JP2012526501A - ネットワーク内容改竄防止設備、方法及びそのシステム - Google Patents
ネットワーク内容改竄防止設備、方法及びそのシステム Download PDFInfo
- Publication number
- JP2012526501A JP2012526501A JP2012510095A JP2012510095A JP2012526501A JP 2012526501 A JP2012526501 A JP 2012526501A JP 2012510095 A JP2012510095 A JP 2012510095A JP 2012510095 A JP2012510095 A JP 2012510095A JP 2012526501 A JP2012526501 A JP 2012526501A
- Authority
- JP
- Japan
- Prior art keywords
- network
- content
- update
- network content
- contents
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 56
- 230000002265 prevention Effects 0.000 title claims abstract description 32
- 238000012544 monitoring process Methods 0.000 claims abstract description 96
- 230000004075 alteration Effects 0.000 claims abstract description 12
- 238000004891 communication Methods 0.000 claims description 31
- 230000008859 change Effects 0.000 claims description 9
- 238000012545 processing Methods 0.000 claims description 8
- 230000002159 abnormal effect Effects 0.000 claims description 7
- 238000012806 monitoring device Methods 0.000 claims description 6
- 230000008569 process Effects 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 4
- 230000004048 modification Effects 0.000 description 10
- 238000012986 modification Methods 0.000 description 10
- 230000015654 memory Effects 0.000 description 5
- 238000012937 correction Methods 0.000 description 4
- 230000007547 defect Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0823—Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability
- H04L41/083—Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability for increasing network speed
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0806—Configuration setting for initial configuration or provisioning, e.g. plug-and-play
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/145—Detection or countermeasures against cache poisoning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本発明は、一つ又は複数のネットワークサーバにおけるネットワーク内容をキャッシングする内容キャッシングと提供設備と、前記ネットワークサーバにそれぞれ並入される一つ又は複数の内容監視クライアント部分と前記内容キャッシングと提供設備に並入される内容監視サーバ部分とを含む内容監視サブシステムとを含む一つ又は複数のネットワークサーバにおけるネットワーク内容改竄防止システムを開示している。本発明は、内容キャッシングと提供設備と、ネットワーク内容提供システムと使用方法とを開示している。本発明のシステム、設備、方法により、ネットワーク内容の改竄を有効に防止できるとともに、ネットワーク内容のアクセス速度と安全性を向上させる。
【選択図】図1
【選択図】図1
Description
本発明は、ネットワークサーバ安全の分野に関し、特に、ネットワークサーバにおけるネットワーク内容の改竄を防止できる設備、方法とシステム、及び該方法を実現するコンピュータープログラム製品と記録媒体に関する。
情報時代の到来につれ、ネットワークに様々な内容情報サービスを提供するネットワークサーバがますます普及されている。様々な原因、例えば、ネットワークサーバ自体の使用されるオペレーティングシステムの漏れ、又はネットワークサーバのネットワーク管理員の間違い設定等の原因から、ハッカーは、権限を与えられていない状態で、ネットワークサーバに提供されたネットワーク内容を改竄できる。その場合、ネットワーク内容が非法情報の内容を含ませるように改竄され、該ネットワークサーバのネットワーク内容をブラウジングするユーザが、間違った情報を得ることになる。これは、ネットワークサーバの所有者と内容提供者に非常に大きな損失を招く。
そのため、従来技術において、ネットワークサーバにおけるネットワーク内容の改竄を防止するため、いろいろな方法が提供された。
その一つの方案として、ネットワークサーバに専用なソフトをインストールしてリアルタイムにネットワークサーバにおけるファイルの内容を監視し、ファイルの内容が改竄されたことが発見された場合、直接的に、ファイルのバックアップファイルを利用して改竄されたファイルを覆う方法が提案された。
その一つの方案として、ネットワークサーバに専用なソフトをインストールしてリアルタイムにネットワークサーバにおけるファイルの内容を監視し、ファイルの内容が改竄されたことが発見された場合、直接的に、ファイルのバックアップファイルを利用して改竄されたファイルを覆う方法が提案された。
しかし、前記ネットワーク内容改竄防止方式には、多くの欠陥が存在する。まず、該方式の場合、ネットワークサーバに専用なソフトをインストールする必要があり、若し該ソフト自体には安全問題があれば、ネットワークサーバに潜在している安全弊害を招く。その次、該ソフトはネットワークサーバにて執行されているから、もしハッカーがもう該ネットワークサーバに対する十分に高い権限を獲得した場合、ハッカーが該ソフトを機能させない権限を持つ可能性がかなりあり、該ソフトはただ置物になってしまう。その次、こんなソフトが、ネットワークサーバにネットワーク内容サービスを提供するアプリケーション(例えば、HTTPサーバ等)と協力する必要があるから、ネットワークサーバの管理員は、作業流れを変える必要があり、ネットワーク管理員の作業量の増加を引き起こす。また、このようなネットワーク内容改竄防止用ソフトは、直接的に措置を講じてネットワーク内容が改竄された原因を探さないで、ただ既に改竄されたファイルを覆うだけですから、該ネットワークサーバに侵入できたハッカーは再びネットワーク内容を改竄でき、ネットワークサーバは不穏になる。
もう一つの方案として、ネットワークサーバの前にハードウェア防護設備を配置することにより、ネットワーク内容改竄を防止する方案が提案された。ハードウァエ防護設備は、保護されたファイルを定期的にサーバから獲得し、それをハードウェア防護設備に記憶された標準ファイルと比較し、改竄されたか否かを判断する。もしファイルが改竄されたと判定されたら、引継ぎと警戒の動作を行なう。通常の場合、引継ぎの内容が、ハードウェア防護設備自体に付いた統一の内容である。
しかし、このようなハードウェア設備によりネットワーク内容改竄防止の方式にも、多くの欠陥が存在する。まず、この方式の場合、ネットワーク内容改竄に対する判定が、サーバから保護されたネットワーク内容を所定の時間置きに獲得し、且つそれをハードウェア防護設備に記憶された標準内容と比べるものである。よって、ハードウェア防護設備が判定を行なう前に、改竄された内容が既に該ネットワーク内容をブラウジングするユーザにブラウジングされた可能もあるため、ネットワークサービスを提供する内容提供者に非常に大きな損失を招く。次は、ハードウェア設備がサーバーのファイルをポーリングするため、保護されたファイルの量が数多い場合、必ずハードウェア設備の性能に影響を及ぼしてしまい、ネットワークサーバのアクセス速度が低減してしまう。更に、もし改竄が発生した場合、通常の場合、ユーザがブラウジングしたのは、ハードウェア自体に付いた、改竄される前の内容と異なる引継ぎの内容である。ある意味からみて、ネットワーク内容が改竄され、且つユーザに気付かれた。
