JP2011087189A - 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム - Google Patents

転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム Download PDF

Info

Publication number
JP2011087189A
JP2011087189A JP2009239630A JP2009239630A JP2011087189A JP 2011087189 A JP2011087189 A JP 2011087189A JP 2009239630 A JP2009239630 A JP 2009239630A JP 2009239630 A JP2009239630 A JP 2009239630A JP 2011087189 A JP2011087189 A JP 2011087189A
Authority
JP
Japan
Prior art keywords
variable
information
specifier
transfer control
storage unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009239630A
Other languages
English (en)
Other versions
JP5345500B2 (ja
Inventor
Takeshi Yagi
毅 八木
Naoto Tanimoto
直人 谷本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2009239630A priority Critical patent/JP5345500B2/ja
Publication of JP2011087189A publication Critical patent/JP2011087189A/ja
Application granted granted Critical
Publication of JP5345500B2 publication Critical patent/JP5345500B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】攻撃防御のために抽出可能な攻撃情報量を増加させることで、攻撃検知精度を向上させること。
【解決手段】パス管理リスト記憶部12は、囮サーバが搭載するプログラムファイルのプログラム配置パスのリストを記憶し、プログラム管理リスト記憶部13は、囮サーバが搭載するプログラムファイルのプログラム配置パスと、入力値指定が許容される変数名とを対応付けたリストを記憶する。宛先URL抽出部11aは、囮サーバ宛のパケットから宛先URLを抽出し、宛先URL変換部11bは、パス管理リストに宛先URLのプログラム配置パスが記憶されておらず、かつ、プログラム管理リストに宛先URLの変数名と一致する変数名を含むエントリが記憶されている場合、宛先URLのパス名を、検索キーの変数名に対応付けられているプログラム配置パスに変換した宛先URLを転送先特定部11cに通知する。
【選択図】図3

Description

この発明は、転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラムに関する。
近年、インターネットの普及に伴い、個人情報の管理やアプリケーションの配信を実施するサーバに対するサイバー攻撃が急増している。サイバー攻撃の代表例としては、マルウェア(攻撃者が正規ユーザのサーバや端末に不正アクセスするために用いる攻撃ツールプログラム)を利用したDDoS(Distributed Denial of Services)攻撃やスパム送信、情報盗難などが挙げられる。これらの攻撃の多くは、既存のサーバを乗っ取り、乗っ取ったサーバを踏み台として他のサーバを攻撃する形で実施される。
従来、これらの脅威に対処することを目的として、ファイアウォール機能と転送データ監視機能とをルータなどのパケット転送装置に実装してサーバ監視機能を構築し、サーバ監視機能をサーバの前段に配置することで、送受信されるデータの内容やパケットヘッダの内容に応じて通信を制御するアクセス制御技術が用いられている。アクセス制御技術では、サーバ監視機能を開発したセキュリティベンダが、既知のソフトウェアの脆弱性やマルウェアを解析することで、攻撃者がサーバに対して取りうる送信メッセージのパターンをシグネチャ化し、シグネチャにマッチする送信メッセージをサーバ監視機能でフィルタする。これにより、攻撃者の不正アクセスからサーバを防御する。
しかし、かかるサーバ監視機能では、シグネチャにマッチしない通信についてはネットワークの通過を許容するため、この通過可能な通信サービスを悪用した不正アクセスを完全に阻止することは困難である。このため、例えば、セキュリティベンダにとって未知となるソフトウェア(アプリケーションに代表されるソフトウェア)の脆弱性や、セキュリティベンダが解析していないソフトウェアの脆弱性に基づいた攻撃には対応することができなかった。
かかる問題を解決するために、脆弱性があるソフトウェアを故意に搭載した囮サーバをサーバ監視機能配下に配置し、サーバ監視機能で囮サーバへのアクセスを監視する仕組みが検討されている(例えば、非特許文献1参照)。具体的には、サーバ監視機能は、攻撃者がアプリケーション提供サーバなどに不正アクセスする際に利用するマルウェアを代表としたプログラムを囮サーバがダウンロードする際の挙動を捉え、例えば、ダウンロード要求先をマルウェアダウンロード用のサイトと特定する方式などが検討されている。
この方式により取得したマルウェアダウンロードサイトをブラックリストとして、顧客サーバまたは顧客サーバとネットワークの境界に配置されたファイアフォール機能やセキュリティアプライアンスなどに入力することで、顧客サーバがマルウェアに感染する事態を回避する。
八木毅、谷本直人、浜田雅樹、伊藤光恭「プロバイダによるWebサイトへのマルウェア配布防御方式」信学技報IN2009-34
しかし、上記した従来の技術では、攻撃者が予想したサーバのディレクトリ構成と、囮サーバのディレクトリ構成とが異なった際に、攻撃者が指定する宛先URL(Uniform Resource Locator)と、ぜい弱なプログラムが配置された囮サーバのパスが一致せず、攻撃が失敗し、マルウェアダウンロードサイトなどの攻撃情報が収集できない場合がある。
失敗する攻撃の中にも、マルウェアダウンロードサイトの情報やマルウェアの情報およびぜい弱なプログラムの情報が記載されているため、失敗する攻撃に関しては、機械的な分析が困難になる。従来では、このような攻撃は、攻撃者が事前に攻撃対象のサーバのディレクトリ構造を調査していたため、失敗する可能性が低かった。しかし、近年では、このような攻撃はツールにより自動化され、攻撃者が予め指定した多数の宛先URLに対して機械的に実施されているため、失敗する攻撃が多い。
すなわち、上記した従来の技術では、多数の成功した攻撃の攻撃情報を収集したとしても、攻撃防御のために抽出可能な攻撃情報量が減少し、その結果、セキュリティアプライアンスなどでの攻撃検知精度が低下するという課題があった。
なお、攻撃情報を収集する対象となるサーバが囮サーバでない場合であっても、アクセスした者が予想したサーバのディレクトリ構成と、アクセスされたサーバのディレクトリ構成とが異なった際に、アクセスが失敗するので、アクセスした者が目標としているプログラムにアクセスできず上記と同様の課題が発生していた。
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、攻撃防御のために抽出可能な攻撃情報量を増加させることで、攻撃検知精度を向上させることが可能となる転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するために、本願の開示する方法は、一つの態様において、ネットワークに配置されたサーバ端末を識別するための端末識別子と、ファイル名を末尾として当該ファイル名のファイルが配置されている位置を示す配置位置情報とを含んで構成される宛先統一資源位置指定子を保有するデータの転送を制御する転送制御装置に適用される転送制御方法であって、転送制御の対象となるサーバ端末である対象サーバに搭載されているプログラムファイルの当該対象サーバにおける配置位置情報を前記転送制御装置の第一の記憶部に格納し、前記対象サーバに搭載されているプログラムファイルにて外部からの入力値指定が許容される変数の変数名と、当該プログラムファイルの配置位置情報とを対応付けた情報である変数情報を前記転送制御装置の第二の記憶部に格納する格納ステップと、前記対象サーバに対応する端末識別子を含み、プログラムファイルの配置位置情報とともに、当該プログラムファイルの変数および当該変数に対する入力値が指定されている宛先統一資源位置指定子を保有するデータを受信した場合に、当該受信した宛先統一資源位置指定子における配置位置情報と一致する配置位置情報が前記第一の記憶部に格納されているか否かを判定する第一の判定処理と、前記第一の判定処理の判定結果が否定であった場合、前記受信した宛先統一資源位置指定子に入力値が指定されている変数名と一致する変数名を含む変数情報が前記第二の記憶部に格納されているか否かを判定する第二の判定処理とを行なう判定ステップと、前記判定ステップによる前記第一の判定処理および前記第二の判定処理の判定結果に基づいて、前記受信した宛先統一資源位置指定子を用いた転送処理、または、前記受信した宛先統一資源位置指定子に記載されている配置位置情報を前記第二の記憶部に格納されている前記変数情報により変換した変換後の宛先統一資源位置指定子を用いた転送処理を行なうように制御する制御ステップと、を含んだことを要件とする。
また、本願の開示する装置は、一つの態様において、ネットワークに配置されたサーバ端末を識別するための端末識別子と、ファイル名を末尾として当該ファイル名のファイルが配置されている位置を示す配置位置情報とを含んで構成される宛先統一資源位置指定子を保有するデータの転送を制御する転送制御装置であって、転送制御の対象となるサーバ端末である対象サーバに搭載されているプログラムファイルの当該対象サーバにおける配置位置情報を記憶する配置位置情報記憶手段と、前記対象サーバに搭載されているプログラムファイルにて外部からの入力値指定が許容される変数の変数名と、当該プログラムファイルの配置位置情報とを対応付けた情報である変数情報を記憶する変数情報記憶手段と、前記対象サーバに対応する端末識別子を含み、プログラムファイルの配置位置情報とともに、当該プログラムファイルの変数および当該変数に対する入力値が指定されている宛先統一資源位置指定子を保有するデータを受信した場合に、当該受信した宛先統一資源位置指定子における配置位置情報と一致する配置位置情報が前記配置位置情報記憶手段に記憶されているか否かを判定する第一の判定処理と、前記第一の判定処理の判定結果が否定であった場合、前記受信した宛先統一資源位置指定子に入力値が指定されている変数名と一致する変数名を含む変数情報が前記第二の記憶部に格納されているか否かを判定する第二の判定処理とを行なう判定手段と、前記判定手段による前記第一の判定処理および前記第二の判定処理の判定結果に基づいて、前記受信した宛先統一資源位置指定子を用いた転送処理、または、前記受信した宛先統一資源位置指定子に記載されている配置位置情報を前記第二の記憶部に格納されている前記変数情報により変換した変換後の宛先統一資源位置指定子を用いた転送処理を行なうように制御する制御手段と、を備えたことを要件とする。
