JP2011086192A - 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム - Google Patents

転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム Download PDF

Info

Publication number
JP2011086192A
JP2011086192A JP2009239631A JP2009239631A JP2011086192A JP 2011086192 A JP2011086192 A JP 2011086192A JP 2009239631 A JP2009239631 A JP 2009239631A JP 2009239631 A JP2009239631 A JP 2009239631A JP 2011086192 A JP2011086192 A JP 2011086192A
Authority
JP
Japan
Prior art keywords
conversion
specifier
destination
arrangement position
position information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009239631A
Other languages
English (en)
Other versions
JP5313104B2 (ja
Inventor
Takeshi Yagi
毅 八木
Naoto Tanimoto
直人 谷本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2009239631A priority Critical patent/JP5313104B2/ja
Publication of JP2011086192A publication Critical patent/JP2011086192A/ja
Application granted granted Critical
Publication of JP5313104B2 publication Critical patent/JP5313104B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】攻撃防御のために抽出可能な攻撃情報量を増加させることで、攻撃検知精度を向上させること。
【解決手段】パス管理リスト記憶部12は、囮サーバが搭載するファイルのプログラム配置パスのリストを記憶し、URL変換テーブル記憶部13は、変換前パスと変換後パスとを対応付けたURL変換テーブルを記憶する。宛先URL抽出部11aは、囮サーバ宛の宛先URLを抽出し、宛先URL変換部11bは、パス管理リストに宛先URLのパス名が記憶されておらず、URL変換規則記録部14に規則1が設定されている場合、宛先URLのファイル名を含むパス管理リストのエントリにより変換した変換後宛先URLを転送先特定部11cに通知する。一方、宛先URL変換部11bは、規則2が設定されている場合、URL変換テーブルにより変換した変換後宛先URLを転送先特定部11cに通知する。
【選択図】図3

Description

この発明は、転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラムに関する。
近年、インターネットの普及に伴い、個人情報の管理やアプリケーションの配信を実施するサーバに対するサイバー攻撃が急増している。サイバー攻撃の代表例としては、マルウェア(攻撃者が正規ユーザのサーバや端末に不正アクセスするために用いる攻撃ツールプログラム)を利用したDDoS(Distributed Denial of Services)攻撃やスパム送信、情報盗難などが挙げられる。これらの攻撃の多くは、既存のサーバを乗っ取り、乗っ取ったサーバを踏み台として他のサーバを攻撃する形で実施される。
従来、これらの脅威に対処することを目的として、ファイアウォール機能と転送データ監視機能とをルータなどのパケット転送装置に実装してサーバ監視機能を構築し、サーバ監視機能をサーバの前段に配置することで、送受信されるデータの内容やパケットヘッダの内容に応じて通信を制御するアクセス制御技術が用いられている。アクセス制御技術では、サーバ監視機能を開発したセキュリティベンダが、既知のソフトウェアの脆弱性やマルウェアを解析することで、攻撃者がサーバに対して取りうる送信メッセージのパターンをシグネチャ化し、シグネチャにマッチする送信メッセージをサーバ監視機能でフィルタする。これにより、攻撃者の不正アクセスからサーバを防御する。
しかし、かかるサーバ監視機能では、シグネチャにマッチしない通信についてはネットワークの通過を許容するため、この通過可能な通信サービスを悪用した不正アクセスを完全に阻止することは困難である。このため、例えば、セキュリティベンダにとって未知となるソフトウェア(アプリケーションに代表されるソフトウェア)の脆弱性や、セキュリティベンダが解析していないソフトウェアの脆弱性に基づいた攻撃には対応することができなかった。
かかる問題を解決するために、脆弱性があるソフトウェアを故意に搭載した囮サーバをサーバ監視機能配下に配置し、サーバ監視機能で囮サーバへのアクセスを監視する仕組みが検討されている(例えば、非特許文献1参照)。具体的には、攻撃者がアプリケーション提供サーバなどに不正アクセスする際に利用するマルウェアを代表としたプログラムを囮サーバがダウンロードする際の挙動を捉え、例えば、ダウンロード要求先をマルウェアダウンロード用のサイトと特定する方式などが検討されている。
この方式により取得したマルウェアダウンロードサイトをブラックリストとして、顧客サーバまたは顧客サーバとネットワークの境界に配置されたファイアフォール機能やセキュリティアプライアンスなどに入力することで、顧客サーバがマルウェアに感染する事態を回避する。
八木毅、谷本直人、浜田雅樹、伊藤光恭「プロバイダによるWebサイトへのマルウェア配布防御方式」信学技報IN2009-34
しかし、上記した従来の技術では、攻撃者が予想したサーバのディレクトリ構成と、囮サーバのディレクトリ構成とが異なった際に、攻撃者が指定する宛先URL(Uniform Resource Locator)と、ぜい弱なプログラムが配置された囮サーバのパスが一致せず、攻撃が失敗し、マルウェアダウンロードサイトなどの攻撃情報が収集できない場合がある。
失敗する攻撃の中にも、マルウェアダウンロードサイトの情報やマルウェアの情報およびぜい弱なプログラムの情報が記載されているため、失敗する攻撃に関しては、機械的な分析が困難になる。従来では、このような攻撃は、攻撃者が事前に攻撃対象のサーバのディレクトリ構造を調査していたため、失敗する可能性が低かった。しかし、近年では、このような攻撃はツールにより自動化され、攻撃者が予め指定した多数の宛先URLに対して機械的に実施されているため、失敗する攻撃が多い。
すなわち、上記した従来の技術では、多数の攻撃を収集したとしても、攻撃防御のために抽出可能な攻撃情報量が減少し、その結果、セキュリティアプライアンスなどでの攻撃検知精度が低下するという課題があった。
なお、攻撃情報を収集する対象となるサーバが囮サーバでない場合であっても、アクセスした者が予想したサーバのディレクトリ構成と、アクセスされたサーバのディレクトリ構成とが異なった際に、アクセスが失敗するので、アクセスした者が目標としているプログラムにアクセスできず上記と同様の課題が発生していた。
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、攻撃防御のために抽出可能な攻撃情報量を増加させることで、攻撃検知精度を向上させることが可能となる転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するために、本願の開示する方法は、一つの態様において、ネットワークに配置されたサーバ端末を識別するための端末識別子と、ファイル名を末尾として当該ファイル名のファイルが配置されている位置を示す配置位置情報とを含んで構成される宛先統一資源位置指定子を保有するデータの転送を制御する転送制御装置に適用される転送制御方法であって、転送制御の対象となるサーバ端末である対象サーバに搭載されているファイルの当該対象サーバにおける配置位置情報を前記転送制御装置の第一の記憶部に格納する格納ステップと、前記対象サーバに対応する端末識別子を含む宛先統一資源位置指定子を保有するデータを受信した場合に、当該受信した宛先統一資源位置指定子における配置位置情報と一致する配置位置情報が前記第一の記憶部に格納されているか否かを判定する第一の判定処理と、前記第一の判定処理の判定結果が否定であった場合、前記受信した宛先統一資源位置指定子の配置位置情報の末尾に記載されているファイル名と一致するファイル名を含む配置位置情報が前記第一の記憶部に格納されているか否かを判定する第二の判定処理とを行なう判定ステップと、前記判定ステップによる前記第一の判定処理および前記第二の判定処理の処理結果に基づいて、前記受信した宛先統一資源位置指定子を用いた転送処理、または、前記受信した宛先統一資源位置指定子を前記第一の記憶部に格納されている前記配置位置情報に変換した変換後の宛先統一資源位置指定子を用いた転送処理を行なうように制御する制御ステップと、を含んだことを要件とする。
また、本願の開示する装置は、一つの態様において、ネットワークに配置されたサーバ端末を識別するための端末識別子と、ファイル名を末尾として当該ファイル名のファイルが配置されている位置を示す配置位置情報とを含んで構成される宛先統一資源位置指定子を保有するデータの転送を制御する転送制御装置であって、転送制御の対象となるサーバ端末である対象サーバに搭載されているファイルの当該対象サーバにおける配置位置情報を記憶する配置位置情報記憶手段と、前記対象サーバに対応する端末識別子を含む宛先統一資源位置指定子を保有するデータを受信した場合に、当該受信した宛先統一資源位置指定子における配置位置情報と一致する配置位置情報が前記第一の記憶部に格納されているか否かを判定する第一の判定処理と、前記第一の判定処理の判定結果が否定であった場合、前記受信した宛先統一資源位置指定子の配置位置情報の末尾に記載されているファイル名と一致するファイル名を含む配置位置情報が前記第一の記憶部に格納されているか否かを判定する第二の判定処理とを行なう判定手段と、前記判定手段による前記第一の判定処理および前記第二の判定処理の処理結果に基づいて、前記受信した宛先統一資源位置指定子を用いた転送処理、または、前記受信した宛先統一資源位置指定子を前記第一の記憶部に格納されている前記配置位置情報に変換した変換後の宛先統一資源位置指定子を用いた転送処理を行なうように制御する制御手段と、を備えたことを要件とする。
また、本願の開示するシステムは、一つの態様において、ネットワークに配置されたサーバ端末を識別するための端末識別子と、ファイル名を末尾として当該ファイル名のファイルが配置されている位置を示す配置位置情報とを含んで構成される宛先統一資源位置指定子を保有するデータの転送を制御する転送制御装置を含む転送制御システムであって、前記転送制御装置は、転送制御の対象となるサーバ端末である対象サーバに搭載されているファイルの当該対象サーバにおける配置位置情報を記憶する配置位置情報記憶手段と、前記対象サーバに対応する端末識別子を含む宛先統一資源位置指定子を保有するデータを受信した場合に、当該受信した宛先統一資源位置指定子における配置位置情報と一致する配置位置情報が前記第一の記憶部に格納されているか否かを判定する第一の判定処理と、前記第一の判定処理の判定結果が否定であった場合、前記受信した宛先統一資源位置指定子の配置位置情報の末尾に記載されているファイル名と一致するファイル名を含む配置位置情報が前記第一の記憶部に格納されているか否かを判定する第二の判定処理とを行なう判定手段と、前記判定手段による前記第一の判定処理および前記第二の判定処理の処理結果に基づいて、前記受信した宛先統一資源位置指定子を用いた転送処理、または、前記受信した宛先統一資源位置指定子を前記第一の記憶部に格納されている前記配置位置情報に変換した変換後の宛先統一資源位置指定子を用いた転送処理を行なうように制御する制御手段と、を備えたことを要件とする。
また、本願の開示するプログラムは、一つの態様において、ネットワークに配置されたサーバ端末を識別するための端末識別子と、ファイル名を末尾として当該ファイル名のファイルが配置されている位置を示す配置位置情報とを含んで構成される宛先統一資源位置指定子を保有するデータの転送を制御する転送制御装置としてのコンピュータに実行させる転送制御プログラムであって、転送制御の対象となるサーバ端末である対象サーバに搭載されているファイルの当該対象サーバにおける配置位置情報を前記転送制御装置の第一の記憶部に格納する格納手順と、前記対象サーバに対応する端末識別子を含む宛先統一資源位置指定子を保有するデータを受信した場合に、当該受信した宛先統一資源位置指定子における配置位置情報と一致する配置位置情報が前記第一の記憶部に格納されているか否かを判定する第一の判定処理と、前記第一の判定処理の判定結果が否定であった場合、前記受信した宛先統一資源位置指定子の配置位置情報の末尾に記載されているファイル名と一致するファイル名を含む配置位置情報が前記第一の記憶部に格納されているか否かを判定する第二の判定処理とを行なう判定手順と、前記判定手順による前記第一の判定処理および前記第二の判定処理の処理結果に基づいて、前記受信した宛先統一資源位置指定子を用いた転送処理、または、前記受信した宛先統一資源位置指定子を前記第一の記憶部に格納されている前記配置位置情報に変換した変換後の宛先統一資源位置指定子を用いた転送処理を行なうように制御する制御手順と、をコンピュータに実行させることを要件とする。
本願の開示する方法、装置、システムおよびプログラムの一つの態様によれば、攻撃防御のために抽出可能な攻撃情報量を増加させることで、攻撃検知精度を向上させることが可能となる。
図1は、実施例1における転送制御システムの一例を示す全体構成図である。 図2は、宛先URLを説明するための図である。 図3は、実施例1における転送制御装置の構成を説明するためのブロック図である。 図4は、パス管理リストの一例を説明するための図である。 図5は、URL変換テーブルの一例を説明するための図である。 図6は、実施例1におけるURL変換規則記録部を説明するための図である。 図7は、宛先URL抽出部を説明するための図である。 図8は、実施例1における宛先URL変換部を説明するための図(1)である。 図9は、実施例1における宛先URL変換部を説明するための図(2)である。 図10は、実施例1における宛先URL変換部を説明するための図(3)である。 図11は、実施例1における宛先URL変換部を説明するための図(4)である。 図12は、実施例1における転送制御装置の規則1設定時の処理を説明するためのフローチャートである。 図13は、実施例1における転送制御装置の規則2設定時の処理を説明するためのフローチャートである。 図14は、実施例2におけるURL変換規則記録部を説明するための図である。 図15は、実施例2において宛先URL抽出部が抽出した宛先URLを説明するための図である。 図16は、実施例2における宛先URL変換部を説明するための図(1)である。 図17は、実施例2における宛先URL変換部を説明するための図(2)である。 図18は、実施例2における宛先URL変換部を説明するための図(3)である。 図19は、実施例2における宛先URL変換部を説明するための図(4)である。 図20は、実施例2における宛先URL変換部を説明するための図(5)である。 図21は、実施例2における転送制御装置の規則3設定時の処理を説明するためのフローチャートである。 図22は、実施例2における転送制御装置の規則4設定時の処理を説明するためのフローチャートである。
以下に、本願の開示する転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラムの実施例を詳細に説明する。なお、以下では、本願の開示する転送制御方法を実行する転送制御装置がネットワークに配置された転送制御システムを実施例として説明するが、以下の実施例により本発明が限定されるものではない。
まず、図1を用いて、実施例1における転送制御システムの全体構成について説明する。図1は、実施例1における転送制御システムの一例を示す全体構成図である。
図1の一例に示すように、実施例1における転送制御システムは、ネットワーク1にて構築される。ネットワーク1は、ネットワーク2、ネットワーク3およびネットワーク4を収容するネットワークである。ここで、ネットワーク1は、インターネットのような広域ネットワークである場合であってもよいし、企業ネットワークのような比較的狭い狭域ネットワークである場合であってもよい。
ネットワーク3は、ユーザ端末7を収容し、ネットワーク4は、ユーザ端末8を収容している。なお、図1では、ネットワーク3およびネットワーク4に収容されるユーザ端末をそれぞれ1台のみ示しているが、実際には、ネットワーク3およびネットワーク4それぞれは、複数のユーザ端末を収容している。ここで、図1に示すユーザ端末7およびユーザ端末8は、宛先統一資源位置指定子(URL:Uniform Resource Locator)を保有するハイパーテキスト転送プロトコル(HTTP:Hypertext Transfer Protocol)データを送受信することが可能な装置である。
ネットワーク2は、脆弱性があるソフトウェアを故意に搭載した囮サーバを収容し、図1に示す一例では、囮サーバ5および囮サーバ6を2台収容している。なお、本実施例は、ネットワーク2に、囮サーバとともにユーザ端末が収容される場合であっても適用可能である。
そして、ネットワーク2のトポロジは、ネットワーク3およびネットワーク4から囮サーバ5および囮サーバ6へのアクセスが、図1に示す転送制御装置10を経由するように構成されている。すなわち、転送制御装置10は、ネットワーク3およびネットワーク4それぞれに設置させているルータやスイッチ、ゲートウェイ装置などのデータ中継装置(図示せず)と接続されており、ネットワーク2のゲートウェイとして配置されている。なお、図1には示さないが、囮サーバ5および囮サーバ6には、攻撃者が行なった攻撃に関する情報を収集する攻撃収集装置が接続されている。さらに、攻撃収集装置には、攻撃収集装置が収集した攻撃情報を分析する攻撃分析装置が接続されている。そして、攻撃分析装置には、攻撃分析装置の分析結果から特定された攻撃者のユーザ端末との通信を遮断するための攻撃防御装置が接続されている。なお、図1に示す構成例では、ネットワーク2において、囮サーバ5、囮サーバ6および転送制御装置10が、それぞれ異なる装置として配置されている場合について説明している。しかし、本実施例は、ネットワーク2を仮想ネットワークとし、囮サーバ5、囮サーバ6および転送制御装置10が仮想装置として、1台の物理サーバ内に配されている場合であっても適用可能である。
ここで、図1に示すように、囮サーバ5には、「ホスト名: host#1」が割り当てられており、囮サーバ6には、「ホスト名: host#2」が割り当てられているとする。以下、囮サーバ5をアクセス先とするHTTPデータが保有する宛先URLの一例について、図2を用いて説明する。図2は、宛先URLを説明するための図である。
例えば、ユーザ端末7が囮サーバ5にHTTPデータを転送する場合、宛先URLには、図2に示すように、「アクセス手段識別子:http」が記載され、続いて「ホスト名:host#1」が記載される。そして、ユーザ端末7が「ホスト名: host#1」の「d-A/d-B/d-C」というパスに配置された「ファイル:file-a」にアクセスする場合、宛先URLには、図2に示すように、「ファイル名:file-a」を末尾とする「パス名:/d-A/d-B/d-C/file-a」が配置位置情報として指定される。すなわち、宛先URLは、図2に示すように、「http://host#1/d-A/d-B/d-C/file-a」となる。
しかし、攻撃者が囮サーバ5上に存在しないディレクトリを宛先URLに指定した場合、通常、囮サーバ5からユーザ端末7に「404エラーメッセージ:not found」が返信される。すなわち、ユーザ端末7のユーザが攻撃者であり、ぜい弱なプログラムが配置されていると攻撃者が考えているユーザ端末のディレクトリ構造が、囮サーバのディレクトリ構造と一致しない場合、攻撃者からの攻撃は失敗することとなり、マルウェアダウンロードサイトなどの攻撃情報が収集できない。
そこで、実施例1では、ネットワーク2のゲートウェイとして転送制御装置10を配置することで、攻撃防御のために抽出可能な攻撃情報量を増加させ、攻撃検知精度を向上させることを可能とする。すなわち、転送制御装置10は、ぜい弱なプログラムが配置されていると攻撃者が考えているユーザ端末のディレクトリ構造が、囮サーバのディレクトリ構造と一致しない場合でも、ぜい弱なプログラムが配置されたディレクトリ宛てとなるようHTTPデータの宛先URLを変換して転送する機能を有する。
以下、実施例1における転送制御装置10について、図3などを用いて説明する。なお、図3は、実施例1における転送制御装置の構成を説明するためのブロック図である。
図3に示すように、実施例1における転送制御装置10は、パケット転送部11と、パス管理リスト記憶部12と、URL変換テーブル記憶部13と、URL変換規則記録部14とを有する。
パス管理リスト記憶部12は、転送制御装置10が有する第一の記憶部であり、転送制御の対象となる囮サーバ5および囮サーバ6それぞれのディレクトリ構造をパス管理リストとして記憶する。具体的には、パス管理リスト記憶部12は、囮サーバ5および囮サーバ6それぞれに搭載されているプログラムファイルの配置位置情報(パス名)をプログラム配置パスとして記憶する。図4は、パス管理リストの一例を説明するための図である。例えば、パス管理リスト記憶部12は、図4に示すように、「ホスト名:host#1」である囮サーバ5のディレクトリ構造のリストと、「ホスト名:host#2」である囮サーバ6のディレクトリ構造のリストとをそれぞれ記憶する。例えば、図4に示す一例では、「ホスト名:host#1」である囮サーバ5には、「ファイル:file-a」が「d-A/d-B/d-C」というパスに配置されていることを示す「プログラム配置パス:/d-A/d-B/d-C/file-a」などが記憶されている。
ここで、パス管理リスト記憶部12は、転送制御装置10の操作者が転送制御システムの運用開始時に設定したパス管理リストを記憶する。ただし、パス管理リスト記憶部12が記憶するパス管理リストは、サーバ内のディレクトリ構造を抽出するツールを用いて自動的に生成することも可能である。さらに、かかる抽出ツールを用いてディレクトリ構造を定期的に抽出してディレクトリ構造の更新を検知し、リストを自動的に更新することも可能である。
図3に戻って、URL変換テーブル記憶部13は、転送制御装置10が有する第二の記憶部であり、囮サーバを宛先とする攻撃用の宛先URLに記載されると想定されるプログラム配置パスを変換前パスとし、当該変換前パスと、当該変換前パスを囮サーバにおけるプログラム配置パスに変換するための変換後パスとを対応付けたURL変換テーブルを記憶する。図5は、URL変換テーブルの一例を説明するための図である。例えば、URL変換テーブル記憶部13は、図5に示すように、「ホスト名:host#1」である囮サーバ5のURL変換テーブルと、「ホスト名:host#2」である囮サーバ6のURL変換テーブルとをそれぞれ記憶する。例えば、図5に示す一例では、「ホスト名:host#1」である囮サーバ5のURL変換テーブルには、「変換前パス:/d-X/d-Y/d-C/file-a」に対する「変換後パス」として「/d-A/d-B/d-C/file-a」が記憶されている。
ここで、URL変換テーブル記憶部13は、転送制御装置10の操作者が転送制御システムの運用開始時に設定したテーブルを記憶する。具体的には、転送制御装置10の操作者は、囮サーバごとに、当該囮サーバに搭載されている複数の脆弱なプログラムファイルが攻撃される場合に攻撃者が設定すると想定されるプログラム配置パスを変換前パスとして設定する。そして、転送制御装置10の操作者は、変換前パスに対応する変換後パスを、囮サーバに搭載されているプログラムファイルのプログラム配置パスから設定する。
なお、複数の囮サーバごとに記憶されるパス管理リストおよびURL変換テーブルは、上述したように、囮サーバのホスト名を用いて管理される場合であってもよいし、囮サーバのIP(Internet Protocol)アドレスを用いて管理される場合であってもよい。
図3に戻って、URL変換規則記録部14は、後述する宛先URL変換部11bが実行する判定処理および宛先URL変換処理の変換規則を、転送制御装置10の操作者から受け付けて記録する。図6は、実施例1におけるURL変換規則記録部を説明するための図である。
例えば、図6に示す一例では、実施例1におけるURL変換規則記録部14には、規則1および規則2の変換規則に対して、フラグを設定するためのカラムが設けられており、転送制御装置10の操作者が規則1により宛先URL変換部11bの処理を実行させると設定した場合には、規則1のフラグにチェックが設定される。また、転送制御装置10の操作者が規則2により宛先URL変換部11bの処理を実行させると設定した場合には、規則2のフラグにチェックが設定される。なお、規則1および規則2については、後に詳述する。
図3に戻って、パケット転送部11は、ネットワーク3およびネットワーク4から受信したパケットの転送制御を、パス管理リスト記憶部12および/またはURL変換テーブル記憶部13に記憶されている各情報を参照して行なう処理部であり、宛先URL抽出部11aと、宛先URL変換部11bと、転送先特定部11cとを有する。
宛先URL抽出部11aは、ネットワーク2に収容されている囮サーバ宛のパケットから、宛先URLを抽出して、抽出した宛先URLを宛先URL変換部11bに通知する。図7は、宛先URL抽出部を説明するための図である。例えば、図7に示すように、ネットワーク3に収容されているユーザ端末7から、「http://host#1/d-X/d-Y/d-C/file-a」という宛先URLを保有するHTTPデータを受信した場合、宛先URL抽出部11aは、宛先URLを抽出して宛先URL変換部11bに通知する。ここで、ユーザ端末7から受信した宛先URLは、「ホスト名:host#1」が「プログラム配置パス:/ d-X/d-Y/d-C/file-a」に配置している「ファイル名:file-a」のプログラムファイルをアクセス先として指定している。
なお、以下では、ユーザ端末7から受信した宛先URLのことを、「受信宛先URL」と記載する場合がある。
図3に戻って、宛先URL変換部11bは、宛先URL抽出部11aから通知された宛先URLを用いて、判定処理および宛先URL変換処理を実行する。以下、宛先URL変換部11bが行なう処理について、図8〜図11を用いて説明する。なお、図8〜図11は、実施例1における宛先URL変換部を説明するための図である。
まず、宛先URL変換部11bは、図8に示すように、受信宛先URLから「ホスト名:host#1」を参照して、図4を用いて説明した囮サーバごとのパス管理リストのうち、「ホスト名:host#1」である囮サーバ5のパス管理リストを用いて判定処理を行なうと決定する。そして、宛先URL変換部11bは、図8に示すように、受信宛先URLに記載されている「パス名:/d-X/d-Y/d-C/file-a」を検索キーとして、当該検索キーと一致するプログラム配置パスが囮サーバ5のパス管理リストに記憶されているか否かを判定する(第一判定処理)。
ここで、仮に、「ホスト名:host#1」のパス管理リストに「プログラム配置パス:/d-X/d-Y/d-C/file-a」が記憶されている場合、宛先URL変換部11bは、受信宛先URLを変換することなく、受信宛先URLをそのまま後述する転送先特定部11cに通知する(第一通知処理:変換なし)。
一方、「ホスト名:host#1」のパス管理リストに「プログラム配置パス:/d-X/d-Y/d-C/file-a」が記憶されてない場合、宛先URL変換部11bは、URL変換規則記録部14を参照して、フラグが設定されている規則が、規則1であるか規則2であるかを判定する。以下では、規則1が設定されている場合の処理について説明し、そののち、規則2が設定されている場合の処理について説明する。
規則1が設定されている状況においては、宛先URL変換部11bは、図9に示すように、受信宛先URLに記載されている「パス名:/d-X/d-Y/d-C/file-a」の末尾にある「ファイル名:file-a」を検索キーとして、当該検索キーと一致するプログラムファイル名を含むプログラム配置パスが囮サーバ5のパス管理リストに記憶されているか否かを判定する(規則1における第二判定処理)。
ここで、宛先URL変換部11bは、検索キーと一致するプログラムファイル名を含むプログラム配置パスが囮サーバ5のパス管理リストに一つのみ記憶されている場合、受信宛先URLの「パス名」を、囮サーバ5のパス管理リストにて一つのみ存在していたプログラム配置パスに変換して、変換後宛先URLを後述する転送先特定部11cに通知する(規則1における第二通知処理その一)。
また、宛先URL変換部11bは、検索キーと一致するプログラムファイル名を含むプログラム配置パスが囮サーバ5のパス管理リストに複数記憶されている場合、当該複数のプログラム配置パスの中で、受信宛先URLの「パス名」との一致度合いが、プログラム配置パスに記載されている階層構造を下位から上位に向かって探索した場合に最も高いプログラム配置パスを特定する。そして、宛先URL変換部11bは、特定したプログラム配置パスに、受信宛先URLの「パス名」を変換して、変換後宛先URLを後述する転送先特定部11cに通知する(規則1における第二通知処理その二)。
例えば、宛先URL変換部11bは、図9に示すように、「ファイル名:file-a」を末尾とするプログラム配置パスが「/d-A/d-B/d-C/file-a」および「/d-A/d-B/d-D/file-a」の2つ存在していると判定する。そして、宛先URL変換部11bは、図10に示すように、「/d-A/d-B/d-C/file-a」および「/d-A/d-B/d-D/file-a」のうち、下位から上位に向かった探索方向では「プログラム配置パス:/d-X/d-Y/d-C/file-a」の「d-C/file-a」と一致するのは「/d-A/d-B/d-C/file-a」であると判定する。そして、宛先URL変換部11bは、「/d-A/d-B/d-C/file-a」を変換用のプログラム配置パスとして特定する。そして、宛先URL変換部11bは、図9に示すように、受信宛先URLである「http://host#1/d-X/d-Y/d-C/file-a」を変換した「http://host#1/d-A/d-B/d-C/file-a」を変換後宛先URLとして、後述する転送先特定部11cに通知する。
一方、仮に、検索キーと一致するプログラムファイル名を含むプログラム配置パスが囮サーバ5のパス管理リストに記憶されていない場合、宛先URL変換部11bは、受信宛先URLをそのまま後述する転送先特定部11cに通知する(規則1における第三通知処理:変換なし)。
以上が、規則1が設定されている状況における処理となる。続いて、規則2が設定されている状況における処理について説明する。規則2が設定されている状況において、「ホスト名:host#1」のパス管理リストに「プログラム配置パス:/d-X/d-Y/d-C/file-a」が記憶されてない場合、宛先URL変換部11bは、図5を用いて説明した囮サーバごとのURL変換テーブルのうち、「ホスト名:host#1」である囮サーバ5のURL変換テーブルを用いて判定処理を行なう。すなわち、宛先URL変換部11bは、図11の(A)に示すように、受信宛先URLに記載されている「パス名:/d-X/d-Y/d-C/file-a」を検索キーとして、当該検索キーと一致する変換前パスが囮サーバ5のURL変換テーブルに記憶されているか否かを判定する(規則2における第二判定処理)。
図11の(A)に示す一例では、宛先URL変換部11bは、検索キーである「/d-X/d-Y/d-C/file-a」と一致する「変換前パス:/d-X/d-Y/d-C/file-a」がエントリされており、当該変換前パスに「変換後パス:/d-A/d-B/d-C/file-a」が対応付けられていると判定する。
かかる場合、宛先URL変換部11bは、図11の(B)に示すように、受信宛先URLの「プログラム配置パス:/ d-X/d-Y/d-C/file-a」を、「変換後パス:/d-A/d-B/d-C/file-a」に変換した「http://host#1//d-A/d-B/d-C/file-a」を変換後宛先URLとして、後述する転送先特定部11cに通知する(規則2における第二通知処理)。
なお、本実施例では、規則2の第二判定処理において、受信宛先URLの「プログラム配置パス:/ d-X/d-Y/d-C/file-a」と100%一致する変換前パスがエントリされている場合に、規則2における第二通知処理が行なわれる場合について説明した。しかし、宛先URL変換部11bは、規則2の第二判定処理においても、受信宛先URLの「プログラム配置パス:/ d-X/d-Y/d-C/file-a」を検索キーとして、下位から上位に向かう探索方向にてURL変換テーブルを探索して、一致度が最も高い変換前パスを特定し、特定した変換前パスに対応付けられた変換後パスを変換後宛先URLに用いてもよい。
例えば、図5に示すURL変換テーブルでは、受信宛先URLの「パス名:/d-X/d-Y/d-C/file-a」の「file-a」を検索キーとすると、「/d-X/d-Y/d-C/file-a」、「/d-Z/d-C/file-a」および「d-W/d-X/d-Y/d-C/file-a」が特定対象エントリとなる。そして、受信宛先URLの「プログラム配置パス:/ d-X/d-Y/d-C/file-a」の「/d-Y/d-C/file-a」を検索キーとすると、「/d-Z/d-C/file-a」が対象外となり、「/d-X/d-Y/d-C/file-a」および「d-W/d-X/d-Y/d-C/file-a」が特定対象エントリとして残る。そして、受信宛先URLの「パス名:/d-X/d-Y/d-C/file-a」の「/d-X/d-Y/d-C/file-a」を検索キーとすると、「d-W/d-X/d-Y/d-C/file-a」が対象外となり、「/d-X/d-Y/d-C/file-a」が特定対象エントリとして残ることとなる。ここで、宛先URL変換部11bは、「変換前パス:/d-X/d-Y/d-Z/file-a」がエントリされていない場合、「変換前パス:d-W/d-X/d-Y/d-C/file-a」に対応付けられている変換後パスを変換後宛先URLに用いる。
一方、「ホスト名:host#1」である囮サーバ5のURL変換テーブルにおいて、「パス名:/d-X/d-Y/d-C/file-a」と一致する変換前パスが記憶されていない場合、宛先URL変換部11bは、受信宛先URLをそのまま後述する転送先特定部11cに通知する(規則2における第三通知処理:変換なし)。
図3に戻って、転送先特定部11cは、宛先URL変換部11bから通知された宛先URL(受信宛先URLまたは変換後宛先URL)から出力先を特定し、HTTPデータパケットを転送する。例えば、転送先特定部11cは、宛先URLを用いてDNS(Domain Name System)サーバ(図示せず)にIP(Internet Protocol)を問い合わせて宛先IPアドレスを特定し、宛先IPアドレスに対応する出力先インタフェースにHTTPデータパケットを転送する。なお、転送先特定部11cは、IPアドレスと出力先インタフェースとを対応付けたテーブルを参照して宛先IPアドレスに対応付けられた出力先インタフェースを特定する。また、転送先特定部11cは、宛先URLと出力先インタフェースとを対応付けたテーブルを参照して宛先URLに対応付けられた出力先インタフェースを特定する場合であってもよい。
すなわち、第一通知処理(変換なし)の場合、HTTPデータは、囮サーバ5に到達する。また、規則1または規則2における第三通知処理(変換なし)の場合、HTTPデータは、囮サーバ5に到達せず、攻撃者の攻撃は失敗することとなる。一方、規則1における第二通知処理(その一およびその二)、または、規則2における第二通知処理により、通常、囮サーバ5に到達しなかったHTTPデータは、囮サーバ5に到達できる。これにより、囮サーバ5に接続される攻撃収集装置は、攻撃情報を収集し、攻撃分析装置は、攻撃収集装置が収集した攻撃情報を分析し、攻撃防御装置は、攻撃分析装置の分析結果から特定された攻撃者のユーザ端末7との通信を遮断するための防御処理を実行することができる。
続いて、図12および図13を用いて実施例1における転送制御装置10の処理の手順について説明する。図12は、実施例1における転送制御装置の規則1設定時の処理を説明するためのフローチャートであり、図13は、実施例1における転送制御装置の規則2設定時の処理を説明するためのフローチャートである。
図12に示すように、実施例1における転送制御装置10は、規則1が設定されている状態で、外部ネットワークから、自装置が転送制御する対象となる囮サーバ宛の宛先URLを保有するHTTPデータを受信すると(ステップS101肯定)、宛先URL抽出部11aは、受信したHTTPデータが保有する宛先URLを抽出する(ステップS102)。
そして、宛先URL変換部11bは、宛先URL抽出部11aが抽出した宛先URLに記載されているホスト名およびパス名を特定し(ステップS103)、特定したホスト名のパス管理リストに、特定したパス名が存在するか否かを判定する(ステップS104、第一判定処理)。
ここで、特定したホスト名のパス管理リストに、特定したパス名が存在する場合(ステップS104肯定)、宛先URL変換部11bは、転送先特定部11cに対して、ステップS102で宛先URL抽出部11aが抽出した宛先URLを通知する(ステップS112、変換なしの第一通知処理)。そして、転送先特定部11cは、ステップS102で宛先URL抽出部11aが抽出した宛先URLによりHTTPデータを転送し(ステップS113)、処理を終了する。
一方、特定したホスト名のパス管理リストに、特定したパス名が存在しない場合(ステップS104否定)、宛先URL変換部11bは、特定したホスト名のパス管理リストに、特定したパス名の末尾にあるファイル名を含むプログラム配置パスが存在するか否かを判定する(ステップS105、規則1における第二判定処理)。
ここで、特定したホスト名のパス管理リストに、特定したパス名の末尾にあるファイル名を含むプログラム配置パスが存在しない場合(ステップS105否定)、宛先URL変換部11bは、転送先特定部11cに対して、ステップS102で宛先URL抽出部11aが抽出した宛先URLを通知する(ステップS112、規則1における変換なしの第三通知処理)。そして、転送先特定部11cは、ステップS102で宛先URL抽出部11aが抽出した宛先URLによりHTTPデータを転送し(ステップS113)、処理を終了する。
一方、特定したホスト名のパス管理リストに、特定したパス名の末尾にあるファイル名を含むプログラム配置パスが存在する場合(ステップS105肯定)、該当するエントリが複数であるか否かを判定する(ステップS106)。
ここで、エントリが単一である場合(ステップS106否定)、宛先URL変換部11bは、特定したホスト名のパス管理リストに単一で存在するプログラム配置パスにステップS102で抽出した宛先URLのパス名を変換し(ステップS107)、転送先特定部11cに対して、変換後宛先URLを通知する(ステップS110、規則1における変換ありの第二通知処理その一)。
ここで、エントリが複数である場合(ステップS106肯定)、宛先URL変換部11bは、下位階層からのマッチングにより、複数のエントリの中から、変換後のプログラム配置パスを決定し(ステップS108)、決定したプログラム配置パスにステップS102で抽出した宛先URLのパス名を変換する(ステップS109)。そして、宛先URL変換部11bは、転送先特定部11cに対して、変換後宛先URLを通知し(ステップS110、規則1における変換ありの第二通知処理その二)、転送先特定部11cは、変換後宛先URLによりHTTPデータを転送し(ステップS111)、処理を終了する。
これに対して、図13に示すように、実施例1における転送制御装置10は、規則2が設定されている状態で、外部ネットワークから、自装置が転送制御する対象となる囮サーバ宛の宛先URLを保有するHTTPデータを受信すると(ステップS201肯定)、宛先URL抽出部11aは、受信したHTTPデータが保有する宛先URLを抽出する(ステップS202)。
そして、宛先URL変換部11bは、宛先URL抽出部11aが抽出した宛先URLに記載されているホスト名およびパス名(プログラム配置パス)を特定し(ステップS203)、特定したホスト名のパス管理リストに、特定したパス名が存在するか否かを判定する(ステップS204、第一判定処理)。
ここで、特定したホスト名のパス管理リストに、特定したパス名が存在する場合(ステップS204肯定)、宛先URL変換部11bは、転送先特定部11cに対して、ステップS202で宛先URL抽出部11aが抽出した宛先URLを通知する(ステップS209、変換なしの第一通知処理)。そして、転送先特定部11cは、ステップS202で宛先URL抽出部11aが抽出した宛先URLによりHTTPデータを転送し(ステップS210)、処理を終了する。
一方、特定したホスト名のパス管理リストに、特定したパス名が存在しない場合(ステップS204否定)、宛先URL変換部11bは、特定したホスト名のURL変換テーブルに、特定したパス名を変換前パスとするエントリが存在するか否かを判定する(ステップS205、規則2における第二判定処理)。例えば、宛先URL変換部11bは、特定したパス名と完全一致する変換前パスがエントリされているか否かを判定する。
ここで、特定したホスト名のURL変換テーブルに、特定したパス名を変換前パスとするエントリが存在しない場合(ステップS205否定)、宛先URL変換部11bは、転送先特定部11cに対して、ステップS202で宛先URL抽出部11aが抽出した宛先URLを通知する(ステップS209、規則2における変換なしの第三通知処理)。そして、転送先特定部11cは、ステップS202で宛先URL抽出部11aが抽出した宛先URLによりHTTPデータを転送し(ステップS210)、処理を終了する。
一方、特定したホスト名のURL変換テーブルに、特定したパス名を変換前パスとするエントリが存在する場合(ステップS205肯定)、特定したエントリにて変換前パスに対応付けられている変換後パスにステップS202で抽出した宛先URLのパス名を変換し(ステップS206)、転送先特定部11cに対して、変換後宛先URLを通知する(ステップS207、規則2における変換ありの第二通知処理)。
そして、転送先特定部11cは、変換後宛先URLによりHTTPデータを転送し(ステップS208)、処理を終了する。
上述してきたように、実施例1によれば、パス管理リスト記憶部12は、転送制御の対象となる囮サーバ5および囮サーバ6それぞれに搭載されているプログラムファイルのパス名(プログラム配置パス)を記憶する。URL変換テーブル記憶部13は、囮サーバを宛先とする攻撃用の宛先URLに記載されると想定されるプログラム配置パスを変換前パスとし、当該変換前パスと、当該変換前パスを囮サーバにおけるプログラム配置パスに変換するための変換後パスとを対応付けたURL変換テーブルを記憶する。URL変換規則記録部14は、宛先URL変換部11bが実行する判定処理および宛先URL変換処理の変換規則を、転送制御装置10の操作者から受け付けて記録する。
そして、宛先URL抽出部11aは、囮サーバ宛のパケットから、宛先URLを抽出して、抽出した宛先URL(受信宛先URL)を宛先URL変換部11bに通知する。宛先URL変換部11bは、受信宛先URLに記載されているホスト名のパス管理リストに、受信宛先URLに記載されているパス名が記憶されているか否かを判定する(第一判定処理)。パス管理リストにパス名が記憶されている場合、宛先URL変換部11bは、受信宛先URLを変換することなく、受信宛先URLをそのまま転送先特定部11cに通知する(第一通知処理:変換なし)。
一方、パス管理リストにパス名が記憶されてない場合、宛先URL変換部11bは、URL変換規則記録部14を参照して、規則1が設定されている状況においては、受信宛先URLに記載されているファイル名を検索キーとして、当該検索キーと一致するファイル名を含むプログラム配置パスが囮サーバ5のパス管理リストに記憶されているか否かを判定する(規則1における第二判定処理)。宛先URL変換部11bは、検索キーと一致するファイル名を含むプログラム配置パスが囮サーバ5のパス管理リストに一つのみ記憶されている場合、受信宛先URLの「パス名」を、パス管理リストにて一つのみ存在していたプログラム配置パスに変換して、変換後宛先URLを転送先特定部11cに通知する(規則1における第二通知処理その一)。
また、宛先URL変換部11bは、検索キーと一致するファイル名を含むプログラム配置パスが囮サーバ5のパス管理リストに複数記憶されている場合、当該複数のプログラム配置パスの中で、受信宛先URLのパス名との一致度合いが、プログラム配置パスに記載されている階層構造を下位から上位に向かって探索した場合に最も高いプログラム配置パスを特定する。そして、宛先URL変換部11bは、特定したプログラム配置パスに、受信宛先URLの「パス名」を変換して、変換後宛先URLを転送先特定部11cに通知する(規則1における第二通知処理その二)。一方、検索キーと一致するファイル名を含むプログラム配置パスが囮サーバ5のパス管理リストに記憶されていない場合、宛先URL変換部11bは、受信宛先URLをそのまま転送先特定部11cに通知する(規則1における第三通知処理:変換なし)。
したがって、実施例1によれば、従来、攻撃者が指定する宛先URLに誤記があった際、囮サーバはマルウェアをダウンロードすることができず、その結果、収集できる攻撃情報に限界があったが、「規則1における第二通知処理その一、または規則1における第二通知処理その二」により、宛先URLのパス名を脆弱なプログラムファイルが配置されているパス名に変換することで攻撃を適切な範囲で故意に成功させることができる。その結果、攻撃防御のために抽出可能な攻撃情報量を増加させることで、攻撃検知精度を向上させることが可能となる。
また、実施例1によれば、規則2が設定されている状況において、パス管理リストにプログラム配置パスが記憶されてない場合、宛先URL変換部11bは、受信宛先URLに記載されているパス名を検索キーとして、当該検索キーと一致する変換前パスが囮サーバ5のURL変換テーブルに記憶されているか否かを判定する(規則2における第二判定処理)。
検索キーと一致する変換前パスが囮サーバ5のURL変換テーブルに記憶されている場合、宛先URL変換部11bは受信宛先URLのプログラム配置パスを、変換前パスに対応付けられている変換後パスに変換した変換後宛先URLを転送先特定部11cに通知する(規則2における第二通知処理)。一方、検索キーと一致する変換前パスが囮サーバ5のURL変換テーブルに記憶されていない場合、宛先URL変換部11bは、受信宛先URLをそのまま転送先特定部11cに通知する(規則2における第三通知処理:変換なし)。
したがって、実施例1によれば、規則2が設定されている場合でも、「規則2における第二通知処理」により、宛先URLのパス名を脆弱なプログラムファイルが配置されているパス名に変換することで攻撃を成功させることができる。その結果、攻撃防御のために抽出可能な攻撃情報量を増加させることで、攻撃検知精度を向上させることが可能となる。
また、実施例1によれば、囮サーバごとにパス管理リストとURL変換テーブルを記憶するので、宛先URLにて指定されている囮サーバのパス管理リストとURL変換テーブルとを容易に特定することができ、判定処理および通知処理を迅速に行なうことが可能となる。
実施例2では、実施例1にて説明した規則1および規則2を併用して行なう場合について、図14〜図20を用いて説明する。なお、図14は、実施例2におけるURL変換規則記録部を説明するための図であり、図15は、実施例2において宛先URL抽出部が抽出した宛先URLを説明するための図であり、図16〜図20は、実施例2における宛先URL変換部を説明するための図である。
実施例2における転送制御装置10は、図3を用いて実施例1にて説明した転送制御装置10と同様の構成となるが、URL変換規則記録部14にて設定される変換規則の内容と、宛先URL変換部11bが実行する処理の内容とが実施例1と異なる。以下、これらを中心にして説明する。
実施例2におけるURL変換規則記録部14は、図14に示すように、規則1および規則2に加え、規則3および規則4が変換規則として追加されたテーブルとなっている。そして、実施例2におけるURL変換規則記録部14でも、フラグを設定するためのカラムが設けられており、転送制御装置10の操作者が規則3により宛先URL変換部11bの処理を実行させると設定した場合には、規則3のフラグにチェックが設定される。また、転送制御装置10の操作者が規則4により宛先URL変換部11bの処理を実行させると設定した場合には、規則4のフラグにチェックが設定される。
まず、規則3または規則4が設定されている場合、実施例2においても、実施例1で説明した第一判定処理が行なわれる。
例えば、図15に示すように、ネットワーク3に収容されているユーザ端末7から、「http://host#1/d-X/d-B/d-C/file-b」という宛先URLを保有するHTTPデータを受信した場合、宛先URL抽出部11aは、宛先URLを抽出して宛先URL変換部11bに通知する。ここで、ユーザ端末7から受信した宛先URLは、「ホスト名:host#1」が「プログラム配置パス:/d-X/d-B/d-C/file-b」に配置している「ファイル名:file-b」のプログラムファイルをアクセス先として指定している。
宛先URL変換部11bは、図16に示すように、受信宛先URLから「ホスト名:host#1」を参照して、図4を用いて説明した囮サーバごとのパス管理リストのうち、「ホスト名:host#1」である囮サーバ5のパス管理リストを用いて第一判定処理を行なうと決定する。そして、宛先URL変換部11bは、図16に示すように、受信宛先URLに記載されている「パス名:/d-X/d-B/d-C /file-b」を検索キーとして、当該検索キーと一致するプログラム配置パスが囮サーバ5のパス管理リストに記憶されているか否かを判定する。
ここで、仮に、「ホスト名:host#1」のパス管理リストに「プログラム配置パス:/d-X/d-B/d-C /file-b」が記憶されている場合、実施例1と同様に、宛先URL変換部11bは、受信宛先URLを変換することなく、受信宛先URLをそのまま転送先特定部11cに通知する(第一通知処理:変換なし)。
一方、「ホスト名:host#1」のパス管理リストに「プログラム配置パス:/d-X/d-B/d-C /file-b」が記憶されてない場合、宛先URL変換部11bは、URL変換規則記録部14を参照して、フラグが設定されている規則が規則1〜4のいずれに設定されているかを判定する。なお、規則1または規則2が設定されている場合は、実施例1で説明した処理が実行される。
以下、規則3が設定されている場合の処理について説明し、そののち、規則4が設定されている場合の処理について説明する。
規則3が設定されている場合、実施例2における宛先URL変換部11bは、第一判定処理の判定結果が否定である際に、規則2における第二判定処理および規則2における第二通知処理を行ない、規則2における第二判定処理の判定結果が否定である際に、さらに規則1における第二判定処理を行なう。
例えば、宛先URL変換部11bは、規則3が設定されている状況において、「ホスト名:host#1」のパス管理リストに「プログラム配置パス:/d-X/d-B/d-C /file-b」が記憶されてない場合、規則2における第二判定処理を行なう。すなわち、宛先URL変換部11bは、図17に示すように、「ホスト名:host#1」である囮サーバ5のURL変換テーブルに、検索キーである「パス名:/d-X/d-B/d-C /file-b」と一致する変換前パスがエントリされているか否かを判定する。
宛先URL変換部11bは、「/d-X/d-B/d-C /file-b」と一致する変換前パスがエントリされているならば、当該変換前パスに対応付けられている変換後パスを特定する。そして、宛先URL変換部11bは、受信宛先URLのプログラム配置パスを、特定した変換後パスに変換した宛先URLを変換後宛先URLとして、転送先特定部11cに通知する(規則2における第二通知処理:変換あり)。なお、実施例2においても、規則2における第二通知処理は、下位の階層からのマッチングにより検索キーと最も一致する変換前パスを特定し、特定した変換前パスに対応付けられた変換後パスを変換後宛先URLに用いてもよい。
一方、図17に示すように、「ホスト名:host#1」である囮サーバ5のURL変換テーブルにおいて、「パス名:/d-X/d-B/d-C /file-b」と一致する変換前パスが記憶されていない場合、宛先URL変換部11bは、受信宛先URLを転送先特定部11cに通知するのではなく、「規則1における第二判定処理」を行なう。
すなわち、宛先URL変換部11bは、図18に示すように、受信宛先URLに記載されている「パス名:/d-X/d-B/d-C /file-b」の末尾にある「ファイル名:file-b」を検索キーとして、当該検索キーと一致するプログラムファイル名を含むプログラム配置パスが囮サーバ5(ホスト名:host#1)のパス管理リストに記憶されているか否かを判定する。
ここで、宛先URL変換部11bは、検索キーと一致するプログラムファイル名を含むプログラム配置パスが囮サーバ5のパス管理リストに一つのみ記憶されている場合、「規則1における第二変換処理その一」として、受信宛先URLの「プログラム配置パス」を囮サーバ5のパス管理リストにて一つのみ存在していたプログラム配置パスに変換して、変換後宛先URLを転送先特定部11cに通知する(規則1における第二通知処理その一:変換あり)。
また、宛先URL変換部11bは、検索キーと一致するプログラムファイル名を含むプログラム配置パスが囮サーバ5のパス管理リストに複数記憶されている場合、当該複数のプログラム配置パスの中で、受信宛先URLの「パス名」との一致度合いが、プログラム配置パスに記載されている階層構造を下位から上位に向かって探索した場合に最も高いプログラム配置パスを特定する。そして、宛先URL変換部11bは、「規則1における第二変換処理その二」として、特定したプログラム配置パスに、受信宛先URLの「プログラム配置パス」を変換して、変換後宛先URLを転送先特定部11cに通知する(規則1における第二通知処理その二:変換あり)。
例えば、宛先URL変換部11bは、図18に示すように、「ファイル名:file-b」を末尾とするプログラム配置パスが「/d-A/d-B/d-C/file-b」および「/d-A/d-E/d-C/file-b」の2つ存在していると判定する。そして、宛先URL変換部11bは、図19に示すように、「/d-A/d-B/d-C/file-b」および「/d-A/d-E/d-C/file-b」のうち、下位から上位に向かった探索方向では「パス名:/d-X/d-B/d-C /file-b」と最も一致するのは「/d-A/d-B/d-C/file-b」であることから、「/d-A/d-B/d-C/file-b」を変換用のプログラム配置パスとして特定する。そして、宛先URL変換部11bは、図19に示すように、受信宛先URLである「http://host#1/d-X/d-B/d-C/file-b」を変換した「http://host#1/d-A/d-B/d-C/file-b」を変換後宛先URLとして、転送先特定部11cに通知する。
一方、仮に、検索キーと一致するプログラムファイル名を含むプログラム配置パスが囮サーバ5のパス管理リストに記憶されていない場合、「規則1における第三変換処理:変換なし」として、宛先URL変換部11bは、受信宛先URLをそのまま転送先特定部11cに通知する(規則1における第三通知処理:変換なし)。
なお、実施例2における宛先URL変換部11bは、規則3が設定されている状況で、「規則1における第二通知処理その一」または「規則1における第二通知処理その二」により受信宛先URLを変換後宛先URLに変換した場合に、以下に説明する処理を行なう。すなわち、宛先URL変換部11bは、受信宛先URLに記載されていたパス名を「変換前パス」とし、変換後宛先URLの変換に用いたプログラム配置パスを「変換後パス」として、URL変換テーブル記憶部13に追加する。例えば、図19に示す「規則1における第二通知処理その二」を行なった場合には、宛先URL変換部11bは、図20に示すように、検索キーとして用いた「/d-X/d-B/d-C /file-b」を変換前パスとし、変換用のプログラム配置パスとして特定した「/d-A/d-B/d-C/file-b」を変換後パスとして、「ホスト名:host#1」のURL変換テーブルに追加して格納する。
以上が、規則3が設定されている場合に宛先URL変換部11bが実行する処理となる。一方、規則4が設定されている場合、実施例2における宛先URL変換部11bは、第一判定処理の判定結果が否定である際に、規則1における第二判定処理および規則1における第二変換処理(その一またはその二)を行ない、規則1における第二判定処理の判定結果が否定である際に、さらに規則2における第二判定処理を行なう。
例えば、宛先URL変換部11bは、規則4が設定されている状況において、「ホスト名:host#1」のパス管理リストに「プログラム配置パス:/d-X/d-B/d-C /file-b」が記憶されてない場合、「規則1における第二判定処理」を行なう。すなわち、宛先URL変換部11bは、「ホスト名:host#1」である囮サーバ5のパス管理リストに、検索キーである「file-b」と一致するプログラムファイル名を含むプログラム配置パスが囮サーバ5のパス管理リストに記憶されているか否かを判定する(規則1における第二判定処理)。
ここで、宛先URL変換部11bは、検索キーと一致するプログラムファイル名を含むプログラム配置パスが囮サーバ5のパス管理リストに一つのみ記憶されている場合、「規則1における第二通知処理その一」を行なう。
また、宛先URL変換部11bは、検索キーと一致するプログラムファイル名を含むプログラム配置パスが囮サーバ5のパス管理リストに複数記憶されている場合、「規則1における第二通知処理その二」を行なう。すなわち、本実施例では、「規則1における第二通知処理その二」が実行されて、宛先URL変換部11bは、受信宛先URLである「http://host#1/d-X/d-B/d-C/file-b」を変換した「http://host#1/d-A/d-B/d-C/file-b」を変換後宛先URLとして、転送先特定部11cに通知する。
一方、検索キーと一致するプログラムファイル名を含むプログラム配置パスが囮サーバ5のパス管理リストに記憶されていない場合、宛先URL変換部11bは、受信宛先URLを転送先特定部11cに通知するのではなく、「規則2における第二判定処理」を行なう。
すなわち、宛先URL変換部11bは、「ホスト名:host#1」である囮サーバ5のURL変換テーブルに、検索キーである「パス名:/d-X/d-B/d-C /file-b」と一致する変換前パスがエントリされているか否かを判定する。
宛先URL変換部11bは、「/d-X/d-B/d-C /file-b」と一致する変換前パス:/d-X/d-Y/d-Z/file-a」がエントリされているならば、当該変換前パスに対応付けられている変換後パスを特定する。そして、宛先URL変換部11bは、「規則2における第二通知処理」として、受信宛先URLのプログラム配置パスを、特定した変換後パスに変換した宛先URLを変換後宛先URLとして、転送先特定部11cに通知する。
一方、「/d-X/d-B/d-C /file-b」と一致する変換前パス:/d-X/d-Y/d-Z/file-a」がエントリされていない場合、「規則2における第三通知処理:変換なし」として、宛先URL変換部11bは、受信宛先URLをそのまま転送先特定部11cに通知する。
続いて、図21および図22を用いて実施例2における転送制御装置10の処理の手順について説明する。図21は、実施例2における転送制御装置の規則3設定時の処理を説明するためのフローチャートであり、図22は、実施例2における転送制御装置の規則4設定時の処理を説明するためのフローチャートである。
図21に示すように、実施例2における転送制御装置10は、規則3が設定されている状態で、外部ネットワークから、自装置が転送制御する対象となる囮サーバ宛の宛先URLを保有するHTTPデータを受信すると(ステップS301肯定)、宛先URL抽出部11aは、受信したHTTPデータが保有する宛先URLを抽出する(ステップS302)。
そして、宛先URL変換部11bは、宛先URL抽出部11aが抽出した宛先URLに記載されているホスト名およびパス名を特定し(ステップS303)、特定したホスト名のパス管理リストに、特定したパス名が存在するか否かを判定する(ステップS304、第一判定処理)。
ここで、特定したホスト名のパス管理リストに、特定したパス名が存在する場合(ステップS304肯定)、宛先URL変換部11bは、転送先特定部11cに対して、ステップS302で宛先URL抽出部11aが抽出した宛先URLを通知する(ステップS309、変換なしの第一通知処理)。そして、転送先特定部11cは、ステップS302で宛先URL抽出部11aが抽出した宛先URLによりHTTPデータを転送し(ステップS310)、処理を終了する。
一方、特定したホスト名のパス管理リストに、特定したパス名が存在しない場合(ステップS304否定)、宛先URL変換部11bは、特定したホスト名のURL変換テーブルに、特定したパス名を変換前パスとするエントリが存在するか否かを判定する(ステップS305、規則2における第二通知処理)。例えば、宛先URL変換部11bは、特定したパス名と完全一致する変換前パスがエントリされているか否かを判定する。
ここで、特定したホスト名のURL変換テーブルに、特定したパス名を変換前パスとするエントリが存在する場合(ステップS305肯定)、特定したエントリにて変換前パスに対応付けられている変換後パスにステップS302で抽出した宛先URLのパス名を変換し(ステップS306)、転送先特定部11cに対して、変換後宛先URLを通知する(ステップS307、規則2における変換ありの第二通知処理)。そして、転送先特定部11cは、変換後宛先URLによりHTTPデータを転送し(ステップS308)、処理を終了する。
一方、特定したホスト名のURL変換テーブルに、特定したパス名を変換前パスとするエントリが存在しない場合(ステップS305否定)、宛先URL変換部11bは、規則1に切り替えて、特定したホスト名のパス管理リストに、特定したパス名の末尾にあるファイル名を含むプログラム配置パスが存在するか否かを判定する(ステップS311、規則1における第二判定処理)。
ここで、特定したホスト名のパス管理リストに、特定したパス名の末尾にあるファイル名を含むプログラム配置パスが存在しない場合(ステップS311否定)、宛先URL変換部11bは、転送先特定部11cに対して、ステップS302で宛先URL抽出部11aが抽出した宛先URLを通知する(ステップS309、規則1における変換なしの第三通知処理)。そして、転送先特定部11cは、ステップS302で宛先URL抽出部11aが抽出した宛先URLによりHTTPデータを転送し(ステップS310)、処理を終了する。
一方、特定したホスト名のパス管理リストに、特定したパス名の末尾にあるファイル名を含むプログラム配置パスが存在する場合(ステップS311肯定)、該当するエントリが複数であるか否かを判定する(ステップS312)。
ここで、エントリが単一である場合(ステップS312否定)、宛先URL変換部11bは、特定したホスト名のパス管理リストに単一で存在するプログラム配置パスにステップS302で抽出した宛先URLのパス名を変換し(ステップS313)、転送先特定部11cに対して、変換後宛先URLを通知する(ステップS307、規則1における変換ありの第二変換処理その一)。そして、転送先特定部11cは、変換後宛先URLによりHTTPデータを転送し(ステップS308)、処理を終了する。
一方、エントリが複数である場合(ステップS312肯定)、宛先URL変換部11bは、下位階層からのマッチングにより、複数のエントリの中から、変換後のプログラム配置パスを決定し(ステップS314)、決定したプログラム配置パスにステップS302で抽出した宛先URLのパス名を変換し(ステップS315)、転送先特定部11cに対して、変換後宛先URLを通知する(ステップS307、規則1における変換ありの第二変換処理その二)。そして、転送先特定部11cは、変換後宛先URLによりHTTPデータを転送し(ステップS308)、処理を終了する。なお、宛先URL変換部11bは、「規則1における変換ありの第二変換処理その一」または「規則1における変換ありの第二変換処理その二」を実行した場合、宛先URLの変換処理に用いた情報を、該当するホスト名のURL変換テーブルに追加する(図20参照)。
これに対して、図22に示すように、実施例2における転送制御装置10は、規則4が設定されている状態で、外部ネットワークから、自装置が転送制御する対象となる囮サーバ宛の宛先URLを保有するHTTPデータを受信すると(ステップS401肯定)、宛先URL抽出部11aは、受信したHTTPデータが保有する宛先URLを抽出する(ステップS402)。
そして、宛先URL変換部11bは、宛先URL抽出部11aが抽出した宛先URLに記載されているホスト名およびパス名を特定し(ステップS403)、特定したホスト名のパス管理リストに、特定したパス名が存在するか否かを判定する(ステップS404、第一判定処理)。
ここで、特定したホスト名のパス管理リストに、特定したパス名が存在する場合(ステップS404肯定)、宛先URL変換部11bは、転送先特定部11cに対して、ステップS402で宛先URL抽出部11aが抽出した宛先URLを通知する(ステップS412、変換なしの第一通知処理)。そして、転送先特定部11cは、ステップS402で宛先URL抽出部11aが抽出した宛先URLによりHTTPデータを転送し(ステップS413)、処理を終了する。
一方、特定したホスト名のパス管理リストに、特定したパス名が存在しない場合(ステップS404否定)、宛先URL変換部11bは、特定したホスト名のパス管理リストに、特定したパス名の末尾にあるファイル名を含むプログラム配置パスが存在するか否かを判定する(ステップS405、規則1における第二判定処理)。
ここで、特定したホスト名のパス管理リストに、特定したパス名の末尾にあるファイル名を含むプログラム配置パスが存在する場合(ステップS405肯定)、該当するエントリが複数であるか否かを判定する(ステップS406)。
ここで、エントリが単一である場合(ステップS406否定)、宛先URL変換部11bは、特定したホスト名のパス管理リストに単一で存在するプログラム配置パスにステップS402で抽出した宛先URLのパス名を変換し(ステップS407)、転送先特定部11cに対して、変換後宛先URLを通知する(ステップS410、規則1における変換ありの第二通知処理その一)。
ここで、エントリが複数である場合(ステップS406肯定)、宛先URL変換部11bは、下位階層からのマッチングにより、複数のエントリの中から、変換後のプログラム配置パスを決定し(ステップS408)、決定したプログラム配置パスにステップS402で抽出した宛先URLのパス名を変換し(ステップS409)、転送先特定部11cに対して、変換後宛先URLを通知する(ステップS410、規則1における変換ありの第二通知処理その二)。そして、転送先特定部11cは、ステップS402で宛先URL抽出部11aが抽出した宛先URLによりHTTPデータを転送し(ステップS411)、処理を終了する。
一方、特定したホスト名のパス管理リストに、特定したパス名の末尾にあるファイル名を含むパス名が存在しない場合(ステップS405否定)、宛先URL変換部11bは、規則2に切り替えて、宛先URL変換部11bは、特定したホスト名のURL変換テーブルに、特定したパス名を変換前パスとするエントリが存在するか否かを判定する(ステップS412、規則2における第二判定処理)。例えば、宛先URL変換部11bは、特定したパス名と完全一致する変換前パスがエントリされているか否かを判定する。
ここで、特定したホスト名のURL変換テーブルに、特定したパス名を変換前パスとするエントリが存在しない場合(ステップS412否定)、宛先URL変換部11bは、転送先特定部11cに対して、ステップS402で宛先URL抽出部11aが抽出した宛先URLを通知する(ステップS412、規則2における変換なしの第三通知処理)。そして、転送先特定部11cは、ステップS402で宛先URL抽出部11aが抽出した宛先URLによりHTTPデータを転送し(ステップS413)、処理を終了する。
一方、特定したホスト名のURL変換テーブルに、特定したパス名を変換前パスとするエントリが存在する場合(ステップS412肯定)、特定したエントリにて変換前パスに対応付けられている変換後パスにステップS402で抽出した宛先URLのパス名を変換し(ステップS413)、転送先特定部11cに対して、変換後宛先URLを通知する(ステップS410、規則2における変換ありの第二通知処理)。そして、転送先特定部11cは、変換後宛先URLによりHTTPデータを転送し(ステップS411)、処理を終了する。
上述してきたように、実施例2によれば、規則2では攻撃情報を収集できない場合でも、規則3を設定することで、規則1により収集可能な情報量を増大させることができ、また、規則1では攻撃情報を収集できない場合でも、規則4を設定することで、収集可能な情報量を増大させることができる。その結果、攻撃防御のために抽出可能な攻撃情報量をより増加させることで、攻撃検知精度をさらに向上させることが可能となる。
また、実施例2によれば、規則3が設定される状況で、URL変換テーブルを自動的に追加更新することができるので、規則2または規則3の設定下における収集可能な情報量をさらに増大させることができる。
なお、上記した実施例1および2では、転送制御装置10の転送制御対象となる囮サーバが複数である場合について説明したが、本発明は、転送制御装置10の転送制御対象となる囮サーバが1台である場合であっても適用可能である。
また、上記した実施例1および2では、転送制御装置10の転送制御対象となる装置が脆弱なプログラムファイルを故意に搭載された囮サーバである場合について説明した。しかし、本発明は、転送制御装置10の転送制御対象となる装置が、搭載するプログラムファイルが脆弱なプログラムファイルとなってしまう可能性があり、HTTPデータを送受信可能な機能を有するユーザ端末である場合であっても適用可能である。また、本発明は、転送制御装置10の転送制御対象となる装置が囮サーバおよびユーザ端末である場合であっても適用可能である。また、本発明は、宛先URLのアクセス先が、転送制御対象となる装置が搭載するプログラムファイル以外のファイルである場合でも、これらファイルの配置位置情報を含むパス管理リストや、これらファイルの配置位置情報を変換後パスとするURL変換テーブルを転送制御装置10に格納することで、適用可能である。
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
なお、本実施例で説明した転送制御方法は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
以上のように、本発明に係る転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラムは、宛先URLを保有するデータの転送を制御する場合に有用であり、特に、攻撃防御のために抽出可能な攻撃情報量を増加させることで、攻撃検知精度を向上させることに適する。
1、2、3、4 ネットワーク
5、6 囮サーバ
7、8 ユーザ端末
10 転送制御装置
11 パケット転送部
11a 宛先URL抽出部
11b 宛先URL変換部
11c 転送先特定部
12 パス管理リスト記憶部
13 URL変換テーブル記憶部
14 URL変換規則記録部

Claims (11)

  1. ネットワークに配置されたサーバ端末を識別するための端末識別子と、ファイル名を末尾として当該ファイル名のファイルが配置されている位置を示す配置位置情報とを含んで構成される宛先統一資源位置指定子を保有するデータの転送を制御する転送制御装置に適用される転送制御方法であって、
    転送制御の対象となるサーバ端末である対象サーバに搭載されているファイルの当該対象サーバにおける配置位置情報を前記転送制御装置の第一の記憶部に格納する格納ステップと、
    前記対象サーバに対応する端末識別子を含む宛先統一資源位置指定子を保有するデータを受信した場合に、当該受信した宛先統一資源位置指定子における配置位置情報と一致する配置位置情報が前記第一の記憶部に格納されているか否かを判定する第一の判定処理と、前記第一の判定処理の判定結果が否定であった場合、前記受信した宛先統一資源位置指定子の配置位置情報の末尾に記載されているファイル名と一致するファイル名を含む配置位置情報が前記第一の記憶部に格納されているか否かを判定する第二の判定処理とを行なう判定ステップと、
    前記判定ステップによる前記第一の判定処理および前記第二の判定処理の処理結果に基づいて、前記受信した宛先統一資源位置指定子を用いた転送処理、または、前記受信した宛先統一資源位置指定子を前記第一の記憶部に格納されている前記配置位置情報に変換した変換後の宛先統一資源位置指定子を用いた転送処理を行なうように制御する制御ステップと、
    を含んだことを特徴とする転送制御方法。
  2. 前記制御ステップは、
    前記第一の判定処理によって前記受信した宛先統一資源位置指定子における配置位置情報と一致する配置位置情報が前記第一の記憶部に格納されていると判定された場合、前記受信した宛先統一資源位置指定子を用いた転送処理を行なうように制御する第一の制御処理と、
    前記第二の判定処理によって前記受信した宛先統一資源位置指定子の配置位置情報の末尾に記載されているファイル名と一致するファイル名を含む配置位置情報が前記第一の記憶部に一つのみ格納されていると判定された場合、前記受信した宛先統一資源位置指定子に記載されている配置位置情報を、当該ファイル名を含む配置位置情報に変換し、変換後の宛先統一資源位置指定子を用いた転送処理を行なうように制御し、前記第二の判定処理によって前記受信した宛先統一資源位置指定子の配置位置情報の末尾に記載されているファイル名と一致するファイル名を含む配置位置情報が前記第一の記憶部に複数格納されていると判定された場合、当該複数の配置位置情報の中で、前記受信した宛先統一資源位置指定子に記載されている配置位置情報との一致度合いが、配置位置情報に記載されている階層構造を下位から上位に向かって参照した場合に最も高い配置位置情報を、当該受信した宛先統一資源位置指定子の配置位置情報として変換し、変換後の宛先統一資源位置指定子を用いた転送処理を行なうように制御する第二の制御処理と、
    前記第二の判定処理によって前記受信した宛先統一資源位置指定子の配置位置情報の末尾に記載されているファイル名と一致するファイル名を含む配置位置情報が前記第一の記憶部に格納されていないと判定された場合、前記受信した宛先統一資源位置指定子を用いた転送処理を行なうように制御する第三の制御処理とを行なうことを特徴とする請求項1に記載の転送制御方法。
  3. 前記格納ステップは、さらに、前記対象サーバを宛先とする宛先統一資源位置指定子に記載されると想定される配置位置情報である変換前配置位置情報と、当該変換前配置位置情報を前記対象サーバにおける配置位置情報に変換するための配置位置候補情報とを対応付けた変換情報を前記転送制御装置の第二の記憶部に格納し、
    前記判定ステップは、
    前記第二の判定処理として、前記第一の判定処理によって前記受信した宛先統一資源位置指定子における配置位置情報と一致する配置位置情報が前記第一の記憶部に格納されていないと判定された場合、前記受信した宛先統一資源位置指定子に記載されている配置位置情報と一致する変換前配置位置情報を含む変換情報が前記第二の記憶部に格納されているか否かを判定し、
    前記制御ステップは、
    前記第二の制御処理として、前記第二の判定処理によって前記受信した宛先統一資源位置指定子に記載されている配置位置情報と一致する変換前配置位置情報を含む変換情報が前記第二の記憶部に格納されていると判定された場合、前記受信した宛先統一資源位置指定子に記載されている配置位置情報を、当該変換情報の変換前配置位置情報に対応付けられている配置位置候補情報に変換し、変換後の宛先統一資源位置指定子を用いた転送処理を行なうように制御し、
    前記第三の制御処理として、前記第二の判定処理によって前記受信した宛先統一資源位置指定子に記載されている配置位置情報と一致する変換前配置位置情報を含む変換情報が前記第二の記憶部に格納されていないと判定された場合、前記受信した宛先統一資源位置指定子を用いた転送処理を行なうように制御することを特徴とする請求項2に記載の転送制御方法。
  4. 前記判定ステップの前記第一の判定処理によって前記受信した宛先統一資源位置指定子における配置位置情報と一致する配置位置情報が前記第一の記憶部に格納されていないと判定された場合、前記第二の記憶部に格納されている前記変換情報を用いた第二の判定処理を行なう場合であって、
    前記制御ステップは、前記第三の制御処理として、
    前記変換情報を用いた第二の判定処理によって前記受信した宛先統一資源位置指定子に記載されている配置位置情報と一致する変換前配置位置情報を含む変換情報が前記第二の記憶部に格納されていないと判定された場合、前記変換情報を用いた第二の判定処理を前記第一の記憶部に格納されている前記配置位置情報を用いた第二の判定処理に切り替えて、前記受信した宛先統一資源位置指定子の配置位置情報の末尾に記載されているファイル名と一致するファイル名を含む配置位置情報が前記第一の記憶部に格納されているか否かをさらに判定させ、
    前記配置位置情報を用いた第二の判定処理による判定結果に基づいて、前記変換後の宛先統一資源位置指定子を用いた転送処理、または前記受信した宛先統一資源位置指定子を用いた転送処理を行なうように制御することを特徴とする請求項3に記載の転送制御方法。
  5. 前記判定ステップの前記第一の判定処理によって前記受信した宛先統一資源位置指定子における配置位置情報と一致する配置位置情報が前記第一の記憶部に格納されていないと判定された場合、前記第一の記憶部にて格納される前記配置位置情報の末尾に記載されているファイル名を用いた第二の判定処理を行なう場合であって、
    前記制御ステップは、前記第三の制御処理として、
    前記配置位置情報の末尾に記載されているファイル名を用いた第二の判定処理によって前記受信した宛先統一資源位置指定子の配置位置情報の末尾に記載されているファイル名と一致するファイル名を含む配置位置情報が前記第一の記憶部に格納されていないと判定された場合、前記配置位置情報の末尾に記載されているファイル名を用いた第二の判定処理を前記第二の記憶部に格納されている前記変換情報を用いた第二の判定処理に切り替えて、前記受信した宛先統一資源位置指定子に記載されている配置位置情報と一致する変換前配置位置情報を含む変換情報が前記第二の記憶部に格納されているか否かをさらに判定させ、
    前記変換情報を用いた第二の判定処理による判定結果に基づいて、前記変換後の宛先統一資源位置指定子を用いた転送処理、または前記受信した宛先統一資源位置指定子を用いた転送処理を行なうように制御することを特徴とする請求項3に記載の転送制御方法。
  6. 前記変換情報を用いた第二の判定処理を前記第一の記憶部に格納されている前記配置位置情報を用いた第二の判定処理に切り替えたのちに、前記第三の制御処理によって変換後の宛先統一資源位置指定子に採用された配置位置情報を配置位置候補情報とし、変換前の宛先統一資源位置指定子に記載されている配置位置情報を変換前配置位置情報とする変換情報を、前記第二の記憶部に追加して格納する追加格納ステップをさらに含むことを特徴とする請求項4に記載の転送制御方法。
  7. 複数の対象サーバへのデータの転送を制御する場合であって、
    前記格納ステップは、前記複数の対象サーバそれぞれの配置位置情報を第一の記憶部に格納し、
    前記判定ステップの前記第一の判定処理および前記第二の判定処理は、前記受信した宛先統一資源位置指定子の端末識別子に対応する対象サーバの配置位置情報を前記第一の記憶部から検索して判定処理を行なうことを特徴とする請求項2に記載の転送制御方法。
  8. 複数の対象サーバへのデータの転送を制御する場合であって、
    前記格納ステップは、前記複数の対象サーバそれぞれの配置位置情報を前記第一の記憶部に格納し、かつ、前記複数の対象サーバそれぞれの変換情報を前記第二の記憶部に格納し、
    前記判定ステップの前記第一の判定処理は、前記受信した宛先統一資源位置指定子の端末識別子に対応する対象サーバの配置位置情報を前記第一の記憶部から検索して判定処理を行ない、
    前記判定ステップの前記第二の判定処理は、前記受信した宛先統一資源位置指定子の端末識別子に対応する対象サーバの配置位置情報を前記第一の記憶部から検索し、および/または、変換情報を前記第二の記憶部から検索して判定処理を行なうことを特徴とする請求項3〜6のいずれか一つに記載の転送制御方法。
  9. ネットワークに配置されたサーバ端末を識別するための端末識別子と、ファイル名を末尾として当該ファイル名のファイルが配置されている位置を示す配置位置情報とを含んで構成される宛先統一資源位置指定子を保有するデータの転送を制御する転送制御装置であって、
    転送制御の対象となるサーバ端末である対象サーバに搭載されているファイルの当該対象サーバにおける配置位置情報を記憶する配置位置情報記憶手段と、
    前記対象サーバに対応する端末識別子を含む宛先統一資源位置指定子を保有するデータを受信した場合に、当該受信した宛先統一資源位置指定子における配置位置情報と一致する配置位置情報が前記第一の記憶部に格納されているか否かを判定する第一の判定処理と、前記第一の判定処理の判定結果が否定であった場合、前記受信した宛先統一資源位置指定子の配置位置情報の末尾に記載されているファイル名と一致するファイル名を含む配置位置情報が前記第一の記憶部に格納されているか否かを判定する第二の判定処理とを行なう判定手段と、
    前記判定手段による前記第一の判定処理および前記第二の判定処理の処理結果に基づいて、前記受信した宛先統一資源位置指定子を用いた転送処理、または、前記受信した宛先統一資源位置指定子を前記第一の記憶部に格納されている前記配置位置情報に変換した変換後の宛先統一資源位置指定子を用いた転送処理を行なうように制御する制御手段と、
    を備えたことを特徴とする転送制御装置。
  10. ネットワークに配置されたサーバ端末を識別するための端末識別子と、ファイル名を末尾として当該ファイル名のファイルが配置されている位置を示す配置位置情報とを含んで構成される宛先統一資源位置指定子を保有するデータの転送を制御する転送制御装置を含む転送制御システムであって、
    前記転送制御装置は、
    転送制御の対象となるサーバ端末である対象サーバに搭載されているファイルの当該対象サーバにおける配置位置情報を記憶する配置位置情報記憶手段と、
    前記対象サーバに対応する端末識別子を含む宛先統一資源位置指定子を保有するデータを受信した場合に、当該受信した宛先統一資源位置指定子における配置位置情報と一致する配置位置情報が前記第一の記憶部に格納されているか否かを判定する第一の判定処理と、前記第一の判定処理の判定結果が否定であった場合、前記受信した宛先統一資源位置指定子の配置位置情報の末尾に記載されているファイル名と一致するファイル名を含む配置位置情報が前記第一の記憶部に格納されているか否かを判定する第二の判定処理とを行なう判定手段と、
    前記判定手段による前記第一の判定処理および前記第二の判定処理の処理結果に基づいて、前記受信した宛先統一資源位置指定子を用いた転送処理、または、前記受信した宛先統一資源位置指定子を前記第一の記憶部に格納されている前記配置位置情報に変換した変換後の宛先統一資源位置指定子を用いた転送処理を行なうように制御する制御手段と、
    を備えたことを特徴とする転送制御システム。
  11. ネットワークに配置されたサーバ端末を識別するための端末識別子と、ファイル名を末尾として当該ファイル名のファイルが配置されている位置を示す配置位置情報とを含んで構成される宛先統一資源位置指定子を保有するデータの転送を制御する転送制御装置としてのコンピュータに実行させる転送制御プログラムであって、
    転送制御の対象となるサーバ端末である対象サーバに搭載されているファイルの当該対象サーバにおける配置位置情報を前記転送制御装置の第一の記憶部に格納する格納手順と、
    前記対象サーバに対応する端末識別子を含む宛先統一資源位置指定子を保有するデータを受信した場合に、当該受信した宛先統一資源位置指定子における配置位置情報と一致する配置位置情報が前記第一の記憶部に格納されているか否かを判定する第一の判定処理と、前記第一の判定処理の判定結果が否定であった場合、前記受信した宛先統一資源位置指定子の配置位置情報の末尾に記載されているファイル名と一致するファイル名を含む配置位置情報が前記第一の記憶部に格納されているか否かを判定する第二の判定処理とを行なう判定手順と、
    前記判定手順による前記第一の判定処理および前記第二の判定処理の処理結果に基づいて、前記受信した宛先統一資源位置指定子を用いた転送処理、または、前記受信した宛先統一資源位置指定子を前記第一の記憶部に格納されている前記配置位置情報に変換した変換後の宛先統一資源位置指定子を用いた転送処理を行なうように制御する制御手順と、
    をコンピュータに実行させることを特徴とする転送制御プログラム。
JP2009239631A 2009-10-16 2009-10-16 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム Active JP5313104B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009239631A JP5313104B2 (ja) 2009-10-16 2009-10-16 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009239631A JP5313104B2 (ja) 2009-10-16 2009-10-16 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム

Publications (2)

Publication Number Publication Date
JP2011086192A true JP2011086192A (ja) 2011-04-28
JP5313104B2 JP5313104B2 (ja) 2013-10-09

Family

ID=44079074

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009239631A Active JP5313104B2 (ja) 2009-10-16 2009-10-16 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム

Country Status (1)

Country Link
JP (1) JP5313104B2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011087189A (ja) * 2009-10-16 2011-04-28 Nippon Telegr & Teleph Corp <Ntt> 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム
JP2013011949A (ja) * 2011-06-28 2013-01-17 Nippon Telegr & Teleph Corp <Ntt> 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム
US9005331B2 (en) 2004-12-22 2015-04-14 Brookhaven Science Associates, Llc Platinum-coated non-noble metal-noble metal core-shell electrocatalysts
WO2015186662A1 (ja) * 2014-06-06 2015-12-10 日本電信電話株式会社 ログ分析装置、攻撃検知装置、攻撃検知方法およびプログラム

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002111726A (ja) * 2000-09-29 2002-04-12 Kddi Corp 不正侵入防止システム
JP2006165867A (ja) * 2004-12-06 2006-06-22 Murata Mach Ltd プロキシサーバ装置
JP2011087189A (ja) * 2009-10-16 2011-04-28 Nippon Telegr & Teleph Corp <Ntt> 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002111726A (ja) * 2000-09-29 2002-04-12 Kddi Corp 不正侵入防止システム
JP2006165867A (ja) * 2004-12-06 2006-06-22 Murata Mach Ltd プロキシサーバ装置
JP2011087189A (ja) * 2009-10-16 2011-04-28 Nippon Telegr & Teleph Corp <Ntt> 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9005331B2 (en) 2004-12-22 2015-04-14 Brookhaven Science Associates, Llc Platinum-coated non-noble metal-noble metal core-shell electrocatalysts
JP2011087189A (ja) * 2009-10-16 2011-04-28 Nippon Telegr & Teleph Corp <Ntt> 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム
JP2013011949A (ja) * 2011-06-28 2013-01-17 Nippon Telegr & Teleph Corp <Ntt> 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム
WO2015186662A1 (ja) * 2014-06-06 2015-12-10 日本電信電話株式会社 ログ分析装置、攻撃検知装置、攻撃検知方法およびプログラム
CN106415507A (zh) * 2014-06-06 2017-02-15 日本电信电话株式会社 日志分析装置、攻击检测装置、攻击检测方法以及程序
JPWO2015186662A1 (ja) * 2014-06-06 2017-04-20 日本電信電話株式会社 ログ分析装置、攻撃検知装置、攻撃検知方法およびプログラム
US10243982B2 (en) 2014-06-06 2019-03-26 Nippon Telegraph And Telephone Corporation Log analyzing device, attack detecting device, attack detection method, and program
CN106415507B (zh) * 2014-06-06 2019-05-21 日本电信电话株式会社 日志分析装置、攻击检测装置、攻击检测方法以及程序

Also Published As

Publication number Publication date
JP5313104B2 (ja) 2013-10-09

Similar Documents

Publication Publication Date Title
Habibi et al. Heimdall: Mitigating the internet of insecure things
US10382436B2 (en) Network security based on device identifiers and network addresses
US9762543B2 (en) Using DNS communications to filter domain names
US10491561B2 (en) Equipment for offering domain-name resolution services
JP5655191B2 (ja) 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム
EP3297248B1 (en) System and method for generating rules for attack detection feedback system
EP1956463A2 (en) Method and apparatus for providing network security based on device security status
GB2512954A (en) Detecting and marking client devices
JP5345500B2 (ja) 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム
JP5313104B2 (ja) 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム
KR101487476B1 (ko) 악성도메인을 검출하기 위한 방법 및 장치
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
Yagi et al. Enhanced attack collection scheme on high-interaction web honeypots
JP5986340B2 (ja) Url選定方法、url選定システム、url選定装置及びurl選定プログラム
JP5110082B2 (ja) 通信制御システム、通信制御方法および通信端末
CN116723020A (zh) 网络服务模拟方法、装置、电子设备及存储介质
JP5385867B2 (ja) データ転送装置及びアクセス解析方法
Yagi et al. Intelligent high-interaction web honeypots based on url conversion scheme
CN112565203B (zh) 一种集中管理平台
Riordan et al. Building and deploying billy goat, a worm detection system
KR20150026187A (ko) 드로퍼 판별을 위한 시스템 및 방법
JP5952219B2 (ja) ファイル監視周期制御装置、ファイル監視周期制御システム、ファイル監視周期制御方法及びファイル監視周期制御プログラム
JP5456636B2 (ja) ファイル収集監視方法、ファイル収集監視装置及びファイル収集監視プログラム
Riordan et al. Billy Goat, an Accurate Worm-Detection System (Revised Version)

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20110520

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20110520

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120309

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130424

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130507

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130611

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130702

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130703

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 5313104

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350