JP2017016674A - 不正アクセスの検知および処理システム、装置、方法、並びにコンピュータ読み取り可能な記録媒体 - Google Patents
不正アクセスの検知および処理システム、装置、方法、並びにコンピュータ読み取り可能な記録媒体 Download PDFInfo
- Publication number
- JP2017016674A JP2017016674A JP2016163281A JP2016163281A JP2017016674A JP 2017016674 A JP2017016674 A JP 2017016674A JP 2016163281 A JP2016163281 A JP 2016163281A JP 2016163281 A JP2016163281 A JP 2016163281A JP 2017016674 A JP2017016674 A JP 2017016674A
- Authority
- JP
- Japan
- Prior art keywords
- spy
- access
- unauthorized
- accessed
- theft
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 63
- 238000012545 processing Methods 0.000 title claims abstract description 38
- 238000000034 method Methods 0.000 title claims description 44
- 238000012544 monitoring process Methods 0.000 claims abstract description 17
- 238000007689 inspection Methods 0.000 claims abstract description 15
- 238000012790 confirmation Methods 0.000 claims description 14
- 230000008569 process Effects 0.000 claims description 13
- 230000000903 blocking effect Effects 0.000 claims description 12
- 238000003672 processing method Methods 0.000 claims description 7
- 230000006870 function Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 6
- 230000008901 benefit Effects 0.000 description 4
- 241000700605 Viruses Species 0.000 description 3
- 238000013500 data storage Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000006866 deterioration Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 208000024891 symptom Diseases 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】本発明は、不正に盗んだアクセスIDを用いてサーバに不正アクセスを試みる場合、当該不正アクセスを検知して処理するための不正アクセス検知装置に関する。
【解決手段】本発明の一実施形態にかかる不正アクセス検知装置は、スパイIDを生成するスパイID生成部と、特定の端末にインストールされた悪意のあるコードの実行によって生成されたスパイIDが流出した後、スパイIDを用いたアクセスをモニタリングするアクセスログ検査部と、アクセスログ検査部のモニタリング結果に応じて、スパイIDを用いてアクセスした装置の情報を確認して記録する不正IP処理部とを含む。
【選択図】図4
【解決手段】本発明の一実施形態にかかる不正アクセス検知装置は、スパイIDを生成するスパイID生成部と、特定の端末にインストールされた悪意のあるコードの実行によって生成されたスパイIDが流出した後、スパイIDを用いたアクセスをモニタリングするアクセスログ検査部と、アクセスログ検査部のモニタリング結果に応じて、スパイIDを用いてアクセスした装置の情報を確認して記録する不正IP処理部とを含む。
【選択図】図4
Description
本発明は、不正アクセスを検知して処理するためのシステムに関し、より詳細には、不正に盗まれたアクセスIDを用いてサーバに不正アクセスを試みる場合、当該不正アクセスを検知して処理するための不正アクセスの検知および処理システム、装置、方法、並びにコンピュータ読み取り可能な記録媒体に関する。
通常、インターネットは、世界のどこでも、誰でも、アクセスしたい相手のコンピュータにTCP/IPという共通のプロトコルを適用して自由に接続して使用できるように構成されている開放型ネットワークであり、基本的な文字情報の伝達はもちろん、圧縮技術の発展に伴いマルチメディア情報の伝達に用いられ、電子メール、ファイル伝送、WWW(World Wide Web)などの様々なサービスを利用することができる。
一方、インターネットを介した通信環境を阻害する要素として、悪意のあるプログラムを用いてインターネットに接続された特定の対象コンピュータを攻撃することで所望の情報を盗もうとする攻撃が行われている。
悪意のあるプログラム(malicious program)は、悪意のある目的のために作成された実行可能なコードの通称であって、マルウェア(malware、malicious software)、悪意のあるコード(malicious code)とも言われ、自己複製能と感染対象の有無に応じて、ウィルス(Virus)、ワームウィルス(worm virus)、トロイの木馬(Trojan horse)などに分類することができる。
また、悪意のあるプログラムと類似するスパイウェア(spyware)は、他人のコンピュータに侵入して重要な個人情報を抽出するソフトウェアであって、近年、ユーザの名前はもちろん、IPアドレスとお気に入りのURL、個人のIDとパスワードまで調べることができるように進化し、悪意的に用いられる可能性が高いという点で問題となっている。このように悪意のあるプログラムにより、ネットワークトラフィックの発生、システム性能の低下、ファイルの削除、電子メールの自動送信、個人情報の流出、リモートコントロールなど、様々な被害が生じる虞がある。また、ほとんどの悪意のあるプログラムには、当該悪意のあるプログラムの意図および行為が分からないようにするための様々な分析妨害技術が施されている。
一方、従来の悪意のあるプログラムの検知方法としては、既に見つかっている悪意のあるプログラムに対する専門家の分析により、シグネチャーを生成してこれに基づいて、同様の悪意のあるプログラムが用いられる場合にこれを検知する方法がほとんどであり、既に悪意のあるプログラムに感染して個人情報が盗まれた後、不正に盗まれた個人情報が不正に用いられる場合には効果的に対処できないという問題がある。
例えば、悪意のあるプログラムに感染したコンピュータを用いてユーザが特定のウェブサイトにアクセスしてログインする場合、感染した悪意のあるプログラムによってログイン情報(すなわち、IDおよびパスワード)が盗まれて特定のサーバ(例えば、不正収集サーバ)に伝送される。悪意のあるプログラムの製作者は、このように多数の感染したコンピュータから多数の個人情報(例えば、ログイン情報)を盗んで収集し、収集した個人情報を悪意のあるユーザに販売または配布する。
そのため、個人情報が悪意のあるプログラムによって盗まれた後は、悪意のあるプログラムを検知して対処しても、既に不正に盗まれた個人情報でログインするユーザのアクセスを遮断する方法がないという問題がある。
