JP2016071384A - Unauthorized access detection system, unauthorized access detection apparatus, unauthorized access detection method, and unauthorized access detection program - Google Patents
Unauthorized access detection system, unauthorized access detection apparatus, unauthorized access detection method, and unauthorized access detection program Download PDFInfo
- Publication number
- JP2016071384A JP2016071384A JP2014196359A JP2014196359A JP2016071384A JP 2016071384 A JP2016071384 A JP 2016071384A JP 2014196359 A JP2014196359 A JP 2014196359A JP 2014196359 A JP2014196359 A JP 2014196359A JP 2016071384 A JP2016071384 A JP 2016071384A
- Authority
- JP
- Japan
- Prior art keywords
- unauthorized access
- feature
- terminal
- captcha
- access detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、不正アクセス、特に、遠隔操作による不正アクセスを検知する不正アクセス検知システム、不正アクセス検知装置、不正アクセス検知方法、および不正アクセス検知プログラムに関する。 The present invention relates to an unauthorized access detection system, an unauthorized access detection device, an unauthorized access detection method, and an unauthorized access detection program for detecting unauthorized access, particularly unauthorized access by remote operation.
特定のターゲットに対して攻撃を行う標的型攻撃が知られている。標的型攻撃とは、ターゲットに対してマルウェアに感染しているウェブサイトのURL(Uniform Resource Locator)を踏ませることにより、あるいは、ターゲットに対してマルウェアを送り込み実行させることにより端末を不正プログラムに感染させ、最終的に支配下に置く攻撃のことを指す。攻撃者は、支配下に置いた端末から組織内部に対して攻撃を行うことによって、情報の窃取や破壊などの攻撃を実行する。そこで、このような攻撃を防ぐための様々な対策が実施されている。 Targeted attacks that attack specific targets are known. Targeted attack means that the terminal is infected with a malicious program by setting the URL (Uniform Resource Locator) of a website infected with malware to the target, or by sending malware to the target and executing it. Refers to an attack that is ultimately placed under control. An attacker performs an attack such as theft or destruction of information by attacking the inside of an organization from a terminal under control. Therefore, various measures are taken to prevent such attacks.
例えば、特許文献1には、ホワイトリストとCAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)認証を併用することによって機械による不正アクセスを検知する技術が記載されている。登録されてないURLへのアクセス要求があった際に、人間であれば容易に回答できるが機械では回答の難しいCAPTCHA認証を行うことで、機械によるアクセス(事実上、攻撃者によって実施されるアクセスと見なすことができる)と人間によるアクセスとを区別することが可能となる。人間によるアクセス要求と判断された場合にアクセス要求のあったURLをホワイトリストに登録し、機械によるアクセス要求と判断された場合は不正アクセスとして遮断する。 For example, Patent Document 1 describes a technique for detecting unauthorized access by a machine by using a white list and CAPTCHA (Completely Automated Public Turing Test to Tell Computers and Humans Apart) authentication in combination. When an access request is made to an unregistered URL, humans can respond easily, but CAPTCHA authentication, which is difficult for a machine to answer, allows machine access (actually access performed by an attacker) Can be distinguished from human access. If it is determined that the access request has been made by a human, the URL for which the access request has been made is registered in the white list.
また、特許文献2には、アクセスデータに基づいて特徴量データを算出し、特徴量データと統計モデルデータとを比較して、アクセスデータが未知の異常データであるかを判定し、未知の異常データでない場合に当該アクセスデータを通過させる技術が記載されている。
In
しかしながら、特許文献1の技術に関して、端末自体が既にマルウェアに感染している状況下においてはマルウェアに感染した通信経路を利用して攻撃者がCAPTCHAの入力を行うことによりホワイトリストに登録を行うこと自体は困難ではない。 However, with regard to the technology of Patent Document 1, in a situation where the terminal itself is already infected with malware, the attacker registers using the communication path infected with malware to enter the white list by inputting CAPTCHA It is not difficult in itself.
また、特許文献1の場合、マルウェアによるアクセス要求および人間の操作によるアクセス要求の区別なく全ての登録されていないURLへのアクセス要求に対してCAPTCHAがユーザに対して提示される。そのため、実際にマルウェアによる通信を制限するためにはCAPTCHAが提示された際にマルウェアによるCAPTCHA入力要求であるとユーザが理解し、CAPTCHA入力しないという判断が必要である。しかしながら、この判断を通信の情報だけで行うことは非常に困難であるという運用上の問題もある。 In the case of Patent Document 1, CAPTCHA is presented to the user for access requests to all unregistered URLs without distinction between access requests by malware and access requests by human operations. Therefore, in order to actually restrict communication by malware, it is necessary for the user to understand that it is a CAPTCHA input request by malware when CAPTCHA is presented, and to determine that CAPTCHA is not input. However, there is an operational problem that it is very difficult to make this determination only with communication information.
すなわち、特許文献1の技術では、標的型攻撃等の遠隔操作による不正アクセスを確実に検知することは困難である。 That is, with the technique of Patent Document 1, it is difficult to reliably detect unauthorized access by a remote operation such as a targeted attack.
また、遠隔操作による不正アクセスでは、一般的なトラフィックと同じように振る舞うことによってIDS/IPSなどのセキュリティアプライアンスなどでの不正アクセスの検出を避けるといった特徴がある。なお、上記において、IDSは、Intrusion Detection Systemの略であり、IPSは、Intrusion Prevention Systemの略である。これには、不正アクセスによる通信を極端に低いレートや散発的に行うことや、通常の通信に不正アクセスによる通信を紛れ込ませるなどといった手法が用いられる。そのため、特許文献2の技術の場合、アクセスデータから未知の異常データの検知は行えるが、遠隔操作による不正アクセスでは、一般的なアクセスデータが残るため確実に検知することは困難である。
In addition, unauthorized access by remote control is characterized by avoiding unauthorized access detection by a security appliance such as IDS / IPS by behaving in the same manner as general traffic. In the above, IDS is an abbreviation for Intrusion Detection System, and IPS is an abbreviation for Intrusion Prevention System. For this, a technique such as performing communication by unauthorized access at an extremely low rate or sporadically, or causing communication by unauthorized access to be included in normal communication is used. Therefore, in the case of the technique of
本発明は、上記課題を解決するためになされたものであり、遠隔操作による不正アクセスを確実に検知することが可能な不正アクセス検知システム、不正アクセス検知装置、不正アクセス検知方法、および不正アクセス検知プログラムを提供することを目的とする。 The present invention has been made in order to solve the above-described problem, and an unauthorized access detection system, an unauthorized access detection device, an unauthorized access detection method, and unauthorized access detection capable of reliably detecting unauthorized access by remote operation. The purpose is to provide a program.
本発明の不正アクセス検知システムは、機械による操作ではないことの検査を行うためのデータであり且つ所定の特徴を有する検査データを端末へ提示する機械操作検査装置と、前記検査データを前記端末に提示した後のネットワーク統計情報から前記特徴を検出することにより、前記端末の遠隔操作による不正アクセスを検知する特徴観測装置と、を備える。 The unauthorized access detection system of the present invention is a machine operation inspection device that presents inspection data that is data for performing an inspection that is not an operation by a machine and has a predetermined characteristic to a terminal, and the inspection data to the terminal. A feature observation device for detecting unauthorized access by remote operation of the terminal by detecting the feature from the network statistical information after the presentation.
本発明の不正アクセス検知装置は、機械による操作ではないことの検査を行うためのデータであり且つ所定の特徴を有する検査データを端末へ提示する機械操作検査手段と、前記検査データを前記端末に提示した後のネットワーク統計情報から前記特徴を検出することにより、前記端末の遠隔操作による不正アクセスを検知する特徴観測手段と、を備える。 The unauthorized access detection apparatus of the present invention is a machine operation inspection means for presenting inspection data having a predetermined characteristic to a terminal, which is data for performing inspection that is not an operation by a machine, and the inspection data to the terminal. And feature observing means for detecting unauthorized access by remote operation of the terminal by detecting the feature from the presented network statistical information.
本発明の不正アクセス検知方法は、機械による操作ではないことの検査を行うためのデータであり且つ所定の特徴を有する検査データを端末へ提示し、前記検査データを前記端末に提示した後のネットワーク統計情報から前記特徴を検出することにより、前記端末の遠隔操作による不正アクセスを検知することを特徴とする。 The unauthorized access detection method of the present invention is a network after presenting inspection data to a terminal, which is data for inspecting that it is not an operation by a machine and having a predetermined characteristic, and presenting the inspection data to the terminal By detecting the feature from statistical information, unauthorized access by remote operation of the terminal is detected.
本発明の不正アクセス検知プログラムは、不正アクセス検知装置のコンピュータに、機械による操作ではないことの検査を行うためのデータであり且つ所定の特徴を有する検査データを端末へ提示する機械操作検査機能と、前記検査データを前記端末に提示した後のネットワーク統計情報から前記特徴を検出することにより、前記端末の遠隔操作による不正アクセスを検知する特徴観測機能とを実行させるためのプログラムである。 The unauthorized access detection program of the present invention is a machine operation inspection function for presenting to a terminal inspection data having predetermined characteristics, which is data for inspecting that the computer of the unauthorized access detection apparatus is not a machine operation. A program for executing a feature observation function for detecting unauthorized access by remote operation of the terminal by detecting the feature from network statistical information after the inspection data is presented to the terminal.
本発明によれば、遠隔操作による不正アクセスを確実に検知することが可能となる。 According to the present invention, it is possible to reliably detect unauthorized access by remote operation.
[第1の実施形態]
(構成の説明)
図1は、本発明の第1の実施形態にに係る不正アクセス検知システム10の構成例を示すブロック図である。不正アクセス検知システム10は、ローカルネットワーク20と外部ネットワーク30を備える。ローカルネットワーク20は、例えば、イントラネットなどの組織内のネットワークである。外部ネットワーク30は、例えば、インターネットなどの組織外部のネットワークである。
[First Embodiment]
(Description of configuration)
FIG. 1 is a block diagram showing a configuration example of an unauthorized
ローカルネットワーク20は、スイッチ100と、端末200と、CAPTCHA提示装置300(機械操作検査装置)と、特徴観測装置400と、サーバ500と、を備える。
The local network 20 includes a
スイッチ100は、パケットを処理する。端末200は、スイッチ100に接続される。CAPTCHA提示装置300は、端末200からのアクセスに対して、機械と人間を判断するCAPTCHA問題を端末200に対して提示し、そのアクセスが人間の操作により行われたものであるか否かを判定する。特徴観測装置400は、CAPTCHA提示装置300により提示されたCAPTCHAの特徴(換言すれば、遠隔操作の特徴)を検出する。サーバ500は、端末200からアクセスされる。
The
図2は、スイッチ100の構成例を示すブロック図である。スイッチ100は、パケット受信部110と、パケット転送部120と、通信ルール記憶部101と、ネットワーク統計情報記憶部102と、を備える。
FIG. 2 is a block diagram illustrating a configuration example of the
パケット受信部110は、パケットを受信する。パケット転送部120は、パケットを転送する。通信ルール記憶部101は、パケットの通信ルールを記憶する。ネットワーク統計情報記憶部102は、スイッチ100で処理されたパケットについてのネットワーク統計情報を記憶する。ネットワーク統計情報には、パケットの通信ログ(例えば、受信もしくは送信パケット数、受信もしくは送信バイト数、パケット破棄数、エラー数等)が含まれる。
The
なお、スイッチ100は、一般的なスイッチであってもよく、あるいはOpenFlowスイッチ等であってもよい。また、スイッチ100は、パケット処理を実行可能な他の装置、例えば、プロキシやファイアーウォールなどのネットワークアプライアンスで構成することもできる。
The
端末200は、例えば、クライアントPC(Personal Computer)などである。ユーザは、端末200を操作することにより、CAPTCHA提示装置300から提示されたCAPTCHAに対する回答入力を行う。また、端末200は、サーバと通信することが可能である。なお、図1では、端末200がスイッチ100に直接接続されている状態が示されているが、スイッチ100と端末200とは、別の1以上のスイッチを介して接続されてもよい。
The
図3は、CAPTCHA提示装置300の構成例を示すブロック図である。CAPTCHA提示装置300は、CAPTCHA生成部310と、CAPTCHA送信部320と、CAPTCHA受信部330と、CAPTCHA判定部340と、を備える。
FIG. 3 is a block diagram illustrating a configuration example of the
CAPTCHA生成部310は、CAPTCHAを生成する。CAPTCHA送信部320は、生成されたCAPTCHAを端末200へ送信する。CAPTCHA受信部330は、端末200から送信されるCAPTCHA回答を受信する。CAPTCHA判定部340は、受信したCAPTCHA回答の判定を行う。
The
本実施形態で提示されるCAPTCHAは、文字、画像、動画やプログラムコードによるレンダリングなどによるアニメーション、音声ファイルなどで構成される。 The CAPTCHA presented in the present embodiment is composed of characters, images, animations by moving images and rendering by program codes, audio files, and the like.
端末200のユーザがCAPTCHAに回答を行う場合、受け取ったデータに対して回答を行うため、CAPTCHAの提示により別の新たな通信が発生することはない。一方、外部ネットワーク30から遠隔操作によってCAPTCHAへの回答を行う場合、端末200から遠隔操作元に動画や音声などのデータを転送するか、端末200の画面を転送する必要があるため、外部ネットワーク30と通信が必要となるという特徴がある。
When the user of
そこで、本実施形態で提示されるCAPTCHAは、例えば、画面に表示されたタイミングに合わせてキーの入力やクリック操作を要求することを特徴とするCAPTCHA、あるいは、入力制限時間を短くした上で、巨大な画像や音声、動画などを提示し表示される文字の入力を要求するCAPTCHA等である。 Therefore, CAPTCHA presented in the present embodiment is, for example, CAPTCHA characterized by requesting key input or click operation in accordance with the timing displayed on the screen, or after shortening the input time limit, CAPTCHA or the like that requests input of characters to be displayed by presenting a huge image, sound, moving image, or the like.
図4は、特徴観測装置400の構成例を示すブロック図である。特徴観測装置400は、取得部410と、特徴検出部420と、通知部430と、を備える。
FIG. 4 is a block diagram illustrating a configuration example of the
取得部410は、スイッチ100のネットワーク統計情報記憶部102からネットワーク統計情報を取得する。
The
特徴検出部420は、取得されたネットワーク統計情報に含まれる、端末200が外部ネットワーク30に向けて送信したパケットの通信ログから、CAPTCHAの特徴を検出する。
The
ここで、CAPTCHAの特徴とは、パケットの送信レート、トラフィック量の増加などである。CAPTCHAの特徴が検出された場合、特徴検出部420は、端末200が遠隔操作されていると判断する。遠隔操作によってCAPTCHAに回答を行う場合、CAPTCHAは、外部ネットワーク30へ送信される。そこで、特徴検出部420は、例えば、ネットワーク統計情報の中の送信パケットの数やトラフィックの増加をCAPTCHAの特徴として捕らえる。
Here, the features of CAPTCHA include an increase in packet transmission rate and traffic volume. When the CAPTCHA feature is detected, the
ところで、ユーザに対して組織からVPN(Virtual Private Network)等の正規のリモートアクセスによる通信サービスが提供される場合がある。このような正規な通信サービスの場合においても、ローカルネットワーク20から外部ネットワーク30への通信が発生する。そこで、例えば、正規な通信サービスを経由する通信をホワイトリストに加えることにより、正規な通信サービスによる通信と遠隔操作とを区別することが可能となる。 By the way, there is a case where a communication service by regular remote access such as VPN (Virtual Private Network) is provided from the organization to the user. Even in the case of such a regular communication service, communication from the local network 20 to the external network 30 occurs. Therefore, for example, by adding communication via the regular communication service to the white list, it is possible to distinguish between communication by the regular communication service and remote operation.