上記から分かるように、先行技術の各ネットワーク内容改竄防止方法には、多かれ少なかれ、欠陥が存在する。尚、上記の方法はネットワーク内容改竄防止のみを考慮するが、ユーザのアクセス速度を考慮していない。一般的に言えば、ネットワーク内容改竄を防止するために追加の処理をする必要があるから、普通、ネットワークサーバの追加な消費が必要となり、サーバのネットワーク内容を提供する性能が低減してしまう。これは、ネットワーク内容改竄防止設備又はシステムの普及には不利である。
このため、本発明は、上記の従来技術に存在する問題を回避できるとともに、ユーザのネットワークにアクセスする速度を向上できる新たなネットワーク内容改竄防止設備、方法及びシステムを提供できるように工夫する。
本発明の一つの方案によると、一つ又は複数のネットワークサーバにおけるネットワーク内容の改竄防止用のネットワーク内容改竄防止システムであって、
一つ又は複数のネットワークサーバにおけるネットワーク内容をキャッシングし、ユーザからのネットワーク内容アクセス請求を処理して、キャッシングされたネットワーク内容を利用して前記ユーザのネットワーク内容アクセス請求に対し応答する内容キャッシングと提供設備と、
前記ネットワークサーバにそれぞれ並入された一つ又は複数の内容監視クライアント部分と、前記内容キャッシングと提供設備に並入された内容監視サーバ部分と、を含む内容監視サブシステムとを備え、
前記一つ又は複数の内容監視クライアント部分が、前記一つ又は複数のネットワークサーバにおけるネットワーク内容の更新を監視し、且つ前記ネットワーク内容の更新を前記内容監視サーバ部分に送信する、
前記内容監視サーバ部分が、予定の改竄判断規則に基づき、前記ネットワーク内容の更新が改竄であるか否かを判断し、前記ネットワーク内容の更新が改竄であると判定された場合、前記内容キャッシングと提供設備にキャッシングされた相応なネットワーク内容を更新せず、前記ネットワーク内容の更新が改竄ではないと判定された場合、キャッシングされた前記一つ又は複数のネットワークサーバのネットワーク内容を更新することを前記内容キャッシングと提供設備に指示することを特徴とするシステムを提供する。
一つ又は複数のネットワークサーバにおけるネットワーク内容をキャッシングし、ユーザからのネットワーク内容アクセス請求を処理して、キャッシングされたネットワーク内容を利用して前記ユーザのネットワーク内容アクセス請求に対し応答する内容キャッシングと提供設備と、
前記ネットワークサーバにそれぞれ並入された一つ又は複数の内容監視クライアント部分と、前記内容キャッシングと提供設備に並入された内容監視サーバ部分と、を含む内容監視サブシステムとを備え、
前記一つ又は複数の内容監視クライアント部分が、前記一つ又は複数のネットワークサーバにおけるネットワーク内容の更新を監視し、且つ前記ネットワーク内容の更新を前記内容監視サーバ部分に送信する、
前記内容監視サーバ部分が、予定の改竄判断規則に基づき、前記ネットワーク内容の更新が改竄であるか否かを判断し、前記ネットワーク内容の更新が改竄であると判定された場合、前記内容キャッシングと提供設備にキャッシングされた相応なネットワーク内容を更新せず、前記ネットワーク内容の更新が改竄ではないと判定された場合、キャッシングされた前記一つ又は複数のネットワークサーバのネットワーク内容を更新することを前記内容キャッシングと提供設備に指示することを特徴とするシステムを提供する。
本発明のもう一つの方案によると、内容キャッシングと提供設備であって、
前記一つ又は複数のネットワークサーバにおけるネットワーク内容をキャッシングするネットワーク内容キャッシュと、
ユーザからの、前記一つ又は複数のネットワークサーバにおけるネットワーク内容に対するアクセス請求を処理し、且つ前記ネットワーク内容キャッシュにキャッシングされたネットワーク内容を利用して前記ユーザのアクセス請求に対し応答するネットワークサーバプロキシ装置と、
前記一つ又は複数のネットワークサーバにおけるネットワーク内容を獲得し、且つその内容で前記ネットワーク内容キャッシュに対する更新を行う内容更新装置と、
前記一つ又は複数のネットワークサーバにそれぞれ並入された一つ又は複数の内容監視クライアント部分と通信し、前記ネットワークサーバにおけるネットワーク内容更新情報を獲得し、且つ予定の改竄判断規則に基づき前記ネットワーク内容の更新が改竄であるか否かを判断し、前記ネットワーク内容の更新が改竄であると判定された場合、前記ネットワーク内容キャッシュにキャッシングされた相応なネットワーク内容を更新せず、前記ネットワーク内容の更新が改竄ではないと判定された場合、キャッシングされた前記一つ又は複数のネットワークサーバのネットワーク内容を更新することを前記内容更新装置に指示する内容監視サーバ部分と、を含む内容キャッシングと提供設備を提供する。
前記一つ又は複数のネットワークサーバにおけるネットワーク内容をキャッシングするネットワーク内容キャッシュと、
ユーザからの、前記一つ又は複数のネットワークサーバにおけるネットワーク内容に対するアクセス請求を処理し、且つ前記ネットワーク内容キャッシュにキャッシングされたネットワーク内容を利用して前記ユーザのアクセス請求に対し応答するネットワークサーバプロキシ装置と、
前記一つ又は複数のネットワークサーバにおけるネットワーク内容を獲得し、且つその内容で前記ネットワーク内容キャッシュに対する更新を行う内容更新装置と、
前記一つ又は複数のネットワークサーバにそれぞれ並入された一つ又は複数の内容監視クライアント部分と通信し、前記ネットワークサーバにおけるネットワーク内容更新情報を獲得し、且つ予定の改竄判断規則に基づき前記ネットワーク内容の更新が改竄であるか否かを判断し、前記ネットワーク内容の更新が改竄であると判定された場合、前記ネットワーク内容キャッシュにキャッシングされた相応なネットワーク内容を更新せず、前記ネットワーク内容の更新が改竄ではないと判定された場合、キャッシングされた前記一つ又は複数のネットワークサーバのネットワーク内容を更新することを前記内容更新装置に指示する内容監視サーバ部分と、を含む内容キャッシングと提供設備を提供する。
本発明のもう一つの方案によると、提供しようとするネットワーク内容が記憶された一つ又は複数のネットワークサーバと、上述した、一つ又は複数のネットワークサーバにおけるネットワーク内容が改竄されることを防止するネットワーク内容改竄防システムと、を含むネットワーク内容提供システムを提供する。
本発明のもう一つの方案によると、一つ又は複数のネットワークサーバにおけるネットワーク内容をキャッシングする内容キャッシングと更新設備を含むネットワーク内容改竄防止システムにおいて執行される、一つ又は複数のネットワークサーバにおけるネットワーク内容が改竄されることを防止するネットワーク内容改竄防止方法であって、
前記一つ又は複数のネットワークサーバにおけるネットワーク内容を監視するステップと、
前記一つ又は複数のネットワークサーバにおけるネットワーク内容が変化したことを発見した場合、ネットワーク内容の変化に関する情報を生成するステップと、
予定の改竄判断規則に基づき、前記ネットワーク内容の更新イベントの対応したネットワーク内容の変化が正常な内容更新か異常な内容改竄かを判断するステップと、
もし該ネットワーク内容の更新が正常な内容更新であるなら、キャッシングされたネットワーク内容を更新するステップと、
もし該ネットワーク内容の更新が異常な内容改竄であるなら、キャッシングされたネットワーク内容を更新しないステップと、
を含むネットワーク内容改竄防止方法。
本発明のもう一つの方案によると、一つ又は複数のネットワークサーバにおけるネットワーク内容をキャッシングする内容キャッシングと更新設備を含むネットワーク内容改竄防止システムにおいて執行される、一つ又は複数のネットワークサーバにおけるネットワーク内容が改竄されることを防止するネットワーク内容改竄防止方法であって、
前記一つ又は複数のネットワークサーバにおけるネットワーク内容を監視するステップと、
前記一つ又は複数のネットワークサーバにおけるネットワーク内容が変化したことを発見した場合、ネットワーク内容の変化に関する情報を生成するステップと、
予定の改竄判断規則に基づき、前記ネットワーク内容の更新イベントの対応したネットワーク内容の変化が正常な内容更新か異常な内容改竄かを判断するステップと、
もし該ネットワーク内容の更新が正常な内容更新であるなら、キャッシングされたネットワーク内容を更新するステップと、
もし該ネットワーク内容の更新が異常な内容改竄であるなら、キャッシングされたネットワーク内容を更新しないステップと、
を含むネットワーク内容改竄防止方法。
本発明のネットワーク内容改竄防止方案は、ネットワークサーバの前に配置された内容キャッシングと提供設備を使用することを含む。ネットワークサーバにおける内容内容キャッシングと提供設備にをキャッシングされているから、ネットワークサーバにおける内容にアクセスするユーザが、内容キャッシングと提供設備を経由してネットワークサーバにおける内容を獲得することなく、内容キャッシングと提供設備から直接にネットワーク内容を獲得できる。よって、ユーザのネットワーク内容にアクセスする速度を向上できる。尚、内容キャッシングと提供設備は、通常、専用なハードウェアであり、ネットワーク記録のため最適化されたものであるから、ネットワークサーバと比べ、より速いユーザ応答速度を有し、ユーザのアクセス速度を更に向上させる。
本発明のネットワーク内容改竄防止方案は、ネットワーク内容監視システムを使用することを含む。ネットワーク内容監視システムは分布式システムであり、ネットワークサーバと緊密に協働し又はそれに並入される内容監視クライアント部分と、内容キャッシングと提供設備と緊密に協働し又はそれに並入される内容監視サーバ部分とを含む。内容監視クライアント部分は、ネットワークサーバに並入されるから、ネットワークサーバとともに許可がないままで侵入と改竄され、効かなくなる恐れがあるが、内容監視サーバ部分は、セキュリティランクが高い内容キャッシングと提供設備に並入されるため、許可がないままで侵入と改竄されるのが困難である。内容監視サーバ部分と内容監視クライアント部分との間の専用な通信にて、内容監視クライアント部分の異常を迅速に発見できる。よって、ネットワークサーバに専用なソフトのみをインストールする方法と比べ、本発明の方法はより高い安全性を有する。
以下の、最良の実施形態の詳しい記述によって、当業者にとって、様々な他の長所と利点が明瞭に理解できる。図面の目的はただ最良の実施形態を示すに過ぎず、本発明に対して何ら制限的な意味を有するものではない。また、全部の図面において、同一の部品に対し同一の参考番号を標記する。そのうち、図面において、参照数字の後のアルファベット標記が、複数の同一の部材を示すものである。これらの部材を一般に指す時、最後のアルファベット標記を省略する。図面において:
図1は、本発明の実施例に係るネットワーク内容提供システム100によってネットワーク内容を提供するのブロックを示す。
図2は、本発明の実施例に係るネットワーク内容改竄防止システム110の具体的なブロックを示す。
図3は、本発明の実施例に係るネットワーク内容改竄防止方法300を示す。
以下、図面と具体的な実施形態に基づいて、本願発明を詳しく説明する。
図1は、本発明の実施例に係るネットワーク内容提供システム100によってネットワーク内容を提供するブロックを示す。
本発明のネットワーク内容提供システム100において、ネットワーク内容改竄防止システム110によりクライアントからの内容アクセス請求を処理する。ネットワーク内容改竄防止システム110は、内容キャッシングと提供設備120と、内容監視サブシステム140とを含む。内容監視サブシステム140は分布式システムであり、内容キャッシングと提供設備120と協働し、好ましく内容キャッシングと提供設備120に並入される内容監視サーバ端141と、ネットワークサーバ130aと130bと協働し、好ましくネットワークサーバ130aと130bに並入される内容監視クライアント143a、143bとを含む。内容監視クライアント143は、ネットワークサーバにおけるネットワーク内容の変化を監視し、該変化を内容監視サーバ端141に通知し、且つ該内容監視サーバ端141によって内容キャッシングと提供設備120の操作を制御する。本発明のネットワーク内容提供システム100は、一つ又は複数のネットワークサーバ130を含む。従って、ネットワークサーバの数と対応する内容監視クライアント143が必要である。内容監視サーバ141は、複数のネットワークサーバ130におけるネットワーク内容を監視するよう、複数の内容監視クライアント143と同時に通信できる。内容監視サーバ141と内容監視クライアント143との間は、任意方式の通信方式を採用してもいいが、両者の間の通信内容が第三者に知られないように、暗号化の通信方式が好ましい。なお、内容監視サーバ141と内容監視クライアント143との間は、内容監視サーバ141と内容監視クライアント143との間の通信が正常であるか否かを検出するよう、例えばハートビートプロトコルに基づくハードビート検出を執行する。勿論、内容監視サーバ141と内容監視クライアント143との間の通信が正常であるか否かを検出できる他の如何なる検出技術も、本発明の保護範囲内に含まれる。
図1は、本発明の実施例に係るネットワーク内容提供システム100によってネットワーク内容を提供するブロックを示す。
本発明のネットワーク内容提供システム100において、ネットワーク内容改竄防止システム110によりクライアントからの内容アクセス請求を処理する。ネットワーク内容改竄防止システム110は、内容キャッシングと提供設備120と、内容監視サブシステム140とを含む。内容監視サブシステム140は分布式システムであり、内容キャッシングと提供設備120と協働し、好ましく内容キャッシングと提供設備120に並入される内容監視サーバ端141と、ネットワークサーバ130aと130bと協働し、好ましくネットワークサーバ130aと130bに並入される内容監視クライアント143a、143bとを含む。内容監視クライアント143は、ネットワークサーバにおけるネットワーク内容の変化を監視し、該変化を内容監視サーバ端141に通知し、且つ該内容監視サーバ端141によって内容キャッシングと提供設備120の操作を制御する。本発明のネットワーク内容提供システム100は、一つ又は複数のネットワークサーバ130を含む。従って、ネットワークサーバの数と対応する内容監視クライアント143が必要である。内容監視サーバ141は、複数のネットワークサーバ130におけるネットワーク内容を監視するよう、複数の内容監視クライアント143と同時に通信できる。内容監視サーバ141と内容監視クライアント143との間は、任意方式の通信方式を採用してもいいが、両者の間の通信内容が第三者に知られないように、暗号化の通信方式が好ましい。なお、内容監視サーバ141と内容監視クライアント143との間は、内容監視サーバ141と内容監視クライアント143との間の通信が正常であるか否かを検出するよう、例えばハートビートプロトコルに基づくハードビート検出を執行する。勿論、内容監視サーバ141と内容監視クライアント143との間の通信が正常であるか否かを検出できる他の如何なる検出技術も、本発明の保護範囲内に含まれる。
内容キャッシングと提供設備120は、ネットワークサーバプロキシ装置121と、ネットワーク内容キャッシュ123と、内容更新装置125とを含む。ネットワーク内容キャッシュ123にはネットワークサーバ130aと130bにおけるネットワーク内容がキャッシングされる。内容更新装置125は、内容監視サブシステム140からの情報、特に内容監視サーバ端141からの情報に基づき、ネットワーク内容キャッシュ123の内容を更新し、ネットワークサーバ130におけるネットワーク内容と、ネットワーク内容キャッシュ123にキャッシングされた内容とを一致させる。
本発明のネットワーク内容提供システム100が使用される前又は使用される当初、又は新しいネットワークサーバ130をネットワーク内容提供システム100に配置する時、如何なる方法でネットワークサーバ130のネットワーク内容メモリー131に記憶されたネットワーク内容を内容キャッシングと提供設備120のネットワーク内容キャッシュ123にデュプリケートできる。これは、例えばネットワーク管理員が手動で完成できる。内容監視クライアント143によって全てのネットワーク内容を更新する情報を内容監視サーバ141に送信してから、ネットワークサーバ130における全てのネットワーク内容をネットワーク内容キャッシュ123にデュプリケートする指示を内容監視サーバ141から内容更新装置125に発信することもできる。初期段階においてネットワークサーバ130におけるネットワーク内容をネットワーク内容キャッシュ123にキャッシングする全ての方法が、本発明の保護範囲内に含まれる。
ネットワーク内容提供システム100の運行期間において、複数のクライアント200a,...200bなどのユーザがネットワーク内容提供システム100に対しネットワーク内容を請求する。最初、ネットワーク内容がネットワークサーバ130aと130bのネットワーク内容メモリー131aと131bに記憶され、且つユーザはネットワークサーバ130a,...130bに記憶されたネットワーク内容にアクセス請求する。本発明のネットワーク内容提供システム100では、各ネットワークサーバ130における内容が既に内容キャッシングと提供設備120によってネットワーク内容キャッシュ123にキャッシングされた。内容キャッシングと提供設備120は、ネットワークサーバ130とクライアント200との間に配置されるから、ネットワークサーバ130におけるネットワーク内容に対する全てのユーザの請求が、内容キャッシングと提供設備120を経由する必要がある。内容キャッシングと提供設備120のネットワークサーバプロキシ装置121は、ユーザからのネットワーク内容請求を処理し、請求内容がネットワークサーバ130におけるネットワーク内容である場合、ネットワーク内容キャッシュ123にキャッシングされたネットワーク内容を直接に使用し応答する。
上記から分かるように、本発明のネットワーク内容提供システム100では、内容キャッシングと提供設備120のネットワーク内容キャッシュ123にキャッシングされたネットワーク内容を利用してユーザの内容アクセス請求を応答し、且つ内容監視サブシステム140と内容更新装置125との協働により、ネットワークサーバ130におけるネットワーク内容が変化した時、該変化した内容で早速にネットワーク内容キャッシュ123に対する更新を行う。