一方、このような悪意のあるプログラムまたは悪意のあるサイトを検出するための技術として、韓国登録特許第10‐1044274号公報の「悪意のあるサイトの検出装置、方法およびコンピュータプログラムが記録された記録媒体(AhnLab Inc.)」(特許文献1)には、特定のサイトからダウンロードしたプログラムのプロセス実行時点において,当該プロセス内に認証書が含まれているか、スタック構造が正常であるか否かを確認して、現在のサイトが危険なサイトであるか、あるいは現在コンピュータで実行したプロセスが非正常であるかを判断するための方法が開示されている。
しかし、悪意のあるプログラムによる症状や流布方法が次第に複雑化しかつ巧妙化しており、このような既存のアンチウィルスプログラムだけでは、様々な悪意のあるプログラムを介した悪意のあるアクセスに効果的に対処できないという限界がある。
そのため、悪意のあるプログラムが配布されて感染した後に、盗まれた個人情報を用いてログインする不正ユーザのアクセスを最初から遮断する方法の必要性が高まっている。
本発明の目的は、スパイID(Spy Identification)を生成して、悪意のあるプログラムを介して意図的に流出させた後、流出させた前記スパイIDを用いてログインを試みる不正ユーザを検知して処理する不正アクセスの検知および処理システム、装置、方法、並びにコンピュータ読み取り可能な記録媒体を提供することにある。
また、本発明の他の目的は、スパイID(Spy Identification)を生成して、悪意のあるプログラムを介して意図的に流出させた後、流出させた前記スパイIDでログインを試みる不正ユーザのIPを検出し、当該IPでアクセスするIDを検知して処理する不正アクセスの検知および処理システム、装置、方法、並びにコンピュータ読み取り可能な記録媒体を提供することにある。
また、本発明の他の目的は、スパイID(Spy Identification)を生成して、悪意のあるプログラムを介して意図的に流出させ、当該IDが販売された後にアクセスしたユーザ端末のIPが、当該IDを不正に盗んだ装置のIPと異なっていても、不正アクセスを効果的に検知できる不正アクセスの検知および処理システム、装置、方法、並びにコンピュータ読み取り可能な記録媒体を提供することにある。
上記の本発明の目的を達成し、後述する本発明の特有の効果を奏するための、本発明の特徴的な構成は以下のとおりである。
本発明の一側面によれば、不正アクセスを処理するための不正アクセス検知装置は、スパイIDを生成するスパイID生成部と、特定の端末にインストールされた悪意のあるコードの実行によって生成されたスパイIDが流出した後、スパイIDを介したアクセスをモ
ニタリングするアクセスログ検査部と、アクセスログ検査部のモニタリング結果に応じて、スパイIDを用いてアクセスした装置の情報を確認して記録する不正IP処理部と、を含む。
ニタリングするアクセスログ検査部と、アクセスログ検査部のモニタリング結果に応じて、スパイIDを用いてアクセスした装置の情報を確認して記録する不正IP処理部と、を含む。
好ましくは、不正IP処理部は、スパイIDを用いてアクセスした装置のIPアドレスを情報として確認して記録する。
好ましくは、不正IP処理部は、スパイIDを用いてアクセスした装置のIPアドレスと隣接するIPアドレスでアクセスした装置のIPアドレスとをさらに確認して記録する。
好ましくは、隣接するIPアドレスは、スパイIDを用いてアクセスした装置のIPアドレスとクラスCが一致するIPアドレスである。
好ましくは、不正アクセス検知装置は、アクセスを試みた装置のIPアドレスを確認するIP確認部と、IP確認部の確認に基づき、記録されたIPアドレスからアクセスを試みたIDのうちアクセスに成功したIDを盗難IDとして処理する盗難ID登録部と、をさらに含む。
好ましくは、不正アクセス検知装置は、盗難IDでアクセスを試みる場合、アクセスを遮断する盗難IDアクセス遮断部をさらに含む。
好ましくは、不正アクセス検知装置は、盗難IDを用いてアクセスを試みる場合、予め指定された装置に、盗難IDであることを知らせる通知メッセージを伝送する。
好ましくは、盗難IDには、スパイIDが含まれる。
本発明の他の側面によれば、不正アクセス処理システムは、アクセスを試みる装置から入力されたIDおよびパスワードを確認し、確認したIDおよびパスワードを認証することで、アクセスに成功するか否かを処理するウェブサーバと、スパイIDを生成して、特定の端末にインストールされた悪意のあるコードの実行によって生成されたスパイIDが不正収集サーバに流出した後、スパイIDを用いたウェブサーバへのアクセスをモニタリングし、モニタリング結果に応じて、スパイIDを用いてアクセスした装置の情報を確認して記録する不正アクセス検知装置と、を含む。
本発明のさらに他の側面によれば、不正アクセス検知装置で行われる不正アクセス処理方法であって、スパイIDを生成し、特定の端末にインストールされた悪意のあるコードの実行によって生成されたスパイIDが流出した後、スパイIDを用いたアクセスをモニタリングし、モニタリング結果に応じて、スパイIDを用いてアクセスした装置の情報を確認して記録すること、を含む。
一方、不正アクセスの検知および処理手続きを行うための情報は、サーバコンピュータによって読み取り可能な記録媒体に記録されてもよい。このような記録媒体は、コンピュータシステムによって読み取り可能なようににプログラム及びデータが記録される全ての種類の記録媒体を含む。その例としては、ROM(Read Only Memory)、RAM(Random Access Memory)、CD(Compact Disk)(登録商標)、DVD(Digital Video Disk)(登録商標)‐ROM、磁気テープ、フロッピー(登録商標)ディスク、光データ保存装置などが挙げられ、また、搬送波(carrir wave)(例えば、インターネットを介した伝送)の形態で実現されるものも含まれる。また、このような記録媒体は、ネットワークに接続されたコンピュータシステムに分散され、分散方式でコンピュータ読み取り可能なコードが
記録されて実行されてもよい。
記録されて実行されてもよい。
上述したように、本発明によれば、各ユーザのコンピュータに感染した悪意のあるプログラムを個々に治療しなくても、感染したコンピュータから盗まれた個人情報を介してログインする不正ユーザのアクセスを最初から遮断できるという利点がある。
また、本発明によれば、不正に盗まれた個人情報が販売または配布されて不正に用いられる前に、悪意のあるプログラムの配布者の情報を検出することで、不正に盗まれた個人情報を用いてログインする不正ユーザのアクセスを最初から遮断できるという利点がある。
また、本発明によれば、悪意のあるプログラムの配布者の情報を検出し、悪意のあるプログラムの配布者が不正に収集した個人情報を確認することで、不正に盗まれた個人情報を用いてログインする不正ユーザのアクセスを最初から遮断できるという利点がある。
また、本発明によれば、悪意のあるプログラムを介して意図的に流出させたスパイIDを介して、当該IDが販売された後にアクセスしたユーザ端末のIPが、当該IDを不正に盗んだ装置のIPと異なっていても、不正アクセスを効果的に検知できるという利点がある。
後述する本発明の詳細な説明において、本発明を実施することのできる特定の実施形態を例示した添付の図面を参照する。これらの実施形態は、当業者が本発明を十分に実施することができるように詳細に説明される。本発明の多様な実施形態は、互いに異なるが、相互に排他的である必要はないことを理解すべきである。例えば、ここに記載されている特定の形状、構造及び特徴は、本発明の一実施形態に関連して本発明の思想及び範囲を外れない限り他の実施形態において実現されてもよい。また、それぞれの開示された実施形態における個別の構成要素の位置または配置は、本発明の思想及び範囲を外れない限り変更されてもよいことを理解すべきである。従って、後述する詳細な説明は限定的な意味で理解されるものではなく、本発明の範囲は、適切に説明されるならば、その特許請求の範囲に記載されたものと均等な全ての範囲とともに、添付した特許請求の範囲の記載によってのみ限定される。図面において、類似の参照符号は、様々な側面にわたって同一または類似の機能を有することを示す。
本発明は、スパイID(Spy Identification)を生成して、悪意のあるプログラムを介して意図的に流出させた後、流出したスパイIDを用いてログインを試みる不正ユーザを検知することで、盗まれた個人情報を確認することができる不正アクセスの検知および処理システムを開示する。