通知部430は、特徴検出部420によってCAPTCHAの特徴が検出された場合、所定の通信相手(例えば、スイッチ100、コントローラ、あるいは、ネットワークマネジメントシステム等)に対して、不正アクセス検知の通知を行う。
When the
サーバ500は、ローカルネットワーク20を通じて端末200に対して所定のサービスを提供する。
(動作の説明)
図5は、不正アクセス検知システム10の動作例(不正アクセス検知システム10で実行される不正アクセス検出の処理手順)を示すフローチャートである。なお、以下では、遠隔操作により端末200がサーバ500に対して通信を開始し、CAPTCHA提示装置300によってCAPTCHAが提示され、特徴観測装置400によって遠隔操作が検知される場合を例に挙げて説明する。
The
(Description of operation)
FIG. 5 is a flowchart showing an operation example of the unauthorized access detection system 10 (unauthorized access detection processing procedure executed in the unauthorized access detection system 10). In the following, a case will be described in which the terminal 200 starts communication with the
スイッチ100は、パケット受信部110を介して、端末200が発生させた通信のパケットを受信する(ステップS1)。
The
スイッチ100は、受信したパケットの通信ルールと通信ルール記憶部101に記憶された通信ルールとが一致するか否かを判定する(ステップS2)。
The
通信ルールが一致した場合(ステップS2においてYes)、スイッチ100は、一致した通信ルールに記載されたアクションに基づいてパケットを処理する(ステップS3)。
When the communication rule matches (Yes in step S2), the
一方、通信ルールが一致しなかった場合(ステップS2においてNo)、CAPTCHA提示装置300は、CAPTCHA生成部310によって生成されたCAPTCHAを、CAPTCHA送信部320を介して、端末200へ提示する(ステップS4)。
On the other hand, when the communication rules do not match (No in step S2),
ここで、CAPTCHA生成部310によって生成されるCAPTCHAについて説明する。CAPTCHAは、ネットワーク中で観測可能となる印を有していると好ましい。ここで、印とは、例えば、単位時間あたりパケット数やトラフィック量、データサイズである。また、印は、データ内に埋め込まれた特定の文字列やパターンであってもよい。
Here, CAPTCHA generated by the
例えば、上記CAPTCHAは、1秒以下などの短い応答時間を要求するCAPTCHAであるか、10Mbps(bits per second)以上など大きな通信帯域を要求するCAPTCHAであると好ましい。その理由は、遠隔操作は、通常の操作よりも大きな通信遅延が発生するといった特徴や通常の操作よりも通信帯域が小さいといった特徴を有しており、上述の特徴を有するCAPTCHAに対する回答を遠隔操作で行うことが困難となるからである。 For example, the CAPTCHA is preferably CAPTCHA that requires a short response time such as 1 second or less, or CAPTCHA that requires a large communication band such as 10 Mbps (bits per second) or more. The reason is that the remote operation has a feature that a communication delay is larger than that of the normal operation and a communication band is smaller than that of the normal operation, and the response to the CAPTCHA having the above-mentioned features is remotely operated. This is because it is difficult to do this.
また、例えば、上記CAPTCHAは、画面に表示されたアニメーションによる指示に従いタイミングを合わせた操作を、例えば、50ms以下の応答速度で行うことを要求するCAPTCHAとすることもできる。または、上記CAPTCHAは、巨大な静止画や動画などのサイズの大きいデータによって構成された大きな通信帯域を必要とするCAPTCHAとすることもできる。 In addition, for example, the CAPTCHA may be a CAPTCHA that requests that an operation that is timed in accordance with an instruction by an animation displayed on the screen be performed at a response speed of, for example, 50 ms or less. Alternatively, the CAPTCHA may be a CAPTCHA that requires a large communication band constituted by large data such as a huge still image or moving image.
まず、サイズの大きいデータによって構成されるCAPTCHAについて、図6を用いて説明する。図6で示される画像例は、文字や数字を歪め、さらに一部を覆い隠すことによって機械が自動で読み取ることを困難とした一般的なCAPTCHAの画像例である。 First, CAPTCHA composed of large data will be described with reference to FIG. The image example shown in FIG. 6 is a general CAPTCHA image example in which it is difficult for the machine to read automatically by distorting characters and numbers and further obscuring a part thereof.
そして、本実施形態は、上記画像例のファイルに対して、非表示領域に不要なデータを埋め込む、あるいは、画像の縦横幅を大きくするなどして、データサイズの大きいCAPTCHAを作成する。あるいは、データサイズの大きいCAPTCHAは、上記ファイルの形式を動画ファイル形式に変換したり、他の動画ファイルの一部に図6のファイルを埋め込んだりして作成される。ここで、“データサイズが大きいファイル”とは、すなわち、外部ネットワーク30のスループットに対して転送に十分な時間を要するファイルのことを指す。例えば、データサイズが大きいファイルは、ローカルネットワーク20内でのスループットが100Mbpsであり、外部ネットワーク30とローカルネットワーク20との間でのスループットが10Mbpsである環境下において、CAPTCHAに対して30秒以内で回答させる場合に転送に1分以上の時間を必要とする100Mバイト以上のファイルボリュームのCAPTCHAである。上述した何れかのデータサイズ拡大加工を行った画像ファイルや動画ファイルは、ユーザに提示される。CAPTCHAは、ユーザに対して、それらのファイル中に表示される文字や数字を読み取り、同じ文字列を入力するよう要求する。特徴観測装置400は、正解の判定を行う。図6で示される例では、特徴観測装置400は、“key lime pie”の文字列を応答として受け取ることで正解と判定する。
In this embodiment, CAPTCHA having a large data size is created by embedding unnecessary data in the non-display area or increasing the vertical and horizontal widths of the image in the file of the image example. Alternatively, the CAPTCHA having a large data size is created by converting the file format to a moving image file format or by embedding the file of FIG. 6 in a part of another moving image file. Here, the “file having a large data size” refers to a file that requires a sufficient time for transfer with respect to the throughput of the external network 30. For example, a file with a large data size has a throughput of 100 Mbps within the local network 20 and is within 30 seconds for CAPTCHA in an environment where the throughput between the external network 30 and the local network 20 is 10 Mbps. This is a CAPTCHA of a file volume of 100 Mbytes or more that requires a time of 1 minute or more for transfer when making a response. The image file or moving image file subjected to any of the above-described data size expansion processing is presented to the user. CAPTCHA requests the user to read characters and numbers displayed in the files and input the same character string. The
次に、画面に表示された指示に従ってタイミングを合わせた操作を要求するCAPTCHAについて、図7および図8を用いて説明する。図7および図8に示される例では、機械による自動読み取りを困難とした文字列の画像を提示すると共に、入力する文字とタイミングとを枠で表現し、文字と枠が重なったタイミングで枠の中にある文字を入力するものである。具体的には、単に文字列画像が表示されたタイミングでは入力は行われず(図7参照)、文字例画像が表示されたタイミングで且つ文字列中の枠と重なった位置にある文字「p」を、しかも、所定の規定時間以内に返すことではじめて正解と判断される。入力タイミングの誤差を許す規定時間は、低遅延な応答(すなわち、外部ネットワーク30からローカルネットワーク20へのアクセス遅延)よりも小さな値が望ましい。例えば、ローカルネットワーク20内での通信遅延が10msであり、外部ネットワーク30とローカルネットワーク20との間の通信遅延が100ms以上である場合、入力タイミングの誤差を許す規定の時間は、外部ネットワーク30からの通信遅延よりも短くなる50msとする。なお、上述の説明では、入力タイミングを枠で表現する場合が例示されているが、各文字のタイミングを指示する方法は、上記に限定されず、例えば、入力を要求する文字の色を変更方法やハイライト表示する方法であってもよい。 Next, CAPTCHA that requests an operation that is timed according to an instruction displayed on the screen will be described with reference to FIGS. In the example shown in FIG. 7 and FIG. 8, an image of a character string that is difficult to be automatically read by a machine is presented, and characters and timing to be input are represented by a frame, and the frame is displayed at the timing when the character and the frame overlap. Enter the characters inside. Specifically, no input is performed at the timing when the character string image is simply displayed (see FIG. 7), and the character “p” at the timing when the character example image is displayed and at the position overlapping the frame in the character string. In addition, it is determined that the answer is correct only if it is returned within a prescribed time. The specified time allowing an input timing error is preferably smaller than a low-latency response (that is, an access delay from the external network 30 to the local network 20). For example, when the communication delay in the local network 20 is 10 ms and the communication delay between the external network 30 and the local network 20 is 100 ms or more, the specified time allowing the input timing error is from the external network 30. 50 ms, which is shorter than the communication delay. In the above description, the case where the input timing is expressed by a frame is exemplified, but the method of instructing the timing of each character is not limited to the above. For example, a method of changing the color of a character requesting input Or a highlighted display method.
以上説明したような特徴を持ったCAPTCHAを提示することにより、機械による入力および遠隔操作による入力は困難となる。 By presenting CAPTCHA having the characteristics as described above, input by a machine and input by remote operation become difficult.
図5の説明が再開される。端末200において、表示されたCAPTCHAに対するユーザによる回答入力が実行される(ステップS5)。端末200は、ユーザによって入力されたCAPTCHA回答を、CAPTCHA提示装置300へ送信する。
The description of FIG. 5 is resumed. In
CAPTCHA提示装置300において、CAPTCHA判定部340によるCAPTCHA回答の判定が実行される(ステップS6)。CAPTCHA回答が不正解と判定された場合(ステップS6においてNG)、ステップS4の処理が再度実行される。
In the
一方、CAPTCHA回答が正解と判定された場合(ステップS6においてOK)、特徴観測装置400は、CAPTCHAの特徴検出を実行する(ステップS7)。具体的には、特徴観測装置400の取得部410は、スイッチ100のネットワーク統計情報記憶部102からネットワーク統計情報を取得する。次に、特徴観測装置400の特徴検出部420は、取得されたネットワーク統計情報に含まれる、端末200が外部ネットワーク30に向けて送信したパケットの通信ログから、CAPTCHAの特徴を検出する。
On the other hand, when it is determined that the CAPTCHA answer is correct (OK in step S6), the
ここで、CAPTCHAの特徴とは、例えば、特徴的なパケットやトラフィックである。特徴観測装置400の特徴検出部420は、パケットの量やレート、サイズなどを記したネットワーク統計情報からCAPTCHAの提示後の、単位時間中のパケット数増加や、外部ネットワーク30へのトラフィック量増加を特徴として検出する。
Here, the characteristics of CAPTCHA are, for example, characteristic packets and traffic. The
例えば、特徴検出部420は、提示されたCAPTCHAが画面に表示され指示に従ってタイミングを合わせて操作を行うCAPTCHAである場合、端末200から外部ネットワーク30に対して1秒間に10パケット(10pps)以上の送信があればCAPTCHAの特徴として検出する。上記において、ppsは、Packet Per Secondの略である。
For example, if the presented CAPTCHA is a CAPTCHA that is displayed on the screen and performs operations in accordance with the instructions, the
一方、特徴検出部420は、提示されたCAPTCHAが動画によるCAPTCHAである場合、端末200と外部ネットワーク30上の端末間の通信において、端末から外部ネットワーク30へ向かう通信に1Mbps以上のスループットでトラフィックが流れた場合にCAPTCHAの特徴として検出する。
On the other hand, when the presented CAPTCHA is a moving image CAPTCHA, the
CAPTCHAの特徴が検出されなかった場合(ステップS7においてNo)、当該通信は許可され、パケットは転送される(ステップS9)。一方、CAPTCHAの特徴が検出された場合(ステップS7においてYes)、当該通信は、ブロックされる(ステップS8)。具体的には、特徴観測装置400の通知部430は、所定の通信相手(例えば、ネットワークマネジメントシステム)に対して、不正アクセス検知の通知を行う。該通知を受けた通信相手は、端末200が外部ネットワーク30から遠隔操作されていると判断し、スイッチ100に対する該当端末200の通信ブロック処理などの不正アクセスのブロック処理を行うことで不正アクセスの遮断を行う。
(効果の説明)
遠隔操作による不正アクセスは、外部ネットワーク30からローカルネットワーク20内の端末200へ通信を行うため、ローカルネットワーク20よりも帯域幅の狭い外部ネットワーク30がボトルネックとなりスループットが出ないという特徴を有する。さらに、遠隔操作による不正アクセスは、遠隔操作されている端末を介して通信を行うために大きな通信遅延が発生するという特徴を有する。
If the CAPTCHA feature is not detected (No in step S7), the communication is permitted and the packet is transferred (step S9). On the other hand, when the CAPTCHA feature is detected (Yes in step S7), the communication is blocked (step S8). Specifically, the
(Explanation of effect)
Unauthorized access by remote operation is characterized in that communication from the external network 30 to the terminal 200 in the local network 20 causes the external network 30 having a bandwidth smaller than that of the local network 20 to become a bottleneck, resulting in no throughput. Further, unauthorized access by remote operation has a feature that a large communication delay occurs because communication is performed via a remotely operated terminal.
そこで、本実施形態は、ローカルネットワーク20内でのアクセス認証に対して、敢えて、回答に高スループットや低レイテンシを要求する特徴を有するCAPTCHAを提示する。このようなCAPTCHAを提示することにより、ローカルネットワーク20内での回答ではパケットのロスや遅延は発生しないが、外部ネットワーク30から回答を行う場合にパケットのロスや遅延が発生するという特徴が出る。そして、本実施形態では、ネットワーク統計情報から上記特徴を捉えることにより、端末200が外部ネットワーク30から遠隔操作されていると判断することが可能となる。 Therefore, the present embodiment presents CAPTCHA having a feature that requires high throughput and low latency as a response to access authentication within the local network 20. By presenting such CAPTCHA, there is a feature that no packet loss or delay occurs in the reply within the local network 20 but packet loss or delay occurs when replying from the external network 30. In the present embodiment, it is possible to determine that the terminal 200 is remotely operated from the external network 30 by capturing the above characteristics from the network statistical information.
すなわち、以上説明した第1の実施形態によれば、遠隔操作による不正アクセスを確実に検出することが可能となる。 That is, according to the first embodiment described above, it is possible to reliably detect unauthorized access by remote operation.
さらに、上記特徴は、ネットワーク統計情報、すなわち、パケットの量やレート等の外形的な情報のみから不正アクセスを検知することができるため、パケットの中身などを確認するための複雑な構成は不要である。従って、以上説明した第1の実施形態によれば、簡素かつ低コストな構成で、遠隔操作による不正アクセスを確実に検出することが可能となる。 Furthermore, since the above feature can detect unauthorized access only from external information such as network statistical information, that is, packet quantity and rate, a complicated configuration for confirming the contents of the packet is not required. is there. Therefore, according to the first embodiment described above, it is possible to reliably detect unauthorized access by remote operation with a simple and low-cost configuration.
なお、図1に示す不正アクセス検知システム10において、太線で囲んだ構成要素(CAPTCHA提示装置300および特徴観測装置400)以外の構成要素は、必須の構成要素でない。すなわち、不正アクセス検知システム10をCAPTCHA提示装置300および特徴観測装置400のみで構成した場合であっても上記と同様の効果が奏される。
In the unauthorized
また、CAPTCHA提示装置300および特徴観測装置400のそれぞれを個別の装置として扱うのではなく、それらを1つの装置(例えば、不正アクセス検知装置)内の個別処理手段(例えば、CAPTCHA提示手段および特徴観測手段)として扱うことが可能である。
[第2の実施形態]
第1の実施形態では、通信のパケットに対して不正アクセスの検知を実施する場合を例に挙げたが、以下で説明するように、メールの送信に関して不正アクセスの検知を実施することも可能である。
(構成の説明)
図9は、本発明の第2の実施形態に係る不正アクセス検知システム700の構成例を示すブロック図である。不正アクセス検知システム700の、図1に示す第1の実施形態の不正アクセス検知システム10に対する構成上の差異は、サーバ500がメール送信サーバ600に変更されている点のみにある。不正アクセス検知システム700の他の構成に関しては、不正アクセス検知システム10と同一である。
Further, each of the
[Second Embodiment]
In the first embodiment, an example of detecting unauthorized access to a communication packet has been described as an example. However, as described below, it is also possible to detect unauthorized access with respect to transmission of mail. is there.
(Description of configuration)
FIG. 9 is a block diagram showing a configuration example of an unauthorized
図10は、メール送信サーバ600の構成例を示すブロック図である。メール送信サーバ600は、メール送信ルール記憶部601と、端末接続部610と、CAPTCHA提示装置接続部620と、特徴観測装置接続部630と、メール送信部640と、を備える。
(動作の説明)
図11は、端末200がメールを送信する場合における、不正アクセス検知システム700の動作例を示すフローチャートである。
FIG. 10 is a block diagram illustrating a configuration example of the
(Description of operation)
FIG. 11 is a flowchart illustrating an operation example of the unauthorized
スイッチ100は、端末200から送信されたメールを受信する(ステップS21)。スイッチ100で受信されたメールは、メール送信サーバ600へ転送される。
The
メール送信サーバ600は、受信したメールの宛先に対するルールとメール送信ルール記憶部501に記憶されたルールとが一致するか否かを判定する(ステップS22)。ルールが一致した場合(ステップS22においてYes)、メール送信部540は、ルールに記載されたアクションに基づいてメールを処理する(ステップS23)。一方、ルールが一致しなかった場合(ステップS22においてNo)、CAPTCHA提示装置300は、CAPTCHA生成部310によって生成されたCAPTCHAを、CAPTCHA送信部320を介して、端末200へ提示する(ステップS24)。ここで端末200に提示されるCAPTCHAは、第1の実施形態と同等である。
The
端末200において、表示されたCAPTCHAに対するユーザによる回答入力が実行される(ステップS25)。端末200は、ユーザによって入力されたCAPTCHA回答を、CAPTCHA提示装置300へ送信する。
In
CAPTCHA提示装置300において、CAPTCHA判定部340によるCAPTCHA回答の判定が実行される(ステップS26)。CAPTCHA回答が不正解と判定された場合(ステップS26においてNG)、ステップS24の処理が再度実行される。
In the
一方、CAPTCHA回答が正解と判定された場合(ステップS26においてOK)、特徴観測装置400は、CAPTCHAの特徴検出を実行する(ステップS27)。具体的には、特徴観測装置400の取得部410は、スイッチ100のネットワーク統計情報記憶部102からネットワーク統計情報を取得する。次に、特徴観測装置400の特徴検出部420は、取得されたネットワーク統計情報に含まれる、端末200が外部ネットワーク30に向けて送信したパケットの通信ログから、CAPTCHAの特徴を検出する。
On the other hand, when it is determined that the CAPTCHA answer is correct (OK in step S26), the
CAPTCHAの特徴が検出されなかった場合(ステップS27においてNo)、当該メールは転送される(ステップS29)。具体的には、特徴観測装置400の通知部430は、メール送信サーバ600の特徴観測装置接続部530に対して、「メール送信許可情報」を通知する。特徴観測装置接続部630は、メール送信ルール記憶部601にメールの宛先の許可ルールを追加する。メール送信部640は、メールの送信処理を行う。
If the CAPTCHA feature is not detected (No in step S27), the mail is transferred (step S29). Specifically, the
一方、CAPTCHAの特徴が検出された場合(ステップS27においてYes)、当該メールは、ブロックされる(ステップS28)。具体的には、通知部430は、特徴観測装置接続部630に対して、「メール送信遮断情報」を通知する。特徴観測装置接続部630は、メール送信ルール記憶部601にメールの宛先のブロックルールを追加する。これにより遠隔操作による不正なメールの送信処理をブロックすることが出来る。
(効果の説明)
以上説明した第2の実施形態のメール送信サーバ600では、メールの送信時に第1の実施形態と同様の遠隔操作検出処理が実施されるので、メールの送信に関して、遠隔操作による不正な送信処理を検知することが可能となる。
On the other hand, when the CAPTCHA feature is detected (Yes in step S27), the mail is blocked (step S28). Specifically, the
(Explanation of effect)
In the
なお、以上説明した第2の実施形態では、遠隔操作の検出処理がメール送信時に実行される場合が例示されているが、遠隔操作の検出処理は、メールの送信時に限定されない。例えば、図9に示されるスイッチ100にファイルサーバやウェブサーバなどを接続することができる。そして、ファイルサーバへのファイルの送信時の操作、あるいはウェブサーバのフォームなどからの情報送信時の操作に対して、CAPTCHAを提示し、特徴を検出することにより遠隔操作の検出を行うことが可能である。
In the second embodiment described above, the case where the remote operation detection process is executed at the time of mail transmission is exemplified, but the remote operation detection process is not limited to the time of mail transmission. For example, a file server or a web server can be connected to the
以上説明した各実施形態の全部又は一部の機能を実現するためのプログラムは、コンピュータ読み取り可能な記録媒体に記録される。そして、この記録媒体に記録されたプログラムは、コンピュータシステムによって読み込まれ、実行される。 A program for realizing all or part of the functions of the embodiments described above is recorded on a computer-readable recording medium. The program recorded on the recording medium is read and executed by the computer system.
「コンピュータシステム」の例としては、例えば、CPU(Central Processing Unit)を挙げることができる。 As an example of the “computer system”, for example, a CPU (Central Processing Unit) can be cited.
「コンピュータ読み取り可能な記録媒体」は、例えば、非一時的な記憶装置である。非一時的な記憶装置の例としては、例えば、光磁気ディスク、ROM(Read Only Memory)、不揮発性半導体メモリ等の可搬媒体、コンピュータシステムに内蔵されるハードディスクを挙げることができる。また、「コンピュータ読み取り可能な記録媒体」は、一時的な記憶装置であってもよい。一時的な記憶装置の例としては、例えば、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信線、あるいは、コンピュータシステム内部の揮発性メモリを挙げることができる。 The “computer-readable recording medium” is, for example, a non-transitory storage device. Examples of non-temporary storage devices include a magneto-optical disk, a ROM (Read Only Memory), a portable medium such as a nonvolatile semiconductor memory, and a hard disk built in a computer system. The “computer-readable recording medium” may be a temporary storage device. As an example of a temporary storage device, for example, a communication line in the case of transmitting a program via a network such as the Internet or a communication line such as a telephone line, or a volatile memory inside a computer system can be cited.
また、上記プログラムは、前述した機能の一部を実現するためのものであってもよく、更に前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであってもよい。 Further, the program may be for realizing a part of the above-described functions, and may be capable of realizing the above-described functions in combination with a program already recorded in the computer system. .
以上、各実施形態を用いて本発明を説明したが、本発明の技術的範囲は、上記各実施形態の記載に限定されない。上記各実施形態に多様な変更又は改良を加えることが可能であることは当業者にとって自明である。従って、そのような変更又は改良を加えた形態もまた本発明の技術的範囲に含まれることは説明するまでもない。また、以上説明した各実施形態において使用される、数値や各構成の名称等は例示的なものであり適宜変更可能である。 As mentioned above, although this invention was demonstrated using each embodiment, the technical scope of this invention is not limited to description of said each embodiment. It is obvious to those skilled in the art that various modifications or improvements can be added to the above embodiments. Therefore, it is needless to say that embodiments with such changes or improvements are also included in the technical scope of the present invention. The numerical values and names of the components used in the embodiments described above are illustrative and can be changed as appropriate.
10 不正アクセス検知システム
20 ローカルネットワーク
30 外部ネットワーク
100 スイッチ
101 通信ルール記憶部
102 ネットワーク統計情報記憶部
110 パケット受信部
120 パケット転送部
200 端末
300 CAPTCHA提示装置
310 CAPTCHA生成部
320 CAPTCHA送信部
330 CAPTCHA受信部
340 CAPTCHA判定部
400 特徴観測装置
410 取得部
420 特徴検出部
430 通知部
500 サーバ
600 メール送信サーバ
601 メール送信ルール記憶部
610 端末接続部
620 CAPTCHA提示装置接続部
630 特徴観測装置接続部
640 メール送信部
700 不正アクセス検知システム
DESCRIPTION OF
Claims (10)
前記検査データを前記端末に提示した後のネットワーク統計情報から前記特徴を検出することにより、前記端末の遠隔操作による不正アクセスを検知する特徴観測装置と
を備えることを特徴とする不正アクセス検知システム。 A machine operation inspection device that presents inspection data that is data for performing inspections that are not operations by the machine and that have predetermined characteristics to the terminal;
An unauthorized access detection system comprising: a feature observation device that detects unauthorized access by remote operation of the terminal by detecting the feature from network statistical information after the inspection data is presented to the terminal.
前記特徴観測装置は、前記特徴を検出した場合、前記端末の遠隔操作による不正なメール送信をブロックすることを特徴とする請求項1−5のいずれか1項に記載の不正アクセス検知システム。 The machine operation inspection device presents the inspection data to the terminal before mail transmission,
6. The unauthorized access detection system according to claim 1, wherein, when the feature observation device detects the feature, the feature observation device blocks unauthorized mail transmission by remote operation of the terminal.
前記特徴観測装置は、前記特徴を検出した場合、前記端末の遠隔操作による不正なファイル送信をブロックすることを特徴とする請求項1−5のいずれか1項に記載の不正アクセス検知システム。 The machine operation inspection device presents the inspection data to the terminal before file transmission,
The unauthorized access detection system according to any one of claims 1 to 5, wherein when the feature is detected, the feature observation device blocks unauthorized file transmission by remote operation of the terminal.
前記検査データを前記端末に提示した後のネットワーク統計情報から前記特徴を検出することにより、前記端末の遠隔操作による不正アクセスを検知する特徴観測手段と
を備えることを特徴とする不正アクセス検知装置。 Machine operation inspection means for presenting to the terminal inspection data having predetermined characteristics, which is data for inspecting that the operation is not performed by a machine;
An unauthorized access detection device comprising: feature observing means for detecting unauthorized access by remote operation of the terminal by detecting the feature from network statistical information after the inspection data is presented to the terminal.
前記検査データを前記端末に提示した後のネットワーク統計情報から前記特徴を検出することにより、前記端末の遠隔操作による不正アクセスを検知する
ことを特徴とする不正アクセス検知方法。 It is data for inspecting that it is not an operation by a machine, and presents inspection data having predetermined characteristics to the terminal,
An unauthorized access detection method, wherein unauthorized access by remote operation of the terminal is detected by detecting the feature from network statistical information after the inspection data is presented to the terminal.
機械による操作ではないことの検査を行うためのデータであり且つ所定の特徴を有する検査データを端末へ提示する機械操作検査機能と、
前記検査データを前記端末に提示した後のネットワーク統計情報から前記特徴を検出することにより、前記端末の遠隔操作による不正アクセスを検知する特徴観測機能と
を実行させるための不正アクセス検知プログラム。 In the computer of the unauthorized access detection device,
A machine operation inspection function for presenting inspection data to a terminal, which is data for inspecting that the operation is not performed by a machine and having predetermined characteristics;
An unauthorized access detection program for executing a feature observation function for detecting unauthorized access by remote operation of the terminal by detecting the feature from network statistical information after presenting the inspection data to the terminal.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014196359A JP2016071384A (en) | 2014-09-26 | 2014-09-26 | Unauthorized access detection system, unauthorized access detection apparatus, unauthorized access detection method, and unauthorized access detection program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014196359A JP2016071384A (en) | 2014-09-26 | 2014-09-26 | Unauthorized access detection system, unauthorized access detection apparatus, unauthorized access detection method, and unauthorized access detection program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2016071384A true JP2016071384A (en) | 2016-05-09 |
Family
ID=55866866
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014196359A Pending JP2016071384A (en) | 2014-09-26 | 2014-09-26 | Unauthorized access detection system, unauthorized access detection apparatus, unauthorized access detection method, and unauthorized access detection program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2016071384A (en) |
-
2014
- 2014-09-26 JP JP2014196359A patent/JP2016071384A/en active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11176459B2 (en) | Extracting encryption metadata and terminating malicious connections using machine learning | |
US9838426B2 (en) | Honeyport active network security | |
US9443075B2 (en) | Interception and policy application for malicious communications | |
US10157280B2 (en) | System and method for identifying security breach attempts of a website | |
US8161538B2 (en) | Stateful application firewall | |
US9681304B2 (en) | Network and data security testing with mobile devices | |
WO2016006520A1 (en) | Detection device, detection method and detection program | |
GB2512954A (en) | Detecting and marking client devices | |
JP7388613B2 (en) | Packet processing method and apparatus, device, and computer readable storage medium | |
KR20180099683A (en) | Monitoring traffic on a computer network | |
JP2021507652A (en) | Network probes and methods for processing messages | |
JP2018026747A (en) | Aggression detection device, aggression detection system and aggression detection method | |
JP4739962B2 (en) | Attack detection device, attack detection method, and attack detection program | |
KR101541244B1 (en) | System and method for pharming attack prevention through dns modulation such as the pc and access point | |
US10721148B2 (en) | System and method for botnet identification | |
CN113660222A (en) | Situation awareness defense method and system based on mandatory access control | |
US10757118B2 (en) | Method of aiding the detection of infection of a terminal by malware | |
Mudgerikar et al. | Iot attacks and malware | |
Ponomarev | Intrusion Detection System of industrial control networks using network telemetry | |
Czekster et al. | Requirements for designing mobile and flexible applications for online invasion detection and remote control | |
JP6635029B2 (en) | Information processing apparatus, information processing system, and communication history analysis method | |
Arul et al. | Supervised deep learning vector quantization to detect MemCached DDOS malware attack on cloud | |
JP2016071384A (en) | Unauthorized access detection system, unauthorized access detection apparatus, unauthorized access detection method, and unauthorized access detection program | |
JP2008165601A (en) | Communication monitoring system, communication monitoring device and communication control device | |
Bhardwaj et al. | Fortifying home IoT security: A framework for comprehensive examination of vulnerabilities and intrusion detection strategies for smart cities |