しかし、ネットワークサーバ130におけるネットワーク内容が許可がない状態で改竄された場合、該改竄された内容でネットワーク内容キャッシュ123に対する更新を行い、且つユーザに見せるのは不適である。本発明のネットワーク内容提供システム100は、これらの許可がない改竄を発見でき、且つユーザがこれらの改竄されたネットワーク内容に気付くことを阻止できる。以下、図2を参考しながら、本発明のネットワーク内容提供システム100によってネットワーク内容改竄を防止することを説明する。
図2は、本発明の実施例に係るネットワーク内容提供システム100のネットワーク内容改竄防止システム110の詳しいブロックである。
内容監視クライアント143は、クライアント通信装置1431と、監視装置1433と、配置装置1435とを含む。
クライアント通信装置1431は、内容監視サーバ141における対応したサーバ通信装置1411と通信する。上述したように、前記通信が如何なる方式を採用してもいい。しかし、通信内容の安全性を更に保証できるよう、両者の間の特定の暗号化方式が好ましい。
内容監視クライアント143は、クライアント通信装置1431と、監視装置1433と、配置装置1435とを含む。
クライアント通信装置1431は、内容監視サーバ141における対応したサーバ通信装置1411と通信する。上述したように、前記通信が如何なる方式を採用してもいい。しかし、通信内容の安全性を更に保証できるよう、両者の間の特定の暗号化方式が好ましい。
監視装置1433は、ネットワークサーバ130のネットワーク内容モリー131に記憶されたネットワーク内容をリアルタイムに監視する。多くの方式でネットワーク内容のリアルタイムな監視を実現できる。例えば、通常、ネットワーク内容がファイルの方式でネットワーク内容モリー131に記憶され、従来のコンピュータのオペレーティングシステムは通常に階層設計を採用するため、監視装置1433がHOOK方式でファイルアクセスの下位レベルインターフェースを監視することによって、ネットワーク内容の修正をリアルタイムに監視できる。勿論、上記の方式がただの例に過ぎず、ネットワーク内容の修正をリアルに監視できる如何なる方式が本発明の保護範囲内に含まれる。監視されるネットワーク内容が変更したことが監視装置1433にて検出された場合、ネットワーク内容更新イベントを生成し、且つクライアント通信装置1431を経由して該イベントを内容監視サーバ141に送信し更に処理する。一般的に言えば、監視装置1433に生成されたネットワーク内容更新イベントは、ネットワーク内容マーク(例えばファイル名称、ファイルパス、ファイルID等)と、更新類型(例えば新規、修正と削除等)、と更新時間などを含む。クライアント通信装置1431は、該イベントを内容監視サーバ141に送信する前に、通常、該イベントにサーバマークを加える。注意すべきは、ネットワーク内容更新イベントの内容は、内容監視サーバ141の必要に応じ、内容を更新する応用プログラム、ユーザ、ユーザランクなどのより多く又は異なる内容を含むことができる。これらの全てが当業者にとって自明なことであり、且つ本発明の保護範囲内に含まれる。
配置装置1435とシステム管理員は通信して、内容監視クライアント143の配置情報を受信する。該配置情報の内容は、監視しようとするネットワーク内容の設置などを含む。例えば、ネットワーク内容がファイル形式でネットワーク内容メモリー131に記憶された場合、配置情報はネットワーク内容のファイルリスト又はネットワーク内容のファイルディレクトリなどを含むことができる。
内容監視サーバ141は、サーバ通信装置1411と、改竄判断装置1413と、改竄ファイル記憶装置1415と、警報装置1417と、監視サーバ配置装置1419とを含む。
上述したように、サーバ通信装置1411は、クライアント通信装置1431との通信を取り扱い、内容監視クライアント143からのネットワーク内容更新イベントを受信し、且つ該ネットワーク内容更新イベントを改竄判断装置1413に送信し更に処理する。また、サーバ通信装置1411は、内容監視サーバ141と内容監視クライアント143との間の通信が正常であることを保証するよう、クライアント通信装置1431と追加の通信を行う。このような追加の通信は、例えばハートビートプロトコルに基づくハートビート検出である。内容監視クライアント143は、ネットワークサーバ130に駐在され、ネットワークサーバ130が各種の原因から(例えばハッカーに侵入され且つ内容監視クライアントが閉じされる)内容監視サーバとの通信を切断する場合、サーバ通信装置1411はこの追加の通信を通じて該ネットワークの切断問題を発見でき、ネットワークサーバ切断イベントを生成し且つ警報装置1417によってネットワーク管理員に通知できる。
上述したように、サーバ通信装置1411は、クライアント通信装置1431との通信を取り扱い、内容監視クライアント143からのネットワーク内容更新イベントを受信し、且つ該ネットワーク内容更新イベントを改竄判断装置1413に送信し更に処理する。また、サーバ通信装置1411は、内容監視サーバ141と内容監視クライアント143との間の通信が正常であることを保証するよう、クライアント通信装置1431と追加の通信を行う。このような追加の通信は、例えばハートビートプロトコルに基づくハートビート検出である。内容監視クライアント143は、ネットワークサーバ130に駐在され、ネットワークサーバ130が各種の原因から(例えばハッカーに侵入され且つ内容監視クライアントが閉じされる)内容監視サーバとの通信を切断する場合、サーバ通信装置1411はこの追加の通信を通じて該ネットワークの切断問題を発見でき、ネットワークサーバ切断イベントを生成し且つ警報装置1417によってネットワーク管理員に通知できる。
改竄判断装置1413は、予め配置された改竄判断規則に基いて受信したネットワーク内容更新イベントに対する判断を行う。もし該ネットワーク内容の更新が正常であると判定されたら、ネットワーク内容更新イベントに含まれたネットワークサーバのマークと、ネットワーク内容のマークと、更新類型とを抽出し、且つこれらの情報を内容更新装置125に送信する。内容更新装置125はまず更新類型を判断する。もし更新類型が削除であるなら、ネットワーク内容キャッシュ123における対応した内容を直接に削除する。そうしないと、ネットワークサーバマークとネットワーク内容マークに基づいて、相応したネットワークサーバから相応したネットワーク内容を獲得し、且つ新たに獲得したネットワーク内容にてネットワーク内容キャッシュ123における対応した内容を更新する。もし改竄判断装置1413は該ネットワーク内容の更新が改竄である、即ち許可がない修正であると判断したら、改竄判断装置1413がネットワーク内容を更新するとの通知を内容更新装置125に発信しないことになり、逆に、改竄判断装置1413が該改竄内容を改竄ファイル記憶装置1415に入力し、且つ警報装置1417によって相応したネットワーク内容が改竄されたことをネットワーク管理員に通知する。
改竄ファイル記憶装置1415には改竄されたファイルのリストが記憶されている。そのうち、リストの各項には、例えばファイルマーク、ネットワークサーバマーク、改竄類型(通常、更新類型と同じであり、新規、修正と削除などを含む)、改竄タイムなどの、改竄されたファイルの情報が記録されている。よって、これらの情報が、ネットワーク内容更新イベントから抽出できる。また、前述したように、内容を改竄する応用プログラム、ユーザ、ユーザランクなども記憶できる。
警報装置1417は、他の各装置から送信された情報を受信し、且つ電子メール、メッセージなどの方式により該情報をネットワーク管理員に通知する。当業者が理解できるように、情報をネットワーク管理員に通知する全ての方式が、警報装置1417にて実現でき、且つ本発明の保護範囲内に含まれる。
監視サーバ配置装置1419は、内容監視サーバ141の配置と管理に用いられる。例えば、ネットワーク管理員は該配置装置1419によって改竄判断規則を配置したり、改竄されるファイルのリストを調べたりすることができる。
監視サーバ配置装置1419は、内容監視サーバ141の配置と管理に用いられる。例えば、ネットワーク管理員は該配置装置1419によって改竄判断規則を配置したり、改竄されるファイルのリストを調べたりすることができる。
説明しておきたいのは、改竄判断規則は様々な規則及びこれらの任意の組み合わせでもいい。例えば、一つの良く見られる改竄判断規則は、ネットワーク内容の修正時間に基づく規則である。即ち、もしネットワーク内容に対する修正が予定の時間範囲内であるなら、該修正が正常な修正であると判定される一方、予定の時間範囲以外の修正が、ネットワーク内容に対する改竄である判定される。別の改竄判断規則として、ある応用プログラムを経由するネットワーク内容の修正のみが正常な修正と認められ、そうしないと、改竄であると判定される。もう一つの改竄判断規則は、あるユーザ又はあるランクのユーザによるネットワーク内容の修正のみが正常な修正であると認められ、そうしないと、改竄であると判定される。当業者は必要に応じ他の各種の改竄判断規則を仮想でき、これらの全ての改竄判断規則は、本発明の保護範囲内に含まれる。
更に説明しておきたいのは、内容監視クライアント143から内容監視サーバ141に送信されたネットワーク内容更新イベントには、改竄判断規則の必要に応じ相応な内容を添加できる。例えば、改竄判断規則がネットワーク内容を修正用の応用プログラム又はユーザに関する場合、ネットワーク内容更新イベントに関連した応用プログラム又はユーザ情報を添加する必要がある。
採用できる方案として、内容キャッシングと提供設備120は、更に内容更新装置125が獲得したネットワーク内容を検査する非法符号処理装置127を含め、獲得されたネットワーク内容に非法符号が含まれたと発見する場合、該ネットワーク内容に基づいてネットワーク内容キャッシュ123の更新を行うことを阻止し、該イベントを記録し且つ各方式によりネットワーク管理員に通知することもできる。ここで、非法符号処理装置127は、関連したイベントを改竄ファイル記憶装置1415に記録し、且つ警報装置1417を利用してネットワーク管理員に該イベントを通知できる。
上記から分かるように、本発明のネットワーク内容改竄防止システム110は、ネットワークサーバ130におけるネットワーク内容の更新をリアルタイムに監視でき、且つこれでネットワーク内容キャッシュ123の更新を行うことができる、それにより、ユーザが更新後のネットワーク内容を早速に閲覧できる。なお、ネットワークサーバにおけるネットワーク内容が改竄された場合、内容監視サブシステム140は該改竄を発見でき、且つ改竄されたネットワーク内容をネットワーク内容キャッシュ123に更新しないようにできる。よって、ユーザにとって、ネットワーク内容が改竄されていない状態を維持できる。このように、ネットワーク内容改竄防止システム110は、ユーザに対し完全に透明な方式でネットワーク内容を維持し、ネットワーク内容の改竄を防止できる。
図3は、本発明の実施例に係るネットワーク内容改竄防止システム100によるネットワーク内容改竄防止方法300を示す。
ステップS310において、ネットワーク内容の如何なる変化を発見できるよう、ネットワークサーバにおけるネットワーク内容をリアルタイムに監視する。これは、通常、内容監視クライアント143により執行される。ステップS320において、ネットワークサーバにおけるネットワーク内容の如何なる変化(ネットワーク内容の削除、修正と新規を含む)を発見した場合、内容監視クライアント143によってネットワーク内容更新イベントを生成し、且つ該イベントを内容監視サーバ141に転送して更に処理する。ステップS330において、内容監視サーバ141は改竄判断規則に基づいてネットワーク内容更新イベントと対応したネットワーク内容の更新が正常な内容更新か、それとも異常な内容改竄かを判断する。もし該内容の更新が正常な内容更新であるなら、ステップS340において、内容更新装置125は、ネットワーク内容更新イベントに基づいてネットワーク内容キャッシュ123にキャッシングされたネットワーク内容を更新する。もし該内容の更新が異常な内容改竄であるなら、ステップS350において、改竄されたファイルの情報を改竄ファイル記憶装置1415に添加してからステップS360において、該改竄イベントをネットワーク管理員に通知する。
ステップS310において、ネットワーク内容の如何なる変化を発見できるよう、ネットワークサーバにおけるネットワーク内容をリアルタイムに監視する。これは、通常、内容監視クライアント143により執行される。ステップS320において、ネットワークサーバにおけるネットワーク内容の如何なる変化(ネットワーク内容の削除、修正と新規を含む)を発見した場合、内容監視クライアント143によってネットワーク内容更新イベントを生成し、且つ該イベントを内容監視サーバ141に転送して更に処理する。ステップS330において、内容監視サーバ141は改竄判断規則に基づいてネットワーク内容更新イベントと対応したネットワーク内容の更新が正常な内容更新か、それとも異常な内容改竄かを判断する。もし該内容の更新が正常な内容更新であるなら、ステップS340において、内容更新装置125は、ネットワーク内容更新イベントに基づいてネットワーク内容キャッシュ123にキャッシングされたネットワーク内容を更新する。もし該内容の更新が異常な内容改竄であるなら、ステップS350において、改竄されたファイルの情報を改竄ファイル記憶装置1415に添加してからステップS360において、該改竄イベントをネットワーク管理員に通知する。
また、採用できる方案として、方法300は、内容更新装置125にてネットワーク内容を更新する前に、更新のネットワーク内容には不法符号を含むか否かを判断するステップS370を含むこともできる。もし非法符号が含まれたら、ネットワーク内容の更新を阻止し、そうしないと、ネットワーク内容の更新を許容する。
それから、方法300の処理がステップS310に戻り、引き続きにネットワーク内容の更新を監視する。上記の方法300の記載において、簡潔のため、前記のネットワーク内容改竄防止システム110に対する記載と同じ部分を省略する。
それから、方法300の処理がステップS310に戻り、引き続きにネットワーク内容の更新を監視する。上記の方法300の記載において、簡潔のため、前記のネットワーク内容改竄防止システム110に対する記載と同じ部分を省略する。
注意すべきは、本発明において、ネットワーク内容はネットワークユーザに提供できる如何なる内容を指す。例えばウェブページ、図面、スクリプトファイル及びダウンロードできるファイルなどを含む。ネットワーク内容は、普通ファイルの形式としてネットワーク内容サーバ130に記憶される。
上述したように、本発明は、内容監視サブシステムと、内容キャッシングと提供設備との協働の使用により、ネットワークサーバにおけるネットワーク内容の改竄がユーザに知られるを防止し、且つネットワークサーバにおけるネットワーク内容が改竄された場合、ネットワーク管理員に早速に通知できる。それにより、ネットワーク内容が改竄された原因を迅速に探し且つ修復できる。本発明において、内容監視サブシステムは分布式システムであり、そのクライアント部分がネットワークサーバに嵌め込まれ、サーバ端部分が内容キャッシングと提供設備に嵌め込まれる。通常的に、内容キャッシングと提供設備は専用の設備であり、より高い安全性を有するから、ネットワークサーバと比べ、非法侵入されにくくなる。例えば、内容キャッシングと提供設備は、透明モードルでユーザとネットワークサーバとの間に接続されるから、外部ユーザは、内容キャッシングと提供設備の存在でさえ気付くことができない。これは、内容キャッシングと提供設備が非法侵入される確率を大幅に減らす。内容監視クライアントがネットワークサーバに嵌め込まれるが、内容監視サーバと内容監視クライアントとの間の専用コネクションにより、内容監視サーバが内容監視クライアントの異常を早速に発見できる。よって、ネットワークサーバが非法侵入された原因から内容監視クライアントが正常に作業できない場合でも、ネットワーク管理員は本発明のネットワーク内容改竄防止システムを利用して該問題を直ちに発見でき且つ解決に着手できる。
上述したように、本発明は、内容監視サブシステムと、内容キャッシングと提供設備との協働の使用により、ネットワークサーバにおけるネットワーク内容の改竄がユーザに知られるを防止し、且つネットワークサーバにおけるネットワーク内容が改竄された場合、ネットワーク管理員に早速に通知できる。それにより、ネットワーク内容が改竄された原因を迅速に探し且つ修復できる。本発明において、内容監視サブシステムは分布式システムであり、そのクライアント部分がネットワークサーバに嵌め込まれ、サーバ端部分が内容キャッシングと提供設備に嵌め込まれる。通常的に、内容キャッシングと提供設備は専用の設備であり、より高い安全性を有するから、ネットワークサーバと比べ、非法侵入されにくくなる。例えば、内容キャッシングと提供設備は、透明モードルでユーザとネットワークサーバとの間に接続されるから、外部ユーザは、内容キャッシングと提供設備の存在でさえ気付くことができない。これは、内容キャッシングと提供設備が非法侵入される確率を大幅に減らす。内容監視クライアントがネットワークサーバに嵌め込まれるが、内容監視サーバと内容監視クライアントとの間の専用コネクションにより、内容監視サーバが内容監視クライアントの異常を早速に発見できる。よって、ネットワークサーバが非法侵入された原因から内容監視クライアントが正常に作業できない場合でも、ネットワーク管理員は本発明のネットワーク内容改竄防止システムを利用して該問題を直ちに発見でき且つ解決に着手できる。
注意すべきは、本発明のネットワーク内容改竄防止システムと内容キャッシングと提供設備では、実現しようとする機能によって、その中の部品に対しロジック的な区画が行なわれるが、本発明はこれに限らなく、必要に応じて、ネットワーク内容改竄防止システムと内容キャッシングと提供設備における各部品に対して新たに区画または組み立てることができ、例えば、幾つかの部品を一つの部品に組み立て、または幾つかの部品をさらに多くのサブ部品に分解することもできる。
本発明の実施例は、ハードウェアによって実現してもいいし、一つ又は複数のプロセッサに実行されるソフトウェアブロックによって実現してもいい、又はこれらの組み合わせによって実現してもいい。当業者にとって理解すべきは、実践においてマイクロプロセッサまたはデジタル信号プロセッサ(DSP)によって、本発明の実施例に係るネットワーク内容改竄防止システムと内容キャッシングと提供設備における幾つかまたは全部の部品の一部または全部の機能を実現できる。本発明は、ここで記述した方法の一部または全部を執行するための設備または装置プルグラム(例えば、コンピュータープログラムとコンピュータープログラム製品)として実現されることもできる。このような本発明を実現用のプログラムは、コンピューターの読み可能媒体に記憶でき、又は一つ又は多くの信号の形式を持つこともできる。このような信号はインターネットウェブサイトからダウンロードして得てもよいし、キャリヤー信号から提供されてもよい、何らか他の形式で提供されてもよい。
注意すべきは、上記の実施例は、本発明に対する限定を有するものではなく、本発明を説明するものであり、当業者にとっては、特許請求の範囲の記載を逸脱することなく置換実施例を立てることができる。特許請求の範囲において、括弧中のいかなる参考符号を特許請求の範囲に限定するものではない。「含む」との用語に関し、特許請求の範囲に記述されていない素子または工程が存在することもあり得る。素子の前の「一」または「一つ」との用語に関し、該素子が複数存在することもあり得る。本発明は、幾つか不同な素子を含んでいるハードウェアと適当にプログラミングされたコンピューターによって実現されることができる。幾つかの装置を例に挙げた装置特許請求において、このような装置の中の幾つかは、同一のハードウェア項によって具体的に表されてもよい。「第一」、「第二」、及び「第三」等の用語の使用は、なんら順番も表されていない。このような用語を名称に解釈できる。
Claims (17)
- 一つ又は複数のネットワークサーバにおけるネットワーク内容の改竄を防止用のネットワーク内容改竄防止システムであって、
前記一つ又は複数のネットワークサーバにおけるネットワーク内容をキャッシングし、ユーザからのネットワーク内容アクセス請求を処理して、キャッシングされたネットワーク内容を利用して前記ユーザのネットワーク内容アクセス請求に対し応答する内容キャッシングと提供設備と、
前記ネットワークサーバにそれぞれ並入された一つ又は複数の内容監視クライアント部分と、前記内容キャッシングと提供設備に並入された内容監視サーバ部分とを含む内容監視サブシステムとを備え、
前記一つ又は複数の内容監視クライアント部分は、前記一つ又は複数のネットワークサーバにおけるネットワーク内容の更新を監視し、且つ前記ネットワーク内容の更新を前記内容監視サーバ部分に送信する、
前記内容監視サーバ部分は、予定の改竄判断規則に基づき、前記ネットワーク内容の更新が改竄であるか否かを判断し、前記ネットワーク内容の更新が改竄であると判定された場合、前記内容キャッシングと提供設備にキャッシングされた相応なネットワーク内容を更新せず、前記ネットワーク内容の更新が改竄ではないと判定された場合、キャッシングされた前記一つ又は複数のネットワークサーバのネットワーク内容を更新することを前記内容キャッシングと提供設備に指示することを特徴とするシステム。 - 前記内容キャッシングと提供設備は、
前記一つ又は複数のネットワークサーバにおけるネットワーク内容をキャッシングするネットワーク内容キャッシュと、
前記ユーザからのネットワーク内容アクセス請求を処理し、前記ネットワーク内容キャッシュにキャッシングされたネットワーク内容を利用して前記ユーザのネットワーク内容アクセス請求に対し応答するネットワークサーバプロキシ装置と、
前記内容監視サーバ部分の指示に従って前記一つ又は複数のネットワークサーバにおけるネットワーク内容を獲得し、且つ該ネットワーク内容で前記ネットワーク内容キャッシュに対する更新を行う内容更新装置と、を含むことを特徴とする請求項1に記載のシステム。 - 前記一つ又は複数のネットワークサーバの一つに並入された各内容監視クライアント部分は、
前記内容監視サーバ部分と通信するクライアント通信装置と、
前記一つ又は複数のネットワークサーバの一つに記憶されたネットワーク内容をリアルタイムに監視し、記憶されたネットワーク内容が更新された場合、ネットワーク内容更新イベントを生成し、且つ前記クライアント通信装置を経由して前記ネットワーク内容更新イベントを前記内容監視サーバ部分に送信する監視装置とを含み、
そのうち、前記ネットワーク内容更新イベントが前記ネットワーク内容のマークと、前記ネットワークサーバのマークと、更新時間と、及び更新類型とを含むことを特徴とする請求項1又は2に記載のシステム。 - 前記内容監視サーバ部分は、
前記内容監視クライアント部分と通信するサーバ通信装置と、
前記予定の改竄判断規則と前記ネットワーク内容更新イベントに基づいて前記ネットワーク内容更新イベントに含まれたネットワーク内容の更新が改竄であるか否かを判断し、前記ネットワーク内容の更新が正常な更新である場合、キャッシングされた相応なネットワーク内容を更新することを前記内容キャッシングと提供設備に指示し、前記ネットワーク内容の更新が改竄である場合、前記ネットワーク内容更新イベントにおける情報を抽出して改竄ファイル記憶装置に入力する改竄判断装置と、
改竄されたネットワーク内容に関する情報を記憶する用の改竄ファイル記憶装置と、を含むことを特徴とする請求項3に記載のシステム。 - 前記クライアント通信装置と前記サーバ通信装置との間は、暗号化方式で通信することを特徴とする請求項4に記載のシステム。
- 前記予定の改竄判断規則は、下記の何れか一つ又は複数を含む:
ネットワーク内容を更新するタイミングが予定の時間範囲内であること;
特定の応用プログラムによりネットワーク内容を更新すること;
特定のネットワークサーバユーザ又はユーザランクにネットワーク内容が更新されたこと、を特徴とする請求項1〜5に記載の何れか一つのシステム。 - 前記内容キャッシングと提供設備は、
獲得された、更新用のネットワーク内容に非法符号を含む場合前記ネットワーク内容キャッシュにおける相応なネットワーク内容に対する更新を阻止する非法符号処理装置を更に備える請求項2に記載のシステム。 - 内容キャッシングと提供設備であって、
前記一つ又は複数のネットワークサーバにおけるネットワーク内容をキャッシングするネットワーク内容キャッシュと、
ユーザからの、前記一つ又は複数のネットワークサーバにおけるネットワーク内容に対するアクセス請求を処理し、且つ前記ネットワーク内容キャッシュにキャッシングされたネットワーク内容を利用して前記ユーザのアクセス請求に対し応答するネットワークサーバプロキシ装置と、
前記一つ又は複数のネットワークサーバにおけるネットワーク内容を獲得し、且つその内容で前記ネットワーク内容キャッシュに対する更新を行う内容更新装置と、
前記一つ又は複数のネットワークサーバにそれぞれ並入された内容監視クライアント部分の一つ又は複数と通信し、前記ネットワークサーバにおけるネットワーク内容更新情報を獲得し、且つ予定の改竄判断規則に基づき前記ネットワーク内容の更新が改竄であるか否かを判断し、前記ネットワーク内容の更新が改竄であると判定された場合、前記ネットワーク内容キャッシュにキャッシングされた相応なネットワーク内容を更新せず、前記ネットワーク内容の更新が改竄ではないと判定された場合、キャッシングされた前記一つ又は複数のネットワークサーバのネットワーク内容を更新することを前記内容更新装置に指示する内容監視サーバ部分と、を含む内容キャッシングと提供設備。 - 獲得された、更新用のネットワーク内容には非法符号を含む場合、前記ネットワーク内容キャッシュにおける相応なネットワーク内容に対する更新を阻止する非法符号処理装置を更に含むことを特徴とする請求項8に記載の内容キャッシングと提供設備。
- 前記内容監視サーバ部分は、
前記内容監視クライアント部分と通信するサーバ通信装置と、
前記予定の改竄判断規則と前記ネットワーク内容更新イベントに基づいて前記ネットワーク内容更新イベントに含まれたネットワーク内容の更新が改竄であるか否かを判断し、前記ネットワーク内容の更新が正常な更新である場合、キャッシングされた相応なネットワーク内容を更新ことを前記内容キャッシングと提供設備に指示し、前記ネットワーク内容の更新が改竄である場合、前記ネットワーク内容更新イベントにおける情報を抽出し、改竄ファイル記憶装置に入力する改竄判断装置と、
改竄されたネットワーク内容に関する情報を記憶する用の改竄ファイル記憶装置とを含むことを特徴とする前記8又は9に記載の内容キャッシングと提供設備。 - 前記予定の改竄判断規則は、下記の何れか一つ又は複数を含む:
ネットワーク内容を更新するタイミングが予定の時間範囲内であること;
特定の応用プログラムによりネットワーク内容を更新すること;
特定のネットワークサーバユーザ又はユーザランクにネットワーク内容が更新されたこと、を特徴とする請求項8に記載の内容キャッシングと提供設備。 - 提供しようとするネットワーク内容を記憶する一つ又は複数のネットワークサーバと、請求項1〜7のいずれか一項に記載の、前記一つ又は複数のネットワークサーバにおけるネットワーク内容の改竄を防止するネットワーク内容改竄防止システムとを含むネットワーク内容提供システム。
- 一つ又は複数のネットワークサーバにおけるネットワーク内容をキャッシングする内容キャッシングと更新設備を含むネットワーク内容改竄防止システムにおいて執行される、一つ又は複数のネットワークサーバにおけるネットワーク内容の改竄を防止するネットワーク内容改竄防止方法であって、
前記一つ又は複数のネットワークサーバにおけるネットワーク内容を監視するステップと、
前記一つ又は複数のネットワークサーバにおけるネットワーク内容の変化を発見した場合、ネットワーク内容の変化に関する情報を生成するステップと、
予定の改竄判断規則に基づき、前記ネットワーク内容の更新イベントの対応したネットワーク内容の変化が正常な内容更新か異常な内容改竄かを判断するステップと、
もし該ネットワーク内容の更新が正常な内容更新であるなら、キャッシングされたネットワーク内容を更新するステップと、
もし該ネットワーク内容の更新が異常な内容改竄であるなら、キャッシングされたネットワーク内容を更新しないステップと、を含むネットワーク内容改竄防止方法。 - もし該ネットワーク内容の更新が異常な内容改竄であるなら、改竄されたネットワーク内容を記憶し、且つ警報情報を出すステップを更に含むことを特徴等する請求項13に記載の方法。
- 前記予定の改竄判断規則は、下記の何れか一つ又は複数を含む:
ネットワーク内容を更新するタイミングが予定の時間範囲内であること;
特定の応用プログラムによりネットワーク内容を更新すること;
特定のネットワークサーバユーザ又はユーザランクにネットワーク内容が更新されたこと、を特徴とする請求項13に記載の方法。 - コンピュータにインストールされ作動されるとき、請求項13ないし15のいずれか一項に記載の方法のステップを実現するための指令を含むコンピュータプログラム。
- コンピュータにインストールされ作動されるとき、請求項13ないし15のいずれか一項に記載の方法のステップを実現するための指令を記録するように構成されている記録媒体。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910083751.3 | 2009-05-11 | ||
| CN2009100837513A CN101888311B (zh) | 2009-05-11 | 2009-05-11 | 一种防止网络内容被篡改的设备、方法和系统 |
| PCT/CN2010/000674 WO2010130154A1 (zh) | 2009-05-11 | 2010-05-11 | 一种防止网络内容被篡改的设备、方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2012526501A true JP2012526501A (ja) | 2012-10-25 |
| JP5430747B2 JP5430747B2 (ja) | 2014-03-05 |
Family
ID=43074045
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012510095A Active JP5430747B2 (ja) | 2009-05-11 | 2010-05-11 | ネットワーク内容改竄防止設備、方法及びそのシステム |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20120096565A1 (ja) |
| JP (1) | JP5430747B2 (ja) |
| CN (1) | CN101888311B (ja) |
| WO (1) | WO2010130154A1 (ja) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5681028B2 (ja) * | 2010-04-26 | 2015-03-04 | パナソニック株式会社 | 改ざん監視システム、管理装置及び管理方法 |
| CN102571924B (zh) * | 2011-12-16 | 2015-09-23 | 上海合合信息科技发展有限公司 | 互换信息的方法及系统 |
| CN102571791B (zh) * | 2011-12-31 | 2015-03-25 | 奇智软件(北京)有限公司 | 一种分析网页内容是否被篡改的方法及系统 |
| CN102902926A (zh) * | 2012-10-11 | 2013-01-30 | 长春理工大学 | 基于分布式文件同步技术的网站文件防篡改方法 |
| US9378370B2 (en) * | 2013-06-17 | 2016-06-28 | Microsoft Technology Licensing, Llc | Scanning files for inappropriate content during synchronization |
| CN103346907A (zh) * | 2013-06-25 | 2013-10-09 | 宁夏新航信息科技有限公司 | 一种网站安全监测管理的方法 |
| GB2516050A (en) * | 2013-07-09 | 2015-01-14 | Ibm | A Network Security System |
| CN105678193B (zh) * | 2016-01-06 | 2018-08-14 | 杭州数梦工场科技有限公司 | 一种防篡改的处理方法和装置 |
| CN105721249A (zh) * | 2016-03-01 | 2016-06-29 | 浪潮软件集团有限公司 | 恢复外网网页篡改及发送短信通知的监控系统及监控方法 |
| CN106682529A (zh) * | 2017-01-04 | 2017-05-17 | 北京国舜科技股份有限公司 | 一种防篡改方法和防篡改终端 |
| TWI649672B (zh) * | 2017-04-14 | 2019-02-01 | 精品科技股份有限公司 | 用於固定環境的更新防護系統及其更新防護方法 |
| TWI649671B (zh) * | 2017-04-14 | 2019-02-01 | 精品科技股份有限公司 | 用於固定環境的資安防護系統及其資安防護方法 |
| CN110278123B (zh) * | 2019-05-10 | 2021-04-06 | 新华三技术有限公司 | 检查方法、装置、电子设备及可读存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002207623A (ja) * | 2001-01-09 | 2002-07-26 | Gia:Kk | ホームページ改竄防止システム |
| JP2003140970A (ja) * | 2001-11-01 | 2003-05-16 | Fujitsu Ltd | 改ざん検出システム、改ざん検出方法、およびプログラム |
| JP2003140969A (ja) * | 2001-10-31 | 2003-05-16 | Hitachi Ltd | コンテンツチェックシステムならびに同システムにおけるコンテンツの改竄検知方法、およびコンテンツチェックプログラム、記録媒体 |
| JP2007036648A (ja) * | 2005-07-27 | 2007-02-08 | Giken Shoji International Co Ltd | コンテンツ改竄対処システム |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1466078A (zh) * | 2002-07-02 | 2004-01-07 | 英业达股份有限公司 | 一种更新网页内容及表格的网页服务器系统及方法 |
| US20040243820A1 (en) * | 2003-05-14 | 2004-12-02 | Kenichi Noridomi | Information-embedding apparatus and method, tampering-detecting apparatus and method, and recording medium |
| US8220064B2 (en) * | 2004-07-20 | 2012-07-10 | Panasonic Corporation | Content management system and content management unit |
| US20090260079A1 (en) * | 2005-10-18 | 2009-10-15 | Masakado Anbo | Information processing device, and method therefor |
| US7757269B1 (en) * | 2006-02-02 | 2010-07-13 | Mcafee, Inc. | Enforcing alignment of approved changes and deployed changes in the software change life-cycle |
| CN101056187B (zh) * | 2006-04-14 | 2010-05-26 | 王伟珣 | 一种网络内容定位定向定制发布的系统和方法 |
| JP4294083B2 (ja) * | 2006-05-18 | 2009-07-08 | パナソニック株式会社 | 電子機器、コンテンツ再生制御方法、プログラム、記憶媒体、集積回路 |
| US7934253B2 (en) * | 2006-07-20 | 2011-04-26 | Trustwave Holdings, Inc. | System and method of securing web applications across an enterprise |
| US8307425B2 (en) * | 2006-08-04 | 2012-11-06 | Apple Inc. | Portable computer accounts |
| US8375455B2 (en) * | 2006-08-10 | 2013-02-12 | Wayne Odom | System, method, and device for storing and delivering data |
| CN201054604Y (zh) * | 2007-07-04 | 2008-04-30 | 福建伊时代信息科技有限公司 | 驱动级网站防篡改架构 |
| US8260714B2 (en) * | 2007-08-09 | 2012-09-04 | Panasonic Corporation | Terminal apparatus and system thereof |
| EP2259205B1 (en) * | 2008-03-28 | 2018-04-25 | Panasonic Corporation | Software updating apparatus, software updating system, alteration verification method and alteration verification program |
| US8082576B2 (en) * | 2008-09-12 | 2011-12-20 | At&T Mobility Ii Llc | Network-agnostic content management |
| US8745735B2 (en) * | 2008-11-26 | 2014-06-03 | Panasonic Corporation | Monitoring system, program-executing device, monitoring program, recording medium and integrated circuit |
| EP2397964A4 (en) * | 2009-02-16 | 2014-08-13 | Panasonic Corp | DEVICE FOR IDENTIFYING ILLEGAL MODULES, INFORMATION PROCESSING DEVICE, METHOD FOR IDENTIFYING ILLEGAL MODULES, IDENTIFICATION PROGRAM FOR ILLEGAL MODULES, INTEGRATED CIRCUIT, ILLEGAL MODULES DEACTIVATION SYSTEM, AND ILLEGAL MODULES DEACTIVATION DEVICE |
-
2009
- 2009-05-11 CN CN2009100837513A patent/CN101888311B/zh active Active
-
2010
- 2010-05-11 JP JP2012510095A patent/JP5430747B2/ja active Active
- 2010-05-11 WO PCT/CN2010/000674 patent/WO2010130154A1/zh active Application Filing
- 2010-05-11 US US13/319,545 patent/US20120096565A1/en not_active Abandoned
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002207623A (ja) * | 2001-01-09 | 2002-07-26 | Gia:Kk | ホームページ改竄防止システム |
| JP2003140969A (ja) * | 2001-10-31 | 2003-05-16 | Hitachi Ltd | コンテンツチェックシステムならびに同システムにおけるコンテンツの改竄検知方法、およびコンテンツチェックプログラム、記録媒体 |
| JP2003140970A (ja) * | 2001-11-01 | 2003-05-16 | Fujitsu Ltd | 改ざん検出システム、改ざん検出方法、およびプログラム |
| JP2007036648A (ja) * | 2005-07-27 | 2007-02-08 | Giken Shoji International Co Ltd | コンテンツ改竄対処システム |
Non-Patent Citations (1)
| Title |
|---|
| JPN6013031605; 張亮: 'ファイル改ざんの検出および自動修復が可能な被害回復支援システム' Linux Conference 2004 , 20040602 * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2010130154A1 (zh) | 2010-11-18 |
| JP5430747B2 (ja) | 2014-03-05 |
| CN101888311B (zh) | 2013-02-06 |
| CN101888311A (zh) | 2010-11-17 |
| US20120096565A1 (en) | 2012-04-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5430747B2 (ja) | ネットワーク内容改竄防止設備、方法及びそのシステム | |
| EP3404948B1 (en) | Centralized selective application approval for mobile devices | |
| US8769296B2 (en) | Software signature tracking | |
| US7975302B2 (en) | System for real-time detection of computer system files intrusion | |
| US8566949B2 (en) | Software component, software component management method, and software component management system | |
| US20050114658A1 (en) | Remote web site security system | |
| US10542044B2 (en) | Authentication incident detection and management | |
| JP2011527472A (ja) | ウェブページ改竄防止設備、ウェブページ改竄防止方法及びそのシステム | |
| JP2016503936A (ja) | アプリケーション及びファイル脆弱性を識別して報告するためのシステム及び方法 | |
| KR100788256B1 (ko) | 네트워크를 이용한 웹서버 위변조 모니터링 시스템 및모니터링 방법 | |
| JP2007241513A (ja) | 機器監視装置 | |
| CN109922062B (zh) | 源代码泄露监控方法及相关设备 | |
| CN104820801A (zh) | 一种保护指定应用程序的方法及装置 | |
| US12001555B1 (en) | System, method, and apparatus for preventing ransomware | |
| CN110688653A (zh) | 客户端的安全防护方法及装置、终端设备 | |
| JP4599882B2 (ja) | 不正閲覧監視システム | |
| CN110958239A (zh) | 访问请求的校验方法和装置、存储介质及电子装置 | |
| CN112187787B (zh) | 基于知识图谱的数字营销广告页防篡改方法、装置及设备 | |
| JP2021196987A (ja) | 情報処理システム及び情報処理方法 | |
| JP6636605B1 (ja) | 履歴監視方法、監視処理装置および監視処理プログラム | |
| JP4047770B2 (ja) | ホームページ改ざん攻撃からWebサーバを守る監視/運用システム,方法およびプログラム | |
| CN114826790B (zh) | 一种区块链监测方法、装置、设备及存储介质 | |
| CN113114676B (zh) | 一种Web安全防护与监控系统 | |
| JP2003006027A (ja) | アクセス制御ポリシーの自動設定方法およびそのシステム | |
| KR101044291B1 (ko) | 실시간 웹페이지 위변조 탐지 및 복구시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130702 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130924 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131126 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131203 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 5430747 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |