JP2015170219A - アクセス管理方法およびアクセス管理システム - Google Patents
アクセス管理方法およびアクセス管理システム Download PDFInfo
- Publication number
- JP2015170219A JP2015170219A JP2014045594A JP2014045594A JP2015170219A JP 2015170219 A JP2015170219 A JP 2015170219A JP 2014045594 A JP2014045594 A JP 2014045594A JP 2014045594 A JP2014045594 A JP 2014045594A JP 2015170219 A JP2015170219 A JP 2015170219A
- Authority
- JP
- Japan
- Prior art keywords
- list
- website
- information
- log
- malignancy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000007726 management method Methods 0.000 title claims description 82
- 206010028980 Neoplasm Diseases 0.000 claims abstract description 42
- 201000011510 cancer Diseases 0.000 claims abstract description 42
- 230000036210 malignancy Effects 0.000 claims abstract description 42
- 238000004458 analytical method Methods 0.000 claims description 36
- 238000001514 detection method Methods 0.000 claims description 14
- 230000000737 periodic effect Effects 0.000 claims description 8
- 208000015181 infectious disease Diseases 0.000 abstract description 6
- 238000000034 method Methods 0.000 description 32
- 238000012545 processing Methods 0.000 description 24
- 230000008569 process Effects 0.000 description 15
- 238000010586 diagram Methods 0.000 description 13
- 238000001914 filtration Methods 0.000 description 13
- 230000014509 gene expression Effects 0.000 description 4
- 241000282412 Homo Species 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 239000011159 matrix material Substances 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 230000003211 malignant effect Effects 0.000 description 2
- 238000007493 shaping process Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000033001 locomotion Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000001131 transforming effect Effects 0.000 description 1
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
【課題】
Webサイトの判定のためのログを効率的に分析し、システムにおけるマルウェア感染を確実に検出する。
【解決手段】
リスト生成管理装置は、プロキシサーバ等のログから計算したWebサイトの悪性度に基づいて、悪性度が低いホワイトリスト、悪性度が高いブラックリスト、および、いずれにも属さないグレーリストを生成する。追加認証サーバは、グレーリストに含まれるWebサイトに接続するとき追加認証を要求し、該追加認証に成功したときグレーリストをホワイトリストに振り分け、一定期間一度も成功しなかったときブラックリストに振り分ける。追加認証は、人でないと認識できないような画像認証の形式で行う。
【選択図】 図3
Webサイトの判定のためのログを効率的に分析し、システムにおけるマルウェア感染を確実に検出する。
【解決手段】
リスト生成管理装置は、プロキシサーバ等のログから計算したWebサイトの悪性度に基づいて、悪性度が低いホワイトリスト、悪性度が高いブラックリスト、および、いずれにも属さないグレーリストを生成する。追加認証サーバは、グレーリストに含まれるWebサイトに接続するとき追加認証を要求し、該追加認証に成功したときグレーリストをホワイトリストに振り分け、一定期間一度も成功しなかったときブラックリストに振り分ける。追加認証は、人でないと認識できないような画像認証の形式で行う。
【選択図】 図3
Description
本発明は、アクセス管理方法およびアクセス管理システムに係り、特に、ネットワークを介してアクセスするWebサイトが正規のものであるか悪性のものであるか判別するのに好適なアクセス管理方法およびそのシステムに関する。
近年のインターネットの普及により、社会生活や産業化活動におけるネットワークの依存性がますます高まってきており、ネットワーク人口も増加の一途をたどっている。それに伴い、ネットワーク上の犯罪行為とされるサイバー攻撃手法も洗練され、マルウェア(malware:不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコード)などの侵入を防止することが困難になってきている。そこで、マルウェアに侵入されたとしても実被害が発生しないよう、プロキシサーバなどのログを分析して、できるだけ早くマルウェア感染を検知する技術が注目されてきている。
例えば、一般に、マルウェアに攻撃指令等を行う悪性のWebサイト(C&Cサーバ:Commmand & Control Server)のURL(Uniform Resource Locator)情報を、マルウェア自体を分析することにより抽出してブラックリストとしてまとめておき、このブラックリストをプロキシサーバなどのログに含まれる接続先URLと照合することにより、マルウェアを検知する技術が知られている。
また、特許文献1には、マルウェアとC&Cサーバ間で攻撃命令などの情報を授受する際、アクセスが周期的になりやすいといった特性に着目して、FW(Fire Wall:ファイアウォール)やIDS(Intrusion Detection System:不正侵入検知装置)などのログからWebサイトへのアクセス間隔の周期性の強度を算出してマルウェアを検知する技術が記載されている。
従来技術では、ブラックリストの載せられたものを悪性のWebサイトであるとして排除する。しかしながら、マルウェア作成者は頻繁にC&Cサーバを変えることが多く、ブラックリストは陳腐化しやすい。また、ブラックリスト作成にはマルウェア自体を分析する必要があり、時間がかかる。その結果、ブラックリストを用いる方法ではC&Cサーバの変更への追従が困難であるという問題点がある。
また、基本的に、端末とWeb間のアクセスを記録するFWやIDSのログは膨大になりやすく、かつ周期性の強度の算出は計算量が大きいため、特許文献1のような方式で膨大なログを対象にしてマルウェアを検知するには処理時間がかかる。したがって、この方法でもC&Cサーバの頻繁な変更への追従は困難であるといえる。
本発明は、上記課題を解決するためになされたものであり、その目的は、Webサイトの判定のためのログを効率的に分析し、システムにおけるマルウェア感染を確実に検出できるアクセス管理方法及びアクセス管理システムを提供することにある。
本発明は、悪性度だけではC&Cサーバを特定するのは困難であるため、ホワイトリストでもブラックリストでもないグレーリストを準備しておき、その後、マルウェアの様なプログラムでは突破が困難となるような形式で追加認証を行い、その結果を基にグレーリストをホワイトリストかブラックリストに振り分けるようにしたものである。
そのため、好ましい例によれば、本発明に係るアクセス管理システムは、プロキシサーバ等のログから計算したWebサイトの悪性度に基づいて、Webサイトのホワイトリスト、ブラックリスト、および、いずれにも属さないグレーリストを生成するリスト生成管理装置と、グレーリストに記載されたWebサイトに接続するとき追加認証を要求する追加認証サーバを有する。追加認証は、応答者が人間であれば突破できるが、マルウェアの様なプログラムでは突破が困難となる画像認証のような形式でおこなう。そして、該追加認証に成功したときグレーリストをホワイトリストに振り分け、一定期間一度も成功しなかったときブラックリストに振り分けることにより、ホワイトリスト等を自動的に生成する。
本発明はまた、アクセス管理方法及びアクセス管理システムで実行されるプログラムとしても構成される。
本発明はまた、アクセス管理方法及びアクセス管理システムで実行されるプログラムとしても構成される。
以上の構成により、C&CサーバのURL情報からなるブラックリストのみならず、正規のWebサイトからなるホワイトリストも自動で生成することができ、このホワイトリスト等を用いて分析対象となるログの分量を削減することで分析処理にかかる時間を短縮することができる。さらに、本発明に係るアクセス管理システムを利用し続けることで、ホワイトリスト等が拡充され、分析処理時間をより短縮することができる。その結果、たとえC&Cサーバを頻繁に変更させられたとしても効率的にログを分析できるようになり、マルウェア感染をより確実に検出できるようになる。
また、疑義のあるWebサイトの情報を、いったん、グレーリストに振り分けて、追加認証を人でないと認証できない方法により、認証させることにより、判定の精度を向上させることができる。
また、疑義のあるWebサイトの情報を、いったん、グレーリストに振り分けて、追加認証を人でないと認証できない方法により、認証させることにより、判定の精度を向上させることができる。
本発明によれば、Webサイトにおけるログを効率的に分析し、システムにおけるマルウェア感染を確実に検出できるアクセス管理を実現することができる。
以下、本発明に係る実施形態を、図1ないし図13を用いて説明する。
〔実施形態1〕
以下、本発明に係る第一の実施形態を、図1ないし図11を用いて説明する。
先ず、図1および図2を用いて第一の実施形態に係るアクセス管理システムの構成について説明する。
以下、本発明に係る第一の実施形態を、図1ないし図11を用いて説明する。
先ず、図1および図2を用いて第一の実施形態に係るアクセス管理システムの構成について説明する。
図1は、第一の実施形態に係るアクセス管理システムを示すブロック図である。図2は、アクセス管理システムの構成要素のハードウェア構成図である。
図1に示されるように、アクセス管理システム1は、ログからホワイトリスト等を生成するリスト生成管理装置10と、一つ以上のクライアントシステム30が、ネットワーク20を介して接続して構成される。
図1に示されるように、アクセス管理システム1は、ログからホワイトリスト等を生成するリスト生成管理装置10と、一つ以上のクライアントシステム30が、ネットワーク20を介して接続して構成される。
リスト生成管理装置10は、フィルタリング部102と、ログ分析部104と、ログDB(データベース)100と、ホワイトリストDB110と、グレーリストDB112と、ブラックリストDB114を有する。ここで、リスト生成管理装置10は、例えばサーバであり、ハードウェア構成として、プログラムを実行する処理装置(プロセッサともいう)と、プログラムやデータを格納するメモリやハードディスク装置等の記憶部を有して構成される。上記フィルタリング部102やログ分析部104は、プログラムの実行によって実現される機能である。
フィルタリング部102は、ホワイトリスト等を用いてログから不要な情報を除去する装置である。ログ分析部104は、ログを分析する部分である。リスト管理部106は、ホワイトリスト等を管理し、更新する部分である。ログDB100は、ログを格納するデータベースである。ホワイトリストDB110、グレーリストDB112、ブラックリストDB114は、それぞれ、ホワイトリスト、グレーリスト、ブラックリストを格納するデータベースである。
ここで、ホワイトリストは、システムが問題と判定したWebサイトのURLを格納するリストであり、ブラックリストは、システムがマルウェアをコントロールするC&Cサーバのように、排除するWebサイトのURLを格納するリストであり、グレーリストは、ホワイトリストにもブラックリストにも属しないWebサイトのURLを格納するリストである。なお、具体的なホワイトリスト、ブラックリスト、グレーリストの形式は、後に説明する。
クライアントシステム30は、FW(ファイアウォール)302と、IDS(不正侵入検知システム)304と、プロキシサーバ306と、追加認証サーバ308と、一つ以上の端末310とがLAN(ローカルエリアネットワーク)を介して接続した構成をとる。
FW302は、外部からのシステムに関する攻撃を防御するために設けられるソフトウェア、あるいは、そのソフトウェアを搭載するハードウェアである。
IDS304は、ネットワークを流れるパケットやコンピュータ内部の挙動を監視して、不正な動きを検知するシステムである。
IDS304は、ネットワークを流れるパケットやコンピュータ内部の挙動を監視して、不正な動きを検知するシステムである。
プロキシサーバ306は、内部ネットワークと外部ネットワークの境にあって、直接、外部ネットワークに接続できない内部ネットワークのコンピュータに代わって、「代理」として外部ネットワークとの接続をおこなうコンピュータ、また、そのための機能を実現するソフトウェアである。
追加認証サーバ308は、端末に対して追加の認証を要求するサーバである。端末310は、Webサイトにアクセスするコンピュータである。
なお、ネットワーク20はインターネットでもよいし、インターネットから直接アクセスを受けない閉鎖網でもよい。また、クライアントシステム30においてFW302とIDS304は必須ではない。
なお、ネットワーク20はインターネットでもよいし、インターネットから直接アクセスを受けない閉鎖網でもよい。また、クライアントシステム30においてFW302とIDS304は必須ではない。
次に、図2を用いて、アクセス管理システムの構成要素のハードウェア構成について説明する。
図1に示したFW302、IDS304、プロキシサーバ306、追加認証サーバ308、端末310は、それぞれ、図2に示されるような、演算装置322、メモリ324、記憶装置326、および、通信装置328、表示装置330、入力装置332、等のデバイスがバスに接続して構成される。なお、サーバ等の構成によっては、あるデバイスを有しない場合もある。
演算装置322は、メモリ324に格納されたプログラムの命令を実行し、各部の制御をおこなう。メモリ324は、半導体装置で実現され、プログラムや一時的なデータを格納する。記憶装置326は、HDD(Hard Disk Drive)やSSD(Solid State Drive)などであり、大容量のデータを記憶する装置である。通信装置328は、ネットワーク20を介して外部機器と通信をおこなう装置である。表示装置330は、液晶ディスプレイ等の結果等を表示する装置である。入力装置332は、キーボードやマウスなどの入力を受け付ける装置である。
フィルタリング部102、ログ分析部104、リスト管理部106については、同じハードウェア構成をとってもよいし、記憶装置326やメモリ324に格納され演算装置322で実行されるプログラムとして、ソフトウェアで構成されてもよい。また、ログDB100、ホワイトリストDB110、グレーリストDB112、ブラックリストDB114は、上記と同じハードウェア構成をとって、データベースサーバとして実現されてもよいし、単なるデータとして記憶装置326やメモリ324上に実現されてもよい。
次に、図3を用いて、アクセス管理システムにおけるアクセス管理方法の処理の概要について説明する。
図3は、システムの構成要素とデータフローを示した概念図である。
図3は、システムの構成要素とデータフローを示した概念図である。
端末A、B、CがそれぞれWebサイトA、B、Cにネットワーク20を介してアクセスを試みる際、プロキシサーバ306が端末A、B、CにIDとパスワードによる認証を要求し、そのログ202がログDB100に記録されるとする。このとき、ログ202には、どの端末がどのWebサイトにアクセスしようとしたのか、その認証は成功したのかなどといった情報が記録されている。
図3では、端末Aでは、ユーザがWebサイトにアクセスしようとしており、端末Cに、マルウェアが潜んで、WebサーバCがC&Cサーバであり、端末Cに潜むマルウェアに、コマンドを送っている様子が示されている。
本実施形態では、このような前提のもと、WebサイトA、B、Cがホワイトリストまたはブラックリストどちらに含まれるかを判定して、ホワイトリスト等を自動的に生成する。
先ず、リスト生成管理装置10のフィルタリング部102は、ログ202から不要な情報を除去して、ログ分析部104へ送る。具体的な除去方法については後に、図4を用いて説明する。
次に、ログ分析部104は、所定のアルゴリズムでログを分析して、表204のようなWebサイトがC&Cサーバである確率(悪性度)の一覧を生成する。悪性度は、マルウェアとC&Cサーバ間の特有のアクセスパターンがあることなどに基づいて算出されるアクセスするWebサイトを排除するために用いられる指標である。アルゴリズムの詳細については後に、図6を用いて説明する。
この図3の例では、分析の結果、WebサイトAの悪性度が0.01%、WebサイトBが80%、WebサイトCが90%と算出されている。
この図3の例では、分析の結果、WebサイトAの悪性度が0.01%、WebサイトBが80%、WebサイトCが90%と算出されている。
この例では、WebサイトAは、正規のWebサイトと予測される反面、WebサイトB、Cは、C&Cサーバなのか、分析アルゴリズムの特性上誤って悪性度が高く算出されただけなのか不明である。例えば、マルウェアではない正規のプログラムが情報収集のためニュースサイトなどに周期的にアクセスした場合、それとマルウェアがC&Cサーバにアクセスする場合とを見分けることは困難である。そこで、リスト管理部106は、WebサイトAの情報をホワイトリスト206に格納し、WebサイトB、Cの情報を、ホワイトでもブラックでもないものとしてグレーリスト208に格納しておく。その後、追加認証サーバ308は、グレーリスト208に格納されたWebサイトB、Cへのアクセスに対しては、プロキシ認証を突破した端末に対して追加の認証を要求する。ここで、この追加認証は、単純なIDパスワードの方式ではなく、CAPTCHA(Completely Automated Public Turing Test to Tell Computers and Humans Apart、コンピュータと人間を区別する完全に自動化された公開チューリングテストの意味。日本では「画像認証」とも呼ばれる)やマトリクス認証(ユーザが予め設定した位置と順番を使って、アクセスするたびにランダムに表示が変わるマトリクス表からその位置と順番に当てはまる数字を抜き出してパスワードとして認識させる認証方式)のような、応答者が人間であれば突破できるがマルウェアの様なプログラムでは突破が困難となるような方式を用いる。そして、追加認証サーバ308は、追加認証に関する情報をログ202に記録しておく。詳細については、後に図7を用いて説明する。
さて、図3に示したアクセス管理システムにおいて、一定期間経過後、WebサイトBへのアクセスに関しては追加認証を突破した端末がいくつか存在した反面、WebサイトCへはどの端末も追加認証を突破できなかったとする。このときリスト管理部106は、グレーリスト208からWebサイトBの情報をホワイトリスト206に移動し、さらにWebサイトCの情報をブラックリスト210に移動する。このようにして、ホワイトリストおよびブラックリストが、本システムにより自動的に生成される。
生成されたホワイトリスト206およびブラックリスト210は、フィルタリング部102にてログ202から不要な情報を除去するために用いられる。すなわち、ホワイトリストに記載されたWebサイトは正規のサイトであり悪性度を算出する必要がないため、フィルタリング部102にて除去される。また、ブラックリストに記載されたWebサイトは、C&Cサーバそのものであってあえて分析する必要もないため、これも除去される。このようにホワイトリスト等を用いて分析対象となるログの分量を削減することにより、分析処理にかかる時間を短縮することができる。さらに、本実施形態のアクセス管理システムを使用し続けることでホワイトリスト等が拡充され、分析処理時間をより短縮することができる。その結果、たとえC&Cサーバを頻繁に変更させられたとしても効率的にログを分析できるようになり、マルウェア感染をより確実に検出できるようになる。
以下、図4ないし図8を用いて、アクセス管理システムのホワイトリスト等を生成する処理の具体的な流れについて説明する。
図4は、プロキシサーバがログを収集してからホワイトリスト等を生成する処理を示すフローチャートである。
図5は、プロキシサーバのログの一例を示す図である。
図6は、ブラックリスト、グレーリスト、ホワイトリストの一例を示す図である。
図7は、ログ分析結果の一例を示す図である。
図8は、ログ分析としてのヒストグラムの一例を示す図である。
図4は、プロキシサーバがログを収集してからホワイトリスト等を生成する処理を示すフローチャートである。
図5は、プロキシサーバのログの一例を示す図である。
図6は、ブラックリスト、グレーリスト、ホワイトリストの一例を示す図である。
図7は、ログ分析結果の一例を示す図である。
図8は、ログ分析としてのヒストグラムの一例を示す図である。
先ず、フィルタリング部102は、プロキシサーバなどのログを収集する(S402)。図5(a)には、プロキシサーバのログ502の一例が示されている。このプロキシサーバログ502は、UNIX時刻で記載されたアクセス時刻と、接続先URL、端末アドレスと、HTTPメソッドとHTTPステータスコードからなる。例えば。プロキシサーバログ502のID=1のログから、UNIX時刻「1326034811.816」すなわち「2012年1月9日0時0分11秒」に、IPアドレスが「151.125.109.231」の端末から、「www.google.com」へHTTPメソッド「GET」で接続しようとして、HTTPステータスコード「TCP_DENIED/407」が返ったこと、すなわち、プロキシサーバによる認証が失敗したことを読み取ることができる。
次に、フィルタリング部102は、収集したログをブラックリスト504と照合して合致するログを除外し、さらに警告をおこなう(S404)。図5(a)には、ブラックリスト504の一例が示される。図6(a)には、ブラックリスト504には、「www.XXXbank.com/css/skin_small_window.css」のように具体的なURLと、登録日「2012/01/17 18:30」が記載されている。ブラックリスト504の照合においては、このようにURLが完全一致した場合にログを除去してもよいし、URLのドメイン名「www.XXXbank.com」が一致した場合にログを除去してもよい。このようにブラックリストと照合することにより、C&Cサーバの検知率が高まる反面、正規のWebサイトを誤ってC&Cサーバとみなす誤検知率も高まる。どちらを採用するかは入力装置332を介してユーザが決められるようにしてもよいし、予めいずれかに固定しておいてもよい。
同様にフィルタリング部102は、収集したログをホワイトリストと照合し、合致するログを除外する(S406)。図6(c)には、ホワイトリスト506の一例が示されている。図6(c)のホワイトリスト506には、「www.google.com」のように具体的なURLと、登録日「2012/01/14 16:34」が記載されている。ホワイトリスト504の照合においても、URLではなくドメイン名の一致で照合することも可能である。しかしながら、この場合、C&Cサーバを誤って正規のWebサイトと誤認識する確率も高まる。これについてもどちらを採用するか入力装置332を介してユーザが決められるようにしてもよいし、予めいずれに固定しておいてもよい。
なお、S404とS406の順番は逆でもよい。また、マルウェア作成者は頻繁にC&Cサーバを変えることが多く、ブラックリストは陳腐化しやすいため、ブラックリストまたはホワイトリストに登録されているURL情報について、リスト管理部106が登録日の古いものを順次削除してもよい。