また、本願の開示するシステムは、一つの態様において、ネットワークに配置されたサーバ端末を識別するための端末識別子と、ファイル名を末尾として当該ファイル名のファイルが配置されている位置を示す配置位置情報とを含んで構成される宛先統一資源位置指定子を保有するデータの転送を制御する転送制御装置を含む転送制御システムであって、前記転送制御装置は、転送制御の対象となるサーバ端末である対象サーバに搭載されているプログラムファイルの当該対象サーバにおける配置位置情報を記憶する配置位置情報記憶手段と、前記対象サーバに搭載されているプログラムファイルにて外部からの入力値指定が許容される変数の変数名と、当該プログラムファイルの配置位置情報とを対応付けた情報である変数情報を記憶する変数情報記憶手段と、前記対象サーバに対応する端末識別子を含み、プログラムファイルの配置位置情報とともに、当該プログラムファイルの変数および当該変数に対する入力値が指定されている宛先統一資源位置指定子を保有するデータを受信した場合に、当該受信した宛先統一資源位置指定子における配置位置情報と一致する配置位置情報が前記配置位置情報記憶手段に記憶されているか否かを判定する第一の判定処理と、前記第一の判定処理の判定結果が否定であった場合、前記受信した宛先統一資源位置指定子に入力値が指定されている変数名と一致する変数名を含む変数情報が前記第二の記憶部に格納されているか否かを判定する第二の判定処理とを行なう判定手段と、前記判定手段による前記第一の判定処理および前記第二の判定処理の判定結果に基づいて、前記受信した宛先統一資源位置指定子を用いた転送処理、または、前記受信した宛先統一資源位置指定子に記載されている配置位置情報を前記第二の記憶部に格納されている前記変数情報により変換した変換後の宛先統一資源位置指定子を用いた転送処理を行なうように制御する制御手段と、を備えたことを要件とする。
また、本願の開示するプログラムは、一つの態様において、ネットワークに配置されたサーバ端末を識別するための端末識別子と、ファイル名を末尾として当該ファイル名のファイルが配置されている位置を示す配置位置情報とを含んで構成される宛先統一資源位置指定子を保有するデータの転送を制御するコンピュータとしての転送制御装置に実行させる転送制御プログラムであって、転送制御の対象となるサーバ端末である対象サーバに搭載されているプログラムファイルの当該対象サーバにおける配置位置情報を前記転送制御装置の第一の記憶部に格納し、前記対象サーバに搭載されているプログラムファイルにて外部からの入力値指定が許容される変数の変数名と、当該プログラムファイルの配置位置情報とを対応付けた情報である変数情報を前記転送制御装置の第二の記憶部に格納する格納手順と、前記対象サーバに対応する端末識別子を含み、プログラムファイルの配置位置情報とともに、当該プログラムファイルの変数および当該変数に対する入力値が指定されている宛先統一資源位置指定子を保有するデータを受信した場合に、当該受信した宛先統一資源位置指定子における配置位置情報と一致する配置位置情報が前記第一の記憶部に格納されているか否かを判定する第一の判定処理と、前記第一の判定処理の判定結果が否定であった場合、前記受信した宛先統一資源位置指定子に入力値が指定されている変数名と一致する変数名を含む変数情報が前記第二の記憶部に格納されているか否かを判定する第二の判定処理とを行なう判定手順と、前記判定手順による前記第一の判定処理および前記第二の判定処理の判定結果に基づいて、前記受信した宛先統一資源位置指定子を用いた転送処理、または、前記受信した宛先統一資源位置指定子に記載されている配置位置情報を前記第二の記憶部に格納されている前記変数情報により変換した変換後の宛先統一資源位置指定子を用いた転送処理を行なうように制御する制御手順と、をコンピュータに実行させることを要件とする。
本願の開示する方法、装置、システムおよびプログラムの一つの態様によれば、攻撃防御のために抽出可能な攻撃情報量を増加させることで、攻撃検知精度を向上させることが可能となる。
図1は、実施例1における転送制御システムの一例を示す全体構成図である。 図2は、宛先URLを説明するための図である。 図3は、実施例1における転送制御装置の構成を説明するためのブロック図である。 図4は、パス管理リストの一例を説明するための図である。 図5は、プログラム管理リストの一例を説明するための図である。 図6は、宛先URL抽出部を説明するための図である。 図7は、実施例1における宛先URL変換部を説明するための図(1)である。 図8は、実施例1における宛先URL変換部を説明するための図(2)である。 図9は、実施例1における宛先URL変換部を説明するための図(3)である。 図10は、実施例1における転送制御装置の処理を説明するためのフローチャートである。 図11は、実施例2におけるプログラム管理リストを説明するための図である。 図12は、実施例2における宛先URL変換部を説明するための図(1)である。 図13は、実施例2における宛先URL変換部を説明するための図(2)である。 図14は、実施例2における転送制御装置の処理を説明するためのフローチャートである。
以下に、本願の開示する転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラムの実施例を詳細に説明する。なお、以下では、本願の開示する転送制御方法を実行する転送制御装置がネットワークに配置された転送制御システムを実施例として説明するが、以下の実施例により本発明が限定されるものではない。
まず、図1を用いて、実施例1における転送制御システムの全体構成について説明する。図1は、実施例1における転送制御システムの一例を示す全体構成図である。
図1の一例に示すように、実施例1における転送制御システムは、ネットワーク1にて構築される。ネットワーク1は、ネットワーク2、ネットワーク3およびネットワーク4を収容するネットワークである。ここで、ネットワーク1は、インターネットのような広域ネットワークである場合であってもよいし、企業ネットワークのような比較的狭い狭域ネットワークである場合であってもよい。
ネットワーク3は、ユーザ端末7を収容し、ネットワーク4は、ユーザ端末8を収容している。なお、図1では、ネットワーク3およびネットワーク4に収容されるユーザ端末をそれぞれ1台のみ示しているが、実際には、ネットワーク3およびネットワーク4それぞれは、複数のユーザ端末を収容している。ここで、図1に示すユーザ端末7およびユーザ端末8は、宛先統一資源位置指定子(URL:Uniform Resource Locator)を保有するハイパーテキスト転送プロトコル(HTTP:Hypertext Transfer Protocol)データを送受信することが可能な装置である。
ネットワーク2は、脆弱性があるソフトウェアを故意に搭載した囮サーバを収容し、図1に示す一例では、囮サーバ5および囮サーバ6を2台収容している。なお、本実施例は、ネットワーク2に、囮サーバとともにユーザ端末が収容される場合であっても適用可能である。
そして、ネットワーク2のトポロジは、ネットワーク3およびネットワーク4から囮サーバ5および囮サーバ6へのアクセスが、図1に示す転送制御装置10を経由するように構成されている。すなわち、転送制御装置10は、ネットワーク3およびネットワーク4それぞれに設置させているルータやスイッチ、ゲートウェイ装置などのデータ中継装置(図示せず)と接続されており、ネットワーク2のゲートウェイとして配置されている。なお、図1には示さないが、囮サーバ5および囮サーバ6には、攻撃者が行なった攻撃に関する情報を収集する攻撃収集装置が接続されている。さらに、攻撃収集装置には、攻撃収集装置が収集した攻撃情報を分析する攻撃分析装置が接続されている。そして、攻撃分析装置には、攻撃分析装置の分析結果から特定された攻撃者のユーザ端末との通信を遮断するための攻撃防御装置が接続されている。なお、図1に示す構成例では、ネットワーク2において、囮サーバ5、囮サーバ6および転送制御装置10が、それぞれ異なる装置として配置されている場合について説明している。しかし、本実施例は、ネットワーク2を仮想ネットワークとし、囮サーバ5、囮サーバ6および転送制御装置10が仮想装置として、1台の物理サーバ内に配されている場合であっても適用可能である。
ここで、図1に示すように、囮サーバ5には、「ホスト名: host#1」が割り当てられており、囮サーバ6には、「ホスト名: host#2」が割り当てられているとする。以下、図2を用いて、囮サーバ5をアクセス先とするHTTPデータが保有する宛先URLの一例について、図2を用いて説明する。図2は、宛先URLを説明するための図である。
例えば、ユーザ端末7が囮サーバ5にHTTPデータを転送する場合、宛先URLには、図2に示すように、「アクセス手段識別子:http」が記載され、続いて「ホスト名:host#1」が記載される。そして、ユーザ端末7が「ホスト名: host#1」の「d-A/d-B/d-C」というパスに配置された「ファイル:file-a」にアクセスする場合、宛先URLには、図2に示すように、「ファイル名:file-a」を末尾とする「パス名:/d-A/d-B/d-C/file-a」が配置位置情報として指定される。
さらに、「ファイル:file-a」がプログラムファイルであり、ユーザ端末7から囮サーバ5に「file-a」の「変数:dir」に「入力値:x」を入力させる命令を送付する場合、宛先URLには、図2に示すように、パス名の後ろに、「変数名:dir」と「変数への入力値:x」とが続いて記載される。すなわち、宛先URLは、図2に示すように、「http://host#1/d-A/d-B/d-C/file-a?dir=x」となる。
しかし、攻撃者が囮サーバ5上に存在しないディレクトリを宛先URLに指定した場合、通常、囮サーバ5からユーザ端末7に「404エラーメッセージ:not found」が返信される。すなわち、ユーザ端末7のユーザが攻撃者であり、ぜい弱なプログラムが配置されていると攻撃者が考えているユーザ端末のディレクトリ構造が、囮サーバのディレクトリ構造と一致しない場合、攻撃者からの攻撃は失敗することとなり、マルウェアダウンロードサイトなどの攻撃情報が収集できない。
そこで、実施例1では、ネットワーク2のゲートウェイとして転送制御装置10を配置することで、攻撃防御のために抽出可能な攻撃情報量を増加させ、攻撃検知精度を向上させることを可能とする。すなわち、転送制御装置10は、ぜい弱なプログラムが配置されていると攻撃者が考えているユーザ端末のディレクトリ構造が、囮サーバのディレクトリ構造と一致しない場合でも、ぜい弱なプログラムが配置されたディレクトリ宛てとなるようHTTPデータの宛先URLを変換して転送する機能を有する。
以下、実施例1における転送制御装置10について、図3などを用いて説明する。なお、図3は、実施例1における転送制御装置の構成を説明するためのブロック図である。
図3に示すように、実施例1における転送制御装置10は、パケット転送部11と、パス管理リスト記憶部12と、プログラム管理リスト記憶部13とを有する。
パス管理リスト記憶部12は、転送制御装置10が有する第一の記憶部であり、転送制御の対象となる囮サーバ5および囮サーバ6それぞれのディレクトリ構造をパス管理リストとして記憶する。具体的には、パス管理リスト記憶部12は、囮サーバ5および囮サーバ6それぞれに搭載されているプログラムファイルの配置位置情報(パス名)をプログラム配置パスとして記憶する。図4は、パス管理リストの一例を説明するための図である。例えば、パス管理リスト記憶部12は、図4に示すように、「ホスト名:host#1」である囮サーバ5のディレクトリ構造のリストと、「ホスト名:host#2」である囮サーバ6のディレクトリ構造のリストとをそれぞれ記憶する。例えば、図4に示す一例では、「ホスト名:host#1」である囮サーバ5には、「ファイル:file-a」が「d-A/d-B/d-C」というパスに配置されていることを示す「プログラム配置パス:/d-A/d-B/d-C/file-a」などが記憶されている。
ここで、パス管理リスト記憶部12は、転送制御装置10の操作者が転送制御システムの運用開始時に設定したパス管理リストを記憶する。ただし、パス管理リスト記憶部12が記憶するパス管理リストは、サーバ内のディレクトリ構造を抽出するツールを用いて自動的に生成することも可能である。さらに、かかる抽出ツールを用いてディレクトリ構造を定期的に抽出してディレクトリ構造の更新を検知し、パス管理リストを自動的に更新することも可能である。
図3に戻って、プログラム管理リスト記憶部13は、転送制御装置10が有する第二の記憶部であり、囮サーバ5および囮サーバ6それぞれに搭載されているプログラムファイルのプログラム配置パスと、当該プログラムファイルにて外部からの入力値指定が許容される変数の変数名とを対応付けた変数情報のリストを記憶する。図5は、プログラム管理リストの一例を説明するための図である。例えば、パス管理リスト記憶部12は、図5に示すように、「ホスト名:host#1」である囮サーバ5に搭載されている「ファイル:file-a」にて入力値指定が許容される変数の「変数名:dir」を、「プログラム配置パス:/d-A/d-B/d-C/file-a」に対応付けて記憶する。なお、プログラム管理リスト13は、転送制御装置10の操作者が、転送制御システムの運用開始時に、設定するリストである。具体的には、転送制御装置10の操作者は、囮サーバごとに、当該囮サーバに搭載されている複数の脆弱なプログラムファイルそれぞれに対して、攻撃者が攻撃すると想定される変数の変数名を設定する。
なお、複数の囮サーバごとに記憶されるパス管理リストおよびプログラム管理リストは、上述したように、囮サーバのホスト名を用いて管理される場合であってもよいし、囮サーバのIP(Internet Protocol)アドレスを用いて管理される場合であってもよい。
図3に戻って、パケット転送部11は、ネットワーク3およびネットワーク4から受信したパケットの転送制御を、パス管理リスト記憶部12およびプログラム管理リスト記憶部13に記憶されている各リストを参照して行なう処理部であり、宛先URL抽出部11aと、宛先URL変換部11bと、転送先特定部11cとを有する。
宛先URL抽出部11aは、ネットワーク2に収容されている囮サーバ宛のパケットから、宛先URLを抽出して、抽出した宛先URLを宛先URL変換部11bに通知する。図6は、宛先URL抽出部を説明するための図である。例えば、図6に示すように、ネットワーク3に収容されているユーザ端末7から、「http://host#1/d-X/d-Y/d-C/file-p?path=http://host#2/d-L/d-M/d-N/file-q」という宛先URLを保有するHTTPデータを受信した場合、宛先URL抽出部11aは、宛先URLを抽出して宛先URL変換部11bに通知する。ここで、ユーザ端末7から受信した宛先URLには、「ホスト名:host#1」が「プログラム配置パス:/ d-X/d-Y/d-C/file-p」に搭載している「ファイル名:file-p」のプログラムファイルの「変数名:path」に「入力値:http://host#2/d-L/d-M/d-N/file-q」を入力することが指定されている。かかる宛先URLを攻撃者が指定する場合、「http://host#2」がマルウェアダウンロードサイトとして悪用されており、「file-q」が実際のマルウェアであることが想定される。
なお、以下では、ユーザ端末7から受信した宛先URLのことを、「受信宛先URL」と記載する場合がある。
図3に戻って、宛先URL変換部11bは、宛先URL抽出部11aから通知された受信宛先URLを用いて、判定処理および宛先URL変換処理を実行する。以下、かかる処理の一例について、図7〜図9に示す一例を参照して説明する。図7〜図9は、実施例1における宛先URL変換部を説明するための図である。
まず、宛先URL変換部11bは、図7に示すように、受信宛先URLから「ホスト名:host#1」を参照して、図4を用いて説明した囮サーバごとのパス管理リストのうち、「ホスト名:host#1」である囮サーバ5のパス管理リストを用いて判定処理を行なうと決定する。そして、宛先URL変換部11bは、図7に示すように、受信宛先URLに記載されている「パス名:/d-X/d-Y/d-C/file-p」を検索キーとして、当該検索キーと一致するプログラム配置パスが囮サーバ5のパス管理リストに記憶されているか否かを判定する(第一判定処理)。
ここで、仮に、「ホスト名:host#1」のパス管理リストに「パス名:/d-X/d-Y/d-C/file-p」が記憶されている場合、宛先URL変換部11bは、受信宛先URLを変換することなく、受信宛先URLをそのまま後述する転送先特定部11cに通知する(第一通知処理:変換なし)。
一方、「ホスト名:host#1」のパス管理リストに「パス名:/d-X/d-Y/d-C/file-p」が記憶されてない場合、図8に示すように、宛先URL変換部11bは、図5を用いて説明した囮サーバごとのプログラム管理リストのうち、「ホスト名:host#1」である囮サーバ5のプログラム管理リストを用いて判定処理を行なうと決定する。そして、宛先URL変換部11bは、図8に示すように、受信宛先URLに記載されている「変数名:path」を検索キーとして、当該検索キーと一致する変数名を含むプログラム配置パスが囮サーバ5のプログラム管理リストに記憶されているか否かを判定する(第二判定処理)。
ここで、図8に示すように、「ホスト名:host#1」のプログラム管理リストに検索キーである「変数名:path」に対応付けられた「プログラム配置パス:d-A/d-E/d-F/file-d」が記憶されている場合、宛先URL変換部11bは、受信宛先URLの変換処理を行なう。具体的には、宛先URL変換部11bは、図9に示すように、受信宛先URLの「パス名:/d-X/d-Y/d-C/file-p」を、検索キーである「変数名:path」に対応付けられている「プログラム配置パス:d-A/d-E/d-F/file-d」に変換して、受信宛先URLを「変換後宛先URL:http://host#1/d-A/d-E/d-F/file-d?path=http://host#2/d-L/d-M/d-N/file-q」とする。そして、宛先URL変換部11bは、変換後宛先URLを後述する転送先特定部11cに通知する(第二通知処理:変換あり)。
一方、仮に、「ホスト名:host#1」のプログラム管理リストに検索キーである「変数名:path」を含むプログラム配置パスが記憶されていない場合、宛先URL変換部11bは、受信宛先URLをそのまま後述する転送先特定部11cに通知する(第三通知処理:変換なし)。
図3に戻って、転送先特定部11cは、宛先URL変換部11bから通知された宛先URL(受信宛先URLまたは変換後宛先URL)から出力先を特定し、HTTPデータパケットを転送する。例えば、転送先特定部11cは、宛先URLを用いてDNS(Domain Name System)サーバ(図示せず)にIPアドレスを問い合わせて宛先IPアドレスを特定し、宛先IPアドレスに対応する出力先インタフェースにHTTPデータパケットを転送する。なお、転送先特定部11cは、IPアドレスと出力先インタフェースとを対応付けたテーブルを参照して宛先IPアドレスに対応付けられた出力先インタフェースを特定する。また、転送先特定部11cは、宛先URLと出力先インタフェースとを対応付けたテーブルを参照して宛先URLに対応付けられた出力先インタフェースを特定する場合であってもよい。
第一通知処理(変換なし)が行なわれた場合、HTTPデータは、囮サーバ5に到達する。また、第三通知処理(変換なし)が行なわれた場合、HTTPデータは、囮サーバ5に到達せず、攻撃者の攻撃は失敗することとなる。しかし、第二通知処理が行なわれた場合、通常、囮サーバ5に到達しなかったHTTPデータを、囮サーバ5に到達させることができる。これにより、囮サーバ5に接続される攻撃収集装置は、攻撃情報を収集し、攻撃分析装置は、攻撃収集装置が収集した攻撃情報を分析し、攻撃防御装置は、攻撃分析装置の分析結果から特定された攻撃者のユーザ端末7との通信を遮断するための防御処理を実行することができる。
続いて、図10を用いて実施例1における転送制御装置10の処理の手順について説明する。図10は、実施例1における転送制御装置の処理を説明するためのフローチャートである。
図10に示すように、実施例1における転送制御装置10は、外部ネットワークから、自装置が転送制御する対象となる囮サーバ宛であり、プログラムファイルの変数および当該変数に対する入力値が指定されている宛先URLを保有するHTTPデータを受信すると(ステップS101肯定)、宛先URL抽出部11aは、受信したHTTPデータが保有する宛先URL(受信宛先URL)を抽出する(ステップS102)。
そして、宛先URL変換部11bは、宛先URL抽出部11aが抽出した宛先URLに記載されているホスト名およびパス名を特定し(ステップS103)、特定したホスト名のパス管理リストに、特定したパス名が存在するか否かを判定する(ステップS104、第一判定処理)。
ここで、特定したホスト名のパス管理リストに、特定したパス名が存在する場合(ステップS104肯定)、宛先URL変換部11bは、転送先特定部11cに対して、ステップS102で宛先URL抽出部11aが抽出した宛先URLを通知する(ステップS110、変換なしの第一通知処理)。そして、転送先特定部11cは、ステップS102で宛先URL抽出部11aが抽出した宛先URLによりHTTPデータを転送し(ステップS111)、処理を終了する。
一方、特定したホスト名のパス管理リストに、特定したパス名が存在しない場合(ステップS104否定)、宛先URL変換部11bは、宛先URL抽出部11aが抽出した宛先URLに記載されている変数名を特定する(ステップS105)。
そして、宛先URL変換部11bは、特定したホスト名のプログラム管理リストに、特定した変数名が存在するか否かを判定する(ステップS106、第二判定処理)。
ここで、特定したホスト名のプログラム管理リストに、特定した変数名が存在しない場合(ステップS106否定)、宛先URL変換部11bは、転送先特定部11cに対して、ステップS102で宛先URL抽出部11aが抽出した宛先URLを通知する(ステップS110、変換なしの第三通知処理)。そして、転送先特定部11cは、ステップS102で宛先URL抽出部11aが抽出した宛先URLによりHTTPデータを転送し(ステップS111)、処理を終了する。
一方、特定したホスト名のプログラム管理リストに、特定した変数名が存在する場合(ステップS106肯定)、宛先URL変換部11bは、特定した変数名に対応付けられているプログラム配置パスに宛先URLのパス名を変換し(ステップS107、図9参照)、転送先特定部11cに対して、変換後宛先URLを通知する(ステップS108、変換ありの第二通知処理)。そして、転送先特定部11cは、変換後宛先URLによりHTTPデータを転送し(ステップS109)、処理を終了する。
上述してきたように、実施例1によれば、パス管理リスト記憶部12は、転送制御の対象となる囮サーバ5および囮サーバ6それぞれに搭載されているプログラムファイルのパス名(プログラム配置パス)を記憶する。プログラム管理リスト記憶部13は、囮サーバ5および囮サーバ6それぞれに搭載されているプログラムファイルのプログラム配置パスと、当該プログラムファイルにて外部からの入力値指定が許容される変数の変数名とを対応付けたプログラム管理リストを記憶する。
そして、宛先URL抽出部11aは、囮サーバ宛のパケットから、宛先URLを抽出して、抽出した宛先URL(受信宛先URL)を宛先URL変換部11bに通知する。宛先URL変換部11bは、受信宛先URLに記載されているホスト名のパス管理リストに、受信宛先URLに記載されているパス名が記憶されているか否かを判定する(第一判定処理)。パス管理リストにパス名が記憶されている場合、宛先URL変換部11bは、受信宛先URLを変換することなく、受信宛先URLをそのまま転送先特定部11cに通知する(第一通知処理:変換なし)。
一方、パス管理リストにパス名が記憶されてない場合、宛先URL変換部11bは、該当するホスト名のプログラム管理リストに、受信宛先URLに記載されている変数名と一致する変数名を含むエントリが記憶されているか否かを判定する(第二判定処理)。記憶されている場合、宛先URL変換部11bは、受信宛先URLのパス名を、検索キーである変数名に対応付けられているプログラム配置パスに変換して、変換後宛先URLを転送先特定部11cに通知する(第二通知処理:変換あり)。一方、記憶されていない場合、宛先URL変換部11bは、受信宛先URLをそのまま転送先特定部11cに通知する(第三通知処理:変換なし)。そして、転送先特定部11cは、宛先URL変換部11bから通知された宛先URL(受信宛先URLまたは変換後宛先URL)から出力先を特定し、HTTPデータパケットを転送する。
したがって、実施例1によれば、従来、攻撃者が指定する宛先URLに誤記があった際、囮サーバはマルウェアをダウンロードすることができず、その結果、収集できる攻撃情報に限界があったが、「第二通知処理:変換あり」により、宛先URLのパス名を脆弱なプログラムファイルが配置されているパス名に変換することで攻撃を適切な範囲で故意に成功させることができる。その結果、攻撃防御のために抽出可能な攻撃情報量を増加させることで、攻撃検知精度を向上させることが可能となる。
また、実施例1によれば、囮サーバごとにパス管理リストとプログラム管理リストを記憶するので、宛先URLにて指定されている囮サーバのパス管理リストとプログラム管理リストとを容易に特定することができ、判定処理および通知処理を迅速に行なうことが可能となる。
実施例2では、実施例1における第三通知処理の変形例について、図11〜図13を用いて説明する。なお、図11は、実施例2におけるプログラム管理リストを説明するための図であり、図12および13は、実施例2における宛先URL変換部を説明するための図である。
実施例2における転送制御装置10は、図3を用いて実施例1にて説明した転送制御装置10と同様の構成となるが、プログラム管理リスト記憶部13が記憶するプログラム管理リストの内容と、宛先URL変換部11bが実行する第三通知処理の内容とが実施例1と異なる。以下、これらを中心にして説明する。
実施例2におけるプログラム管理リスト記憶部13は、プログラム管理リストのエントリのいずれか一つをデフォルトエントリとして記憶する。例えば、実施例2におけるプログラム管理リストには、図11に示すように、デフォルトエントリであることを示す「フラグ」の項目が追加されている。例えば、図11に示すように、転送制御装置10の操作者により、「ホスト名:host#1」のプログラム管理リストの第一エントリ「変数名:dir、プログラム配置パス:/d-A/d-B/d-C/file-a」がデフォルトエントリとして設定されると、「フラグ」の項目のチェックが追加される。なお、図11にプログラム管理リストの一例では、図5における「変数名:path、プログラム配置パス:d-A/d-E/d-F/file-d」のエントリが存在していない。
かかるデフォルトエントリが設定された状態で、HPPTデータを受信すると、実施例2においても、宛先URL抽出部11aは、受信したHTTPデータが保有する宛先URLを抽出して、宛先URL変換部11bに通知する。
そして、宛先URL変換部11bは、実施例1で説明したように、第一判定処理、変換なしの第一通知処理、第二判定処理および変換ありの第二通知処理を、判定結果に基づいて順次実行するが、実施例1とは異なり、第三通知処理を以下に説明するようにして実行する。
例えば、実施例1と同様、図12に示すように、ネットワーク3に収容されているユーザ端末7から、「http://host#1/d-X/d-Y/d-C/file-p?path=http://host#2/d-L/d-M/d-N/file-q」という宛先URL(受信宛先URL)を保有するHTTPデータを受信した場合、宛先URL変換部11bは、第一判定処理の判定結果が否定となるため、検索キーである「変数名:path」を用いた第二判定処理を行なう。
ここで、「ホスト名:host#1」のプログラム管理リストにて「変数名:path、プログラム配置パス:d-A/d-E/d-F/file-d」のエントリが存在する場合、宛先URL変換部11bは、実施例1と同様に、変換ありの第二通知処理を実行する。しかし、本実施例では、図11に示すように、プロプログラム管理リストには、「変数名:path、プログラム配置パス:d-A/d-E/d-F/file-d」のエントリが存在しない。
かかる場合、実施例2における宛先URL変換部11bは、受信宛先URLをそのまま転送先特定部11cに通知するのではなく、図13に示すように、受信宛先URLの「変数名:path」および「パス名:/ d-X/d-Y/d-C/file-p」を、図11にてデフォルトエントリとして設定されている「変数名:dir、プログラム配置パス:/d-A/d-B/d-C/file-a」に変換する。そして、宛先URL変換部11bは、変換後宛先URLを後述する転送先特定部11cに通知する(第三通知処理:変換あり)。
すなわち、デフォルトエントリを設定することで、第二判定処理の判定結果が否定である場合に、実施例1では攻撃に失敗していたHTTPデータパケットも、囮サーバ5に転送することができる。
続いて、図14を用いて実施例2における転送制御装置10の処理の手順について説明する。図14は、実施例2における転送制御装置の処理を説明するためのフローチャートである。なお、図14に示すステップS212における処理が、図10を用いて説明した実施例1における転送制御装置10の処理と異なる。
図14に示すように、実施例2における転送制御装置10は、外部ネットワークから、自装置が転送制御する対象となる囮サーバ宛であり、プログラムファイルの変数および当該変数に対する入力値が指定されている宛先URLを保有するHTTPデータを受信すると(ステップS201肯定)、宛先URL抽出部11aは、受信したHTTPデータが保有する宛先URL(受信宛先URL)を抽出する(ステップS202)。
そして、宛先URL変換部11bは、宛先URL抽出部11aが抽出した宛先URLに記載されているホスト名およびパス名を特定し(ステップS203)、特定したホスト名のパス管理リストに、特定したパス名が存在するか否かを判定する(ステップS204、第一判定処理)。
ここで、特定したホスト名のパス管理リストに、特定したパス名が存在する場合(ステップS204肯定)、宛先URL変換部11bは、転送先特定部11cに対して、ステップS202で宛先URL抽出部11aが抽出した宛先URLを通知する(ステップS210、変換なしの第一通知処理)。そして、転送先特定部11cは、ステップS202で宛先URL抽出部11aが抽出した宛先URLによりHTTPデータを転送し(ステップS211)、処理を終了する。
一方、特定したホスト名のパス管理リストに、特定したパス名が存在しない場合(ステップS104否定)、宛先URL変換部11bは、宛先URL抽出部11aが抽出した宛先URLに記載されている変数名を特定する(ステップS205)。
そして、宛先URL変換部11bは、特定したホスト名のプログラム管理リストに、特定した変数名が存在するか否かを判定する(ステップS206、第二判定処理)。
ここで、特定したホスト名のプログラム管理リストに、特定した変数名が存在する場合(ステップS206肯定)、宛先URL変換部11bは、特定した変数名に対応付けられているプログラム配置パスに宛先URLのパス名を変換し(ステップS207)、転送先特定部11cに対して、変換後宛先URLを通知する(ステップS208、変換ありの第二通知処理)。そして、転送先特定部11cは、変換後宛先URLによりHTTPデータを転送し(ステップS209)、処理を終了する。
一方、特定したホスト名のプログラム管理リストに、特定した変数名が存在しない場合(ステップS206否定)、宛先URL変換部11bは、特定したホスト名のプログラム管理リストにてフラグが設定されているエントリをデフォルトエントリとして、デフォルトエントリのプログラム配置パスおよび変数名にステップS202で抽出した宛先URLのパス名および変数名を変換し(ステップS212)、転送先特定部11cに対して、変換後宛先URLを通知する(ステップS208、変換ありの第三通知処理)。そして、転送先特定部11cは、変換後宛先URLによりHTTPデータを転送し(ステップS209)、処理を終了する。
上述してきたように、実施例2によれば、デフォルトエントリを設定することにより、第二判定処理の処理結果が否定であった場合でも、宛先URLのパス名を脆弱なプログラムファイルが配置されているパス名に変換することで攻撃を成功させることができる。その結果、攻撃防御のために抽出可能な攻撃情報量をより増加させることで、攻撃検知精度をさらに向上させることが可能となる。
なお、上記した実施例1および2では、転送制御装置10の転送制御対象となる囮サーバが複数である場合について説明したが、本発明は、転送制御装置10の転送制御対象となる囮サーバが1台である場合であっても適用可能である。
また、上記した実施例1および2では、転送制御装置10の転送制御対象となる装置が脆弱なプログラムファイルを故意に搭載された囮サーバである場合について説明した。しかし、本発明は、転送制御装置10の転送制御対象となる装置が、搭載するプログラムファイルが脆弱なプログラムファイルとなってしまう可能性があり、HTTPデータを送受信可能な機能を有するユーザ端末である場合であっても適用可能である。また、本発明は、転送制御装置10の転送制御対象となる装置が囮サーバおよびユーザ端末である場合であっても適用可能である。
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
なお、本実施例で説明した転送制御方法は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
以上のように、本発明に係る転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラムは、宛先URLを保有するデータの転送を制御する場合に有用であり、特に、攻撃防御のために抽出可能な攻撃情報量を増加させることで、攻撃検知精度を向上させることに適する。
1、2、3、4 ネットワーク
5、6 囮サーバ
7、8 ユーザ端末
10 転送制御装置
11 パケット転送部
11a 宛先URL抽出部
11b 宛先URL変換部
11c 転送先特定部
12 パス管理リスト記憶部
13 プログラム管理リスト記憶部

Claims (7)

  1. ネットワークに配置されたサーバ端末を識別するための端末識別子と、ファイル名を末尾として当該ファイル名のファイルが配置されている位置を示す配置位置情報とを含んで構成される宛先統一資源位置指定子を保有するデータの転送を制御する転送制御装置に適用される転送制御方法であって、
    転送制御の対象となるサーバ端末である対象サーバに搭載されているプログラムファイルの当該対象サーバにおける配置位置情報を前記転送制御装置の第一の記憶部に格納し、前記対象サーバに搭載されているプログラムファイルにて外部からの入力値指定が許容される変数の変数名と、当該プログラムファイルの配置位置情報とを対応付けた情報である変数情報を前記転送制御装置の第二の記憶部に格納する格納ステップと、
    前記対象サーバに対応する端末識別子を含み、プログラムファイルの配置位置情報とともに、当該プログラムファイルの変数および当該変数に対する入力値が指定されている宛先統一資源位置指定子を保有するデータを受信した場合に、当該受信した宛先統一資源位置指定子における配置位置情報と一致する配置位置情報が前記第一の記憶部に格納されているか否かを判定する第一の判定処理と、前記第一の判定処理の判定結果が否定であった場合、前記受信した宛先統一資源位置指定子に入力値が指定されている変数名と一致する変数名を含む変数情報が前記第二の記憶部に格納されているか否かを判定する第二の判定処理とを行なう判定ステップと、
    前記判定ステップによる前記第一の判定処理および前記第二の判定処理の判定結果に基づいて、前記受信した宛先統一資源位置指定子を用いた転送処理、または、前記受信した宛先統一資源位置指定子に記載されている配置位置情報を前記第二の記憶部に格納されている前記変数情報により変換した変換後の宛先統一資源位置指定子を用いた転送処理を行なうように制御する制御ステップと、
    を含んだことを特徴とする転送制御方法。
  2. 前記制御ステップは、
    前記第一の判定処理によって前記受信した宛先統一資源位置指定子における配置位置情報と一致する配置位置情報が前記第一の記憶部に格納されていると判定された場合、前記受信した宛先統一資源位置指定子を用いた転送処理を行なうように制御する第一の制御処理と、
    前記第二の判定処理によって前記受信した宛先統一資源位置指定子に入力値が指定されている変数名と一致する変数名を含む変数情報が前記第二の記憶部に格納されていると判定された場合、前記受信した宛先統一資源位置指定子に記載されている配置位置情報を、当該変数名を含む変数情報の配置位置情報に変換し、変換後の宛先統一資源位置指定子を用いた転送処理を行なうように制御する第二の制御処理と、
    前記第二の判定処理によって前記受信した宛先統一資源位置指定子に入力値が指定されている変数名と一致する変数名を含む変数情報が前記第二の記憶部に格納されていないと判定された場合、前記受信した宛先統一資源位置指定子を用いた転送処理を行なうように制御する第三の制御処理とを行なうことを特徴とする請求項1に記載の転送制御方法。
  3. 前記変数情報格納ステップは、複数の変数情報のうちいずれか一つの変数情報を変換後情報として前記第二の記憶部に格納し、
    前記制御ステップは、前記第二の判定処理によって前記受信した宛先統一資源位置指定子に入力値が指定されている変数名と一致する変数名を含む変数情報が前記第二の記憶部に格納されていないと判定された場合、前記受信した宛先統一資源位置指定子の配置位置情報および変数名を、前記第二の記憶部に格納されている前記変換後情報の配置位置情報および変数名に変換し、変換後の宛先統一資源位置指定子を用いた転送処理を行なうように前記第三の制御処理を行なうことを特徴とする請求項2に記載の転送制御方法。
  4. 複数の対象サーバへのデータの転送を制御する場合であって、
    前記格納ステップは、前記複数の対象サーバそれぞれの配置位置情報を前記第一の記憶部に格納し、かつ、前記複数の対象サーバそれぞれの変数情報を前記第二の記憶部に格納し、
    前記判定ステップは、前記受信した宛先統一資源位置指定子の端末識別子に対応する対象サーバの配置位置情報を前記第一の記憶部から検索して前記第一の判定処理を行ない、前記受信した宛先統一資源位置指定子の端末識別子に対応する対象サーバの変数情報を前記第二の記憶部から検索して前記第二の判定処理を行なうことを特徴とする請求項1〜3のいずれか一つに記載の転送制御方法。
  5. ネットワークに配置されたサーバ端末を識別するための端末識別子と、ファイル名を末尾として当該ファイル名のファイルが配置されている位置を示す配置位置情報とを含んで構成される宛先統一資源位置指定子を保有するデータの転送を制御する転送制御装置であって、
    転送制御の対象となるサーバ端末である対象サーバに搭載されているプログラムファイルの当該対象サーバにおける配置位置情報を記憶する配置位置情報記憶手段と、
    前記対象サーバに搭載されているプログラムファイルにて外部からの入力値指定が許容される変数の変数名と、当該プログラムファイルの配置位置情報とを対応付けた情報である変数情報を記憶する変数情報記憶手段と、
    前記対象サーバに対応する端末識別子を含み、プログラムファイルの配置位置情報とともに、当該プログラムファイルの変数および当該変数に対する入力値が指定されている宛先統一資源位置指定子を保有するデータを受信した場合に、当該受信した宛先統一資源位置指定子における配置位置情報と一致する配置位置情報が前記配置位置情報記憶手段に記憶されているか否かを判定する第一の判定処理と、前記第一の判定処理の判定結果が否定であった場合、前記受信した宛先統一資源位置指定子に入力値が指定されている変数名と一致する変数名を含む変数情報が前記第二の記憶部に格納されているか否かを判定する第二の判定処理とを行なう判定手段と、
    前記判定手段による前記第一の判定処理および前記第二の判定処理の判定結果に基づいて、前記受信した宛先統一資源位置指定子を用いた転送処理、または、前記受信した宛先統一資源位置指定子に記載されている配置位置情報を前記第二の記憶部に格納されている前記変数情報により変換した変換後の宛先統一資源位置指定子を用いた転送処理を行なうように制御する制御手段と、
    を備えたことを特徴とする転送制御装置。
  6. ネットワークに配置されたサーバ端末を識別するための端末識別子と、ファイル名を末尾として当該ファイル名のファイルが配置されている位置を示す配置位置情報とを含んで構成される宛先統一資源位置指定子を保有するデータの転送を制御する転送制御装置を含む転送制御システムであって、
    前記転送制御装置は、
    転送制御の対象となるサーバ端末である対象サーバに搭載されているプログラムファイルの当該対象サーバにおける配置位置情報を記憶する配置位置情報記憶手段と、
    前記対象サーバに搭載されているプログラムファイルにて外部からの入力値指定が許容される変数の変数名と、当該プログラムファイルの配置位置情報とを対応付けた情報である変数情報を記憶する変数情報記憶手段と、
    前記対象サーバに対応する端末識別子を含み、プログラムファイルの配置位置情報とともに、当該プログラムファイルの変数および当該変数に対する入力値が指定されている宛先統一資源位置指定子を保有するデータを受信した場合に、当該受信した宛先統一資源位置指定子における配置位置情報と一致する配置位置情報が前記配置位置情報記憶手段に記憶されているか否かを判定する第一の判定処理と、前記第一の判定処理の判定結果が否定であった場合、前記受信した宛先統一資源位置指定子に入力値が指定されている変数名と一致する変数名を含む変数情報が前記第二の記憶部に格納されているか否かを判定する第二の判定処理とを行なう判定手段と、
    前記判定手段による前記第一の判定処理および前記第二の判定処理の判定結果に基づいて、前記受信した宛先統一資源位置指定子を用いた転送処理、または、前記受信した宛先統一資源位置指定子に記載されている配置位置情報を前記第二の記憶部に格納されている前記変数情報により変換した変換後の宛先統一資源位置指定子を用いた転送処理を行なうように制御する制御手段と、
    を備えたことを特徴とする転送制御システム。
  7. ネットワークに配置されたサーバ端末を識別するための端末識別子と、ファイル名を末尾として当該ファイル名のファイルが配置されている位置を示す配置位置情報とを含んで構成される宛先統一資源位置指定子を保有するデータの転送を制御するコンピュータとしての転送制御装置に実行させる転送制御プログラムであって、
    転送制御の対象となるサーバ端末である対象サーバに搭載されているプログラムファイルの当該対象サーバにおける配置位置情報を前記転送制御装置の第一の記憶部に格納し、前記対象サーバに搭載されているプログラムファイルにて外部からの入力値指定が許容される変数の変数名と、当該プログラムファイルの配置位置情報とを対応付けた情報である変数情報を前記転送制御装置の第二の記憶部に格納する格納手順と、
    前記対象サーバに対応する端末識別子を含み、プログラムファイルの配置位置情報とともに、当該プログラムファイルの変数および当該変数に対する入力値が指定されている宛先統一資源位置指定子を保有するデータを受信した場合に、当該受信した宛先統一資源位置指定子における配置位置情報と一致する配置位置情報が前記第一の記憶部に格納されているか否かを判定する第一の判定処理と、前記第一の判定処理の判定結果が否定であった場合、前記受信した宛先統一資源位置指定子に入力値が指定されている変数名と一致する変数名を含む変数情報が前記第二の記憶部に格納されているか否かを判定する第二の判定処理とを行なう判定手順と、
    前記判定手順による前記第一の判定処理および前記第二の判定処理の判定結果に基づいて、前記受信した宛先統一資源位置指定子を用いた転送処理、または、前記受信した宛先統一資源位置指定子に記載されている配置位置情報を前記第二の記憶部に格納されている前記変数情報により変換した変換後の宛先統一資源位置指定子を用いた転送処理を行なうように制御する制御手順と、
    をコンピュータに実行させることを特徴とする転送制御プログラム。
JP2009239630A 2009-10-16 2009-10-16 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム Active JP5345500B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009239630A JP5345500B2 (ja) 2009-10-16 2009-10-16 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009239630A JP5345500B2 (ja) 2009-10-16 2009-10-16 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム

Publications (2)

Publication Number Publication Date
JP2011087189A true JP2011087189A (ja) 2011-04-28
JP5345500B2 JP5345500B2 (ja) 2013-11-20

Family

ID=44079806

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009239630A Active JP5345500B2 (ja) 2009-10-16 2009-10-16 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム

Country Status (1)

Country Link
JP (1) JP5345500B2 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011086192A (ja) * 2009-10-16 2011-04-28 Nippon Telegr & Teleph Corp <Ntt> 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム
JP2013011949A (ja) * 2011-06-28 2013-01-17 Nippon Telegr & Teleph Corp <Ntt> 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム
JP2013117903A (ja) * 2011-12-05 2013-06-13 Nippon Telegr & Teleph Corp <Ntt> 応答装置、応答方法およびプログラム
CN109617917A (zh) * 2019-01-21 2019-04-12 深圳市能信安科技股份有限公司 地址虚拟化Web应用安全防火墙方法、装置和系统
CN114930308A (zh) * 2020-01-24 2022-08-19 株式会社自动网络技术研究所 控制装置、控制系统及控制装置的功能或动作的决定方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09185633A (ja) * 1996-01-05 1997-07-15 Toshiba Corp ハイパーメディアシステムにおける情報公開支援方法
JP2002041468A (ja) * 2000-07-26 2002-02-08 Nec Software Chubu Ltd 不正アクセス防止サービスシステム
JP2002111726A (ja) * 2000-09-29 2002-04-12 Kddi Corp 不正侵入防止システム
JP2007124482A (ja) * 2005-10-31 2007-05-17 Ntt Data Corp スパイウェア通信管理装置およびスパイウェア通信管理プログラム
JP2007133896A (ja) * 2006-12-26 2007-05-31 Nec Corp サーバ負荷分散システム、サーバ負荷分散装置、コンテンツ管理装置、及びサーバ負荷分散プログラム
JP2011086192A (ja) * 2009-10-16 2011-04-28 Nippon Telegr & Teleph Corp <Ntt> 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09185633A (ja) * 1996-01-05 1997-07-15 Toshiba Corp ハイパーメディアシステムにおける情報公開支援方法
JP2002041468A (ja) * 2000-07-26 2002-02-08 Nec Software Chubu Ltd 不正アクセス防止サービスシステム
JP2002111726A (ja) * 2000-09-29 2002-04-12 Kddi Corp 不正侵入防止システム
JP2007124482A (ja) * 2005-10-31 2007-05-17 Ntt Data Corp スパイウェア通信管理装置およびスパイウェア通信管理プログラム
JP2007133896A (ja) * 2006-12-26 2007-05-31 Nec Corp サーバ負荷分散システム、サーバ負荷分散装置、コンテンツ管理装置、及びサーバ負荷分散プログラム
JP2011086192A (ja) * 2009-10-16 2011-04-28 Nippon Telegr & Teleph Corp <Ntt> 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011086192A (ja) * 2009-10-16 2011-04-28 Nippon Telegr & Teleph Corp <Ntt> 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム
JP2013011949A (ja) * 2011-06-28 2013-01-17 Nippon Telegr & Teleph Corp <Ntt> 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム
JP2013117903A (ja) * 2011-12-05 2013-06-13 Nippon Telegr & Teleph Corp <Ntt> 応答装置、応答方法およびプログラム
CN109617917A (zh) * 2019-01-21 2019-04-12 深圳市能信安科技股份有限公司 地址虚拟化Web应用安全防火墙方法、装置和系统
CN114930308A (zh) * 2020-01-24 2022-08-19 株式会社自动网络技术研究所 控制装置、控制系统及控制装置的功能或动作的决定方法

Also Published As

Publication number Publication date
JP5345500B2 (ja) 2013-11-20

Similar Documents

Publication Publication Date Title
US11863587B2 (en) Webshell detection method and apparatus
Pa et al. {IoTPOT}: analysing the rise of {IoT} compromises
US10382436B2 (en) Network security based on device identifiers and network addresses
JP5655191B2 (ja) 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム
EP1591868B1 (en) Method and apparatus for providing network security based on device security status
JP6006788B2 (ja) ドメイン名をフィルタリングするためのdns通信の使用
EP2865165B1 (en) Method and device for secure content retrieval
EP3297248B1 (en) System and method for generating rules for attack detection feedback system
JP5345500B2 (ja) 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム
KR101487476B1 (ko) 악성도메인을 검출하기 위한 방법 및 장치
JP5313104B2 (ja) 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム
WO2022166166A1 (zh) 安全组件的功能验证方法及装置
Yagi et al. Enhanced attack collection scheme on high-interaction web honeypots
JP5986340B2 (ja) Url選定方法、url選定システム、url選定装置及びurl選定プログラム
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
JP5110082B2 (ja) 通信制御システム、通信制御方法および通信端末
JP5389740B2 (ja) 更新方法、更新装置及び更新システム
JP5385867B2 (ja) データ転送装置及びアクセス解析方法
Yagi et al. Intelligent high-interaction web honeypots based on url conversion scheme
Riordan et al. Building and deploying billy goat, a worm detection system
CN112565203B (zh) 一种集中管理平台
JP5397380B2 (ja) アクセス制御システム、アクセス制御方法および通信端末
KR20150026187A (ko) 드로퍼 판별을 위한 시스템 및 방법
JP5952219B2 (ja) ファイル監視周期制御装置、ファイル監視周期制御システム、ファイル監視周期制御方法及びファイル監視周期制御プログラム
Atul et al. Prevention of PAC file based attack using DHCP snooping

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20110520

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20110520

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120309

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130215

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130312

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130425

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130813

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130814

R150 Certificate of patent or registration of utility model

Ref document number: 5345500

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150