download PDFInfo
- Publication number
- JP2010198386A JP2010198386A JP2009043210A JP2009043210A JP2010198386A JP 2010198386 A JP2010198386 A JP 2010198386A JP 2009043210 A JP2009043210 A JP 2009043210A JP 2009043210 A JP2009043210 A JP 2009043210A JP 2010198386 A JP2010198386 A JP 2010198386A
- Authority
- JP
- Japan
- Prior art keywords
- unauthorized access
- server
- unit
- list
- monitoring system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【解決手段】不正アクセス監視システムは、外部ネットワークからの不正アクセスを囮となって受け付ける囮サーバを設置する。そして、不正アクセス監視システムは、プログラムのダウンロードを要求するダウンロード要求が囮サーバから送信されたことで、不正アクセスの兆候を検知する。次に、不正アクセス監視システムは、不正アクセスの兆候を検知すると、ダウンロード要求の宛先を識別する識別子を該ダウンロード要求から抽出する。続いて、不正アクセス監視システムは、抽出した識別子を記憶部に格納する。
【選択図】図1
Description
まず、図1を用いて、実施例1に係る不正アクセス監視システムの概要を説明する。図1は、実施例1に係る不正アクセス監視システムの概要を説明するための図である。
次に、図2を用いて、実施例1に係る不正アクセス監視システムの構成を説明する。図2は、実施例1におけるネットワークモデルの一例を示すブロック図である。
次に、図3および図4を用いて、サーバ監視機能部の構成を説明する。図3は、サーバ監視機能部の構成を説明するためのブロック図であり、図4は、サーバ監視機能部が生成するリスト例を説明するための図である。なお、図3においては、サーバ監視機能部14を説明するが、サーバ監視機能部15も同様の構成となる。
次に、図5および図6を用いて、監視機能制御サーバの構成を説明する。図5は、監視機能制御サーバの構成を説明するためのブロック図であり、監視機能制御サーバが生成するマスタリスト例を説明するための図である。
続いて、図7〜11を用いて、実施例1に係る不正アクセス監視システムの処理手順を説明する。図7は、想定する攻撃手順例を説明するための図であり、図8は、従来の攻撃防御の処理手順例を説明するための図であり、図9は、実施例1に係る不正アクセス監視システムにおけるデータフローを示す図であり、図10は、実施例1に係る不正アクセス監視システムによる処理手順(リスト生成)を示すシーケンス図であり、図11は、実施例1に係る不正アクセス監視システムによる処理手順(攻撃防御)を示すシーケンス図である。
図7に示すように、攻撃者は、自身の端末を用い、ユーザWebサーバの脆弱性をつくアクセスを実施する(ステップS1)。この際、脆弱性ともいえる遠隔ファイル実行命令などが埋め込まれ、そのアクセス先として、マルウェアをダウンロードさせるために攻撃者が配置したマルウェア配布サイトが記述されている。
この問題を解決するための手段として採用されている従来方式を説明する。図8に示すように、従来方式では、ユーザWebサーバの前段にサーバ監視機能部を配備し、さらに、当該サーバ監視機能部に、セキュリティベンダが解析した脆弱性情報に基づくフィルタを設定する。これにより、既知の脆弱性を利用した攻撃者からのアクセスを防ぐことが可能になる。
続いて、図9を用いて、実施例1に係る不正アクセス監視システムにおけるデータフローを説明する。図9に示すように、実施例1におけるサーバ監視機能部14において、スケジューリング部24が、101のように、データ中継装置からのパケットを受信する。この際、スケジューリング部24は、パケットの内容から、囮Webサーバへのリクエストメッセージに該当するパケットか否かを確認し、リクエストメッセージに該当するパケットである際は、当該囮Webサーバに対応するキューにパケットを送信する。
図10に示すように、攻撃者は、自身の端末を用い、囮Webサーバの脆弱性をつくアクセスを実施する(ステップS201)。この際、脆弱性ともいえる遠隔ファイル実行命令が埋め込まれ、そのアクセス先として、マルウェアをダウンロードさせるために攻撃者が配置したマルウェア配布サイトが記述されている。
実施例1に係る不正アクセス監視システムは、従来のように、ソフトウェアの脆弱性に基づく攻撃者からのアクセス(ステップS301)をフィルタするのではなく、マルウェア配布サイトへの誘導をフィルタする(ステップS302)。
上記してきたように、実施例1に係る不正アクセス監視システムは、外部ネットワークからの不正アクセスを囮となって受け付ける囮Webサーバを設置する。そして、サーバ監視機能部のダウンロード検知部が、囮Webサーバによって実行される処理を監視し、プログラムのダウンロードを要求するダウンロード要求が囮Webサーバから送信されたことを検知することで、不正アクセスの兆候を検知する。次に、サーバ監視機能部のプログラム監査部が、不正サイト識別子として、ダウンロード要求の宛先を識別する宛先識別子を該ダウンロード要求から抽出し、リスト生成管理部が、不正サイト識別子のリストを作成する。また、実施例1に係る不正アクセス監視システムは、サーバ監視機能部のリスト生成管理部によって作成されたリストを、例えばデータ中継装置などに適用することで、不正サイト識別子を含むパケットをフィルタリングする。
実施例1では、不正アクセスが、マルウェア配布サイトへの誘導を試みるものであることを想定したが、本発明はこれに限られるものではなく、他の不正アクセスに対しても同様に適用することができる。例えば、不正アクセスが、データベースの遠隔操作を行うものであってもよい。
また、不正アクセス監視システムは、囮サーバに所定の脆弱性を有するソフトウェアを搭載することで、必要なフィルタ情報のみを収集することも可能である。例えば、不正アクセスを防止したいユーザWebサーバがあった場合に、このユーザWebサーバに搭載されているソフトウェアと同一のソフトウェアを囮Webサーバに搭載しておく。すると、ユーザWebサーバへ発生する可能性がある攻撃が、囮Webサーバに発生することになる。これは、二つのサーバが共通して搭載しているソフトウェアの脆弱性を利用した攻撃が発生しているからである。このような場合に、不正アクセス監視システムは、例えば攻撃者から囮Webサーバに向かうパケット内に記述されている識別子をリストとして記憶し、このリストを用いてユーザWebサーバに向かうパケットを監査もしくは適宜フィルタすることで、ユーザWebサーバを不正アクセスから守ることが可能になる。
2 ネットワーク
3 ネットワーク
4 ネットワーク
5 ネットワーク
6 データ中継装置
7 データ中継装置
8 データ中継装置
9 データ中継装置
10 ユーザWebサーバ
11 ユーザWebサーバ
12 ユーザWebサーバ
13 ユーザWebサーバ
14 サーバ監視機能部
15 サーバ監視機能部
16 囮Webサーバ
17 囮Webサーバ
18 囮Webサーバ
19 囮Webサーバ
20 攻撃者端末
21 マルウェア配布サーバ
22 監視機能制御サーバ
23 送受信データ監視部
24 スケジューリング部
25 ダウンロード検知部
26 サーバリフレッシュ部
27 送受信データ記憶部
28 プログラム監査部
29 リスト生成管理部
30 制御サーバ送受信部
31 サーバ監視機能接続部
32 マスタリスト生成部
33 リスト収集部
34 マスタリスト配布部
Claims (6)
- 外部ネットワークからの不正アクセスを囮となって受け付ける囮サーバを含む不正アクセス監視システムであって、
プログラムのダウンロードを要求するダウンロード要求が前記囮サーバから送信されたことで、不正アクセスの兆候を検知する検知手段と、
前記検知手段によって不正アクセスの兆候が検知されると、前記ダウンロード要求の宛先を識別する識別子を該ダウンロード要求から抽出する抽出手段と、
前記抽出手段によって抽出された識別子を記憶手段に格納する格納手段と
を備えたことを特徴とする不正アクセス監視システム。 - 前記検知手段は、前記囮サーバのデータベースに変更が生じたことを前記不正アクセスの兆候としてさらに検知し、
前記抽出手段は、前記データベースの変更を指定したパケットの送信元を識別する識別子を該パケットからさらに抽出し、
前記格納手段は、前記抽出手段によって抽出された識別子をさらに記憶手段に格納することを特徴とする請求項1に記載の不正アクセス監視システム。 - 前記記憶手段に格納されている識別子を含むパケットをフィルタリングするフィルタリング手段をさらに備えたことを特徴とする請求項1または2に記載の不正アクセス監視システム。
- 前記囮サーバは、所定の脆弱性を有するソフトウェアを搭載するものであって、
前記不正アクセスが、前記所定の脆弱性を利用した不正アクセスであるか否かを判断する判断手段と、
前記判断手段によって前記不正アクセスが前記所定の脆弱性を利用した不正アクセスであると判断された場合にのみ、前記囮サーバが応答するように制御する応答手段と
をさらに備えたことを特徴とする請求項1〜3のいずれか一つに記載の不正アクセス監視システム。 - 前記不正アクセス監視システムは、前記囮サーバを設置したサイトごとに前記記憶手段を有するものであって、
サイトごとに設置された前記記憶手段からリストを収集する収集手段と、
前記収集手段によって収集されたリストを用いてリストを統合したマスタリストを作成するマスタリスト作成手段と、
前記マスタリスト作成手段によって作成されたマスタリストを、前記囮サーバを設置した各サイトに配布するマスタリスト配布手段と
をさらに備えたことを特徴とする請求項1〜4のいずれか一つに記載の不正アクセス監視システム。 - 外部ネットワークからの不正アクセスを囮となって受け付ける囮サーバを含む不正アクセス監視システムにおける不正アクセス監視方法であって、
コンピュータが、
プログラムのダウンロードを要求するダウンロード要求が前記囮サーバから送信されたことで、不正アクセスの兆候を検知する検知工程と、
前記検知工程によって不正アクセスの兆候が検知されると、前記ダウンロード要求の宛先を識別する識別子を該ダウンロード要求から抽出する抽出工程と、
前記抽出工程によって抽出された識別子を記憶手段に格納する格納工程と
を含んだことを特徴とする不正アクセス監視方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009043210A JP2010198386A (ja) | 2009-02-25 | 2009-02-25 | 不正アクセス監視システムおよび不正アクセス監視方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009043210A JP2010198386A (ja) | 2009-02-25 | 2009-02-25 | 不正アクセス監視システムおよび不正アクセス監視方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2010198386A true JP2010198386A (ja) | 2010-09-09 |
Family
ID=42823035
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009043210A Pending JP2010198386A (ja) | 2009-02-25 | 2009-02-25 | 不正アクセス監視システムおよび不正アクセス監視方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2010198386A (ja) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012064007A (ja) * | 2010-09-16 | 2012-03-29 | Daiwa Institute Of Research Business Innovation Ltd | 情報処理装置、通信中継方法およびプログラム |
JP2012083799A (ja) * | 2010-10-06 | 2012-04-26 | Nippon Telegr & Teleph Corp <Ntt> | ファイル収集監視方法、ファイル収集監視装置及びファイル収集監視プログラム |
JP2012150658A (ja) * | 2011-01-19 | 2012-08-09 | Lac Co Ltd | 情報処理装置、システム、通信監視方法およびプログラム |
US8677484B2 (en) | 2011-03-31 | 2014-03-18 | International Business Machines Corporation | Providing protection against unauthorized network access |
JP2014085772A (ja) * | 2012-10-22 | 2014-05-12 | Nippon Telegr & Teleph Corp <Ntt> | 不正プログラム実行システム、不正プログラム実行方法及び不正プログラム実行プログラム |
JP2014089639A (ja) * | 2012-10-31 | 2014-05-15 | Shunji Sugaya | ユーザ端末、信頼性管理サーバ、不正遠隔操作防止方法、及び不正遠隔操作防止プログラム |
JP2014229126A (ja) * | 2013-05-23 | 2014-12-08 | 日本電信電話株式会社 | ファイル監視周期制御装置、ファイル監視周期制御システム、ファイル監視周期制御方法及びファイル監視周期制御プログラム |
JP2017532916A (ja) * | 2014-10-31 | 2017-11-02 | 中国科学院声学研究所Institute Of Acoustics, Chinese Academy Of Sciences | Rdpデータ収集装置及び方法 |
KR20180017784A (ko) * | 2016-08-11 | 2018-02-21 | 주식회사 넥슨코리아 | 부정 통제 장치 및 방법 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002108818A (ja) * | 2000-09-26 | 2002-04-12 | International Network Securitiy Inc | データセンター、セキュリティポリシー作成方法及びセキュリティシステム |
WO2003027858A1 (fr) * | 2001-09-19 | 2003-04-03 | Accelia, Inc. | Systeme de protection de serveurs de contenu |
JP2004030286A (ja) * | 2002-06-26 | 2004-01-29 | Ntt Data Corp | 侵入検知システムおよび侵入検知プログラム |
JP2004304752A (ja) * | 2002-08-20 | 2004-10-28 | Nec Corp | 攻撃防御システムおよび攻撃防御方法 |
JP2006099590A (ja) * | 2004-09-30 | 2006-04-13 | Oki Electric Ind Co Ltd | アクセス制御装置、アクセス制御方法およびアクセス制御プログラム |
JP2006285983A (ja) * | 2005-03-31 | 2006-10-19 | Microsoft Corp | コンピュータシステムからナレッジベースをアグリゲートし、コンピュータをマルウェアから事前に保護すること |
JP2008172548A (ja) * | 2007-01-12 | 2008-07-24 | Yokogawa Electric Corp | 不正アクセス情報収集システム |
-
2009
- 2009-02-25 JP JP2009043210A patent/JP2010198386A/ja active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002108818A (ja) * | 2000-09-26 | 2002-04-12 | International Network Securitiy Inc | データセンター、セキュリティポリシー作成方法及びセキュリティシステム |
WO2003027858A1 (fr) * | 2001-09-19 | 2003-04-03 | Accelia, Inc. | Systeme de protection de serveurs de contenu |
JP2004030286A (ja) * | 2002-06-26 | 2004-01-29 | Ntt Data Corp | 侵入検知システムおよび侵入検知プログラム |
JP2004304752A (ja) * | 2002-08-20 | 2004-10-28 | Nec Corp | 攻撃防御システムおよび攻撃防御方法 |
JP2006099590A (ja) * | 2004-09-30 | 2006-04-13 | Oki Electric Ind Co Ltd | アクセス制御装置、アクセス制御方法およびアクセス制御プログラム |
JP2006285983A (ja) * | 2005-03-31 | 2006-10-19 | Microsoft Corp | コンピュータシステムからナレッジベースをアグリゲートし、コンピュータをマルウェアから事前に保護すること |
JP2008172548A (ja) * | 2007-01-12 | 2008-07-24 | Yokogawa Electric Corp | 不正アクセス情報収集システム |
Non-Patent Citations (5)
Title |
---|
CSND200800064001; 中井 奨: '正当なサイトでも安心できない ウイルスがブラウザを狙っている' 日経コミュニケーション 第504号, 20080215, 第42-52頁, 日経BP社 * |
CSNG200500587007; 澁谷 芳洋 YOSHIHIRO SHIBUYA: '高対話型おとりシステムの運用経験に関する考察 A Study for Some Experiences of the Operation of Highl' 情報処理学会論文誌 第45巻 第8号 IPSJ Journal , 20040815, 第1921-1930頁, 社団法人情報処理学会 Information Processing Socie * |
JPN6012046064; 澁谷 芳洋 YOSHIHIRO SHIBUYA: '高対話型おとりシステムの運用経験に関する考察 A Study for Some Experiences of the Operation of Highl' 情報処理学会論文誌 第45巻 第8号 IPSJ Journal , 20040815, 第1921-1930頁, 社団法人情報処理学会 Information Processing Socie * |
JPN6013013892; 園田 道夫: 'ハニーポット&ハニーネット活用術 入門編' ネットワークセキュリティ Expert 5 , 20070105, 第207-220頁, (株)技術評論社 * |
JPN6013013894; 中井 奨: '正当なサイトでも安心できない ウイルスがブラウザを狙っている' 日経コミュニケーション 第504号, 20080215, 第42-52頁, 日経BP社 * |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012064007A (ja) * | 2010-09-16 | 2012-03-29 | Daiwa Institute Of Research Business Innovation Ltd | 情報処理装置、通信中継方法およびプログラム |
JP2012083799A (ja) * | 2010-10-06 | 2012-04-26 | Nippon Telegr & Teleph Corp <Ntt> | ファイル収集監視方法、ファイル収集監視装置及びファイル収集監視プログラム |
JP2012150658A (ja) * | 2011-01-19 | 2012-08-09 | Lac Co Ltd | 情報処理装置、システム、通信監視方法およびプログラム |
US8677484B2 (en) | 2011-03-31 | 2014-03-18 | International Business Machines Corporation | Providing protection against unauthorized network access |
US8683589B2 (en) | 2011-03-31 | 2014-03-25 | International Business Machines Corporation | Providing protection against unauthorized network access |
JP2014085772A (ja) * | 2012-10-22 | 2014-05-12 | Nippon Telegr & Teleph Corp <Ntt> | 不正プログラム実行システム、不正プログラム実行方法及び不正プログラム実行プログラム |
JP2014089639A (ja) * | 2012-10-31 | 2014-05-15 | Shunji Sugaya | ユーザ端末、信頼性管理サーバ、不正遠隔操作防止方法、及び不正遠隔操作防止プログラム |
US9348999B2 (en) | 2012-10-31 | 2016-05-24 | Optim Corporation | User terminal, reliability management server, and method and program for preventing unauthorized remote operation |
JP2014229126A (ja) * | 2013-05-23 | 2014-12-08 | 日本電信電話株式会社 | ファイル監視周期制御装置、ファイル監視周期制御システム、ファイル監視周期制御方法及びファイル監視周期制御プログラム |
JP2017532916A (ja) * | 2014-10-31 | 2017-11-02 | 中国科学院声学研究所Institute Of Acoustics, Chinese Academy Of Sciences | Rdpデータ収集装置及び方法 |
KR20180017784A (ko) * | 2016-08-11 | 2018-02-21 | 주식회사 넥슨코리아 | 부정 통제 장치 및 방법 |
KR102589633B1 (ko) * | 2016-08-11 | 2023-10-19 | 주식회사 넥슨코리아 | 부정 통제 장치 및 방법 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10057284B2 (en) | Security threat detection | |
US9942270B2 (en) | Database deception in directory services | |
US9609019B2 (en) | System and method for directing malicous activity to a monitoring system | |
US7428590B2 (en) | Systems and methods for reflecting messages associated with a target protocol within a network | |
US7664822B2 (en) | Systems and methods for authentication of target protocol screen names | |
JP2010198386A (ja) | 不正アクセス監視システムおよび不正アクセス監視方法 | |
US9769204B2 (en) | Distributed system for Bot detection | |
US7707401B2 (en) | Systems and methods for a protocol gateway | |
US7818565B2 (en) | Systems and methods for implementing protocol enforcement rules | |
JP4742144B2 (ja) | Tcp/ipプロトコル・ベースのネットワーク内への侵入を試行するデバイスを識別する方法およびコンピュータ・プログラム | |
CN113612784B (zh) | 使用蜜罐的动态服务处理 | |
Dittrich | So You Want to Take Over a Botnet... | |
CN111786964B (zh) | 网络安全检测方法、终端及网络安全设备 | |
WO2012164336A1 (en) | Distribution and processing of cyber threat intelligence data in a communications network | |
WO2016081561A1 (en) | System and method for directing malicious activity to a monitoring system | |
KR101910496B1 (ko) | 광역망 인터넷 프로토콜(wan ip) 검증을 통한 네트워크 기반 프록시 설정 탐지 시스템 및 그를 이용한 유해 사이트 접속 차단 방법 | |
CA3108494A1 (en) | System and method for generating and refining cyber threat intelligence data | |
CA2539470A1 (en) | Systems and methods for dynamically updating software in a protocol gateway | |
JP5393286B2 (ja) | アクセス制御システム、アクセス制御装置及びアクセス制御方法 | |
JP4710889B2 (ja) | 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策装置、及び攻撃パケット対策プログラム | |
Loving | Enabling malware remediation in expanding home networks | |
Riordan et al. | Billy Goat, an Accurate Worm-Detection System (Revised Version) |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110208 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20110520 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20110520 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120827 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120904 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121022 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130326 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130527 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20130611 |