さて、一般に、プロキシサーバのログはプロキシサーバへのアクセス順に記録されるため、このままでは分析に向いていない。そこでフィルタリング部102は次に、ログの整形をおこなう(S408)。図5(b)には、整形されたログ508の一例が示されている。ログ508では同一の接続先URLおよび端末からのアクセスが連続するように順序が入れ替えられている。このような整形によりアクセス間隔が明らかとなり、特許文献1に記載されているような周期性の計算など高度な分析をおこなうことができるようになる。なお、このS408の処理は、ログの分析を容易にするためのステップであり、必須ではない。
以上のようにフィルタリング部102がホワイトリスト等を用いてログから分析に不要な情報を除去した後、次にログ分析部104が、接続先URLがC&Cサーバである確率(悪性度)を算出する(S410)。図7には、ログ分析結果602が示されている。ログ分析結果602では悪性度の算出にアクセス端末割合、周期性強度など、R個の分析ルールを用いている。アクセス端末割合とは、1か月等一定期間に同じWebサイトにアクセスした端末の数をクライアントシステム30に属する全端末数で割った値のことである。正規のWebサイトであればさまざまな端末がアクセスする反面、C&Cサーバへのアクセスはマルウェアに感染した端末に限られ、それほど数が多くないことから、接続先の悪性度の算出に利用できる。値が大きいほど正規のWebサイトである可能性が高い。なお、当該期間は入力装置332を介してユーザが決められるようにしてもよいし、予め固定しておいてもよい。
周期性強度とは、アクセス間隔が周期的であるほど大きくなるような値のことである。マルウェアとC&Cサーバの間で攻撃命令などの情報を授受するとき、人間と比較してアクセスが周期的になりやすいため、周期性強度が大きいほど悪性度が高まると考えられる。以下、周期性強度の具体的な算出方法について説明する。先ず、整形されたログ508から、同一端末が同一の接続先に、10分間隔等ある一定間隔ごとに何回アクセスしたかをカウントすることでヒストグラムを作成する。図6には、ヒストグラム604に一例が示されている。横軸がアクセス時刻、縦軸がアクセス数に対応している。ヒストグラム604では、N個のアクセス数a0,…,aN−1が得られている。10分間隔でカウントしたとすると、ヒストグラム604は10N分間のアクセスについて表現していることになる。周期性強度は、一般にフーリエ変換により求めることができる。すなわち、以下の(式1)によりヒストグラム604をフーリエ変換して周波数成分の集合{Ak}を求め、
次に、以下の(式2)のように{Ak}から絶対値|Ak|が最大となるようなkを求め、これをKとしたとき、周期性強度Pは、以下の(式3)で求められる。ここで、A0は、周期的に変動しない直流成分である。
このような複数の分析ルールによりR個のスコア{Xt}が求められたとする。このとき悪性度Sは、(式4)のように、R個の重み{rt}を掛け合わせた合計により与えられる。ここで重み{rt}は、Xtが大きいほど悪性度が高くすべき場合は正、そうでない場合は負となり、かつ、悪性度への寄与が高い分析ルールに対しては大きい値、そうでない場合は小さい値を取るように設定される。例えば、上記のアクセス端末数場合の重みは、負、周期性強度の重みは、正とする。図7に示した分析結果602の一例では、r0を−1、r1を1、r2からrRをすべて、0として悪性度を求めている。No=1,2,3のアクセス端末割合が0.0001でアクセス端末数が少なく、周期性強度も0.9以上あり比較的大きいため、悪性度が高く算出されている。一方、No=10000のようにアクセス端末数が多く、周期性強度も小さいような接続先URLに対しては、悪性度が低く算出されている。なお、重み{rt}や分析ルール適用における補助的な変数(ヒストグラム作成時におけるアクセス間隔など)は、入力装置332を介してユーザが決められるようにしてもよいし、予め固定しておいてもよい。
以上のようなログ分析部104における分析処理が完了した後、リスト管理部106は、悪性度Sに基づき、接続先URLをブラックリスト504、グレーリスト505、ホワイトリスト506に分類する(S412)。具体的には、しきい値B、Wを用いて、SがB以上のとき接続先URLをブラックリスト504に(S414)、SがBより大きくWより小さいとき接続先URLをグレーリスト505に(S416)、SがW以下のとき接続先URLをホワイトリスト506に(S418)登録する。ここで、しきい値B、Wは入力装置332を介してユーザが決められるようにしてもよいし、予め固定しておいてもよい。なお、いずれの場合も必ずBはWよりも大きくなるように設定する。また、(式4)の重み{rt}に応じて悪性度Sの取りうる値の範囲は変動するため、それに応じてしきい値B、Wを設定する必要がある。
以上、S402からS418までの処理ステップにより本発明のホワイトリスト等を生成する処理が完了する。
以上、S402からS418までの処理ステップにより本発明のホワイトリスト等を生成する処理が完了する。
本発明の特徴は、悪性度だけではC&Cサーバを特定するのは困難であるため、ホワイトリストでもブラックリストでもないグレーリストを準備しておき、その後、応答者が人間であれば突破できるがマルウェアの様なプログラムでは突破が困難となるような方式で追加認証を行って、その結果に基づいてグレーリストをホワイトリストかブラックリストに振り分けることにある。
そこで、以下、図9を用いて、アクセス管理システムの追加認証を含めた認証処理の具体的な処理の流れについて説明する。図9は、アクセス管理システムの認証処理を説明するフローチャートである。図10は、認証処理の際のユーザインターフェイスを示す図である。
先ず、端末310は、ネットワーク20を介してWebサイトにアクセスをおこなう際、端末のIPアドレス、接続先WebサイトのURLに関する情報をプロキシサーバ306に送信する(S702)。プロキシサーバ306は認証をおこなうため、図10(a)に示されるように、端末310に対してIDとパスワードを要求する(S704)。認証が成功した場合S704に飛ぶ。失敗した場合は、再度IDとパスワードを要求し、予め定めた回数連続して認証が失敗した場合接続不許可とする(S714)。
プロキシサーバ306による認証を突破した場合、追加認証サーバ308が起動されて、接続先URLをリスト生成管理装置10のグレーリストDB112と照合する(S706)。照合の結果接続先URLがグレーリスト505に含まれていた場合、追加認証を要求する(S708)。そうでない場合はそのまま接続を許可する(S712)。
追加認証には、図10(a)に示されるようなIDとパスワードによる認証ではなく、図10(b)に示されるようにCAPTCHA(画像認証)やマトリクス認証のような別方式を採用する。この追加認証が成功したとき接続を許可し(S712)、予め定めた回数連続して認証が失敗した場合接続不許可とする(S714)。
接続許可(S712)または不許可(S714)の処理の後、プロキシサーバ306および必要があれば追加認証サーバ308がログ502をログDB100に出力して(S716)、認証処理が完了する。プロキシサーバのログ502については先に図5(a)に示した通りである。追加認証サーバのログ502も同様であり、アクセス時刻、接続先URL、端末アドレス、HTTPメソッド、HTTPステータスコードなどの情報が格納される。図5のID=3の例では、認証が失敗したことをステータスコード「TCP_DENIED/407」で示している。
上記の追加認証処理により、グレーリストに含まれたWebサイトの情報をホワイトリストやブラックリストに振り分けることができる。
以下、図11を用いてその具体的な手順について説明する。図11は、アクセス管理システムにおけるグレーリストをホワイトリストやブラックリストに振り分ける処理を示すフローチャートである。
先ず、管理装置106は、追加認証サーバ308の一定期間分のログ502をログDB100から収集する(S802)。ここで、一定期間とは、追加認証の成否によってホワイトリスト等への振り分けができる程度にWebサイトへのアクセス情報が収集できるような、1か月程度の期間を想定している。当該期間は入力装置332を介してユーザが決められるようにしてもよいし、予め固定しておいてもよい。
次に、リスト管理部106は、収集した追加認証サーバ308のログ502を接続先URLごとにまとめ、図5(b)に示したような整形されたログ508にする(S804)。ここで、接続先URLの数をNとする。
次に、リスト管理部106は、添え字iを0とおいて(S806)、i番目の接続先URL_iについて追加認証を成功した回数を集計する(S808)。もし1回以上追加認証に成功していたら、URL_iはマルウェアではなく人間によるアクセスでありC&Cサーバではなかったと判断してURL_iをグレーリストDB112から削除し、ホワイトリストDB110に登録する(S810)。逆に一度も追加認証に成功していなかったら、URL_iはマルウェアがアクセスを試みているC&Cサーバであると判断して、URL_iをグレーリストDB112から削除し、ブラックリストDB114に登録する(S812)。
iがNより小さければiを1増やしてS808に戻り(S814、S816)、すべての接続先についてS808からS812の処理を施す。以上によりグレーリストのホワイトリスト等への振り分け処理が完了する。
以上、本発明を実施するための形態について図1から図11を用いて説明した。なお、これまでプロキシサーバ306のログに限定して説明したが、FWやIDSのログも接続先、接続元のアドレスやアクセス時刻等の情報を含んでおり、図4に示したフローチャートと同様の処理で悪性度を計算できるため、上記と同様のシステムおよび処理手順で、FWまたはIDSのログからホワイトリスト等を生成することも可能である。すなわち、プロキシサーバ306、FW302、IDS304いずれか一つ以上の機器が存在し、いずれかの機器のログがあれば本発明を実施することができる。ただし、FWやIDSはプロキシサーバと異なりアクセス毎に認証するわけではないので、その場合には、図9のS704の処理は省略される。
〔実施形態2〕
以下、本発明に係る第二の実施形態を、図12および図13を用いて説明する。
図12は、第二の実施形態に係るアクセス管理システムを示すブロック図である。図13は、アクセス管理システムにおけるグレーリストをホワイトリストやブラックリストに振り分ける処理を示すフローチャートである。
以下、本発明に係る第二の実施形態を、図12および図13を用いて説明する。
図12は、第二の実施形態に係るアクセス管理システムを示すブロック図である。図13は、アクセス管理システムにおけるグレーリストをホワイトリストやブラックリストに振り分ける処理を示すフローチャートである。
上記第一の実施形態では、ホワイトリストでもブラックリストでもないグレーリストを準備しておき、追加認証の結果を用いてグレーリストをホワイトリストかブラックリストに振り分けることによって、ホワイトリスト等を自動で生成した。しかしながら、リスト生成管理装置10とクライアントシステム30の管轄が異なっているなどの理由により、クライアントシステム30のLANに追加認証サーバ308を導入することが難しい場合がある。そこで、本実施形態では、追加認証サーバ308を用いずにホワイトリスト等を生成するシステムを提示する。
第二の実施形態のアクセス管理システムは、図1に示したアクセス管理システムと比較して、クライアントシステム90には追加認証サーバ308が存在せず、代わりにマルウェア検知装置902が端末904に直接接続されている。他の構成は、第一の実施形態のアクセス管理システムと同様である。マルウェア検知装置902は、端末904のメモリや記憶装置をスキャンするなどしてマルウェアの検知をおこなう装置である。マルウェア検知装置902のハードウェア構成は、図2に示したものと同様である。
ここで、本実施形態のアクセス管理システムが、図4と同様のログ分析処理をおこなって、グレーリストDB112にWebサイトに関する情報がN個蓄積されたとする。そのときに、図13を用いてグレーリストをホワイトリストまたはブラックリストに振り分ける処理の具体手順について説明する。
先ず、リスト管理部106は、添え字iを0とおいて(S1002)、ログDB100に格納されているログ502を走査して、グレーリストDB112に含まれるi番目の接続先URL_iの端末904を特定する(S1004)。
次に、マルウェア検知装置902は、端末904のメモリや記憶装置をスキャンするなどしてマルウェアの検知をおこなう(S1006、S1008)。もし、端末904がマルウェアに感染していた場合、URL_iをグレーリストDB112から削除し、ブラックリストDB114に登録する(S1110)。感染していなかった場合、URL_iをグレーリストDB112から削除し、ホワイトリストDB110に登録する(S1112)。
iがNより小さければiを1増やしてS1004に戻り(S1014、S1016)、グレーリストDB112に格納されているすべての接続先についてS1004からS1012の処理を施す。以上によりグレーリストのホワイトリスト等への振り分け処理が完了する。
なお、第一の実施形態と同様、プロキシサーバ306、FW302、IDS304いずれか一つ以上の機器のログがあれば、本実施形態を実施することができる。
以上、本発明の実施形態について説明したが、本発明の上記実施形態に限定されることなく、種々変形、応用して実施できる。
例えば、図1に示した、リスト生成管理装置10は1台のサーバで構成せずに、各機能部を分けて複数のサーバで構成されてもよい。
例えば、図1に示した、リスト生成管理装置10は1台のサーバで構成せずに、各機能部を分けて複数のサーバで構成されてもよい。
また、上記実施形態で説明した、「以上」、「以下」、「より大きい」、「より小さい」等の表現は、しきい値を含むか否かと言うような、数学的な意味ほど厳格なものである必要はない。本発明の趣旨を逸脱しない範囲で、しきい値を含んでもよいし、含まなくてもよい。
1…アクセス管理システム、10…リスト生成管理装置、100…ログDB、102…フィルタリング部、104…ログ分析部、106…リスト管理部、110…ホワイトリストDB、112…グレーリストDB、114…ブラックリストDB、20…ネットワーク、30…クライアントシステム、302…FW、304…IDS、306…プロキシサーバ、308…追加認証サーバ、310…端末、
202…ログ、202…表、206…ホワイトリスト、208…グレーリスト、210…ブラックリスト、
322…演算装置、324…メモリ、326…記憶装置、328…通信装置、330…表示装置、332…入力装置、
502…プロキシサーバログ、504…ブラックリスト、505…グレーリスト、506…ホワイトリスト、508…整形されたログ、602…分析結果、604…ヒストグラム、
2…アクセス管理システム、90…クライアントシステム、902…マルウェア検知装置、904…端末。
202…ログ、202…表、206…ホワイトリスト、208…グレーリスト、210…ブラックリスト、
322…演算装置、324…メモリ、326…記憶装置、328…通信装置、330…表示装置、332…入力装置、
502…プロキシサーバログ、504…ブラックリスト、505…グレーリスト、506…ホワイトリスト、508…整形されたログ、602…分析結果、604…ヒストグラム、
2…アクセス管理システム、90…クライアントシステム、902…マルウェア検知装置、904…端末。
Claims (9)
- 端末からアクセスするWebサイトのアクセス情報をログとして記録し、Webサイトの属性を分析するアクセス管理システムにより実行されるアクセス管理方法であって、
該ログからWebサイトの悪性度を計算するステップと、
悪性度が第一のしきい値以下のとき該Webサイトに関する情報をホワイトリストに登録し、第二のしきい値以上のとき該Webサイトに関する情報をブラックリストに登録し、第一のしきい値より大きく第二のしきい値より小さいとき該Webサイトに関する情報をグレーリストに登録するステップと、
を有することを特徴とするアクセス管理方法。 - 端末からアクセスするWebサイトのアクセス情報をログとして記録し、Webサイトの属性を分析するアクセス管理システムにおけるアクセス管理方法であって、
該ログからWebサイトの悪性度を計算するステップと、
悪性度が第一のしきい値以下のとき該Webサイトに関する情報をホワイトリストに登録し、第二のしきい値以上のとき該Webサイトに関する情報をブラックリストに登録し、第一のしきい値より大きく第二のしきい値より小さいとき該Webサイトに関する情報をグレーリストに登録するステップと、
ある端末がグレーリストに登録されているWebサイトに接続するとき、一回目の接続認証後、該端末に対して追加認証を要求するステップと、
該追加認証に成功したとき、該Webサイトの情報を該グレーリストから削除して該ホワイトリストに登録し、一定期間一度も成功しなかったとき、該Webサイトの情報を該グレーリストから削除して該ブラックリストに登録するステップを有することを特徴とするアクセス管理方法。 - 前記悪性度は、複数の分析ルールを適用して求めたスコアに重み付けをした一次形式の総和で与えられ、
第一の分析ルールは、同一のWebサイトにアクセスした端末の数が多いほど小さいスコアを与えるものであり、その対応する重みは負であり、
第二の分析ルールは、アクセスの周期性強度が高いほど大きいスコアを与えるものであり、その対応する重みは正であることを特徴とする請求項1又は2に記載のアクセス管理方法。 - 前記追加認証は、画像認証により行なわれることを特徴とする請求項1乃至3のいずれかの項に記載のアクセス管理方法。
- 端末からアクセスするWebサイトのアクセス情報をログとして記録し、Webサイトの属性を分析するアクセス管理システムにおいて実行されるアクセス管理プログラムであって、
該ログからWebサイトの悪性度を計算するステップと、
ある端末がグレーリストに登録されているWebサイトに接続するとき、一回目の接続認証後、該端末に対して追加認証を要求するステップと、
該追加認証に成功したとき、該Webサイトの情報を該グレーリストから削除して該ホワイトリストに登録し、一定期間一度も成功しなかったとき、該Webサイトの情報を該グレーリストから削除して該ブラックリストに登録するステップと、を実行することを特徴するアクセス管理プログラム。 - 端末からアクセスするWebサイトのアクセス情報をログとして記録し、Webサイトの属性を分析するアクセス管理システムにおいて実行されるアクセス管理プログラムであって、
該アクセス管理システムが、該ログからWebサイトの悪性度を計算するステップと、
該アクセス管理システムが、悪性度が第一のしきい値以下のとき該Webサイトに関する情報をホワイトリストに登録し、第二のしきい値以上のとき該Webサイトに関する情報をブラックリストに登録し、第一のしきい値より大きく第二のしきい値より小さいとき該Webサイトに関する情報をグレーリストに登録するステップと、
を有することを特徴とするアクセス管理プログラム。 - 端末からアクセスするWebサイトのアクセス情報をログとして記録し、Webサイトの属性を分析するアクセス管理システムであって、
正規のWebサイトに関する情報が記載されたホワイトリストと、マルウェアに指令をおこなう悪性のWebサイトに関する情報が記載されたブラックリストと、さらに、そのいずれにも含まれていないWebサイトに関する情報を保持するグレーリストと有し、
該アクセス管理システムは、
プロキシサーバのログからWebサイトの悪性度を計算して、悪性度が第一のしきい値以下のとき該Webサイトに関する情報をホワイトリストに登録し、第二のしきい値以上のとき該Webサイトに関する情報をブラックリストに登録し、第一のしきい値より大きく第二のしきい値より小さいとき該Webサイトに関する情報をグレーリストに登録するリスト生成管理装置と、
ある端末がグレーリストに登録されているWebサイトに接続するとき、プロキシサーバによる認証後、該端末に対して追加認証を要求する追加認証サーバと、を有し、
該追加認証に成功したとき、該リスト生成管理装置は、該Webサイトの情報を該グレーリストから削除して該ホワイトリストに登録し、一定期間一度も成功しなかったとき、該Webサイトの情報を該グレーリストから削除して該ブラックリストに登録することを特徴とするアクセス管理システム。 - 前記アクセス管理システムは、
ファイアウォールまたは不正侵入検知装置を含み、
前記リスト生成管理装置は、プロキシサーバのログの代わりにファイアウォールまたは不正侵入検知装置のログからWebサイトの悪性度を計算することを特徴とする請求項7記載のアクセス管理システム。 - 端末からアクセスするWebサイトのアクセス情報をログとして記録し、Webサイトの属性を分析するアクセス管理システムであって、
正規のWebサイトに関する情報が記載されたホワイトリストと、マルウェアに指令をおこなう悪性のWebサイトに関する情報が記載されたブラックリストと、さらに、そのいずれにも含まれていないWebサイトに関する情報を保持するグレーリストと有し、
該アクセス管理システムは、
プロキシサーバのログからWebサイトの悪性度を計算して、悪性度が第一のしきい値以下のとき該Webサイトに関する情報をホワイトリストに登録し、第二のしきい値以上のとき該Webサイトに関する情報をブラックリストに登録し、第一のしきい値より大きく第二のしきい値より小さいとき該Webサイトに関する情報をグレーリストに登録するリスト生成管理装置と、
マルウェア検知装置と、有し、
前記マルウェア検知装置は、該グレーリストに含まれるWebサイトにアクセスを試みた端末に接続してマルウェアの検知を行い、
該端末がマルウェアに感染していた場合、該Webサイトを該グレーリストから削除し、該ブラックリストに登録し、感染していなかった場合、該Webサイトを該グレーリストから削除し、該ホワイトリストに登録することを特徴とするアクセス管理システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014045594A JP6290659B2 (ja) | 2014-03-07 | 2014-03-07 | アクセス管理方法およびアクセス管理システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014045594A JP6290659B2 (ja) | 2014-03-07 | 2014-03-07 | アクセス管理方法およびアクセス管理システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015170219A true JP2015170219A (ja) | 2015-09-28 |
| JP6290659B2 JP6290659B2 (ja) | 2018-03-07 |
Family
ID=54202870
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014045594A Active JP6290659B2 (ja) | 2014-03-07 | 2014-03-07 | アクセス管理方法およびアクセス管理システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6290659B2 (ja) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017068714A1 (ja) * | 2015-10-23 | 2017-04-27 | 株式会社日立製作所 | 不正通信制御装置および方法 |
| CN106875660A (zh) * | 2015-12-11 | 2017-06-20 | 华为技术有限公司 | 用于表计设备通信的方法和采集器 |
| JP2018084953A (ja) * | 2016-11-24 | 2018-05-31 | ヤフー株式会社 | 情報解析装置、情報解析システム、情報解析方法、および情報解析プログラム |
| JP2018190209A (ja) * | 2017-05-09 | 2018-11-29 | 株式会社日立製作所 | Webアクセス制御装置 |
| JP2019021094A (ja) * | 2017-07-19 | 2019-02-07 | 株式会社日立製作所 | Webアクセス制御装置 |
| JP2020017138A (ja) * | 2018-07-26 | 2020-01-30 | デジタルア−ツ株式会社 | 情報処理装置、情報処理方法、及び情報処理プログラム |
| JP6743319B1 (ja) * | 2019-06-26 | 2020-08-19 | 楽天株式会社 | 不正推定システム、不正推定方法、及びプログラム |
| KR102163655B1 (ko) * | 2019-06-05 | 2020-10-08 | 주식회사 인더포레스트 | 블록체인 모니터링 방법 및 이러한 방법을 사용하는 장치 |
| JP2020530638A (ja) * | 2017-08-09 | 2020-10-22 | エヌティーティー セキュリティー コーポレイション | マルウェアホストネットフロー分析システム及び方法 |
| CN112015946A (zh) * | 2019-05-30 | 2020-12-01 | 中国移动通信集团重庆有限公司 | 视频检测方法、装置、计算设备及计算机存储介质 |
| WO2020261425A1 (ja) * | 2019-06-26 | 2020-12-30 | 楽天株式会社 | 不正推定システム、不正推定方法、及びプログラム |
| KR102219094B1 (ko) * | 2020-03-18 | 2021-02-23 | 쿠팡 주식회사 | 온라인 상품 링크 활동을 조절하기 위한 시스템 및 방법 |
| CN112912877A (zh) * | 2018-09-03 | 2021-06-04 | 松下电器产业株式会社 | 日志输出装置、日志输出方法以及日志输出系统 |
| CN113904803A (zh) * | 2021-09-06 | 2022-01-07 | 河南信大网御科技有限公司 | 一种基于拟态防御的业务处理方法及系统 |
| CN116112208A (zh) * | 2022-11-30 | 2023-05-12 | 中国农业银行股份有限公司湖南省分行 | 一种采用断网技术处置非法软件使用的方法和装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004030286A (ja) * | 2002-06-26 | 2004-01-29 | Ntt Data Corp | 侵入検知システムおよび侵入検知プログラム |
| JP2006185382A (ja) * | 2004-12-28 | 2006-07-13 | Nippon Telegr & Teleph Corp <Ntt> | 受信制御装置 |
| US20110072516A1 (en) * | 2009-09-23 | 2011-03-24 | Cohen Matthew L | Prevention of distributed denial of service attacks |
| JP2011138334A (ja) * | 2009-12-28 | 2011-07-14 | Nifty Corp | 不適正メール遮断機能を有する電子メールシステム |
| WO2012166440A2 (en) * | 2011-05-27 | 2012-12-06 | Alibaba Group Holding Limited | External link processing |
| JP2013092998A (ja) * | 2011-10-27 | 2013-05-16 | Mitsubishi Electric Corp | アクセス判定装置およびアクセス判定方法およびプログラム |
| JP2013191133A (ja) * | 2012-03-15 | 2013-09-26 | Mitsubishi Electric Corp | アドレス抽出装置 |
| JP2015162225A (ja) * | 2014-02-28 | 2015-09-07 | セコムトラストシステムズ株式会社 | ウェブ中継サーバ装置、及びウェブページ閲覧システム |
-
2014
- 2014-03-07 JP JP2014045594A patent/JP6290659B2/ja active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004030286A (ja) * | 2002-06-26 | 2004-01-29 | Ntt Data Corp | 侵入検知システムおよび侵入検知プログラム |
| JP2006185382A (ja) * | 2004-12-28 | 2006-07-13 | Nippon Telegr & Teleph Corp <Ntt> | 受信制御装置 |
| US20110072516A1 (en) * | 2009-09-23 | 2011-03-24 | Cohen Matthew L | Prevention of distributed denial of service attacks |
| JP2011138334A (ja) * | 2009-12-28 | 2011-07-14 | Nifty Corp | 不適正メール遮断機能を有する電子メールシステム |
| WO2012166440A2 (en) * | 2011-05-27 | 2012-12-06 | Alibaba Group Holding Limited | External link processing |
| JP2014516183A (ja) * | 2011-05-27 | 2014-07-07 | アリババ・グループ・ホールディング・リミテッド | 外部リンク処理 |
| JP2013092998A (ja) * | 2011-10-27 | 2013-05-16 | Mitsubishi Electric Corp | アクセス判定装置およびアクセス判定方法およびプログラム |
| JP2013191133A (ja) * | 2012-03-15 | 2013-09-26 | Mitsubishi Electric Corp | アドレス抽出装置 |
| JP2015162225A (ja) * | 2014-02-28 | 2015-09-07 | セコムトラストシステムズ株式会社 | ウェブ中継サーバ装置、及びウェブページ閲覧システム |
Non-Patent Citations (1)
| Title |
|---|
| 北澤 繁樹 SHIGEKI KITAZAWA, 2012 第29回 暗号と情報セキュリティシンポジウム概要集 [CD−ROM] 2012年 暗号と情, JPN6017043835, 31 December 2012 (2012-12-31), pages 1 - 8, ISSN: 0003682859 * |
Cited By (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017068714A1 (ja) * | 2015-10-23 | 2017-04-27 | 株式会社日立製作所 | 不正通信制御装置および方法 |
| CN106875660A (zh) * | 2015-12-11 | 2017-06-20 | 华为技术有限公司 | 用于表计设备通信的方法和采集器 |
| JP2018084953A (ja) * | 2016-11-24 | 2018-05-31 | ヤフー株式会社 | 情報解析装置、情報解析システム、情報解析方法、および情報解析プログラム |
| JP2018190209A (ja) * | 2017-05-09 | 2018-11-29 | 株式会社日立製作所 | Webアクセス制御装置 |
| JP6993792B2 (ja) | 2017-05-09 | 2022-02-03 | 株式会社日立製作所 | Webアクセス制御装置 |
| JP2019021094A (ja) * | 2017-07-19 | 2019-02-07 | 株式会社日立製作所 | Webアクセス制御装置 |
| JP2020530638A (ja) * | 2017-08-09 | 2020-10-22 | エヌティーティー セキュリティー コーポレイション | マルウェアホストネットフロー分析システム及び方法 |
| JP7219380B2 (ja) | 2017-08-09 | 2023-02-08 | Nttセキュリティホールディングス株式会社 | マルウェアホストネットフロー分析システム及び方法 |
| WO2020022456A1 (ja) * | 2018-07-26 | 2020-01-30 | デジタルアーツ株式会社 | 情報処理装置、情報処理方法、及び情報処理プログラム |
| CN112424778A (zh) * | 2018-07-26 | 2021-02-26 | 电子技巧股份有限公司 | 信息处理装置、信息处理方法、及信息处理程序 |
| JP2020017138A (ja) * | 2018-07-26 | 2020-01-30 | デジタルア−ツ株式会社 | 情報処理装置、情報処理方法、及び情報処理プログラム |
| CN112912877B (zh) * | 2018-09-03 | 2024-06-04 | 松下控股株式会社 | 日志输出装置、日志输出方法以及日志输出系统 |
| CN112912877A (zh) * | 2018-09-03 | 2021-06-04 | 松下电器产业株式会社 | 日志输出装置、日志输出方法以及日志输出系统 |
| CN112015946B (zh) * | 2019-05-30 | 2023-11-10 | 中国移动通信集团重庆有限公司 | 视频检测方法、装置、计算设备及计算机存储介质 |
| CN112015946A (zh) * | 2019-05-30 | 2020-12-01 | 中国移动通信集团重庆有限公司 | 视频检测方法、装置、计算设备及计算机存储介质 |
| KR102163655B1 (ko) * | 2019-06-05 | 2020-10-08 | 주식회사 인더포레스트 | 블록체인 모니터링 방법 및 이러한 방법을 사용하는 장치 |
| JP6743319B1 (ja) * | 2019-06-26 | 2020-08-19 | 楽天株式会社 | 不正推定システム、不正推定方法、及びプログラム |
| TWI751590B (zh) * | 2019-06-26 | 2022-01-01 | 日商樂天集團股份有限公司 | 違規推定系統、違規推定方法及程式產品 |
| JP6813711B1 (ja) * | 2019-06-26 | 2021-01-13 | 楽天株式会社 | 不正推定システム、不正推定方法、及びプログラム |
| WO2020261426A1 (ja) * | 2019-06-26 | 2020-12-30 | 楽天株式会社 | 不正推定システム、不正推定方法、及びプログラム |
| WO2020261425A1 (ja) * | 2019-06-26 | 2020-12-30 | 楽天株式会社 | 不正推定システム、不正推定方法、及びプログラム |
| US11049159B1 (en) | 2020-03-18 | 2021-06-29 | Coupang Corp | Systems and methods for regulating online merchandise link activity |
| WO2021186238A1 (en) * | 2020-03-18 | 2021-09-23 | Coupang Corp. | Systems and methods for regulating online merchandise link activity |
| KR102219094B1 (ko) * | 2020-03-18 | 2021-02-23 | 쿠팡 주식회사 | 온라인 상품 링크 활동을 조절하기 위한 시스템 및 방법 |
| US11488221B2 (en) | 2020-03-18 | 2022-11-01 | Coupang Corp. | Systems and methods for regulating online merchandise link activity |
| CN113904803A (zh) * | 2021-09-06 | 2022-01-07 | 河南信大网御科技有限公司 | 一种基于拟态防御的业务处理方法及系统 |
| CN113904803B (zh) * | 2021-09-06 | 2023-09-08 | 河南信大网御科技有限公司 | 一种基于拟态防御的业务处理方法及系统 |
| CN116112208A (zh) * | 2022-11-30 | 2023-05-12 | 中国农业银行股份有限公司湖南省分行 | 一种采用断网技术处置非法软件使用的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6290659B2 (ja) | 2018-03-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6290659B2 (ja) | アクセス管理方法およびアクセス管理システム | |
| Moustafa et al. | Generalized outlier gaussian mixture technique based on automated association features for simulating and detecting web application attacks | |
| US10574681B2 (en) | Detection of known and unknown malicious domains | |
| EP3101865B1 (en) | Detection of anomalous administrative actions | |
| EP2769508B1 (en) | System and method for detection of denial of service attacks | |
| US20180069893A1 (en) | Identifying Changes in Use of User Credentials | |
| KR101743269B1 (ko) | 행위 정보 분석 및 사용자 행위 패턴 모델링을 통한 이상행위 탐지 방법과 그를 위한 장치 | |
| KR102024142B1 (ko) | 사용자의 서버접근 패턴 기반 이상 사용자를 탐지 및 제어하는 접근통제 시스템 | |
| Niu et al. | Identifying APT malware domain based on mobile DNS logging | |
| CN104426906A (zh) | 识别计算机网络内的恶意设备 | |
| CN108337219B (zh) | 一种物联网防入侵的方法和存储介质 | |
| CN111786966A (zh) | 浏览网页的方法和装置 | |
| JP2012527691A (ja) | アプリケーションレベルセキュリティのためのシステムおよび方法 | |
| WO2016003531A1 (en) | Classifying a program interacting with a system using questioning and fingerprinting | |
| US11810014B2 (en) | Systems, methods and apparatus for evaluating status of computing device user | |
| CN105378745A (zh) | 基于安全问题禁用和启用节点 | |
| Nguyen et al. | DGA botnet detection using collaborative filtering and density-based clustering | |
| CN117978556B (zh) | 一种数据访问控制方法、网络交换子系统及智能计算平台 | |
| CN113645181B (zh) | 一种基于孤立森林的分布式规约攻击检测方法及系统 | |
| JP7320462B2 (ja) | アクセス権に基づいてコンピューティングデバイス上でタスクを実行するシステムおよび方法 | |
| KR20150133370A (ko) | 웹서비스 접속제어 시스템 및 방법 | |
| JP6890559B2 (ja) | アクセス分析システム及びアクセス分析方法 | |
| KR102351122B1 (ko) | 매크로 이상 접속 탐지 장치 및 방법 | |
| CN114006735A (zh) | 一种数据保护方法、装置、计算机设备和存储介质 | |
| GhasemiGol et al. | Intrusion detection by ellipsoid boundary |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170213 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20171115 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171121 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180117 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180130 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180208 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6290659 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |