JP2020201533A - 不正中継監査プログラム、不正中継監査方法および不正中継監査システム - Google Patents

不正中継監査プログラム、不正中継監査方法および不正中継監査システム Download PDF

Info

Publication number
JP2020201533A
JP2020201533A JP2019105737A JP2019105737A JP2020201533A JP 2020201533 A JP2020201533 A JP 2020201533A JP 2019105737 A JP2019105737 A JP 2019105737A JP 2019105737 A JP2019105737 A JP 2019105737A JP 2020201533 A JP2020201533 A JP 2020201533A
Authority
JP
Japan
Prior art keywords
audit
open
ports
port
check
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2019105737A
Other languages
English (en)
Inventor
俊二 東本
Shunji Higashimoto
俊二 東本
博康 川野
Hiroyasu Kawano
博康 川野
俊彦 川野
Toshihiko Kawano
俊彦 川野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2019105737A priority Critical patent/JP2020201533A/ja
Publication of JP2020201533A publication Critical patent/JP2020201533A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】不正中継の監査にかかる処理時間を短縮できること。【解決手段】監査処理プログラムは、監査の対象となる複数のポートの内の特定のポートに対し、異なる処理速度のタイミングパラメータを用いて、それぞれの特定のポートがオープンの状態か否かをチェックする第一のオープンポートチェックを行い、第一のオープンポートチェックの結果により、タイミングパラメータを決定し、決定したタイミングパラメータを用いて監査の対象となる全てのポートに対して第二のオープンポートチェックを行い、抽出したオープンしているポートのみに対して監査処理を実施する。監査処理の前にオープンポートチェックを行うことで、オープンしていないポートに対してコマンド送出後に応答がない場合のタイムアウト時間相当を節約でき、その分全体の処理時間を短縮でき、例えば、10ポートの場合、従来に比して1/17の時間で済む。【選択図】図9

Description

本発明は、各種サーバが不正中継として使用されていないか監査する不正中継監査プログラム、不正中継監査方法および不正中継監査システムに関する。
インターネットに公開される顧客の各種サーバ環境は、不正中継の踏み台として不正利用される場合があり、この対策として監査ツールを用いてサーバにアクセスし、不正中継を監査する。監査ツールは、監査用のパーソナル・コンピュータ(PC)等にインストールされ、監査ツールからインターネットを経由して監査対象のサーバの公開ポートに通信接続した後、所定のコマンドを送信して監査を行う。監査対象のサーバは、例えば、メール、プロキシ、DNS(Domain Name System)等の各種サーバである。
不正中継の監査に関連する技術として、ターゲットネットワーク内のIPアドレス範囲のうち、稼働しているIPアドレス範囲のポートをポートスキャンする技術が開示されている(例えば、下記特許文献1参照。)。また、対象のPCの正規のサービスのポート番号を対象から除き、対象のポートにSYN(SYNchronize)パケットを送信した時の肯定応答の有無に基づき、対象ポートにコンピュータウィルスによるセキュリティホール発生の有無を判定する技術が開示されている(例えば、下記特許文献2参照。)。
特表2005−515541号公報 特開2005−25269号公報
従来技術では、不正中継の監査にかかる処理時間を短縮できなかった。監査対象のサーバの公開ポートは、IPプロトコルおよびサービスプロトコル別に複数あるが、従来の監査処理では、対象のポート全てに対して、監査ツールから所定のコマンドを送信するチェックを実施している。ここで、オープンしていないポートに対して送信したコマンドの応答がないため、タイムアウトに多くの時間が費やされてしまう。タイムアウト時間は、サーバのOS(オペレーティング・システム)等の環境に依存する。
タイムアウト時間の変更は、OS上で動作する通信全体に影響を及ぼすため、設定を変更するのは現実的ではなく、タイムアウト時間を環境設定で速くすることは困難である。また、タイムアウト時間を変更できたとしても、毎回使用環境を構築する度に環境設定することは煩雑となり現実的ではない。
一つの側面では、本発明は、不正中継の監査にかかる処理時間を短縮できることを目的とする。
本発明の一側面によれば、監査の対象となる複数のポートの内の特定のポートに対し、異なる処理速度のタイミングパラメータを用いて、それぞれの前記特定のポートがオープンの状態か否かをチェックする第一のオープンポートチェックを行い、前記第一のオープンポートチェックの結果により、前記タイミングパラメータを決定し、決定した前記タイミングパラメータを用いて監査の対象となる全てのポートに対して第二のオープンポートチェックを行う、処理をコンピュータに実行させることを要件とする。
本発明の一態様によれば、不正中継の監査にかかる処理時間を短縮できるという効果を奏する。
図1は、本発明による不正中継監査処理の概要を説明する図である。 図2は、実施の形態にかかる不正中継監査システムの全体構成を示す図である。 図3は、実施の形態にかかる不正中継監査を行う対象ポート例を示す図表である。 図4は、実施の形態にかかる不正中継監査装置のハードウェア構成例を示す図である。 図5は、実施の形態にかかる不正中継監査装置の機能を示すブロック図である。 図6は、実施の形態にかかる不正中継監査の処理例を示すフローチャートである。 図7は、従来技術による監査処理を示すフローチャートである。 図8は、監査対象のポート全てがオープンしていない場合に従来技術で費やされる時間を示すタイムチャートである。 図9は、監査対象のポート全てがオープンしていない場合に実施の形態で費やされる時間を示すタイムチャートである。 図10は、監査対象のポートの一部がオープンしている場合に従来技術で費やされる時間を示すタイムチャートである。 図11は、監査対象のポートの一部がオープンしている場合に実施の形態で費やされる時間を示すタイムチャートである。 図12は、実施の形態にかかるオープンポートチェックで用いる各タイミングパラメータの設定例を示す図表である。 図13は、実施の形態にかかるオープンポートチェックのタイミングパラメータ選択例を説明する図表である。 図14は、実施の形態にかかるオープンポートチェックのタイミングパラメータ選択の処理例を示すフローチャートである。
(実施の形態)
以下に図面を参照して、開示の不正中継監査プログラム、不正中継監査方法および不正中継監査システムの実施の形態を詳細に説明する。
図1は、本発明による不正中継監査処理の概要を説明する図である。不正中継監査システム100は、不正中継監査装置101と、サーバ111とを含む。サーバ111は、インターネットプロトコル(IP)のネットワーク(インターネット)NW上に公開される各種のサーバである。サーバ111は、例えば、メールサーバ、プロキシサーバ、DNSサーバ等であり、図1では、簡略化して1台のみを記載してある。
不正中継監査装置101は、ネットワークNWを介してサーバ111に通信接続し、サーバ111が不正中継の踏み台として不正利用されているか否かを、監査ツールを用いて監査する。
不正中継監査装置101は、CPUやメモリ102等を有するPC等のコンピュータ装置を用いて構成でき、監査ツールの一部である不正中継監査プログラムPは、メモリ102に格納されている。CPUがメモリ102等の記憶部に格納されている不正中継監査プログラムPをプログラム実行することで、所定の監査処理を実行する。実施の形態では、不正中継監査プログラムPは、監査処理として下記の処理1.〜処理3.を順次実行する。
処理1 ネットワークNWを介してサーバ111の監査対象のポートに対し、オープンポートチェックを行う。
処理2 上記の処理1のオープンポートチェックでオープンしているポートについてのみ、監査処理を実行する。
処理3 上記の処理2の監査処理の結果を取得し、出力する。
処理1では、不正中継監査プログラムPは、監査対象のサーバ111のサービスプロトコルに対応するポート番号を指定してオープンポートチェック用の所定コマンド(ポートチェックコマンド)を送信する。サーバ111は、ポートチェックコマンドに対応してポート番号のポートが開放(オープン)であるか、閉じているか(クローズ)であるかを応答する。
処理2では、不正中継監査プログラムPは、上記の処理1.の処理応答がオープンであるポートに対してのみ、所定の監査コマンドを送信する。
処理3では、監査コマンドを受信したサーバ111の応答に基づき、監査対象のポートの状態を取得し、不正中継の有無等を監査処理する。そして、監査処理の結果(データ)を出力する。出力は、不正中継監査装置101上の表示出力や、外部装置へのデータ転送等がある。
実施の形態では、上記のように、処理1によりサーバ111の監査対象のポートのオープンポートチェックの実施後に処理2の監査処理を実行する。したがって、処理1のオープンポートチェックで監査対象のポートのうちオープンしていないポートに対しては、処理2の監査処理(監査コマンドの発行)を行わない。
これにより、実施の形態の不正中継監査処理では、監査対象のポートに対してのみ効率的に監査処理を実施できる。そして、監査対象のポートのうちオープンしていない(閉じた)ポートで生じるタイムアウトに費やされる無駄な時間を省き、短時間で監査処理を実行できるようになる。
図2は、実施の形態にかかる不正中継監査システムの全体構成を示す図である。不正中継監査システム100を構成する不正中継監査装置101は、ネットワークNWを介してインターネットに公開されている顧客のサーバ環境にアクセスする。図2に示す例の顧客のサーバ環境は、Webサーバ111a、DNSサーバ111b、メールサーバ111cである。
上述したように、不正中継監査装置101は、CPUが監査ツールの一部である不正中継監査プログラムPをプログラム実行することで、各サーバ環境111a〜111cにそれぞれ通信接続する。
例えば、不正中継監査装置101は、はじめに、Webサーバ111aの公開ポートに通信接続し(ステップS201)、上記処理1のオープンポートチェックを実行する。この後、DNSサーバ111bの公開ポートに通信接続し(ステップS202)、上記処理1のオープンポートチェックを実行する。この後、メールサーバ111cの公開ポートに通信接続し(ステップS203)、上記処理1のオープンポートチェックを実行する。
この後、不正中継監査装置101は、上記処理2として、各サーバ111(111a〜111c)に対するオープンポートチェックでオープンしているポートについてのみ、監査処理を順次実行する。この後、不正中継監査装置101は、上記処理3による監査処理の結果の取得と出力を行う。
図3は、実施の形態にかかる不正中継監査を行う対象ポート例を示す図表である。不正中継監査装置101は、図3に示す不正中継監査の対象ポート設定表300をメモリ102に保持する。不正中継監査の対象ポート設定表300は、上記各サーバ111の対象ポートのポート番号、IPプロトコル、サービスプロトコル、の各情報を一覧化したものである。
例えば、1行目のポート番号「25」、IPプロトコル「tcp」、サービスプロトコル「SMTP」は、図2のメールサーバ111cの公開ポートである。この1行目〜3行目のポート番号「587」、IPプロトコル「tcp」、サービスプロトコル「SMTP Message Submission」迄が不正中継監査対象であるメールサーバ111cの公開ポートである。
また、4行目のポート番号「80」、IPプロトコル「tcp」、サービスプロトコル「HTTP」は、図2のWeb(プロキシ)サーバ111aの公開ポートである。この4行目〜8行目のポート番号「10443」、IPプロトコル「tcp」、サービスプロトコル「HTTPS」迄が不正中継監査対象であるWebサーバ111aの公開ポートである。
また、9行目のポート番号「53」、IPプロトコル「tcp」、サービスプロトコル「DNS」は、図2のDNSサーバ111bの公開ポートである。この9行目〜10行目のポート番号「53」、IPプロトコル「udp」、サービスプロトコル「DNS」迄が不正中継監査対象であるDNSサーバ111bの公開ポートである。
図4は、実施の形態にかかる不正中継監査装置のハードウェア構成例を示す図である。不正中継監査装置101は、例えば、図4に示すハードウェアからなる汎用のPC等で構成することができる。
不正中継監査装置101は、CPU(Central Processing Unit)401、メモリ402、ネットワークインタフェース(IF)403、記録媒体IF404、記録媒体405、を含む。400は各部を接続するバスである。
CPU401は、不正中継監査装置101の全体の制御を司る制御部として機能する演算処理装置である。メモリ402(図1の符号102に相当)は、不揮発性メモリおよび揮発性メモリを含む。不揮発性メモリは、例えば、CPU401のプログラムを格納するROM(Read Only Memory)である。揮発性メモリは、例えば、CPU401のワークエリアとして使用されるDRAM(Dynamic Random Access Memory)、SRAM(Static Random Access Memory)等である。
ネットワークIF403は、LAN(Local Area Network)、WAN(Wide Area Network)、インターネットなどのネットワークNWに対する通信インタフェースである。不正中継監査装置101は、ネットワークIF403を介してネットワークNWに通信接続する。例えば、不正中継監査装置101は、ネットワークNWを介して、顧客のサーバ111にアクセスする。
記録媒体IF404は、CPU401が処理した情報を記録媒体405との間で読み書きするためのインタフェースである。記録媒体405は、メモリ402を補助する記録装置であり、HDD(Hard Disk Drive)や、SSD(Solid State Drive)、USB(Universal Serial Bus)フラッシュドライブ等を用いることができる。
メモリ402または記録媒体405に記録されたプログラムをCPU401が実行することにより、不正中継監査の処理機能を実現する。また、メモリ402や記録媒体405は、不正中継監査装置101が扱う情報を記録保持する。
図5は、実施の形態にかかる不正中継監査装置の機能を示すブロック図である。例えば、図4に記載の制御部(CPU)401が不正中継監査プログラムPをプログラム実行することで実現される監査処理の制御部500の機能例を示す。
制御部500は、オープンポートチェック部501、監査処理実行部502、監査結果取得部503を含む。オープンポートチェック部501は、対象ポート設定表300(図3参照)の設定に基づき、各サーバ111(111a〜111c)のポートに順次通信接続し、オープンポートチェック(上記の処理1)を実行する。
監査処理実行部502は、各サーバ111(111a〜111c)に対するオープンポートチェックでオープンしているポートについてのみ、監査処理を順次実行する(上記の処理2)。例えば、所定の監査コマンドを送信する。
監査結果取得部503は、監査処理の結果を取得し、出力する(上記の処理3)。例えば、監査コマンドを受信したサーバ111の応答に基づき、監査対象のポートの状態を取得し、不正中継の有無等を監査処理する。この後、監査処理の結果(データ)を表示データ等で出力する。
図6は、実施の形態にかかる不正中継監査の処理例を示すフローチャートである。例えば、図4に記載の制御部(CPU)401が不正中継監査プログラムPをプログラム実行することで実現される制御部500の処理例を示す。
はじめに、CPU401は、対象ポート設定表300(図3参照)の設定に基づき、各サーバ111(111a〜111c)の対象ポート全てに順次通信接続し、オープンポートチェック(上記の処理1)を実行する(ステップS601)。
次に、CPU401は、ステップS601の実行により、各サーバ111(111a〜111c)に対するオープンポートチェックでオープンしているポートについてのみ、監査ツールによる監査処理(上記の処理2)を順次実行する(ステップS602)。例えば、所定の監査コマンドを送信する。
その後、CPU401は、監査処理の結果を取得し、出力する(上記の処理3、ステップS603)。例えば、監査コマンドを受信したサーバ111の応答に基づき、監査対象のポートの状態を取得し、不正中継の有無等を監査処理する。そして、監査処理の結果(データ)を出力する。
上記処理によれば、ステップS602の監査処理の実行前に、ステップS601でサーバ111の監査対象のポートのオープンポートチェックを実施する。この際、監査対象のポートのうちオープンしていないポートに対してステップS602の監査処理(監査コマンドの発行)を行わない。これにより、監査対象のポートに対してのみ効率的に監査処理を実施でき、監査対象のポートのうちオープンしていないポートで生じるタイムアウトに費やされる無駄な時間を省き、短時間で監査処理を実行できるようになる。
(実施の形態と従来技術の処理時間の対比)
図7は、従来技術による監査処理を示すフローチャートである。従来技術では、監査処理装置等の監査ツールは、監査対象の各サーバ(図2のサーバ111(111a〜111c))の対象ポート全てに順次通信接続し、監査処理(実施の形態の上記処理2相当)を実行する(ステップS701)。例えば、所定の監査コマンドを送信する。
その後、監査ツールは、監査処理の結果を取得し、出力する(実施の形態の上記処理3相当、ステップS702)。例えば、監査コマンドを受信したサーバ111の応答に基づき、監査対象のポートの状態を取得し、不正中継の有無等を監査処理する。そして、監査処理の結果(データ)を出力する。
従来技術では、ポートのオープン状況に関わらず、対象のポート全てに対して、監査ツールでチェックを実施している。このため、オープンしていないポートに関しては、タイムアウトに時間を費やす。
図8は、監査対象のポート全てがオープンしていない場合に従来技術で費やされる時間を示すタイムチャートである。図8には、例えば、1IPの全ポートがオープンしていなかった場合、タイムアウトに費やされる時間の目安を示す。縦軸は処理対象の各ポート、横軸は処理時間(秒)である。
SMTP(25/tcp,465/tcp,587/tcp)は、75秒×3ポート=225秒(3分45秒〉
プロキシ(80/tcp,8080/tcp,443/tcp,8443/tcp,10443/tcp)は、150秒×5ポート=750秒(12分30秒)
DNS(53/tcp,53/udp)は、30秒(53/tcp)+15秒(53/udp)=45秒
上記の例では、1IPのタイムアウト合計時間は、225秒+750秒+45秒=1020秒=17分である。このため、仮に、10IPの全ポートがオープンしていない場合、単に待機するタイムアウト時間だけで170分(2時間50分)も費やされてしまうことになる。
これに対し、実施の形態にかかる処理(図6参照)によれば、処理2の監査処理を実行する以前に、処理1で対象ポート全てに対してオープンポートチェックを実行し、オープンポートにのみ、処理2の監査処理を実行している。このように、オープンポートチェックを事前に実行することにより、オープンしていないポートのタイムアウト時間を節約することができる。
図9は、監査対象のポート全てがオープンしていない場合に実施の形態で費やされる時間を示すタイムチャートである。図9には、例えば、1IPに対してオープンポートチェックを全10ポートに実施し、全ポートがオープンしていなかった場合に費やされる時間の目安を示す。縦軸は処理対象の各ポート、横軸は処理時間(秒)である。
チェック×10ポート(25/tcp,465/tcp,587/tcp,80/tcp,8080/tcp,443/tcp,8443/tcp,10443/tcp,53/tcp,53/udp)
上記の場合、オープンポートチェックは、5秒×10ポート=50秒
オープンポートチェック後の監査処理にかかる処理時間は、1ポートあたり1秒×10ポート=約10秒
このため、監査処理全体にかかる処理の合計時間は、50秒+10秒=60秒(1分)
このように、実施の形態によれば、監査処理の時間を含めても従来技術の17分に比べて1分で済み、監査処理にかかる全体の処理時間を1/17に短縮できる。ここで、監査処理対象のIP数増加に対して、1IP追加あたり60秒の追加で済むため、IP数が増加するほど、時間短縮の効果が大きくなる。また、仮に、監査対象が10IPの場合、単純に倍数となり、10分で済むため、従来の170分に比べ1/17に短縮できる。
次に、一部のポートがオープンされている場合における従来技術と、実施の形態とで費やされる時間について説明する。一部のポートとして、80/tcp、443/tcpのポートがオープンされている場合、監査ツールでの監査処理は1秒ほどで終わる場合がある。ここでは、80/tcp、443/tcpのポートがオープンしていて、その監査処理時間が1秒であったことを例にした場合の、従来技術と実施の形態とで費やされる時間について説明する。なお、80/tcp、443/tcp以外のポートはオープンされていないものとする。
図10は、監査対象のポートの一部がオープンしている場合に従来技術で費やされる時間を示すタイムチャートである。図10に示すように、オープンしている80/tcp、443/tcpのポートの監査処理はそれぞれ1秒で終了する。
オープンしていないポートについては、SMTP(25/tcp,465/tcp,587/tcp)は、75秒×3ポート=225秒(3分45秒)
プロキシ(8080/tcp,8443/tcp,10443/tcp)は、150秒×3ポート=450秒(7分30秒)
DNS(53/tcp,53/udp)は、30秒(53/tcp)+15秒(53/udp)=45秒
上記の例では、1IPの合計時間は、225秒+450秒+45秒+2秒=722秒(12分2秒)である。この値には、オープンしていないポートの監査処理は含まれていない。
図11は、監査対象のポートの一部がオープンしている場合に実施の形態で費やされる時間を示すタイムチャートである。上記図10の説明と同様に、オープンしている80/tcp、443/tcpのポートの監査処理はそれぞれ1秒で終了する。
また、チェック×10ポート(25/tcp,465/tcp,587/tcp,80/tcp,8080/tcp,443/tcp,8443/tcp,10443/tcp,53/tcp,53/udp)
上記の場合、オープンポートチェックは、5秒×10ポート=50秒
オープンポートチェック後の監査処理にかかる処理時間は、1ポートあたり1秒×10ポート=約10秒
このため、監査処理全体にかかる処理の合計時間は、2秒+50秒+10秒=62秒
このように、実施の形態によれば、一部のポートがオープンしている場合においても、従来技術の722秒に比べて62秒で済み、監査処理にかかる全体の処理時間を約1/11に短縮できる。
(オープンポートチェック時のスキャンパラメータの決定手法)
次に、上述したオープンポートチェックによりオープンポートをチェックする際に、高速にスキャンするためのタイミングパラメータの決定方法について説明する。
オープンポートチェックでは、待機する時間をタイミングパラメータとして設定して実行する。このタイミングパラメータの設定を変更することでオープンポートチェックの処理速度が変わってくる。しかし、単に処理速度が速いパラメータを使うと、オープンポート検出を取りこぼしてしまう可能性もある。
図12は、実施の形態にかかるオープンポートチェックで用いる各タイミングパラメータの設定例を示す図表である。不正中継監査装置101は、例えば、不正中継監査プログラムPの処理実行時に、図12に示すタイミングパラメータの設定表1200のいずれかを選択し、選択した設定に対応する時間だけ待機を行う。
図12に示すタイミングパラメータの設定表1200の例では、タイミングパラメータP1〜P4が設定され、P1がオープンポートチェックにかける処理時間が最も低速であり、P4が最も高速である。例えば、P1は各通信で1000ミリ秒待機し、P4は各通信で50ミリ秒待機する。P4は、処理は早い半面、オープンポート検出を取りこぼす(オープンしているポートをクローズと誤認識する)可能性を有する。実施の形態では、このように処理時間(待機時間)が異なるタイミングパラメータP1〜P4のうち適したものを選択する処理を行う。
発明者らは、不正中継監査でオープンされているポートとして、443/tcpがオープンしていることが多いことに注目した。実施の形態の不正中継監査装置101では、この注目に基づき、代表として443/tcpに対してP4〜P1のタイミングパラメータでオープンポートチェックを実行させる。この際、オープンポート検出の取りこぼしを考慮し、ポートをオープンできたタイミングパラメータで2番目に早いタイミングパラメータを採用することとした。
図13は、実施の形態にかかるオープンポートチェックのタイミングパラメータ選択例を説明する図表である。443/tcpオープンポートチェック結果によるタイミングパラメータの選択例を示す。各タイミングパラメータP4〜P1を用いた場合にポートをオープンできた場合(〇印)、およびポートをオープンできなかった場合(×印)を示している。
例えば、最も早いP4でオープンポートチェックを行い、次第に遅いP3〜P1の順でオープンポートチェックを行う。これとは逆に、処理が最も遅いP1でオープンポートチェックを行い、次第に早いP2〜P4の順でオープンポートチェックを行ってもよい。
そして、1段目に示すように、タイミングパラメータP4,P3いずれでもポートをオープンできた場合には、ポートをオープンできたタイミングパラメータP4,P3のうち2番目に早いタイミングパラメータP3を選択することを決定する。この場合、残るタイミングパラメータP2,P1によるオープンポートチェックは実施不要にできる。
また、2段目に示すように、タイミングパラメータP3,P2いずれでもポートをオープンできたとする。この場合には、ポートをオープンできたタイミングパラメータP3,P2のうち2番目に早いタイミングパラメータP2を選択することを決定する。なお、この場合、残るタイミングパラメータP1によるオープンポートチェックは実施不要である。
また、タイミングパラメータP2でポートをオープンできたとする。この場合には、ポートをオープンできたタイミングパラメータP2の一つ下(2番目に早い)タイミングパラメータP1を選択することを決定する。この場合でも、タイミングパラメータP1によるオープンポートチェックは実施不要のまま選択決定できる。
また、4段目に示すように、例えば、タイミングパラメータP4,P3,P2ではいずれもポートをオープンできなかった場合、残るタイミングパラメータP1を選択することを決定する。この場合、タイミングパラメータP1によるオープンポートチェックは実施不要のまま選択決定する。
図14は、実施の形態にかかるオープンポートチェックのタイミングパラメータ選択の処理例を示すフローチャートである。不正中継監査装置101の制御部500(CPU401)が実行する処理例を説明する。
以下の処理では、制御部500は、監査の対象となる複数のポートの内の特定のポートに対し、異なる処理速度のタイミングパラメータを用いて、それぞれの特定のポートがオープンの状態か否かをチェックする第一のオープンポートチェックを行う。そして、第一のオープンポートチェックの結果により、タイミングパラメータを決定し、決定したタイミングパラメータを用いて監査の対象となる全てのポートに対して第二のオープンポートチェックを行う。
第一のオープンポートチェックでは、制御部500は、タイミングパラメータの設定表1200(図12参照)で設定されたタイミングパラメータP1〜P4のうち最適なものを選択する。なお、この処理例では、タイミングパラメータ選択時において、タイミングパラメータP2〜P4によるオープンポートチェックを実施し、オープンポートチェックの処理が最も遅いタイミングパラメータP1についてはオープンポートチェックの処理を実施しない。
はじめに、制御部500は、監査対象のサーバ111の特定のポート(上記の443/tcp)にアクセスし、タイミングパラメータP2でオープンポートチェックを行う(ステップS1401)。そして、制御部500は、タイミングパラメータP2でポートをオープンできたか判断する(ステップS1402)。タイミングパラメータP2でポートをオープンできれば(ステップS1402:Yes)、ステップS1403の処理に移行し、タイミングパラメータP2でポートをオープンできなければ(ステップS1402:No)、ステップS1409の処理に移行する。
ステップS1403では、制御部500は、443/tcpのポートに対してタイミングパラメータP4でオープンポートチェックを行った後(ステップS1403)、タイミングパラメータP3でオープンポートチェックを行う(ステップS1404)。
そして、制御部500は、タイミングパラメータP4とP3でポートをオープンできたかを判断する(ステップS1405)。タイミングパラメータP4とP3でポートをオープンできれば(ステップS1405:Yes)、制御部500は、タイミングパラメータをP3に決定し(ステップS1406)、ステップS1410の処理に移行する。一方、タイミングパラメータP4とP3のいずれかでポートをオープンできなければ(ステップS1405:No)、制御部500は、ステップS1407の処理に移行する。
ステップS1407では、制御部500は、タイミングパラメータP3とP2でポートをオープンできたかを判断する(ステップS1407)。タイミングパラメータP3とP2でポートをオープンできれば(ステップS1407:Yes)、制御部500は、タイミングパラメータをP2に決定し(ステップS1408)、ステップS1410の処理に移行する。一方、タイミングパラメータP3とP2のいずれかでポートをオープンできなければ(ステップS1407:No)、制御部500は、ステップS1409の処理に移行する。ステップS1409では、制御部500は、タイミングパラメータをP1に決定する(ステップS1409)。
次に、第二のオープンポートチェックとして、制御部500は、以上の処理で決定したタイミングパラメータを用い、サーバ111の全対象ポート(この場合、上記処理済みの443/tcp以外)に対してオープンポートチェックを実施する(ステップS1410)。
この後、制御部500は、以上の処理でポートがオープンと判断されたオープンポートに対してのみ監査ツール(監査処理)を実施する(ステップS1411)。そして、制御部500は、監査結果を取得し(ステップS1412)、以上の処理を終了する。
上記の処理実行により、1IPに対して、処理速度が最も遅いタイミングパラメータP1が選択された状態で、全ポートがオープンしていなかった場合に費やされる時間は下記となる。
チェック×10ポート(25/tcp,465/tcp,587/tcp,80/tcp,8080/tcp,443/tcp,8443/tcp,10443/tcp,53/tcp,53/udp)
5秒×10ポート=50秒
オープンポートチェック後の監査処理にかかる処理時間は、約10秒
合計時間50秒+10秒=60秒=1分
実施の形態によれば、処理速度が最も遅いタイミングパラメータP1が選択された状態で、全ポート(10ポート)がオープンしていなかった場合でもオープンポートチェックおよび監査処理は1分で終了する。そして、従来技術の17分に比べ、監査処理にかかる全体の処理時間を1/17に短縮できる。ここで、監査処理対象のIP数増加に対して、1IP追加あたり60秒の追加で済むため、IP数が増加するほど、時間短縮の効果が大きくなる。また、仮に、監査対象が10IPの場合、単純に倍数となり、10分で済むため、従来の170分に比べ1/17に短縮できる。
また、上記の処理実行により、1IPに対して、処理速度が2番目に遅いタイミングパラメータP2が選択された状態で、全ポートがオープンしていなかった場合に費やされる時間は下記となる。
チェック×10ポート(25/tcp,465/tcp,587/tcp,80/tcp,8080/tcp,443/tcp,8443/tcp,10443/tcp,53/tcp,53/udp)
2.5秒×10ポート=25秒
オープンポートチェック後の監査処理にかかる処理時間は、約10秒
合計時間は、25秒+10秒=35秒
実施の形態によれば、処理速度が2番目に遅いタイミングパラメータP2が選択された状態で、全ポート(10ポート)がオープンしていなかった場合でもオープンポートチェックおよび監査処理は35秒で終了する。そして、従来技術の17分に比べ、監査処理にかかる全体の処理時間を1/29に短縮できる。ここで、監査処理対象のIP数増加に対して、1IP追加あたり35秒の追加で済むため、IP数が増加するほど、時間短縮の効果が大きくなる。また、仮に、監査対象が10IPの場合、単純に倍数となり、350秒(5分50秒)で済むため、従来の170分に比べ1/29に短縮できる。
以上説明した実施の形態によれば、監査の対象となる複数のポートに対し、オープンしているか否かのオープンポートチェックを行い、オープンしている前記ポートを抽出し、抽出したオープンの前記ポートのみに対して監査処理を実施する。このように、監査処理を実行する以前に、対象ポート全てに対してオープンポートチェックを実行することにより、オープンしていないポートのタイムアウト時間を節約することができ、監査処理全体にかかる処理時間を短縮できるようになる。この点、従来技術では、オープンポートチェックを実行しない場合、オープンしていないポートに監査用の所定のコマンドを送信してもタイムアウト時間まで応答を待機することになり、監査処理に時間がかかり時間短縮できなかった。実施の形態によれば、監査の対象となるポート数が多いほど従来に比べて監査処理全体にかかる処理時間の短縮効果が大きい。
また、オープンポートチェックは、監査の対象となる複数のポートの内の特定のポートに対し、異なる処理速度のタイミングパラメータを用いてそれぞれ行い、オープンポートチェックの結果により、前記タイミングパラメータを決定する。そして、決定したタイミングパラメータを用いて監査の対象となる全てのポートに対するオープンポートチェックを行ってもよい。これにより、複数のポートの応答に対応した適切なタイミングパラメータを用いてオープンポートチェックを円滑に行うことができるようになる。
また、オープンポートチェックの結果、異なる処理速度のタイミングパラメータでそれぞれポートのオープンが抽出された場合、抽出されたタイミングパラメータのうち最も遅い処理速度のタイミングパラメータに決定してもよい。例えば、単に処理速度が速いタイミングパラメータを用いた場合にポートのオープン検出を取りこぼす可能性を未然に防ぐことができる。
また、監査の対象となるポートは、インターネット接続されたサーバの公開ポートである。インターネット接続されたサーバの公開ポートは、不正中継の踏み台として不正利用されるおそれがある。実施の形態では、これら複数のポートに対し、一括してオープンポートチェックを行うことができ、効率的に監査処理を行えるようになる。
また、インターネット接続された複数の種別のサーバの公開ポートに対して、それぞれ前記オープンポートチェックを行った後、オープンしているポートを抽出し、複数の種別のサーバの抽出したオープンのポートに対し順次、監査処理を実施してもよい。監査対象となるサーバの公開ポートは、IPプロトコルおよびサービスプロトコル別に、メールサーバ、Webサーバ、プロキシサーバ、DNSサーバ等各種がある。実施の形態によれば、これら複数のサーバの複数のポートに対し、一括してオープンポートチェックを行うことができ、オープンしているポートを対象に効率的に監査処理を行えるようになる。
これらのことから、実施の形態によれば、不正中継の監査にかかる処理時間を短縮できるようになる。実施の形態では、オープンポートチェックを行いオープンしているポートに対して監査処理を実行している。この点、従来技術のように、対象のポート全てに対して、所定のコマンドを送信して監査処理を行った場合、オープンしていないポートに対して送信したコマンドの応答がない場合のタイムアウトを待つ必要がなく、高速にオープンポートチェックを終了できる。また、実施の形態によれば、サーバのOS等の環境に依存するタイムアウト時間の変更を行う必要がなく、監査処理全体の処理時間を短縮できるようになる。
なお、本発明の実施の形態で説明した不正中継監査にかかる方法は、あらかじめ用意されたプログラムをサーバ等のプロセッサに実行させることにより実現することができる。本方法は、ハードディスク、フレキシブルディスク、CD−ROM(Compact Disc−Read Only Memory)、DVD(Digital Versatile Disk)、フラッシュメモリ等のコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行される。また本方法は、インターネット等のネットワークを介して配布してもよい。
上述した実施の形態に関し、さらに以下の付記を開示する。
(付記1)監査の対象となる複数のポートの内の特定のポートに対し、異なる処理速度のタイミングパラメータを用いて、それぞれの前記特定のポートがオープンの状態か否かをチェックする第一のオープンポートチェックを行い、
前記第一のオープンポートチェックの結果により、前記タイミングパラメータを決定し、
決定した前記タイミングパラメータを用いて監査の対象となる全てのポートに対して第二のオープンポートチェックを行う、
処理をコンピュータに実行させることを特徴とする不正中継監査プログラム。
(付記2)前記第一のオープンポートチェックの結果、異なる処理速度のタイミングパラメータでそれぞれ前記ポートのオープンの状態が抽出された場合、抽出されたタイミングパラメータのうち最も遅い処理速度のタイミングパラメータに決定することを特徴とする付記1に記載の不正中継監査プログラム。
(付記3)監査の対象となる前記ポートは、インターネット接続されたサーバの公開ポートであることを特徴とする付記1または2に記載の不正中継監査プログラム。
(付記4)インターネット接続された複数の種別の前記サーバの公開ポートに対して、それぞれ前記第一のオープンポートチェックおよび前記第二のオープンポートチェックを行った後、
オープンしている前記ポートを抽出し、前記複数の種別のサーバの抽出したオープンしている前記ポートに対し順次、監査処理を実施する、
ことを特徴とする付記1〜3のいずれか一つに記載の不正中継監査プログラム。
(付記5)監査の対象となる複数のポートの内の特定のポートに対し、異なる処理速度のタイミングパラメータを用いて、それぞれの前記特定のポートがオープンの状態か否かをチェックする第一のオープンポートチェックを行い、
前記第一のオープンポートチェックの結果により、前記タイミングパラメータを決定し、
決定した前記タイミングパラメータを用いて監査の対象となる全てのポートに対して第二のオープンポートチェックを行う、
処理をコンピュータが実行することを特徴とする不正中継監査方法。
(付記6)監査処理装置が監査の対象となる複数のポートに通信接続し、前記ポートの不正中継の監査処理を実行する不正中継監査システムにおいて、
前記監査処理装置は、
監査の対象となる複数のポートの内の特定のポートに対し、異なる処理速度のタイミングパラメータを用いて、それぞれの前記特定のポートがオープンの状態か否かをチェックする第一のオープンポートチェックを行い、前記第一のオープンポートチェックの結果により、前記タイミングパラメータを決定し、決定した前記タイミングパラメータを用いて監査の対象となる全てのポートに対して第二のオープンポートチェックを行い、
オープンしている前記ポートを抽出し、抽出したオープンしている前記ポートのみに対して監査処理を実施する制御部、
を備えたことを特徴とする不正中継監査システム。
(付記7)前記制御部は、
前記ポートを有するサーバにそれぞれインターネットを介して通信接続し、所定のコマンドを送信することで、前記オープンポートチェックおよび前記監査処理を行う、
ことを特徴とする付記6に記載の不正中継監査システム。
100 不正中継監査システム
101 不正中継監査装置
102 メモリ
111(111a〜111c) サーバ
300 対象ポート設定表
401 CPU
402 メモリ
403 ネットワークインタフェース
405 記録媒体
500 制御部
501 オープンポートチェック部
502 監査処理実行部
503 監査結果取得部
1200 タイミングパラメータの設定表
NW ネットワーク
P 不正中継監査プログラム
P1〜P4 タイミングパラメータ

Claims (6)

  1. 監査の対象となる複数のポートの内の特定のポートに対し、異なる処理速度のタイミングパラメータを用いて、それぞれの前記特定のポートがオープンの状態か否かをチェックする第一のオープンポートチェックを行い、
    前記第一のオープンポートチェックの結果により、前記タイミングパラメータを決定し、
    決定した前記タイミングパラメータを用いて監査の対象となる全てのポートに対して第二のオープンポートチェックを行う、
    処理をコンピュータに実行させることを特徴とする不正中継監査プログラム。
  2. 前記第一のオープンポートチェックの結果、異なる処理速度のタイミングパラメータでそれぞれ前記ポートのオープンの状態が抽出された場合、抽出されたタイミングパラメータのうち最も遅い処理速度のタイミングパラメータに決定することを特徴とする請求項1に記載の不正中継監査プログラム。
  3. 監査の対象となる前記ポートは、インターネット接続されたサーバの公開ポートであることを特徴とする請求項1または2に記載の不正中継監査プログラム。
  4. インターネット接続された複数の種別の前記サーバの公開ポートに対して、それぞれ前記第一のオープンポートチェックおよび前記第二のオープンポートチェックを行った後、
    オープンしている前記ポートを抽出し、前記複数の種別のサーバの抽出したオープンしている前記ポートに対し順次、監査処理を実施する、
    ことを特徴とする請求項1〜3のいずれか一つに記載の不正中継監査プログラム。
  5. 監査の対象となる複数のポートの内の特定のポートに対し、異なる処理速度のタイミングパラメータを用いて、それぞれの前記特定のポートがオープンの状態か否かをチェックする第一のオープンポートチェックを行い、
    前記第一のオープンポートチェックの結果により、前記タイミングパラメータを決定し、
    決定した前記タイミングパラメータを用いて監査の対象となる全てのポートに対して第二のオープンポートチェックを行う、
    処理をコンピュータが実行することを特徴とする不正中継監査方法。
  6. 監査処理装置が監査の対象となる複数のポートに通信接続し、前記ポートの不正中継の監査処理を実行する不正中継監査システムにおいて、
    前記監査処理装置は、
    監査の対象となる複数のポートの内の特定のポートに対し、異なる処理速度のタイミングパラメータを用いて、それぞれの前記特定のポートがオープンの状態か否かをチェックする第一のオープンポートチェックを行い、前記第一のオープンポートチェックの結果により、前記タイミングパラメータを決定し、決定した前記タイミングパラメータを用いて監査の対象となる全てのポートに対して第二のオープンポートチェックを行い、
    オープンしている前記ポートを抽出し、抽出したオープンしている前記ポートのみに対して監査処理を実施する制御部、
    を備えたことを特徴とする不正中継監査システム。
JP2019105737A 2019-06-05 2019-06-05 不正中継監査プログラム、不正中継監査方法および不正中継監査システム Pending JP2020201533A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019105737A JP2020201533A (ja) 2019-06-05 2019-06-05 不正中継監査プログラム、不正中継監査方法および不正中継監査システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019105737A JP2020201533A (ja) 2019-06-05 2019-06-05 不正中継監査プログラム、不正中継監査方法および不正中継監査システム

Publications (1)

Publication Number Publication Date
JP2020201533A true JP2020201533A (ja) 2020-12-17

Family

ID=73744020

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019105737A Pending JP2020201533A (ja) 2019-06-05 2019-06-05 不正中継監査プログラム、不正中継監査方法および不正中継監査システム

Country Status (1)

Country Link
JP (1) JP2020201533A (ja)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002158660A (ja) * 2000-11-22 2002-05-31 Nec Corp 不正アクセス防御システム
JP2005515541A (ja) * 2002-01-15 2005-05-26 ファウンドストーン インコーポレイテッド ネットワーク脆弱性の検出および報告のためのシステムならびに方法
JP2007249279A (ja) * 2006-03-13 2007-09-27 Lac Co Ltd サービス判定装置、脆弱性検査装置、攻撃検知装置、サービス判定方法、及びプログラム
JP2009169781A (ja) * 2008-01-18 2009-07-30 Hitachi Ltd ネットワーク検疫システム
JP2010050890A (ja) * 2008-08-25 2010-03-04 Nec Corp ネットワーク監視制御装置,ネットワーク監視制御方法及びプログラム
JP2011223528A (ja) * 2010-04-14 2011-11-04 Pfu Ltd 監視装置、監視方法、及びプログラム
JP2014209691A (ja) * 2013-04-16 2014-11-06 富士通株式会社 ポート監視装置、及びポート監視方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002158660A (ja) * 2000-11-22 2002-05-31 Nec Corp 不正アクセス防御システム
JP2005515541A (ja) * 2002-01-15 2005-05-26 ファウンドストーン インコーポレイテッド ネットワーク脆弱性の検出および報告のためのシステムならびに方法
JP2007249279A (ja) * 2006-03-13 2007-09-27 Lac Co Ltd サービス判定装置、脆弱性検査装置、攻撃検知装置、サービス判定方法、及びプログラム
JP2009169781A (ja) * 2008-01-18 2009-07-30 Hitachi Ltd ネットワーク検疫システム
JP2010050890A (ja) * 2008-08-25 2010-03-04 Nec Corp ネットワーク監視制御装置,ネットワーク監視制御方法及びプログラム
JP2011223528A (ja) * 2010-04-14 2011-11-04 Pfu Ltd 監視装置、監視方法、及びプログラム
JP2014209691A (ja) * 2013-04-16 2014-11-06 富士通株式会社 ポート監視装置、及びポート監視方法

Similar Documents

Publication Publication Date Title
CN104094554B (zh) 无服务器名称指示(sni)的隐式ssl证书管理
CN111064804B (zh) 网络访问方法和装置
JP5936798B2 (ja) ログ分析装置、不正アクセス監査システム、ログ分析プログラム及びログ分析方法
CN108200023A (zh) 无感知认证方法及装置
JP2019103069A (ja) 特定システム、特定方法及び特定プログラム
JP6891580B2 (ja) 通信装置およびプログラム
JP2020201533A (ja) 不正中継監査プログラム、不正中継監査方法および不正中継監査システム
JP2010113380A (ja) テスト基盤装置、テスト基盤プログラム、テスト基盤方法
KR20220020572A (ko) 비정상 트랜잭션 요청의 발생 위치 제공 방법 및 그 장치
US11108797B2 (en) Timely detection of network traffic to registered DGA generated domains
EP2624142B1 (en) Relay system, relay device, and control method and control program for relay device
CN114024870B (zh) 网络连通性检测方法及系统
CN110311868B (zh) 业务处理方法、装置、成员设备及机器可读存储介质
JP2006229662A (ja) パラメータ設定装置及びパラメータ設定方法及びプログラム
CN104468861A (zh) 终端识别的方法、装置及系统
JP6751236B2 (ja) 情報処理装置、設定情報一覧表作成方法およびプログラム
JP6676790B2 (ja) リクエスト制御装置、リクエスト制御方法、および、リクエスト制御プログラム
JP6962159B2 (ja) サーバー、再現用データ生成方法および再現用データ生成プログラム
JP7209791B1 (ja) マスター装置、通信制御方法、通信制御プログラム及び通信制御システム
JP5994459B2 (ja) 情報処理装置、通信制御方法及び通信制御プログラム
KR102156600B1 (ko) 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법
US10846080B2 (en) Cooperative updating of software
JP7046248B2 (ja) 識別情報付与システム及び識別情報付与方法
CN117478440B (zh) 一种poc批量验证方法、装置、设备和介质
JP7081120B2 (ja) 情報処理装置、画像制御方法および画像制御プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220308

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20221201

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20221206

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20230530