すなわち、本発明は、個人情報を不正に収集するユーザ(例えば、悪意のあるコードの製作者または配布者)の情報を検出するために、任意のIDをスパイIDとして生成した後、これを悪意のあるコードに感染した端末を介して意図的に流出させる。次に、スパイIDを用いたアクセスの試みを検知して、当該アクセスを試みたユーザのIPを悪意ある不正ユーザの端末IPと判断する。これにより、前記IPと同じ(または隣接する)IPでログインする他のアカウント情報(すなわち、IDおよびパスワード)も流出させ、不正に用いられるアカウントと判断する。
一方、後述する説明における「スパイID(Spy ID)」とは、個人情報を不正に盗もうとするユーザまたは悪意のあるコードの配布者などの情報を検知して処理するための、すなわち、意図的に流出させることを目的として生成されるID情報であって、特定の種類のIDを指すものではなく、本発明の理解を容易にするために用いられる用語である。したがって、前記「スパイID」は、一般のユーザが当該ウェブサイトに会員登録して生成したIDではなく、不正アクセス検知装置が任意に生成したIDであり、スパイパスワードとともに生成されて管理されてもよい。また、「スパイID」は、所定周期または設定期間ごとに新たなID形態で繰り返して生成されることで、新たな悪意のあるコードおよび新たな不正収集サーバの検出に活用され続けてもよい。
また、後述する説明における「不正収集サーバ」とは、悪意のあるプログラムによって盗まれた個人情報を収集する装置であって、サーバの形態であってもよく、通常のコンピュータ端末からなってもよい。したがって、配布された悪意のあるプログラムが特定のユーザコンピュータなどに感染して実行される場合、当該コンピュータからユーザのアカウント情報が盗まれて不正収集サーバに伝送処理される。
また、後述する説明における「ユーザ端末」とは、通常のデスクトップパソコンだけでなく、スマートフォンを含む概念であって、移動通信端末、デスクトップパソコン、ノートパソコン、ワークステーション、パームトップ(palmtop)パソコン、個人携帯情報端末(personal digital assistant;PDA)、ウェブパッドなどのような、メモリ手段を備え、マイクロプロセッサを搭載して演算能力を備えたデジタル機器であればいずれも本発明に係るユーザ端末として採択されてもよい。
以下、本発明の属する技術分野において通常の知識を有する者が本発明を容易に実施できるようにするために、本発明の好ましい実施形態について添付の図面を参照して詳細に説明する。
まず、図1から図4を参照して本発明の一実施形態における概念およびシステムの構造について説明し、次に、図4を参照して本発明の一実施形態における不正アクセス検知装置の詳細な構造について詳細に説明する。
[不正アクセスの検知および処理システムの概念]
図1から図3は本発明に係る不正アクセスの検知および処理システムの構造およびその概念を示す図である。
図1から図3は本発明に係る不正アクセスの検知および処理システムの構造およびその概念を示す図である。
図1から図3を参照すると、本発明の一実施形態におけるシステムは、不正アクセス検知装置110などを含むものでもよい。
ウェブサーバ100は、後述する不正収集サーバ130が個人情報を盗んで収集しようとする対象となるサーバであって、不正アクセス検知装置110および/またはユーザ端末140から予め登録した個人情報(例えば、ログインIDおよびパスワード)を入力してログインした後、所定サービスを提供できるサーバをいずれも含む広義の概念である。したがって、本発明では説明の便宜上、ウェブサーバと記載しているが、その機能は必ずしもウェブサーバに限定されず、ゲームサーバ、メールサーバなど、ログインを介してユーザに様々なサービスを提供できるサーバであればいずれも本発明のウェブサーバ100に含まれる。
不正収集サーバ130は、悪意のあるプログラムを製作または配布し、悪意のあるプログラムに感染したユーザ端末140から個人情報(すなわち、ウェブサーバ100に対するアクセス情報(例えば、ログインIDおよびパスワード))を盗んで収集する。不正収集サーバ130では、各ユーザ端末140から不正に収集したアクセス情報で正常にアクセスできるか否かを確認した後、これを不正に販売または配布する。
一方、本発明では、不正アクセス検知装置110が、ウェブサーバ100にアクセスしてログインできるアクセス情報(すなわち、ログインIDおよびパスワード)を任意に生成し、生成されたアクセス情報を悪意のあるプログラムを介して意図的に流出させる。この際、後述する本発明では、上述したように意図的に流出させるログインIDを「スパイID」と称する。したがって、不正アクセス検知装置110では、スパイIDおよびこれに対応するパスワードを生成して、悪意のあるプログラムを介して意図的に流出させる。
スパイIDの流出方法は、多様に実現されてもよい。例えば、不正アクセス検知装置110に悪意のあるプログラムを感染させ、生成されたスパイIDおよびパスワードでウェブサーバ100にアクセスを試みると、感染した悪意のあるプログラムの実行によってスパイIDおよびパスワードが不正収集サーバ130に自動伝送される。また、他の方法として、図1に示したように、不正アクセス検知装置110が生成したスパイIDおよびパスワードを用いて悪意のあるプログラムに感染した他のユーザ端末140からアクセスを試みると、図2に示したように、ユーザ端末140にインストールされた悪意のあるプログラムの実行によってスパイIDおよびパスワードが不正収集サーバ130に伝送される。
一方、不正収集サーバ130では、悪意のあるプログラムに感染した各ユーザ端末140からウェブサーバ100に対するアクセス情報(例えば、ログインID情報およびパスワード情報)を収集する。この際、本発明の一実施形態において、不正収集サーバ130は、意図的に流出されたスパイIDおよびパスワードもともに収集する。しかし、スパイIDおよびパスワードは、一般のIDおよびパスワードと同じ形式を有するため、不正収集サーバ130では、スパイIDと一般ログインIDとを区別することができない。
例えば、図1を参照すると、不正アクセス検知装置110では、「tuvwxy」という任意のスパイIDを生成し、これに対応するパスワードとして「345678」というパスワードをともに生成する。この際、スパイIDおよびパスワードは、ウェブサーバ100に正常にアクセスできるようにしてもよく、アクセスに成功することなく(すなわち、ログインせず)当該スパイIDを用いたアクセスの試みのみを検知するように実現されてもよい。一例として、図1において、矢印10で示すように、生成された任意のスパイIDおよびパスワードは、悪意のあるプログラムに感染した他のユーザ端末140において用いられてもよい。
したがって、例示的に図2において矢印20および矢印30で示すように、ユーザ端末140からウェブサーバ100にログインを試みる場合(矢印20)、生成されたスパイIDは、悪意のあるプログラムに感染した端末を介して不正収集サーバ130に伝送される、すなわち、不正に盗まれる(矢印30)。
次に、例示的に図3を参照すると、矢印40で示すように、各不正収集サーバ130は、悪意のあるプログラムを用いて不正に盗まれたIDおよびパスワードが正常にウェブサーバ100にアクセスできるか否かを検証する。この際、他の盗難IDとともに、図2のようにスパイIDおよびパスワードも収集されているため、不正収集サーバ130は、ID検証過程においてスパイIDおよびパスワードでもウェブサーバ100にアクセスを試みることになる。
この際、本発明の一実施形態において、不正アクセス検知装置110は、スパイIDを用いたアクセスの試みまたはアクセス成功を検知し、当該不正収集サーバ130を悪意のあるユーザの装置と判断する。したがって、本発明の一実施形態において、スパイIDを用いてアクセスを試みるかまたはアクセスに成功した不正収集サーバ130のアクセスIPアドレスを検出し、これを不正IP情報としてデータベースに記録する。これにより、記録された不正IPアドレスからアクセスを試みるかまたはアクセスに成功したすべてのIDに対しては不正に盗まれたIDとみなして、アクセスを遮断するかIDが流出したことを知らせる通知メッセージを予め指定した装置に伝送するなど、その他の様々な措置を取ることになる。また、本発明の一実施形態において、不正収集サーバ130のIPアドレスと近接するIPアドレスも不正収集サーバ130とみなしてもよい。例えば、IPv4アドレスシステムにおいて、クラスCのネットワーク部分が一致する場合(すなわち、第1〜第4オクテット(8ビット)からなるIPv4アドレスにおいて、クラスCのネットワーク部分である第1〜第3オクテットが一致する場合)、またはクラスCにおいて、ネットワーク部分が一致し、ホスト部分の値が類似している場合(すなわち、クラスCにおいて、第4オクテットであるホスト部分の値が特定の大きさ以内の場合)、互いに近接する位置にある装置のIPアドレスと判断し、これを不正収集サーバ130とみなしてもよい。
また、図3で説明したように、不正収集サーバ130は、各盗難IDを用いてアクセスを試みて正常に使用できるか否かを検査し、アクセスに成功したことを確認すると、確認されたIDおよびパスワードを他の悪意のあるユーザに販売または配布することが一般的である。一方、盗難IDを不正収集サーバ130から購買または取得した悪意のあるユーザは、自分のユーザ端末140から購買または取得したIDを用いてウェブサーバ100にアクセスを試みる。この際、盗難IDの情報は、既に不正アクセス検知装置110に確保されているため、盗難IDを用いたウェブサーバ100へのアクセスを遮断するか別の制裁を加えることができる。
一方、本発明では、説明の便宜上、不正収集サーバ130が不正にIDおよびパスワードを盗み、盗んだIDの有効性を判断した後、これを販売または配布すると説明しているが、IDの盗み取り、有効性の判断、販売または配布などをそれぞれ異なる端末(例えば、それぞれ異なるIPアドレスを有する端末)で行うように実現されてもよい。
また、不正アクセス検知装置110は、図1から図3においてウェブサーバ100とは別に示されているが、ウェブサーバ100の事業者と同じ事業者が不正アクセス検知装置110を構築し、これを連動させてもよく、ウェブサーバ100内に不正アクセス検知装置110の構成が含まれて実現されてもよい。また、不正アクセス検知装置110の意図的なスパイID流出機能およびスパイIDを用いたアクセスの試みの検知機能は、物理的に互いに異なる機械で実現されてもよい。
また、不正アクセス検知装置110は、後述するように基本的に不正アクセスに対する検知を行い、さらに検知された不正アクセスに対する処理(例えば、アクセス遮断またはメッセージ通知など)機能(すなわち、不正アクセス処理機能)を行ってもよい。
通信ネットワーク120は、有線又は無線などのような通信形態を問わずに構成されてもよく、パーソナルエリアネットワーク(PAN;Personal Area Network)、ローカルエリアネットワーク(LAN;Local Area Network)、メトロポリタンエリアネットワーク(MAN;Metropolitan Area Network)、広域ネットワーク(WAN;Wide Area Network)など、多様な通信網で構成されてもよい。また、通信ネットワーク120は、公知のワールドワイドウェブ(WWW;World Wide Web)であってもよく、赤外線(Infrared Data Association;IrDA)またはブルートゥース(Bluetooth)(登録商標)のように短距離通信に用いられる無線送信技術を利用してもよい。
次に、図4を参照して不正アクセス検知装置110の詳細構成について説明する。
(不正アクセス検知装置)
図4は本発明の一実施形態における不正アクセス検知装置の詳細な構成を示すブロック図である。図4を参照すると、本発明の一実施形態における不正アクセス検知装置110は、悪意のあるコード収集部401と、スパイID配布部402と、スパイID生成部403と、アクセスログ検査部411と、スパイID確認部412と、不正IP処理部413と、IP確認部421と、盗難ID登録部422と、盗難IDアクセス遮断部423と、を含んでもよい。
図4は本発明の一実施形態における不正アクセス検知装置の詳細な構成を示すブロック図である。図4を参照すると、本発明の一実施形態における不正アクセス検知装置110は、悪意のあるコード収集部401と、スパイID配布部402と、スパイID生成部403と、アクセスログ検査部411と、スパイID確認部412と、不正IP処理部413と、IP確認部421と、盗難ID登録部422と、盗難IDアクセス遮断部423と、を含んでもよい。
悪意のあるコード収集部401は、スパイIDを意図的に流出させるために各種の悪意のあるコード(または悪意のあるプログラム)を収集する機能を行う。収集された悪意のあるコードは、悪意のあるコード情報データベース404に記録される。一方、スパイIDを不正アクセス検知装置110から直接流出させることなく、悪意のあるコードに感染した他の端末(ユーザ端末140)を介して流出させる場合、悪意のあるコード収集部401は省略されてもよい。また、前記のように悪意のあるコードを別に収集することなく、不正アクセス検知装置110を悪意のあるコードに意図的に感染させてもよい。
スパイID生成部403は、上述したように本発明によって意図的に流出させるためのアカウント情報としてスパイIDを生成する機能を行う。生成されたスパイIDは、スパイID情報データベース405に記録される。この際、スパイIDおよびそれに対応するパスワードをともに生成し、これをマッピングして記録することが好ましい。一方、生成されたスパイIDおよびパスワードは、ウェブサーバ100でも共有され、スパイIDを用いたアクセスを試みる際にアクセス成功処理、すなわちログイン処理、またはアクセスの試みの検知をするように実現されてもよい。また、スパイID生成部403は、スパイIDを予め設定した周期ごとに繰り返し生成するように実現されてもよい。すなわち、新たに生成して配布される悪意のあるコードに適用するために、周期的または繰り返してスパイIDを生成することで、不正収集サーバ130を検知し続けることができる。
スパイID配布部402は、スパイID生成部403を介して生成されたスパイIDを、悪意のあるコード収集部401を介して収集された悪意のあるコードによって流出させるようにする機能を行う。すなわち、生成されたスパイIDでウェブサーバ100にアクセスを試みる場合、収集した悪意のあるコードの実行によって生成されたスパイIDが不正収集サーバ130に伝送される。
一方、上述したように、スパイIDを不正アクセス検知装置110から直接流出することなく、悪意のあるコードに感染された他の端末(ユーザ端末140)を介して流出する場合、スパイID配布部402は省略されてもよい。この際、スパイID生成部403を介して生成されたスパイIDを用いて悪意のあるコードに感染した他の端末からアクセスを試みるだけでもスパイIDが流出して不正収集サーバ130に伝送されてもよい。
このように、生成されたスパイIDが流出して不正収集サーバ130に伝送されると、不正収集サーバ130では、不正に盗まれた各IDが正常にアクセスできるIDであるか、すなわちログインできるIDであるかを検査する。この際、不正に盗まれたIDのなかにスパイIDも含まれていてもよく、不正に盗まれたスパイIDを用いてウェブサーバ100にアクセスを試みる場合、本発明の一実施形態において、不正アクセス検知装置110がこれを検知することで不正収集サーバ130の情報を確認する。
すなわち、アクセスログ検査部411では、ウェブサーバ100にアクセスしてアクセスを試みる各ログインIDをモニタリングする。この際、ログインIDをモニタリングする方法として、ウェブサーバ100にアクセスして伝送されるパケットをリアルタイムで収集し、アクセスを試みるIDを検査してもよい。
他の方法として、アクセスログ検査部411では、ウェブサーバ100のログインデータに周期的に(例えば、1日単位で)アクセスしてログインデータを検査してもよい。この際、ログインデータは、図9に示すように、ウェブサーバ100にアクセスしてアクセスを試みる各ログインID、パスワード、アクセスに成功(ログイン成功)したか否か、およびアクセスを試みる端末のIPアドレスなどを含んでもよい。
スパイID確認部412は、アクセスログ検査部411のモニタリングによってアクセスを試みたIDまたはアクセスに成功したIDのなかに、生成されたスパイIDが存在するか否かを確認する。すなわち、アクセスログ検査部411を介して収集されたログインIDと、スパイID情報データベース405に記録されたスパイIDとを比較して一致するか否かを確認する。
確認の結果、アクセスを試みたIDまたはアクセスに成功したIDとスパイIDとが一致する場合、不正IP処理部413では、スパイIDでアクセスを試みた端末またはアクセスに成功した端末を不正収集サーバ130とみなし、当該端末のIPを不正IP情報データベース414に記録する。また、アクセスログ検査部411がリアルタイムでパケットをモニタリングする場合、ウェブサーバ100にアクセスを試みるパケットを検査して、当該ログインIDのうちスパイIDと一致するIDが存在する場合、前記パケットの出所アドレス(source address)のIPアドレスを不正IP情報データベース414に記録してもよい。
一方、上述したように、不正収集サーバ130とみなした端末のIPアドレスだけでなく、本発明の一実施形態において、前記IPアドレスと隣接する(例えば、IPアドレスのCクラスにおいてネットワークの部分が一致する)IPアドレスも不正収集サーバ130のIPアドレスとみなしてもよい。
このように、本発明の一実施形態において、前記のように不正収集サーバ130のIPアドレスを確認した後、確認されたIPアドレスを用いて不正収集サーバ130が不正に盗んだすべてのIDを確認することができる。すなわち、上述したように、不正収集サーバ130では、不正に盗んだすべてのIDに対して使用可能なIDであるかを確認するために、各IDを用いてウェブサーバ100にアクセスを試みる。したがって、不正収集サーバ130のIPアドレスを用いてアクセスを試みるすべてのIDをログインデータに基づいて検査し、図9に示すように、このうちアクセスに成功したID、すなわち、ログインに成功したIDを盗難IDとみなして処理することができる。
すなわち、IP確認部421は、ウェブサーバ100にアクセスして、アクセスを試みまたはアクセスに成功した各端末のIPを確認し、確認されたIPが不正IP情報データベース414に不正IPとして登録されたIP(すなわち、不正収集サーバ130のIP)であるかを検査する。この際、アクセスに成功した端末のIPを確認する方法は、上述したように所定の期間(例えば、1日単位)でウェブサーバ100のログ記録を検査することで確認されてもよい。
前記検査の結果、確認されたIPが不正IP情報データベース414に記録された不正IPである場合、アクセスを試みたIDまたはアクセスに成功したIDを盗難IDとみなす。したがって、盗難ID登録部422は、盗難IDとみなされたIDを盗難ID情報データベース424に記録する。
盗難IDアクセス遮断部423では、ウェブサーバ100にアクセスを試みるIDを検査し、アクセスしようとするIDが盗難ID情報データベース424に記録された盗難IDである場合、アクセス遮断、すなわちログイン遮断処理を行う。さらに他の方法として、当該IDが盗まれたIDまたは盗用されたIDであることを知らせる案内メッセージを予め指定された装置に提供するように実現されてもよい。ここで、予め指定された装置とは、不正アクセス検知装置を管理する管理者の端末を含み、不正アクセス検知装置で予め指定された端末はいずれも含まれてよく、不正アクセス検知装置そのものを指定してもよく、さらにはアクセスを試みようとする端末を指定してもよい。
一方、不正アクセス検知装置110のそれぞれの構成要素は、機能的および論理的に分離されてもよいことを示すために別々に図面に表示しているが、必ずしも物理的に別の構成要素または別のコードに実現される必要はない。
また、本明細書において各機能部(またはモジュール)とは、本発明の技術的思想を実現するためのハードウェアおよび前記ハードウェアを駆動するためのソフトウェアの機能的、構造的結合を意味してもよい。例えば、各機能部は、所定のコードと所定のコードが行われるためのハードウェアリソースの論理的な単位を意味してもよく、必ずしも物理的に連結されたコードや、一種のハードウェアを意味するものではないことは、本発明の技術分野における通常の知識を有する専門家にとっては容易に想定できることである。
また、本明細書においてデータベースとは、それぞれのデータベースに対応する情報が記録されたソフトウェアおよびハードウェアの機能的、構造的結合を意味してもよい。データベースは、データベースに対応する情報を記録することのできるすべてのデータ保存媒体およびデータ構造を含む。
以下、図5から図7を参照して、本発明の一実施形態における不正アクセス処理手続きについて説明する。
[不正アクセス処理手続き]
図5は本発明の一実施形態にかかる悪意のあるコードを介したスパイIDの流出手続きを示すフローチャートである。図5を参照すると、まず、本発明の一実施形態において悪意のあるコードを収集(S501)し、スパイIDを生成(S502)する。次に、スパイIDを用いてウェブサーバにアクセス(ログイン)を試みる(S503)と、収集された悪意のあるコードが実行(S504)され、実行された悪意のあるコードを介してスパイIDが流出(S505)される。
図5は本発明の一実施形態にかかる悪意のあるコードを介したスパイIDの流出手続きを示すフローチャートである。図5を参照すると、まず、本発明の一実施形態において悪意のあるコードを収集(S501)し、スパイIDを生成(S502)する。次に、スパイIDを用いてウェブサーバにアクセス(ログイン)を試みる(S503)と、収集された悪意のあるコードが実行(S504)され、実行された悪意のあるコードを介してスパイIDが流出(S505)される。
一方、本発明の他の実施形態において、前記のような悪意のあるコードの収集手続きを行うことなく、生成されたスパイIDを用いて悪意のあるコードに感染した端末でウェブサーバへのアクセスに成功(ログイン)することでスパイIDを流出させてもよい。
図6は本発明の一実施形態における不正収集サーバのIPを検知する手続きを示すフローチャートである。図5のように意図的に流出させるために生成したスパイIDが流出して不正収集サーバに収集されると、不正収集サーバが流出したスパイIDを用いてアクセス(ログイン)を試みる際、不正収集サーバの情報(例えば、IP情報)を確認することができる。
すなわち、図6を参照すると、ウェブサーバにアクセスした者に対する所定期間のログインデータを収集(S601)し、収集したパケットを分析(S602)する。すなわち、ログインデータを用いてアクセス(ログイン)を試みたアクセスIDのなかに、図5で生成されたスパイIDと同じIPが存在するか(S603)を検査する。
前記検査の結果、アクセス(ログイン)を試みたアクセスIDのうちスパイIDと同じIDが存在する場合、スパイIDを用いてアクセスを試みた端末を不正収集サーバとみなし、前記端末のIPアドレスを不正IP情報データベースに記録(S604)する。この際、上述したように本発明の一実施形態において、前記ログインデータにおいて不正収集サーバとみなした端末のIPアドレスと隣接するIPアドレスが存在する場合、隣接するIPアドレスでアクセスを試みた端末も同様に不正収集サーバとみなして、当該IPアドレスを不正IP情報データベースに記録(S604)してもよい。
図7は本発明の一実施形態における不正収集サーバに盗まれたIDを検知する手続きを示すフローチャートである。図7を参照すると、図6のように、所定期間にウェブサーバにアクセスしたログインデータを収集して分析(S701)し、不正IP情報データベースに記録された不正IPアドレスにアクセスしたログイン記録を確認(S702)する。この際、不正IPアドレスにアクセスしたログイン記録のうち正常にアクセス(ログイン)に成功したIDを盗難IDとみなして、これを盗難ID情報データベースに記録(S703)する。
次に、盗難IDに対してはログインできないようにアクセスを遮断(S704)したり、盗難IDであることを予め指定された端末に知らせたりしてもよい。
本発明の一実施形態における方法は、様々なコンピュータ手段を介して行われ得るプログラム命令形態で実現されてもよく、コンピュータ読み取り可能な媒体に記録されてもよい。コンピュータ読み取り可能な媒体は、プログラム命令、データファイル、データ構造などを単独でまたは組み合わせて含むものでもよい。前記媒体に記録されるプログラム命令は、本発明のために特別に設計されて構成されたものであってもよく、コンピュータソフトウェアにおける当業者にとって公知の使用可能なものであってもよい。コンピュータ読み取り可能な記録媒体の例としては、ハードディスク、フロッピー(登録商標)ディスクおよび磁気テープのような磁気媒体(magnetic media)、CD‐ROM、DVDのような光記録媒体(optical media)、フロプティカルディスク(floptical disk)のような磁気‐光媒体(magneto‐optical media)、およびROM(Read Only Memory)、RAM(Random Access Memory)、フラッシュメモリなどのようなプログラム命令を記録して行うように特別に構成されたハードウェア装置が含まれる。プログラム命令の例としては、コンパイラによって作製されるような機械語コードだけでなく、インタプリタなどを用いてコンピュータによって実行され得る高級言語コードを含む。前記ハード
ウェア装置は、本発明の動作を行うために一つ以上のソフトウェアモジュールとして作動するように構成されてもよく、その逆も同様である。
ウェア装置は、本発明の動作を行うために一つ以上のソフトウェアモジュールとして作動するように構成されてもよく、その逆も同様である。
[実施例]
図8は本発明の一実施形態におけるウェブサーバのログイン記録を示す図である。図8を参照すると、上述したようにウェブサーバからログイン記録800を分析することで、不正収集サーバの情報および盗難IDを検知することができる。
図8は本発明の一実施形態におけるウェブサーバのログイン記録を示す図である。図8を参照すると、上述したようにウェブサーバからログイン記録800を分析することで、不正収集サーバの情報および盗難IDを検知することができる。
例えば、図1のように、スパイIDが「tuvwxy」である場合、前記スパイIDを用いてログインを試みた端末のIPアドレスを検査する。したがって、図8において、第1アクセスのIDが「tuvwxy」であるため、第1アクセスのIPアドレスである「10.11.22.33」を不正収集端末のIPアドレスとみなし、当該IPアドレスでアクセス(ログイン)を試みたすべてのIDを盗難IDとみなしてもよい。すなわち、図8において、第4アクセスは、アクセス端末のIPアドレスが第1アクセスのIPアドレスと一致するため、第4アクセスのアクセスIDである「opqrst」を盗難IDとみなしてもよい。しかし、第4アクセスは、アクセス(ログイン)に失敗したため、本発明の一実施形態において盗難IDとみなさないこともある。
また、本発明の一実施形態において、図8の第3アクセスのIPアドレスは「10.11.22.34」であって、不正収集端末のIPアドレスとみなした「10.11.22.33」と類似するIPアドレスを有するため、第3アクセスのIPアドレスも不正収集端末のIPアドレスとみなしてもよい。また、第3アクセスは、アクセス(ログイン)に成功したため、第3アクセスのIDである「abcdef」を盗難IDとみなしてもよい。
以上、本発明を具体的な構成要素などのような特定の事項と限定された実施形態及び図面を参照して説明したが、これらは本発明のより全体的な理解を容易にするために提供されたものにすぎず、本発明は前記実施形態によって限定されず、本発明の属する分野において通常の知識を有する者であれば、このような記載から多様な修正及び変形が可能である。
従って、本発明の思想は前記実施形態に限定されてはならず、添付する特許請求の範囲の記載だけでなく、特許請求の範囲の記載と均等または等価的に変形された全てのものは、本発明の思想の範疇に属するとするべきであろう。
100 ウェブサーバ
110 不正アクセス検知装置
120 通信ネットワーク
130 不正収集サーバ
140 ユーザ端末
401 悪意のあるコード収集部
402 スパイID配布部
403 スパイID生成部
404 悪意のあるコード情報データベース
405 スパイID情報データベース
411 アクセスログ検査部
412 スパイID確認部
413 不正IP処理部
414 不正IP情報データベース
421 IP確認部
422 盗難ID登録部
423 盗難IDアクセス遮断部
424 盗難ID情報データベース
110 不正アクセス検知装置
120 通信ネットワーク
130 不正収集サーバ
140 ユーザ端末
401 悪意のあるコード収集部
402 スパイID配布部
403 スパイID生成部
404 悪意のあるコード情報データベース
405 スパイID情報データベース
411 アクセスログ検査部
412 スパイID確認部
413 不正IP処理部
414 不正IP情報データベース
421 IP確認部
422 盗難ID登録部
423 盗難IDアクセス遮断部
424 盗難ID情報データベース
Claims (12)
- 不正アクセスを処理するための不正アクセス検知装置であって、
スパイIDを生成し、スパイID情報データベースに記録するスパイID生成部と、
特定の端末にインストールされた悪意のあるコードの実行によって前記生成されたスパイIDが流出した後、前記スパイIDを用いたアクセスをモニタリングするアクセスログ検査部と、
前記モニタリングによってアクセスを試みたIDまたはアクセスに成功したIDと前記スパイID情報データベースに記録されたスパイID情報とを比較して確認し、前記モニタリングによってアクセスを試みたIDまたはアクセスに成功したIDの中に前記スパイIDが存在するか否かを確認するスパイID確認部と、
前記確認の結果に基づいて、前記スパイIDでアクセスした端末を不正収集サーバとして特定し、前記アクセスログ検査部のモニタリング結果に応じて、前記スパイIDを用いてアクセスした装置のIPアドレスを確認して記録する不正IP処理部と、
前記IPアドレスから接続を試みたIDを、盗難されたIDとして処理する盗難ID登録部と、を含み、
前記盗難ID登録部は、前記不正IP処理部で確認された不正IPアドレスを通じてアクセスを試みたIDのうち、アクセスに成功したIDを、前記盗難されたIDとして処理することを特徴とし、
前記スパイID生成部は、設定期間ごとに新たなID形態でスパイIDを生成することを特徴とする不正アクセス検知装置。 - 前記不正IP処理部は、前記スパイIDを用いてアクセスした装置のIPアドレスと隣接するIPアドレスでアクセスした装置のIPアドレスを確認してさらに記録することを特徴とする請求項1に記載の不正アクセス検知装置。
- 前記盗難IDを用いてアクセスを試みる場合、前記アクセスを遮断する盗難IDアクセス遮断部をさらに含むことを特徴とする請求項2に記載の不正アクセス検知装置。
- 前記盗難IDを用いてアクセスを試みる場合、予め指定された装置に、盗難IDであることを知らせる通知メッセージを伝送することを特徴とする請求項2又は3に記載の不正アクセス検知装置。
- 前記盗難IDには、前記スパイIDが含まれることを特徴とする請求項2から請求項4のいずれか一項に記載の不正アクセス検知装置。
- アクセスを試みる装置から入力されたIDおよびパスワードを確認し、確認されたIDおよびパスワードを認証することで、アクセスに成功するか否かを処理するウェブサーバと、
スパイIDを生成して、スパイID情報データベースに記録し、特定の端末にインストールされた悪意のあるコードの実行によって前記生成されたスパイIDが不正収集サーバに流出した後、前記スパイIDを用いた前記ウェブサーバへのアクセスをモニタリングし、前記モニタリングによってアクセスを試みたIDまたはアクセスに成功したIDと前記スパイID情報データベースに記録されたスパイID情報とを比較して確認し、前記モニタリングによってアクセスを試みたIDまたはアクセスに成功したIDの中に前記スパイIDが存在するか否かを確認し、前記モニタリング結果に応じて、前記スパイIDを用いてアクセスした装置の情報をIPアドレスを確認して記録し、前記IPアドレスから接続を試みたIDを、盗難されたIDとして処理し、前記確認されたIPアドレスからアクセスを試みたIDのうちアクセスに成功したIDを盗難IDとして処理する不正アクセス検知装置と、を含むことを特徴とする不正アクセス処理システム。 - 不正アクセス検知装置で行われる不正アクセス処理方法であって、前記不正アクセス検知装置は、スパイID生成部と、アクセスログ検査部と、スパイID確認部と、不正IP処理部と、盗難ID登録部と、を含み、
前記スパイID生成部が、スパイIDを生成し、スパイID情報データベースに記録し
前記アクセスログ検査部が、特定の端末にインストールされた悪意のあるコードの実行によって前記生成されたスパイIDが流出した後、前記スパイIDを用いたアクセスをモニタリングし、
前記スパイID確認部が、前記モニタリングによってアクセスを試みたIDまたはアクセスに成功したIDと前記スパイID情報データベースに記録されたスパイID情報とを比較して確認し、前記モニタリングによってアクセスを試みたIDまたはアクセスに成功したIDの中に前記スパイIDが存在するか否かを確認し、
前記不正IP処理部が、前記モニタリング結果に応じて、前記スパイIDを用いてアクセスした装置のIPアドレスを確認して記憶し、
前記盗難ID登録部が、前記IPアドレスから接続を試みたIDを、盗難されたIDとして処理し、前記不正IP処理部で確認された不正IPアドレスからアクセスを試みたIDのうちアクセスに成功したIDを盗難IDとして処理すること、を含むことを特徴とする不正アクセス処理方法。 - 前記スパイIDを用いてアクセスした装置の情報を確認して記録することは、前記スパイIDを用いてアクセスした装置のIPアドレスと隣接するIPアドレスでアクセスした装置のIPアドレスを確認して記録することを含むことを特徴とする請求項7に記載の不正アクセス処理方法。
- 前記不正アクセス検知装置は、盗難IDアクセス遮断部をさらに含み、
前記盗難IDでアクセスを試みる場合、前記盗難IDアクセス遮断部が、アクセスを遮断することをさらに含むことを特徴とする請求項8に記載の不正アクセス処理方法。 - 前記盗難IDでアクセスを試みる場合、前記不正アクセス検知装置が、予め指定された装置に、盗難IDであることを知らせる通知メッセージを伝送することをさらに含むことを特徴とする請求項8または請求項9に記載の不正アクセス処理方法。
- 前記盗難IDには、前記スパイIDが含まれることを特徴とする請求項8から請求項10のいずれか一項に記載の不正アクセス処理方法。
- 請求項7から請求項11のいずれか一項に記載の方法を実行するためのプログラムが記録されていることを特徴とするコンピュータ読み取り可能な記録媒体。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2012-0138128 | 2012-11-30 | ||
| KR1020120138128A KR101576632B1 (ko) | 2012-11-30 | 2012-11-30 | 불법 접속 탐지 및 처리 시스템, 장치, 방법 및 컴퓨터 판독 가능한 기록 매체 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013226092A Division JP2014110046A (ja) | 2012-11-30 | 2013-10-31 | 不正アクセスの検知および処理システム、装置、方法、並びにコンピュータ読み取り可能な記録媒体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017016674A true JP2017016674A (ja) | 2017-01-19 |
| JP6356749B2 JP6356749B2 (ja) | 2018-07-11 |
Family
ID=51030605
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013226092A Pending JP2014110046A (ja) | 2012-11-30 | 2013-10-31 | 不正アクセスの検知および処理システム、装置、方法、並びにコンピュータ読み取り可能な記録媒体 |
| JP2016163281A Active JP6356749B2 (ja) | 2012-11-30 | 2016-08-24 | 不正アクセスの検知および処理システム、装置、方法、並びにコンピュータ読み取り可能な記録媒体 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013226092A Pending JP2014110046A (ja) | 2012-11-30 | 2013-10-31 | 不正アクセスの検知および処理システム、装置、方法、並びにコンピュータ読み取り可能な記録媒体 |
Country Status (2)
| Country | Link |
|---|---|
| JP (2) | JP2014110046A (ja) |
| KR (1) | KR101576632B1 (ja) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015001970A1 (ja) * | 2013-07-05 | 2015-01-08 | 日本電信電話株式会社 | 不正アクセス検知システム及び不正アクセス検知方法 |
| WO2015001969A1 (ja) * | 2013-07-05 | 2015-01-08 | 日本電信電話株式会社 | 不正アクセス検知システム及び不正アクセス検知方法 |
| KR101685014B1 (ko) * | 2016-02-19 | 2016-12-12 | 주식회사 블랙포트시큐리티 | 컴퓨터 시스템의 랜섬웨어 행위에 대한 선제적인 탐지 차단 방법 및 그 장치 |
| JP6673057B2 (ja) | 2016-06-30 | 2020-03-25 | 富士通株式会社 | ネットワーク監視システム、ネットワーク監視装置、ネットワーク監視方法及びプログラム |
| CN110636086B (zh) * | 2019-11-13 | 2023-12-26 | 国家电网有限公司 | 网络防护测试方法及装置 |
| KR102522584B1 (ko) * | 2021-06-21 | 2023-04-17 | 주식회사 넥스트앤콤 | 해킹 차단 장치 및 그 방법 |
| KR102605029B1 (ko) * | 2022-09-20 | 2023-11-23 | 김휘영 | 가상의 식별정보를 이용한 침해사고 판단 시스템 및 그 방법과 이를 위한 컴퓨터 프로그램 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001282739A (ja) * | 2000-03-30 | 2001-10-12 | Hitachi Software Eng Co Ltd | コンピュータシステムの不正ログイン防御方法およびコンピュータシステム |
| JP2005284523A (ja) * | 2004-03-29 | 2005-10-13 | Nec Corp | 不正侵入検出システム及び方法並びに不正侵入検出用プログラム |
| JP2007334536A (ja) * | 2006-06-14 | 2007-12-27 | Securebrain Corp | マルウェアの挙動解析システム |
| JP2009500246A (ja) * | 2005-07-11 | 2009-01-08 | ボルボ テクノロジー コーポレイション | ドライバid認証を実施するための方法と装置 |
| KR20090132963A (ko) * | 2008-06-23 | 2009-12-31 | 엘지전자 주식회사 | 접속요청 처리시스템 및 방법 |
| JP2010134832A (ja) * | 2008-12-08 | 2010-06-17 | Ricoh Co Ltd | 情報処理装置及びプログラム |
-
2012
- 2012-11-30 KR KR1020120138128A patent/KR101576632B1/ko active IP Right Grant
-
2013
- 2013-10-31 JP JP2013226092A patent/JP2014110046A/ja active Pending
-
2016
- 2016-08-24 JP JP2016163281A patent/JP6356749B2/ja active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001282739A (ja) * | 2000-03-30 | 2001-10-12 | Hitachi Software Eng Co Ltd | コンピュータシステムの不正ログイン防御方法およびコンピュータシステム |
| JP2005284523A (ja) * | 2004-03-29 | 2005-10-13 | Nec Corp | 不正侵入検出システム及び方法並びに不正侵入検出用プログラム |
| JP2009500246A (ja) * | 2005-07-11 | 2009-01-08 | ボルボ テクノロジー コーポレイション | ドライバid認証を実施するための方法と装置 |
| JP2007334536A (ja) * | 2006-06-14 | 2007-12-27 | Securebrain Corp | マルウェアの挙動解析システム |
| KR20090132963A (ko) * | 2008-06-23 | 2009-12-31 | 엘지전자 주식회사 | 접속요청 처리시스템 및 방법 |
| JP2010134832A (ja) * | 2008-12-08 | 2010-06-17 | Ricoh Co Ltd | 情報処理装置及びプログラム |
Non-Patent Citations (3)
| Title |
|---|
| SHUJUN LI ROLAND SCHMITZ: "A Novel Anti-Phishing Framework Based on Honey pots", ECRIME RESEARCHERS SUMMIT,2009. ECRIME '09., IEEE, JPN6017034678, 20 September 2009 (2009-09-20), pages 1-13 * |
| 株式会社モバイル&ゲームスタジオ, 遠藤雅伸のゲームデザイン講義実況中継, vol. 第1版, JPN6017034680, 11 April 2012 (2012-04-11), pages p.332 * |
| 緊急警報!IDS&ファイアウォールで武装せよ,PC JAPAN, vol. 第8巻,第10号, JPN6017034682, 1 October 2003 (2003-10-01), JP, pages pp.83 * |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6356749B2 (ja) | 2018-07-11 |
| JP2014110046A (ja) | 2014-06-12 |
| KR101576632B1 (ko) | 2015-12-10 |
| KR20140070075A (ko) | 2014-06-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6356749B2 (ja) | 不正アクセスの検知および処理システム、装置、方法、並びにコンピュータ読み取り可能な記録媒体 | |
| US10482260B1 (en) | In-line filtering of insecure or unwanted mobile device software components or communications | |
| CA2966408C (en) | A system and method for network intrusion detection of covert channels based on off-line network traffic | |
| Ludl et al. | On the effectiveness of techniques to detect phishing sites | |
| CN102246490B (zh) | 对不需要的软件或恶意软件进行分类的系统和方法 | |
| Malik et al. | CREDROID: Android malware detection by network traffic analysis | |
| Onwuzurike et al. | Danger is my middle name: experimenting with SSL vulnerabilities in Android apps | |
| US8875285B2 (en) | Executable code validation in a web browser | |
| KR20170045699A (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
| JP2016046654A (ja) | セキュリティシステム、セキュリティ方法、セキュリティ装置、及び、プログラム | |
| Chen et al. | Simple and effective method for detecting abnormal internet behaviors of mobile devices | |
| CN110912855A (zh) | 一种基于渗透性测试用例集的区块链架构安全评估方法及系统 | |
| Ng et al. | Applying data mining techniques to intrusion detection | |
| US20210051176A1 (en) | Systems and methods for protection from phishing attacks | |
| Yamada et al. | RAT-based malicious activities detection on enterprise internal networks | |
| Djanali et al. | SQL injection detection and prevention system with raspberry Pi honeypot cluster for trapping attacker | |
| KR101398740B1 (ko) | 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체 | |
| KR101468798B1 (ko) | 파밍 탐지 및 차단 장치, 이를 이용한 방법 | |
| Riadi et al. | Analysis of Anubis Trojan Attack on Android Banking Application Using Mobile Security Labware. | |
| KR20150133370A (ko) | 웹서비스 접속제어 시스템 및 방법 | |
| US8266704B1 (en) | Method and apparatus for securing sensitive data from misappropriation by malicious software | |
| WO2017068714A1 (ja) | 不正通信制御装置および方法 | |
| KR101851680B1 (ko) | 불법 접속 탐지 및 처리 시스템, 장치, 방법 및 컴퓨터 판독 가능한 기록 매체 | |
| Varshney et al. | Detecting spying and fraud browser extensions: Short paper | |
| Cho et al. | User credential cloning attacks in android applications: exploiting automatic login on android apps and mitigating strategies |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170829 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170912 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171211 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180515 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180614 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6356749 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |