JP3651610B2 - サーバ計算機保護装置、同装置のデータ要求解析方法およびプログラム - Google Patents

サーバ計算機保護装置、同装置のデータ要求解析方法およびプログラム Download PDF

Info

Publication number
JP3651610B2
JP3651610B2 JP2003016291A JP2003016291A JP3651610B2 JP 3651610 B2 JP3651610 B2 JP 3651610B2 JP 2003016291 A JP2003016291 A JP 2003016291A JP 2003016291 A JP2003016291 A JP 2003016291A JP 3651610 B2 JP3651610 B2 JP 3651610B2
Authority
JP
Japan
Prior art keywords
data request
parameter
deviation
average value
calculated
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003016291A
Other languages
English (en)
Other versions
JP2004229092A (ja
Inventor
正道 楯岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2003016291A priority Critical patent/JP3651610B2/ja
Publication of JP2004229092A publication Critical patent/JP2004229092A/ja
Application granted granted Critical
Publication of JP3651610B2 publication Critical patent/JP3651610B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、不特定多数あるいは特定多数のクライアントをパケット交換ネットワーク経由でサーバ計算機に接続した、クライアント/サーバシステムに適用して好適なサーバ計算機保護装置、同装置のデータ要求解析方法およびプログラムに関する。
【0002】
【従来の技術】
不特定多数あるいは特定多数のクライアントをパケット交換ネットワーク経由でサーバ計算機に接続した、クライアント/サーバシステムに於いては、上記サーバ計算機への不正アクセスの防止を行う機能をもつサーバ計算機保護装置が用いられる(例えば、特許文献1参照)。
【0003】
このサーバ計算機保護装置は、既知の不正アクセスに関わるデータ要求の特徴を格納したデータベースを備え、受信したデータ要求を前記データベース内に格納された特徴と比較して、そのうちのいずれかに一致した場合、上記受信したデータ要求を不正アクセスに関わるデータ要求であるとして破棄する。
【0004】
従来のこの種サーバ計算機保護装置の構成を図18、および図19を参照して説明する。図18に示すサーバ計算機保護装置に於いて、ネットワークインタフェース801Aは、ネットワークセグメント(A)を介し、図示しないクライアントとの間でパケットの送受信を行う機能をもつ。ネットワークインタフェース801Bは、ネットワークセグメント(B)を介し、図示しないサーバ計算機との間でパケットを送受信する機能をもつ。
【0005】
データ要求転送機構810は、データ要求受信機構811とデータ要求保留機構812とデータ要求送信機構813とを備え、受信したデータ要求をデータ要求解析機構820に渡し、データ要求解析機構820が、不正アクセスに関わるものではないと判定した場合に、ネットワークインタフェース801Aで受信したデータ要求をネットワークインタフェース801Bへ送出する機能をもつ。データ要求受信機構811は、ネットワークインタフェース801Aで受信したデータ要求を受信する機構をもつ。データ要求保留機構812は、データ要求受信機構811が受信したデータ要求をデータ要求解析機構820が解析している期間中、保留する機能をもつ。データ要求送信機構813は、データ要求解析機構820が、不正アクセスに関わるものではないと判定した場合に、データ要求保留機構812に保留されているデータ要求をネットワークインタフェース801Bへ送出する機能をもつ。
【0006】
データ要求解析機構820は、不正アクセス特徴比較機構821と不正アクセス特徴データベース822を備え、データ要求転送機構810から渡されたデータ要求が、不正アクセスに関わるものであるか否かを判定する機能をもつ。不正アクセス特徴比較機構821は、渡されたデータ要求の中に、不正アクセス特徴データベース822に格納されている不正アクセスデータ要求の特徴が含まれているか否かを検索し、検索の結果、不正アクセス特徴データベース822に格納されている不正アクセスデータ要求の特徴のいずれかが含まれていた場合、当該データ要求は、不正アクセスに関わるものと判定し、また、不正アクセス特徴データベース822に格納されている不正アクセスデータ要求の特徴が一切含まれていなかった場合、当該データ要求は、不正アクセスに関わるものではないと判定する機能をもつ。
【0007】
ここで、あるクライアントがサーバ計算機へデータ要求を送出したとする。 ネットワークインタフェース801Aで受信されたデータ要求は、データ要求受信機構811により受け取られる。
【0008】
データ要求受信機構811で受け取られたデータ要求は、データ要求保留機構812に保留されるとともに、データ要求解析機構820にも渡される。
【0009】
データ要求解析機構820に渡されたデータ要求は、不正アクセス特徴比較機構821によって、不正アクセス特徴データベース822に格納されている不正アクセスデータ要求の特徴が含まれているか否かが検索される。
【0010】
検索の結果、不正アクセス特徴データベース822に格納されている不正アクセスデータ要求の特徴のいずれかが含まれていた場合、当該データ要求は、不正アクセスに関わるものと判定し、また、不正アクセス特徴データベース822に格納されている不正アクセスデータ要求の特徴が一切含まれていなかった場合、当該データ要求は、不正アクセスに関わるものではないと判定し、いずれの場合も、その判定結果をデータ要求転送機構810へ返す。
【0011】
判定結果を受け取ったデータ要求転送機構810は、不正アクセスに関わるものと判定された場合、データ要求保留機構812に保留されている当該データ要求を破棄し、不正アクセスに関わるものではないと判定された場合、データ要求保留機構812に保留されている当該データ要求をデータ要求送信機構813により、ネットワークインタフェース801Bを介してサーバ計算機へ送出する。
【0012】
このようにして、サーバ計算機への不正アクセスを防ぐことができるサーバ計算機保護装置が実現されている。
【0013】
また、別の従来のサーバ計算機保護装置として、サーバ計算機が受信し得るデータ要求のメッセージ長や、当該データ要求が含有するパラメータのパラメータ毎の長さや文字種についてあらかじめ閾値や許される文字種を設定しておき、受信したデータ要求のメッセージ長や含有するパラメータのパラメータ毎の長さと、あらかじめ設定された閾値を比較し、受信したデータ要求のメッセージ長や含有するパラメータのパラメータ毎の長さの内の一つあるいは複数が当該閾値よりも大きい場合、当該データ要求を破棄し、また、受信したデータ要求のパラメータのパラメータ毎の文字種が、あらかじめ設定された許される文字種では無い場合、不正アクセスに関わるデータ要求として、当該データ要求を破棄する機構を備えたサーバ計算機保護装置も存在する。
【0014】
この種サーバ計算機保護装置の構成例を図19に示す。図19に示すサーバ計算機保護装置に於いて、ネットワークインタフェース901Aは、ネットワークセグメント(A)を介し、図示しないクライアントとの間でパケットを送受信する機能をもつ。ネットワークインタフェース901Bは、ネットワークセグメント(B)を介し、図示しないサーバ計算機との間でパケットを送受信する機能をもつ。
【0015】
データ要求転送機構910は、データ要求受信機構911とデータ要求保留機構912とデータ要求送信機構913とを備え、受信したデータ要求をデータ要求解析機構920に渡し、データ要求解析機構920が、不正アクセスに関わるものではないと判定した場合に、ネットワークインタフェース901Aで受信したデータ要求をネットワークインタフェース901Bへ送出する機能をもつ。データ要求受信機構911は、ネットワークインタフェース901Aで受信したデータ要求を受信する機能をもつ。データ要求保留機構912は、データ要求受信機構911が受信したデータ要求をデータ要求解析機構920が解析している期間中、保留する機能をもつ。データ要求送信機構913は、データ要求解析機構920が、不正アクセスに関わるものではないと判定した場合に、データ要求保留機構912に保留されているデータ要求をネットワークインタフェース901Bへ送出する機能をもつ。
【0016】
データ要求解析機構920は、パラメータ長比較機構921とパラメータ文字種比較機構922とパラメータ長閾値設定機構923とパラメータ文字種設定機構924とを備え、データ要求転送機構910から渡されたデータ要求が、不正アクセスに関わるものであるか否かを判定する機能をもつ。パラメータ長比較機構921は、データ要求解析機構920に渡されたデータ要求に含有されるパラメータのパラメータ毎の長さを、各々パラメータ長閾値設定機構923で設定された閾値と比較し、当該データ要求に含有されるいずれかのパラメータの長さが対応するパラメータ長閾値設定機構923で設定された閾値よりも長かった場合、当該データ要求は、不正アクセスに関わるものと判定し、また、対応するパラメータ長閾値設定機構923で設定された閾値よりも短かった場合、当該データ要求は、不正アクセスに関わるものではないと判定する機能をもつ。パラメータ文字種比較機構922は、データ要求解析機構920に渡されたデータ要求に含有されるパラメータのパラメータ毎に使用されている文字種を、各々パラメータ文字種設定機構924で設定された文字種と比較し、当該データ要求に含有されるいずれかのパラメータに使用されている文字種が対応するパラメータ文字種設定機構924で設定された許される文字種ではない場合、当該データ要求は、不正アクセスに関わるものと判定し、また、パラメータに使用されている文字種が対応するパラメータ文字種設定機構924で設定された許される文字種であった場合には、当該データ要求は、不正アクセスに関わるものではないと判定する機能をもつ。パラメータ長閾値設定機構923は、データ要求解析機構920が解析対象とし得るデータ要求の各々について、当該データ要求に含有されるパラメータのパラメータ毎の閾値を設定する機能をもつ。パラメータ文字種設定機構924は、データ要求解析機構920が解析対象とし得るデータ要求の各々について、当該データ要求に含有されるパラメータのパラメータ毎の許される文字種を設定する機能をもつ。
【0017】
ここで、あるクライアントがサーバ計算機へデータ要求を送出したとする。 ネットワークインタフェース901Aで受信されたデータ要求は、データ要求転送機構910に設けられたデータ要求受信機構911により受け取られる。データ要求受信機構911で受け取られたデータ要求は、データ要求保留機構912に保留されるとともに、データ要求解析機構920にも渡される。
【0018】
データ要求解析機構920に渡されたデータ要求は、パラメータ長比較機構921によってデータ要求解析機構920に渡されたデータ要求に含有されるパラメータのパラメータ毎の長さを、各々パラメータ長閾値設定機構923で設定された閾値と比較される。
【0019】
また、同時に、パラメータ文字種比較機構922によって当該データ要求に含有されるいずれかのパラメータに使用されている文字種を対応するパラメータ文字種設定機構924で設定された許される文字種と比較される。
【0020】
パラメータ長比較機構921に於いて、データ要求解析機構920に渡されたデータ要求に含有されるパラメータのパラメータ毎の長さを、各々パラメータ長閾値設定機構923で設定された閾値と比較し、当該データ要求に含有されるいずれかのパラメータの長さが対応するパラメータ長閾値設定機構923で設定された閾値よりも長かった場合、あるいは、パラメータ文字種比較機構922に於いて、データ要求解析機構920に渡されたデータ要求に含有されるパラメータのパラメータ毎に使用されている文字種を、各々パラメータ文字種設定機構924で設定された文字種と比較し、当該データ要求に含有されるいずれかのパラメータに使用されている文字種が対応するパラメータ文字種設定機構924で設定された許される文字種ではなかった場合、当該データ要求は、不正アクセスに関わるものと判定する。また、パラメータ長比較機構921に於いて、データ要求解析機構920に渡されたデータ要求に含有されるパラメータのパラメータ毎の長さを、各々パラメータ長閾値設定機構923で設定された閾値と比較し、当該データ要求に含有されるいずれかのパラメータの長さが対応するパラメータ長閾値設定機構923で設定された閾値よりも短かく、かつ、パラメータ文字種比較機構922で、データ要求解析機構920に渡されたデータ要求に含有されるパラメータのパラメータ毎に使用されている文字種を、各々パラメータ文字種設定機構924で設定された文字種と比較し、当該データ要求に含有されるいずれかのパラメータに使用されている文字種が対応するパラメータ文字種設定機構924で設定された許される文字種であった場合、当該データ要求は、不正アクセスに関わるものではないと判定し、いずれの場合も、その判定結果をデータ要求転送機構910へ返す。
【0021】
判定結果を受けとったデータ要求転送機構910は、不正アクセスに関わるものと判定された場合、データ要求保留機構912に保留されている当該データ要求を破棄し、不正アクセスに関わるものではないと判定された場合には、データ要求保留機構912に保留されている当該データ要求をデータ要求送信機構913により、ネットワークインタフェース901Bを介してサーバ計算機へ送出する。
【0022】
このようにして、サーバ計算機への不正アクセスを防ぐことができるサーバ計算機保護装置が実現されている。
【0023】
しかしながら上記した従来技術に於いては以下のような問題があった。即ち、既知の不正アクセスに関わるデータ要求の特徴を格納したデータベースを備え、受信したデータ要求を上記データベース内に格納された特徴と比較する図18に示したような従来技術に於いては、上記データベースに格納されていない新しい不正アクセス手段を用いたデータ要求により、サーバへの不正アクセスを試みられた場合、データ要求解析機構は、当該データ要求は不正アクセスに関わるものでは無いと判定してしまい、結果として、不正アクセスが成功してしまうという問題があった。
【0024】
また、データ要求が含有するパラメータのパラメータ毎の長さや文字種について個々のデータ要求についてあらかじめ閾値や許される文字種を設定する図19に示したような従来技術に於いては、サーバが処理可能なデータ要求が追加や変更された場合、それに対応する、データ要求メッセージが含有するパラメータのパラメータ毎の長さや文字種について個々のデータ要求についてあらかじめ閾値や許される文字種の設定情報の追加や変更を行なわなければならず、多くの手間がかかっていた。また、追加や変更を怠った際は不正アクセスを許してしまうという不都合が生じる虞がある等、種々の問題があった。
【0025】
【特許文献1】
特開2002−63084
【0026】
【発明が解決しようとする課題】
上述したように従来では、既知の不正アクセスに関わるデータ要求の特徴を格納したデータベースを備え、受信したデータ要求を上記データベース内に格納された特徴と比較する従来技術に於いては、上記データベースに格納されていない新しい不正アクセス手段を用いたデータ要求により、サーバへの不正アクセスを試みられた場合、データ要求解析機構は、当該データ要求は不正アクセスに関わるものでは無いと判定してしまい、結果として、不正アクセスが成功してしまうという問題があった。また、データ要求が含有するパラメータのパラメータ毎の長さや文字種について個々のデータ要求についてあらかじめ閾値や許される文字種を設定する従来技術に於いては、サーバが処理可能なデータ要求が追加や変更された場合、それに対応する、データ要求メッセージが含有するパラメータのパラメータ毎の長さや文字種について個々のデータ要求についてあらかじめ閾値や許される文字種の設定情報の追加や変更を行なわなければならず、多くの手間がかかっていた。また、追加や変更を怠った際は不正アクセスを許してしまうという不都合が生じる虞がある等、種々の問題があった。
【0027】
本発明は上記実情に鑑みなされたもので、信頼性が高く、かつ保守性に優れたサーバ計算機の不正アクセスに対する保護機能を実現できる、サーバ計算機保護装置、同装置のデータ要求解析方法およびプログラムを提供することを目的とする。
【0028】
【課題を解決するための手段】
本発明は、不正アクセスに関わるものではないデータ要求のメッセージ長の平均値と分散を求め、それらの値に基づいた閾値によって、データ要求が不正アクセスに関わるものであるか否かの判定を行うことで、不正アクセスに関わるものでは無いデータ要求のメッセージ長の集合から掛け離れた長さをもつ不正アクセスに関わるデータ要求を検出することを特徴とする。
【0029】
即ち、本発明は、クライアントから送出されたデータ要求をサーバ計算機に代わり受信して、当該受信したデータ要求が不正アクセスに関わるものか否かを解析するデータ要求解析機構と、当該データ要求解析機構の判定に従い前記クライアントから送出されたデータ要求の前記サーバ計算機への転送を制御するデータ要求転送機構とを備えたサーバ計算機保護装置に於いて、前記データ要求解析機構に、前記サーバ計算機が過去の一定期間内に受信したデータ要求のメッセージ長の平均値を算出する平均値算出手段と、前記サーバ計算機が過去の一定期間内に受信したデータ要求のメッセージ長の分散を算出する分散算出手段と、前記平均値算出手段が算出した平均値と前記分散算出手段が算出した分散から、前記メッセージ長の偏差の閾値を算出する閾値算出手段と、前記平均値算出手段が算出した平均値と前記解析の対象にある受信したデータ要求のメッセージ長からメッセージ長の偏差を算出する偏差算出手段と、前記閾値算出手段が算出した閾値と前記偏差算出手段が算出した偏差を比較し、偏差が閾値を超えたとき、前記解析の対象にある受信したデータ要求は不正アクセスに関わるものであると判定する偏差比較手段とを具備したことを特徴とする。
【0030】
また、前記サーバ計算機保護装置に於いて、前記データ要求解析機構に、受信したデータ要求を分類する分類手段をさらに具備して、前記平均値算出手段が前記分類手段により同種と分類されたデータ要求のメッセージ長の平均値を算出し、前記分散算出手段が前記分類手段により同種と分類されたデータ要求のメッセージ長の分散を算出し、前記閾値算出手段が前記分類手段により同種と分類されたデータ要求のメッセージ長の偏差の閾値を算出し、前記偏差算出手段が前記解析の対象にある受信したデータ要求のメッセージ長と前記平均値算出手段が算出した前記解析の対象にある受信したデータ要求と同種と分類されたデータ要求の平均値からメッセージ長の偏差を算出することを特徴とする。
【0031】
また、前記サーバ計算機保護装置に於いて、前記データ要求解析機構に、受信したデータ要求の構造に従い当該データ要求からパラメータを抽出するパラメータ抽出手段をさらに具備して、前記平均値算出手段が前記分類手段により同種と分類されたデータ要求のメッセージ長の平均値、および前記分類手段により同種と分類されたデータ要求から前記パラメータ抽出手段により抽出されたパラメータ各々の長さの平均値を算出し、前記分散算出手段が前記分類手段により同種と分類されたデータ要求のメッセージ長の分散、および前記分類手段により同種と分類されたデータ要求から前記パラメータ抽出手段により抽出されたパラメータ各々の長さの分散を算出し、前記閾値算出手段が前記分類手段により同種と分類されたデータ要求のメッセージ長の偏差の閾値、および前記分類手段により同種と分類されたデータ要求から前記パラメータ抽出手段により抽出されたパラメータ各々の長さの偏差の閾値を算出し、前記偏差算出手段が、前記解析の対象にある受信したデータ要求のメッセージ長と、前記平均値算出手段が算出した前記解析の対象にある受信したデータ要求と同種と分類されたデータ要求の平均値からメッセージ長の偏差を算出するとともに、前記解析の対象にある受信したデータ要求に含まれるパラメータ各々の長さと、前記平均値算出手段が算出した前記解析の対象にある受信したデータ要求と同種と分類されたデータ要求に含まれるパラメータ各々の長さの平均値とからパラメータの長さの偏差を算出し、前記偏差比較手段が前記偏差算出手段により算出された偏差のうちの一つあるいは複数が前記閾値算出手段により算出された閾値を超えたとき、前記解析の対象にあるデータ要求は不正アクセスに関わるものであると判定することを特徴とする。
【0032】
また、本発明は、クライアントから送出されたデータ要求をサーバ計算機に代わり受信して、当該受信したデータ要求が不正アクセスに関わるものか否かを解析するデータ要求解析機構と、当該データ要求解析機構の判定に従い前記クライアントから送出されたデータ要求の前記サーバ計算機への転送を制御するデータ要求転送機構とを備えたサーバ計算機保護装置に於いて、前記データ要求解析機構に、前記受信したデータ要求を分類する分類手段と、前記受信したデータ要求の構造に従い当該データ要求からパラメータを抽出するパラメータ抽出手段と、前記分類手段により同種と分類されたデータ要求から前記パラメータ抽出手段により抽出されたパラメータ各々に含まれる文字種の出現回数を頻度表として保持する頻度表保持手段と、前記パラメータ抽出手段により抽出された前記解析の対象にある受信したデータ要求のパラメータ各々に含まれる文字種と、前記頻度表保持手段により保持された頻度表とをもとに、前記解析の対象にある受信したデータ要求が不正アクセスに関わるものであるか否かを判定する判定手段とを具備したことを特徴とする。
【0033】
また、本発明は、クライアントから送出されたデータ要求をサーバ計算機に代わり受信して、当該受信したデータ要求が不正アクセスに関わるものか否かを解析するデータ要求解析機構と、当該データ要求解析機構の判定に従い前記クライアントから送出されたデータ要求の前記サーバ計算機への転送を制御するデータ要求転送機構とを備えたサーバ計算機保護装置に於いて、前記データ要求解析機構に、前記受信したデータ要求を分類する分類手段と、
前記受信したデータ要求の構造に従い当該データ要求に含まれるパラメータを抽出するパラメータ抽出手段と、前記パラメータ抽出手段により抽出されたパラメータから数値パラメータのみを抽出する数値パラメータ抽出手段と、前記分類手段により同種と分類された過去の一定期間内に受信したデータ要求から前記数値パラメータ抽出手段により抽出された数値パラメータ各々の平均値を算出する平均値算出手段と、前記数値パラメータ抽出手段により抽出された数値パラメータ各々の分散を算出する分散算出手段と、前記平均値算出手段により算出された平均値と前記分散算出手段により算出された分散から、前記数値パラメータ抽出手段により抽出された数値パラメータ各々の偏差の閾値を算出する閾値算出手段と、前記平均値算出手段により算出された数値パラメータ各々の平均値と、前記解析の対象にある受信したデータ要求の前記数値パラメータ抽出手段により抽出された数値パラメータから数値パラメータ各々の偏差を算出する偏差算出手段と、前記閾値算出手段により算出された閾値と前記偏差算出手段により算出された偏差とを比較し、偏差のうちの一つあるいは複数が閾値を超えたとき、前記解析の対象にある受信したデータ要求は不正アクセスに関わるものであると判定する判定手段とを具備したことを特徴とする。
【0034】
また、本発明は、クライアントから送出されたデータ要求をサーバに代わり受信して、当該受信したデータ要求が不正アクセスに関わるものであるか否かを解析するサーバ計算機保護装置のデータ要求解析方法であって、前記サーバが過去の一定期間内に受信したデータ要求のメッセージ長の平均値を算出する平均値算出ステップと、前記サーバが過去の一定期間内に受信したデータ要求のメッセージ長の分散を算出する分散算出ステップと、前記平均値算出ステップで算出した平均値および前記分散算出ステップで算出した分散から前記メッセージ長の偏差の閾値を算出する閾値算出ステップと、前記平均値算出ステップで算出した平均値と前記解析の対象にある受信したデータ要求のメッセージ長からメッセージ長の偏差を算出する偏差算出ステップと、前記閾値算出ステップで算出した閾値と前記偏差算出ステップで算出した偏差を比較して、偏差が閾値を超えたとき、前記解析の対象にある受信したデータ要求は不正アクセスに関わるものであると判定する判定ステップとを具備したこと特徴とする。
【0035】
また、本発明は、ライアントから送出されたデータ要求をサーバに代わり受信して、当該受信したデータ要求が不正アクセスに関わるものであるか否かを解析するサーバ計算機保護装置のデータ要求解析装置としてコンピュータを機能させるためのプログラムであって、前記サーバが過去の一定期間内に受信したデータ要求のメッセージ長の平均値を算出する機能と、前記サーバが過去の一定期間内に受信したデータ要求のメッセージ長の分散を算出する機能と、前記算出した平均値および分散から前記メッセージ長の偏差の閾値を算出する機能と、前記算出した平均値と前記解析の対象にある受信したデータ要求のメッセージ長からメッセージ長の偏差を算出する機能と、前記算出した閾値と偏差を比較して、偏差が閾値を超えたとき、前記解析の対象にある受信したデータ要求は不正アクセスに関わるものであると判定する機能とをコンピュータに実現させることを特徴とする。
【0036】
上記した本発明のサーバ計算機保護装置若しくはデータ要求解析方法若しくはプログラムを適用することによって、クライアントからサーバへ送出されるデータ要求の特徴がデータベースに格納されていない新しい不正アクセス手段によりサーバへの不正アクセスを試みられた場合であっても高い信頼性をもってサーバ計算機の不正アクセスを防ぐことができる。また、利用者がデータ要求に含まれるパラメータの各パラメータ毎の長さや文字種について個々設定する必要の無い保守性に優れた信頼性の高いサーバ計算機保護装置が実現できる。
【0037】
【発明の実施の形態】
以下、図面を参照して本発明の実施形態を説明する。
【0038】
図1は本発明の第1実施形態に於ける装置システムの構成を示すブロック図である。
【0039】
図1に示すサーバ計算機保護装置に於いて、ネットワークインタフェース101Aは、ネットワークセグメント(A)を介し、クライアントとの間でパケットを送受信する機能をもつ。ネットワークインタフェース101Bは、ネットワークセグメント(B)を介し、サーバ計算機との間でパケットを送受信する機能をもつ。
【0040】
データ要求転送機構110は、データ要求受信機構111と、データ要求保留機構112と、データ要求送信機構113とを備え、ネットワークセグメント(A)およびネットワークインタフェース101Aを介して受信したデータ要求をデータ要求解析機構120に渡し、データ要求解析機構120が、不正アクセスに関わるものではないと判定した場合に、上記ネットワークインタフェース101Aを介して受信したデータ要求をネットワークインタフェース101Bを介しネットワークセグメント(B)へ送出する機能をもつ。
【0041】
データ要求転送機構110に於いて、データ要求受信機構111は、ネットワークインタフェース101Aで受信したデータ要求を受信する機能をもつ。データ要求保留機構112は、データ要求受信機構111がデータ要求をデータ要求解析機構120が解析している期間中、保留する機能をもつ。データ要求送信機構113は、データ要求解析機構120が、ネットワークインタフェース101Aで受信したデータ要求が不正アクセスに関わるものではないと判定した場合に、データ要求保留機構112に保留されているデータ要求をネットワークインタフェース101Bへ送出する機能をもつ。
【0042】
データ要求解析機構120は、偏差算出機構121と、偏差比較機構122と、閾値算出機構123と、平均値算出機構124と、分散算出機構125とを備え、データ要求転送機構110から渡されたデータ要求が不正アクセスに関わるものであるか否かを判定する機能をもつ。
【0043】
データ要求解析機構120に於いて、平均値算出機構124は、不正アクセス保護の対象となるサーバ計算機が過去の一定期間内に受信したデータ要求のメッセージ長の平均値を算出する機能をもつ。分散算出機構125は、上記サーバ計算機が過去の一定期間内に受信したデータ要求のメッセージ長の分散を算出する機能をもつ。閾値算出機構123は、平均値算出機構124が算出した平均値と、分散算出機構125が算出した分散から、メッセージ長の偏差の閾値を算出する機能をもつ。偏差算出機構121は、平均値算出機構124が算出した平均値と、解析の対象にある受信したデータ要求(ここでは解析対象データ要求と称す)のメッセージ長からメッセージ長の偏差を算出する機能をもつ。偏差比較機構122は、閾値算出機構123が算出した閾値と、偏差算出機構121が算出した偏差とを比較する機能をもつ。
【0044】
図2は上記第1実施形態に於けるデータ要求の取得例を示す図である。
【0045】
図3は上記第1実施形態の処理手順を示すフローチャートである。
【0046】
ここで、上記第1実施形態に於ける動作を説明する。
【0047】
図1に示すサーバ計算機保護装置に於いて、ネットワークインタフェース101Aを介してクライアントからデータ要求を含むパケットが送出されると、当該パケットに含まれるデータ要求は、データ要求転送機構110のデータ要求受信機構111に受信される(図3ステップS11)。
【0048】
データ要求受信機構111に受信されたデータ要求は、データ要求保留機構112に保留されるとともに、データ要求解析機構120に渡され、データ要求解析機構120が不正アクセスに関わるデータ要求か否かの判定を行なう。尚、このデータ要求保留機構112にデータ要求を格納する際、パケット単位で格納する方法やパケットが運ぶデータ要求を取り出して格納する方法などがある。
【0049】
パケット単位で格納する方法の場合は、図2に示すように、データ要求受信機構111からパケットを渡されたデータ要求解析機構120に、過去に受信したパケットを格納する過去パケット格納機構131と、解析に先立って過去に受信したパケットと今回受信したパケットとを組み合せて、データ要求を取り出す機能132とが必要となる。
【0050】
この機能の例として、図2に、HTTPプロトコルによるデータ要求を取出す場合を示す。
【0051】
受信パケットでは、データ要求の断片である“dir2/index.html”というデータが運ばれている。
【0052】
過去パケット格納機構131には、過去に受信したパケットとして、パケット1とパケット2が格納されており、それぞれのパケットにより、“GET/”という断片と、“dir1/”という断片が運ばれている。これらを、パケットの前後関係を考慮しながら接続すると、“GET/dir1/dir2/index.html”というデータ要求が取出せることとなる。
【0053】
この際、図2に示す例では順序よくパケットが到着した例が示されているが、実際には、パケットの順序が入れ替わったり、途中が抜けていたりする可能性があり、それらを考慮した機構を組み込む必要がある。このような構造をとった場合、当該パケット及びそれ以前に受信したパケットを組み合せて取出せるデータ要求が不正アクセスに関わるデータ要求では無いと判定できた場合、データ要求が最後まで取出せるのを待たずに当該パケットを速やかにサーバ計算機へ送出でき、サーバ計算機保護装置を介挿することによる遅延を少なくできるメリットがある。
【0054】
パケットが運ぶデータ要求を取出してデータ要求保留機構112に格納する場合は、データ要求受信機構111に、図2のようなデータ要求を取出す機能を持たせることになる。この場合、サーバ計算機へのパケットの送出はデータ要求が最後まで取出せてからになるため、サーバ計算機保護装置を挿入することによる遅延が多くなるが、パケットの順序が入れ替わったり途中が抜けていたりすることに対する対応が前者に比べると簡単になると考えられる。上記した、いずれの構造を採った場合に於いても本発明の適用は可能であり、いずれの構造を採るかは本発明の範囲外である。
【0055】
データ要求解析機構120に渡されたデータ要求は、偏差算出機構121により、そのメッセージ長の平均値からの偏差が算出される(図3ステップS12)。
【0056】
たとえば、図2で例示したデータ要求“GET/dir1/dir2/index.html”の場合、このメッセージ長は、25文字となる。平均値算出機構124により算出された平均値が23文字であった場合、このデータ要求の偏差は2文字ということとなる。
【0057】
次に、算出された偏差は、偏差比較機構122により、閾値算出機構123が算出した閾値と比較される(図3ステップS13,S14)。ここで、上記偏差が上記閾値を超えた際は当該解析対象データ要求が破棄される(図3ステップS15)。また、上記偏差が上記閾値を超えない際は当該解析対象データ要求がサーバ計算機に渡される(図3ステップS16)。
【0058】
例えば、閾値算出機構123が算出した閾値が3文字であった場合、当該データ要求の偏差2文字は、閾値を下回るため(図3ステップS14 NO)、データ要求解析機構120は、当該データ要求は不正アクセスに関わるものではない(正当なアクセスである)と言う判定結果を返す。
【0059】
閾値算出機構123は、平均値算出機構124により算出されたメッセージ長の平均値と、分散算出機構125により算出されたメッセージ長の分散から、前述したような判定に用いる閾値を算出する。閾値の算出の例としては、例えば標準偏差の5倍を閾値とする等の例が考えられる。
【0060】
データ要求解析機構120は、当該データ要求は不正アクセスに関わるものではないと言う判定結果を返す場合、そのデータ要求は、平均値算出機構124と分散算出機構125にも渡され、データ要求のメッセージ長の平均値と分散の値が更新される。このように、不正アクセスに関わるものではないデータ要求の平均値と分散を求めておくことで、新たに受信したデータ要求が不正アクセスに関わるものであるか否かの判定をより正確に行えるようになる。
【0061】
データ要求解析機構120が、当該データ要求は不正アクセスに関わるものではないと言う判定結果を返した場合には、データ要求転送機構110は、データ要求保留機構112に格納されていた当該データ要求をデータ要求送信機構113によりネットワークインタフェース101Bを介してサーバ計算機へ送出する。
【0062】
データ要求送信機構113は、データ要求保留機構112にデータ要求を格納する際、パケット単位で格納していた場合には、データ要求保留機構112に格納されていたパケットをそのままネットワークインタフェース101Bへ送出し、パケットが運ぶデータ要求を取り出して格納していた場合には、格納されていたデータ要求をネットワークインタフェースを介して送出できるパケットの形へと変換してからネットワークインタフェース101Bへ送出する。
【0063】
このように、不正アクセスに関わるものではないデータ要求のメッセージ長の平均値と分散を求め、その値に基づいた閾値によって、データ要求が不正アクセスに関わるものであるか否かの判定を行うことで、不正アクセスに関わるものでは無いデータ要求のメッセージ長の集合から掛け離れた長さをもつデータ要求を検出することが可能となる。
【0064】
不正アクセスの手段の中で大きな割合を占めるものとして、サーバ計算機が予想しているよりも長い長さをもつデータ要求メッセージを送ることによって、バッファメモリを溢れさせ、サーバ計算機に誤動作を起こす、バッファオーバーフローという手口があるが、上記した本発明のサーバ計算機保護装置を適用することで、このバッファオーバーフローという手口を用いた不正アクセスから、サーバ計算機を確実に保護することが可能となる。
【0065】
このように、本発明の第1実施形態に於いては、特徴がデータベースに格納されていないデータ要求を用いた、新しい不正アクセス手段によるサーバへの不正アクセスが試みられた場合であっても、サーバ計算機が不正アクセスされることを防ぐことができる、サーバ計算機保護装置を実現することができる。また、利用者(サーバ管理者)が、データ要求の長さについて、あらかじめ許される長さの閾値を設定する必要の無い、保守性に優れたサーバ計算機保護装置が実現できる。
【0066】
図4は本発明の第2実施形態に於けるサーバ計算機保護装置の構成を示すブロック図である。
【0067】
図4に示すサーバ計算機保護装置に於いて、ネットワークインタフェース201Aは、ネットワークセグメント(A)を介し、クライアントとの間でパケットを送受信する機能をもつ。ネットワークインタフェース201Bは、ネットワークセグメント(B)を介し、サーバ計算機との間でパケットを送受信する機能をもつ。
【0068】
データ要求転送機構210は、データ要求受信機構211と、データ要求保留機構212と、データ要求送信機構213とを備え、ネットワークセグメント(A)およびネットワークインタフェース201Aを介して受信したデータ要求をデータ要求解析機構220に渡し、データ要求解析機構220が、不正アクセスに関わるものではないと判定した場合に、上記ネットワークインタフェース201Aを介して受信したデータ要求をネットワークインタフェース201Bを介してネットワークセグメント(B)へ送出する機能をもつ。データ要求受信機構211は、ネットワークインタフェース201A上のデータ要求を受信する機能をもつ。データ要求保留機構212は、データ要求受信機構211が受信したデータ要求をデータ要求解析機構220が解析している期間中、保留する機能をもつ。データ要求送信機構213は、データ要求解析機構220が、上記受信したデータ要求について不正アクセスに関わるものではないと判定した場合に、データ要求保留機構212に保留されているデータ要求をネットワークインタフェース201Bを介しネットワークセグメント(B)へ送出する機能をもつ。
【0069】
データ要求解析機構220は、偏差算出機構221と、偏差比較機構222と、閾値算出機構223と、平均値算出機構224と、分散算出機構225と、データ要求分類機構226とを備え、データ要求転送機構210から渡されたデータ要求が不正アクセスに関わるものであるか否かを判定する機能をもつ。データ要求分類機構226は、受信したデータ要求を分類する機能をもつ。平均値算出機構224は、データ要求分類機構226により同種と分類されたデータ要求のメッセージ長の平均値を算出する機能をもつ。分散算出機構225は、データ要求分類機構226により同種と分類されたデータ要求のメッセージ長の分散を算出する機能をもつ。閾値算出機構223は、データ要求分類機構226により同種と分類されたデータ要求のメッセージ長の偏差の閾値を算出する機能をもつ。偏差比較機構222は、閾値算出機構223が算出した閾値と、偏差算出機構221が算出した偏差とを比較する機能をもつ。偏差算出機構221は、解析対象データ要求のメッセージ長と、平均値算出機構224が算出した解析対象データ要求と同種と分類されたデータ要求の平均値とからメッセージ長の偏差を算出する機能をもつ。
【0070】
図5および図6はそれぞれ上記第2実施形態の処理例を説明するためのデータ要求の分類例を示す図である。
【0071】
図7は上記第2実施形態の処理手順を示すフローチャートである。
【0072】
この第2実施形態によるサーバ計算機保護装置は、上記第1実施形態に於けるサーバ計算機保護装置のデータ要求解析機構に、データ要求分類機構226を付加し、平均値や分散および閾値の算出を、データ要求分類機構226によって、同一の種類のデータ要求であると判断された集団(種類)毎に行うものである。
【0073】
図4に示すサーバ計算機保護装置に於いて、ネットワークインタフェース201Aを介してクライアントからデータ要求を含むパケットが送出されると、当該パケットに含まれるデータ要求は、データ要求転送機構210のデータ要求受信機構211に受信される(図7ステップS21)。
【0074】
データ要求受信機構211に受信されたデータ要求は、データ要求保留機構212に保留されるとともに、データ要求解析機構220に渡され、データ要求解析機構220に於いて不正アクセスに関わるデータ要求であるか否かが判定される。
【0075】
データ要求解析機構220に渡されたデータ要求は、データ要求分類機構226によって、あらかじめ決められた種類別に分類され(図7ステップS22)、その分類した種類毎に、偏差算出機構221により、メッセージ長の平均値からの偏差が算出される(図7ステップS23)。ここで算出された偏差は、偏差比較機構222により、閾値算出機構223が算出した閾値と比較される(図7ステップS24,S25)。ここで、上記偏差が上記閾値を超えた際は当該解析対象データ要求が破棄され(図7ステップS26)、また、上記偏差が上記閾値を超えない際は当該解析対象データ要求がサーバ計算機に渡される(図7ステップS27)。
【0076】
上記したデータ要求分類機構226による分類の基準としては、例えば、図5に示すHTTPの例のように、同一のディレクトリに格納されているデータへのデータ要求を、同一の種類と分類する手段がある。あるいは、図6に示すHTTPの例のように、要求するデータは同一で、パラメータのみ異る場合に、同一の種類と分類する手段も考えられる。
【0077】
このように、データ要求分類機構226によってデータ要求を分類し、その分類された同一種類のデータ要求毎に、平均値や分散および閾値の算出を行うことで、データ要求が不正アクセスに関わるものであるか否かの判定をより正確に行うことができるとともに、特徴がデータベースに格納されていない新しい不正アクセス手段によりサーバへの不正アクセスが試みられた場合でも、サーバ計算機が不正にアクセスされることを防ぐことのできるサーバ計算機保護装置が実現できる。
【0078】
図8は本発明の第3実施形態に於けるサーバ計算機保護装置の構成を示すブロック図である。
【0079】
図8に示すサーバ計算機保護装置に於いて、ネットワークインタフェース301Aは、ネットワークセグメント(A)を介し、クライアントとの間でパケットを送受信する機能をもつ。ネットワークインタフェース301Bは、ネットワークセグメント(B)を介し、サーバ計算機との間でパケットを送受信する機能をもつ。
【0080】
データ要求転送機構310は、データ要求受信機構311と、データ要求保留機構312と、データ要求送信機構313とを備え、ネットワークセグメント(A)およびネットワークインタフェース301Aを介して受信したデータ要求をデータ要求解析機構320に渡し、データ要求解析機構320が、上記受信したデータ要求を不正アクセスに関わるものではないと判定した場合に、上記ネットワークインタフェース301Aを介して受信したデータ要求をネットワークインタフェース301Bを介してネットワークセグメント(B)へ送出する機能をもつ。データ要求受信機構311は、ネットワークインタフェース301Aが受信したデータ要求を受信する機能をもつ。データ要求保留機構312は、データ要求受信機構311が受信したデータ要求をデータ要求解析機構320が解析している期間中、保留する機能をもつ。データ要求送信機構313は、データ要求解析機構320が、上記受信したデータ要求を不正アクセスに関わるものではないと判定した場合に、データ要求保留機構312に保留されているデータ要求をネットワークインタフェース301Bを介しネットワークセグメント(B)へ送出する機能をもつ。
【0081】
データ要求解析機構320は、偏差算出機構321と、偏差比較機構322と、閾値算出機構323と、平均値算出機構324と、分散算出機構325と、データ要求分類機構326と、データ要求パラメータ抽出機構327を備え、データ要求転送機構310から渡されたデータ要求が不正アクセスに関わるものであるか否かを判定する機能をもつ。
【0082】
データ要求パラメータ抽出機構327は、受信したデータ要求の構造に従い、当該データ要求が含有するパラメータを抽出する機能をもつ。平均値算出機構324は、データ要求分類機構326により同種と分類されたデータ要求のメッセージ長の平均値およびデータ要求分類機構326により同種と分類されたデータ要求からデータ要求パラメータ抽出機構327により抽出されたパラメータの各パラメータ毎の長さの平均値を算出する機能をもつ。分散算出機構325は、データ要求分類機構326により同種と分類されたデータ要求のメッセージ長の分散、およびデータ要求分類機構326により同種と分類されたデータ要求から、データ要求パラメータ抽出機構327により抽出されたパラメータの各パラメータ毎の長さの分散を算出する機能をもつ。閾値算出機構323は、データ要求分類機構326により同種と分類されたデータ要求のメッセージ長の偏差の閾値、およびデータ要求分類機構326により同種と分類されたデータ要求から、データ要求パラメータ抽出機構327により抽出されたパラメータの各パラメータ毎の長さの偏差の閾値を算出する機能をもつ。偏差算出機構321は、解析対象データ要求のメッセージ長と、平均値算出機構324が算出した解析対象データ要求と同種と分類されたデータ要求の平均値とからメッセージ長の偏差を算出するとともに、解析対象データ要求が含有するパラメータの各パラメータ毎の長さと、平均値算出機構324が算出した解析対象データ要求と同種と分類されたデータ要求が含有するパラメータの各パラメータ毎の長さの平均値とからパラメータの長さの偏差を算出する機能をもつ。偏差比較機構322は、閾値算出機構323が算出した閾値と、偏差算出機構321が算出した偏差とを比較し、算出された偏差のうちの一つあるいは複数が閾値を超えたとき、解析対象データ要求は不正アクセスに関わるものであると判定する機能をもつ。
【0083】
図9は上記第3実施形態の動作を説明するための、データ要求パラメータ抽出機構327によって抽出されるパラメータのHTTPでの一例を示す図である。
【0084】
図10は上記第3実施形態の処理手順を示すフローチャートである。
【0085】
この第3実施形態によるサーバ計算機保護装置は、上記第2実施形態に於けるサーバ計算機保護装置のデータ要求解析機構に、データ要求パラメータ抽出機構327を付加し、平均値や分散および閾値の算出を、データ要求分類機構326により同一の種類のデータ要求であると判断された集団(種類)毎に、そのパラメータの長さについても行うものである。
【0086】
図8に示すサーバ計算機保護装置に於いて、ネットワークインタフェース301Aを介してクライアントからデータ要求を含むパケットが送出されると、当該パケットに含まれるデータ要求は、データ要求転送機構310のデータ要求受信機構311に受信される(図10ステップS31)。
【0087】
データ要求受信機構311に受信されたデータ要求は、データ要求保留機構312に保留されるとともに、データ要求解析機構320に渡され、データ要求解析機構320に於いて不正アクセスに関わるデータ要求であるか否かが判定される。
【0088】
データ要求解析機構220に渡されたデータ要求は、データ要求分類機構326によって、あらかじめ決められた種類別に分類され(図10ステップS32)、その分類した種類毎に、偏差算出機構321により、メッセージ長の平均値からの偏差が算出される(図10ステップS33)。ここで算出された偏差は、偏差比較機構322により、閾値算出機構323が算出した閾値と比較される(図10ステップS34,S35)。ここで、上記偏差が上記閾値を超えた際は当該解析対象データ要求が破棄される(図10ステップS36)。また、上記偏差が上記閾値を超えない際は、データ要求パラメータ抽出機構327により抽出した各パラメータ毎に、偏差算出機構321により、パラメータ長の平均値からの偏差が算出される(図10ステップS37,S38)。ここで算出された偏差は、偏差比較機構322により、閾値算出機構323が算出したパラメータ長の閾値と比較される(図10ステップS39,S40)。ここで、上記偏差が上記閾値を超えた際は当該解析対象データ要求が破棄される(図10ステップS41)。また、上記データ要求パラメータ抽出機構327で抽出した各パラメータについて、その偏差が上記閾値を超えない際は、当該解析対象データ要求がサーバ計算機に渡される(図10ステップS42〜S43)。
【0089】
上記データ要求パラメータ抽出機構327によって抽出されるパラメータのHTTPでの一例を図9に示している。ここでは、2つのパラメータ“type”“name”が抽出され、その各パラメータ毎にパラメータ長の平均値からの偏差が算出される。
【0090】
このようにすることで、データ要求が不正アクセスに関わるものであるか否かの判定をさらに正確に行うことができるとともに、その特徴がデータベースに格納されていない新しい不正アクセス手段によりサーバへの不正アクセスが試みられた場合でも、サーバ計算機が不正にアクセスされることを防ぐことのできるサーバ計算機保護装置が実現できる。
【0091】
図11は本発明の第4実施形態に於けるサーバ計算機保護装置の構成を示すブロック図である。
【0092】
図11に示すサーバ計算機保護装置に於いて、ネットワークインタフェース401Aは、ネットワークセグメント(A)を介し、クライアントとの間でパケットを送受信する機能をもつ。ネットワークインタフェース401Bは、ネットワークセグメント(B)を介し、サーバ計算機との間でパケットを送受信する機能をもつ。
【0093】
データ要求転送機構410は、データ要求受信機構411と、データ要求保留機構412と、データ要求送信機構413とを備え、ネットワークセグメント(A)およびネットワークインタフェース401Aを介して受信したデータ要求をデータ要求解析機構420に渡し、データ要求解析機構420が、上記受信したデータ要求を不正アクセスに関わるものではないと判定した場合に、上記ネットワークインタフェース401Aを介して受信したデータ要求をネットワークインタフェース401Bへ送出する機能をもつ。データ要求受信機構411は、ネットワークインタフェース401A上のデータ要求を受信する機能をもつ。データ要求保留機構412は、データ要求受信機構411が受信したデータ要求をデータ要求解析機構420が解析している期間中、保留する機能をもつ。データ要求送信機構413は、データ要求解析機構420が、上記受信したデータ要求を不正アクセスに関わるものではないと判定した場合に、データ要求保留機構412に保留されているデータ要求をネットワークインタフェース401Bを介しネットワークセグメント(B)へ送出する機能をもつ。
【0094】
データ要求解析機構420は、偏差算出機構421と、偏差比較機構422と、閾値算出機構423と、平均値算出機構424と、分散算出機構425と、データ要求分類機構426と、データ要求パラメータ抽出機構427と、不正アクセス判定通知機構431と、判定訂正受け付け機構432と、閾値補正機構433と、平均値補正機構434と、分散補正機構435とを備え、データ要求転送機構410から渡されたデータ要求が不正アクセスに関わるものであるか否かを判定する機能をもつ。さらに上記閾値算出機構423、平均値算出機構424、および分散算出機構425の各々に対応する補正機能(閾値補正機構433,平均値補正機構434,分散補正機構435)をもつ。
【0095】
データ要求パラメータ抽出機構427は、受信したデータ要求の構造に従い、当該データ要求が含有するパラメータを抽出する機能をもつ。平均値算出機構424は、データ要求分類機構426により同種と分類されたデータ要求のメッセージ長の平均値、およびデータ要求分類機構426により同種と分類されたデータ要求から、データ要求パラメータ抽出機構427により抽出されたパラメータの各パラメータ毎の長さの平均値を算出する機能をもつ。分散算出機構425は、データ要求分類機構426により同種と分類されたデータ要求のメッセージ長の分散、およびデータ要求分類機構426により同種と分類されたデータ要求から、データ要求パラメータ抽出機構427により抽出されたパラメータの各パラメータ毎の長さの分散を算出する機能をもつ。閾値算出機構423は、データ要求分類機構426により同種と分類されたデータ要求のメッセージ長の偏差の閾値、およびデータ要求分類機構426により同種と分類されたデータ要求から、データ要求パラメータ抽出機構427により抽出されたパラメータの各パラメータ毎の長さの偏差の閾値を算出する機能をもつ。偏差算出機構421は、解析対象データ要求のメッセージ長と、平均値算出機構424が算出した解析対象のデータ要求と同種と分類されたデータ要求の平均値とからメッセージ長の偏差を算出するとともに、解析対象データ要求が含有するパラメータの各パラメータ毎の長さと、平均値算出機構424が算出した解析対象データ要求と同種と分類されたデータ要求が含有するパラメータのパラメータ毎の長さの平均値とからパラメータの長さの偏差を算出する機能をもつ。偏差比較機構422は、閾値算出機構323が算出した閾値と、偏差算出機構321が算出した偏差とを比較し、算出された偏差のうちの一つあるいは複数が閾値を超えたとき、解析対象データ要求は不正アクセスに関わるものであると判定する機能をもつ。
【0096】
不正アクセス判定通知機能431は、データ要求転送機構410が受信した、クライアントからサーバへ送られるデータ要求が不正アクセスに関わるものであると判定した際に、その旨をサーバ管理者に通知する機能をもつ。判定訂正受付け機構432は、当該通知された判定が誤っていた際に、サーバ管理者からの訂正指示を受付ける機能をもつ。閾値補正機構433は、判定訂正受付け機構432が管理者からの訂正指示を受付けた場合に閾値算出機構423が算出する閾値を補正する機能をもつ。平均値補正機構434は、判定訂正受付け機構432がサーバ管理者からの訂正指示を受付けた場合に平均値算出機構424が算出する平均値を補正する機能をもつ。分散補正機構435は、判定訂正受付け機構432がサーバ管理者からの訂正指示を受付けた場合に分散算出機構425が算出する分散を補正する機能をもつ。
【0097】
図11に示す第4実施形態のサーバ計算機保護装置は、前述した図8に示す第3実施形態のサーバ計算機保護装置の各構成要素に加えて、不正アクセス判定通知機構431と、判定訂正受付け機構432と、閾値補正機構433と、平均値補正機構434と、分散補正機構435とを具備し、データ要求解析機構420が受信データを不正アクセスに関わるものであると判定した際に、その判定が誤っていた場合、サーバ管理者が、平均値や分散や閾値の補正を行えるようにしたもので、不正アクセス判定機能の動作については上述した第3実施形態と同様であるので、ここではその説明を省略する。
【0098】
データ要求転送機構410から受信されたデータ要求がデータ要求解析機構420に渡され、データ要求解析機構420に於いて、偏差算出機構421により算出された当該データの偏差と、閾値算出機構423により算出された閾値とを偏差比較機構422が比較した結果、偏差が閾値よりも大きい場合、データ要求解析機構420は、データ要求転送機構410に、解析対象データ要求を不正アクセスに関わるものであるとの判定結果を伝えると同時に、不正アクセス判定通知機構431により、サーバ管理者に対して、受信したデータ要求が不正アクセスに関わるものであると判定した旨を通知する。この際の通知手段としては、メールやSNMP(simple network management protocol)などによりネットワーク経由で行う方法や、ログファイルの形で記録を残し、リモートから或はローカルのパネル操作などによるログ表示機能によってログを表示することで行うなどの手段がある。通知内容には少なくとも不正アクセスに関わるものであると判定したデータ要求を含む必要がある。
【0099】
受信したデータ要求が不正アクセスに関わるものであると判定した旨を通知されたサーバ管理者は、当該判定が誤っていると判断した場合に、判定訂正受付け機構432を用いて、平均値や分散や閾値を補正することが可能である。補正する手段としては、メールやSNMPやHTTPなどによりネットワーク経由で行う方法や、ローカルのパネル操作などによって行うなどの手段がある。
【0100】
補正の内容としては、閾値算出機構433や平均値算出機構424や分散算出機構435でそれぞれの算出に用いる内部データを直接変更する方法がある。あるいは、不正アクセスに関わるという判定が誤っていたことのみ指示し、当該不正アクセスに関わると判定されたデータ要求が、不正アクセスに関わるデータ要求ではないと判定されるように、閾値算出機構433や平均値算出機構424や分散算出機構435がそれぞれの算出に用いる内部データを自ら修正する方法も考えられる。
【0101】
このような機能をもつことで、データ要求が不正アクセスに関わるものであるか否かの判定をさらに正確に行うことができ、また誤って不正アクセスと判定してしまったデータ要求も、訂正後は不正アクセスと誤って判定されることがなく、かつその特徴がデータベースに格納されていない新しい不正アクセス手段によりサーバへの不正アクセスを試みられた場合でも、サーバ計算機が不正にアクセスされることを防ぐことのできるサーバ計算機保護装置が実現できる。
【0102】
図12は本発明の第5実施形態に於けるサーバ計算機保護装置の構成を示すブロック図である。
【0103】
図12に示すサーバ計算機保護装置に於いて、ネットワークインタフェース501Aは、ネットワークセグメント(A)を介し、クライアントとの間でパケットを送受信する機能をもつ。ネットワークインタフェース501Bは、ネットワークセグメント(B)を介し、サーバ計算機との間でパケットを送受信する機能をもつ。
【0104】
データ要求転送機構510は、データ要求受信機構511と、データ要求保留機構512と、データ要求送信機構513とを備え、ネットワークセグメント(A)およびネットワークインタフェース501Aを介して受信したデータ要求をデータ要求解析機構520に渡し、データ要求解析機構520が、上記受信したデータ要求を不正アクセスに関わるものではないと判定した場合に、上記ネットワークインタフェース501Aを介して受信したデータ要求をネットワークインタフェース501Bへ送出する機能をもつ。データ要求受信機構511は、ネットワークインタフェース501Aが受信したデータ要求を受信する機能をもつ。データ要求保留機構512は、データ要求受信機構511が受信したデータ要求をデータ要求解析機構520が解析している期間中、保留する機能をもつ。データ要求送信機構513は、データ要求解析機構520が、上記受信したデータ要求を不正アクセスに関わるものではないと判定した場合に、データ要求保留機構512に保留されているデータ要求をネットワークインタフェース501Bを介しネットワークセグメント(B)へ送出する機能をもつ。
【0105】
データ要求解析機構520は、パラメータ文字種頻度格納機構521と、データ要求パラメータ抽出機構522と、データ要求分類機構523と、不正アクセス判定機構524とを備え、データ要求転送機構510から渡されたデータ要求が不正アクセスに関わるものであるか否かを判定する機能をもつ。データ要求分類機構523は、受信したデータ要求を分類する機能をもつ。データ要求パラメータ抽出機構522は、受信したデータ要求の構造に従い当該データ要求が含有するパラメータを抽出する機能をもつ。パラメータ文字種頻度格納機構521は、データ要求分類機構523により同種と分類されたデータ要求から、データ要求パラメータ抽出機構522により抽出されたパラメータの各パラメータ毎に使用されている文字種の出現回数を頻度表として格納する機能をもつ。不正アクセス判定機構524は、解析対象データ要求から、データ要求パラメータ抽出機構522により抽出されたパラメータの各パラメータ毎に使用されている文字種が、パラメータ文字種頻度格納機構521に格納されている頻度表に於いて、頻度「0」であった場合、当該解析対象データ要求は不正アクセスに関わるものであると判定する機能をもつ。
【0106】
図13は上記第5実施形態に於ける頻度表の一例を示す図であり、図14は上記第5実施形態に於ける更新後の頻度表の一例を示す図である。
【0107】
図15は上記第5実施形態の処理手順を示すフローチャートである。
【0108】
図12に示す本発明の第5実施形態に於けるサーバ計算機保護装置は、前述した図1に示す第1実施形態のサーバ計算機保護装置、図4に示す第2実施形態のサーバ計算機保護装置、図8に示す第3実施形態のサーバ計算機保護装置、図11に示す第4実施形態のサーバ計算機保護装置が、それぞれメッセージの長さに着目して受信データが不正アクセスに関わるものか否かを判定していたのに対して、データ要求のパラメータが使用している文字種に着目して、受信したデータ要求が不正アクセスに関わるものであるか否かを判定するものである。
【0109】
データ要求転送機構510の動作は、前述した図1に示す第1実施形態のサーバ計算機保護装置、図4に示す第2実施形態のサーバ計算機保護装置、図8に示す第3実施形態のサーバ計算機保護装置、図11に示す第4実施形態のサーバ計算機保護装置と同様なので、ここではその説明を省略し、データ要求解析機構520の動作のみについて説明する。
【0110】
データ要求転送機構510から受信したデータ要求(解析対象データ要求)を渡されたデータ要求解析機構520は、上記解析対象データ要求を、データ要求分類機構523により分類し(図15ステップS51,S52)、さらに、データ要求パラメータ抽出機構522により、上記解析対象データ要求からパラメータを抽出する(図15ステップS53)。
【0111】
次に、データ要求パラメータ抽出機構522により抽出されたパラメータの各パラメータ毎に使用されている各文字種を、データ要求分類機構523で上記解析対象データ要求と同種と分類された、パラメータ文字種頻度格納機構521に格納されているパラメータ文字種頻度表の文字種と比較し、上記解析対象データ要求のパラメータに、パラメータ文字種頻度表の文字種「0」の文字が存在するか否かを調べる(図15ステップS54〜S56)。
【0112】
この際の文字種の分類としては、例えば、1.数字、2.アルファベット、3.記号、4.空白と言った分類が考えられる。あるいは、さらに記号を分類したり、アルファベットと大文字と小文字で分けるなどの分類も考えられる。
【0113】
ここで、上記パラメータ文字種頻度格納機構521に格納された頻度表のうちの1つが、例えば図13に示すものであった際に、データ要求転送機構510から渡されたデータ要求が、例えば“GET/cgi−bin/calender?year=2002&month=9;evil command”というものだったとする。このとき、データ要求の種類は、“GET/cgi−bin/calender”と分類され、パラメータとしては、
「パラメータ名=year 値=2002 文字種=数字」と「パラメータ名=month 値=9;evil command 文字種=数字と記号とアルファベット」という2つのパラメータが抽出される。
【0114】
図13に示す頻度表に於いて、「パラメータ=year・文字種=数字」の頻度は「373」であり、これは不正アクセスに関わるとは判定されない。
【0115】
「パラメータ=month・文字種=数字」の頻度は「373」であり、これも不正アクセスに関わるとは判定されない。
【0116】
「パラメータ=month・文字種=記号」の頻度は「0」であり、これは不正アクセスに関わると判定される。
【0117】
「パラメータ=month・文字種=アルファベット」の頻度は「0」であり、これは不正アクセスに関わると判定される。結果として、当該解析対象データ要求は不正アクセスに関わるものと判定され、その結果がデータ要求転送機構510に返される。
【0118】
次に、データ要求転送機構510から渡されたデータ要求が、“GET/cgi−bin/calender?year=2003&month=2”というものだったとする。このとき、データ要求の種類は、“GET/cgi−bin/calender”と分類され、パラメータとしては、「パラメータ名=year 値=2003 文字種=数字」と「パラメータ名=month 値=2 文字種=数字」という2つのパラメータが抽出される。
【0119】
「パラメータ=year・文字種=数字」の頻度は「373」であり、これは不正アクセスに関わるとは判定されない。
【0120】
「パラメータ=month・文字種=数字」の頻度は「373」であり、これも不正アクセスに関わるとは判定されない。
【0121】
結果として、解析対象データ要求は不正アクセスに関わるものでは無いと判定され、その結果がデータ要求転送機構510に返される。
【0122】
また、このとき、パラメータ文字種頻度格納機構521に格納されている頻度表も図14に示すように更新される。
【0123】
不正アクセスの手段の中で、バッファオーバーフローという手口と同様に、大きな割合を占めるものとして、サーバ計算機が予測していない文字種をパラメータに含めることで任意のコマンドを実行してしまうなどの不正アクセスを行う手口があるが、上記した本発明の実施形態によるサーバ計算機保護装置を適用することで、この手口を用いた不正アクセスから、サーバ計算機を保護することが可能となる。
【0124】
このようにして、サーバ管理者が、データ要求に含まれるパラメータの各パラメータ毎の文字種について、各種データ要求毎にあらかじめ許される文字種を設定する必要の無い、保守性に優れたサーバ計算機保護装置が実現できる。
【0125】
図16は本発明の第6実施形態に於けるサーバ計算機保護装置の構成を示すブロック図である。
【0126】
図16に示すサーバ計算機保護装置に於いて、ネットワークインタフェース601Aは、ネットワークセグメント(A)を介し、クライアントとの間でパケットを送受信する機能をもつ。ネットワークインタフェース601Bは、ネットワークセグメント(B)を介し、サーバ計算機との間でパケットを送受信する機能をもつ。
【0127】
データ要求転送機構610は、データ要求受信機構611と、データ要求保留機構612と、データ要求送信機構613とを備え、ネットワークセグメント(A)およびネットワークインタフェース601Aを介して受信したデータ要求をデータ要求解析機構620に渡し、データ要求解析機構620が、上記受信したデータ要求を不正アクセスに関わるものではないと判定した場合に、上記ネットワークインタフェース601Aを介して受信したデータ要求をネットワークインタフェース601Bへ送出する機能をもつ。データ要求受信機構611は、ネットワークインタフェース601Aが受信したデータ要求を受信する機能をもつ。データ要求保留機構612は、データ要求受信機構611が受信したデータ要求をデータ要求解析機構620が解析している期間中、保留する機能をもつ。データ要求送信機構613は、データ要求解析機構620が、上記受信したデータ要求を不正アクセスに関わるものではないと判定した場合に、データ要求保留機構612に保留されているデータ要求をネットワークインタフェース601Bを介しネットワークセグメント(B)へ送出する機能をもつ。
【0128】
データ要求解析機構620は、パラメータ文字種頻度格納機構621と、データ要求パラメータ抽出機構622と、データ要求分類機構623と、不正アクセス判定機構624と、不正アクセス判定通知機構631と、判定訂正受け付け機構632と、パラメータ文字種頻度補正機構633を備え、データ要求転送機構610から渡されたデータ要求が不正アクセスに関わるものであるか否かを判定する機能をもつ。
【0129】
データ要求分類機構623は、受信したデータ要求を分類する機能をもつ。データ要求パラメータ抽出機構622は、受信したデータ要求の構造に従い当該データ要求が含有するパラメータを抽出する機能をもつ。パラメータ文字種頻度格納機構621は、データ要求分類機構623により同種と分類されたデータ要求から、データ要求パラメータ抽出機構622により抽出されたパラメータの各パラメータ毎に使用されている文字種の出現回数を頻度表として格納する機能をもつ。不正アクセス判定機構624は、解析対象データ要求からデータ要求パラメータ抽出機構622により抽出されたパラメータの各パラメータ毎に使用されている文字種が、パラメータ文字種頻度格納機構621に格納されている同一分類の頻度表との比較で文字種頻度「0」であった場合、解析対象データ要求は不正アクセスに関わるものであると判定する機能をもつ。
【0130】
不正アクセス判定通知機能631は、解析対象データ要求が不正アクセスに関わるものであると判定した際に、その旨をサーバ管理者に通知する機能をもつ。判定訂正受付け機構632は、上記通知された判定が誤っていた際に、サーバ管理者からの訂正指示を受付ける機能をもつ。パラメータ文字種頻度補正機構633は、判定訂正受付け機構632がサーバ管理者からの訂正指示を受付けた場合に、パラメータ文字種頻度格納機構621に格納されている頻度表を補正する機能をもつ。
【0131】
図16に示す本発明の第6実施形態に於けるサーバ計算機保護装置は、前述した図12に示す第5実施形態に於けるサーバ計算機保護装置の各構成要素に加えて、不正アクセス判定通知機構631と、判定訂正受付け機構632と、パラメータ文字種頻度補正機構633とを具備し、データ要求解析機構620が解析対象データ要求を不正アクセスに関わるものであると判定した際に、その判定が誤っていた場合、サーバ管理者がパラメータ文字種頻度格納機構621に格納された頻度表の補正を行えるようにしたものである。
【0132】
データ要求転送機構610からデータ要求解析機構620に、受信されたデータ要求が渡され、データ要求解析機構620に於いて、データ要求の分類とパラメータの抽出を行い、パラメータ文字種頻度格納機構621に格納されている頻度表を参照した結果、パラメータ文字種頻度格納機構621に格納されている同一分類の頻度表の文字種頻度が「0」であった場合、データ要求解析機構620は、データ要求転送機構620に、当該解析対象データ要求を不正アクセスに関わるものであるという判定結果を伝えると同時に、不正アクセス判定通知機構631により、サーバ管理者にたいして、解析対象データ要求が不正アクセスに関わるものであると判定した旨を通知する。この通知手段としては、上述した第4実施形態と同様に、メールやSNMPなどによりネットワーク経由で行う方法や、ログファイルの形で記録を残し、リモートからあるいはローカルのパネル操作などによるログ表示機能によってログを表示することで行うなどの手段がある。通知内容には少なくとも不正アクセスに関わるものであると判定したデータ要求を含む必要がある。
【0133】
不正アクセスに関わるものであると判定した旨を通知されたサーバ管理者は、当該判定が誤っていると判断した場合に、判定訂正受付け機構632を用いて、パラメータ文字種頻度格納機構621に格納されている頻度表を補正することが可能である。この際の補正手段としては、上述した第4実施形態と同様に、メールやSNMPやHTTPなどによりネットワーク経由で行う方法や、ローカルのパネル操作などによって行うなどの手段がある。
【0134】
補正の内容としては、パラメータ文字種頻度格納機構621に格納された頻度表を直接変更する方法がある。あるいは、不正アクセスに関わるという判定が誤っていたことのみ指示し、当該不正アクセスに関わると誤った判定をしたデータ要求が、不正アクセスに関わるデータ要求ではないと判定されるように、パラメータ文字種頻度格納機構621が自ら補正する方法もある。
【0135】
このようにして、データ要求が不正アクセスに関わるものであるか否かの判定をさらに正確に行うことができ、また誤って不正アクセスと判定してしまったデータ要求も、訂正後は不正アクセスと誤って判定されることがなく、さらにサーバ管理者が、データ要求に含まれるパラメータの各パラメータ毎の文字種について、種々のデータ要求について、あらかじめ許される文字種を設定する必要の無い、保守性に優れたサーバ計算機保護装置が実現できる。
【0136】
図17は本発明の第7実施形態に於ける処理の手順を示すフローチャートであり、この第7実施形態に於けるサーバ計算機保護装置の構成は、例えば図8に示す第3実施形態に於いて、データ要求パラメータ抽出機構327が、データ要求からパラメータを抽出する際に、その各パラメータに含まれる数値パラメータのみを抽出し、平均値算出機構324と分散算出機構325とが数値パラメータの値の平均値と分散を算出することにより実現可能である。この際、図8に示すデータ要求解析機構320に於いて、データ要求パラメータ抽出機構327は、受信したデータ要求の構造に従い、当該データ要求が含有するパラメータの中から数値パラメータのみを抽出する機能をもつ。平均値算出機構324は、データ要求分類機構326により同種と分類されたデータ要求からデータ要求パラメータ抽出機構327により抽出された数値パラメータの各パラメータ毎の値の平均値を算出する機能をもつ。分散算出機構325は、データ要求分類機構326により同種と分類されたデータ要求から、データ要求パラメータ抽出機構327により抽出された数値パラメータの各パラメータ毎の値の分散を算出する機能をもつ。閾値算出機構323は、データ要求分類機構326により同種と分類されたデータ要求から、データ要求パラメータ抽出機構327により抽出された数値パラメータの各パラメータ毎の値の偏差の閾値を算出する機能をもつ。偏差算出機構321は、解析対象データ要求が含有する数値パラメータの各パラメータ毎の値と、平均値算出機構324が算出した解析対象データ要求と同種と分類されたデータ要求が含有する数値パラメータの各パラメータ毎の値の平均値とから各数値パラメータの値の偏差を算出する機能をもつ。偏差比較機構322は、閾値算出機構323が算出した閾値と、偏差算出機構321が算出した偏差とを比較し、算出された偏差のうちの一つあるいは複数が閾値を超えたとき、解析対象データ要求は不正アクセスに関わるものであると判定する機能をもつ。
【0137】
この第7実施形態に於ける処理手順を図17に示している。ネットワークインタフェース301Aを介してクライアントからデータ要求を含むパケットが送出されると、当該パケットに含まれるデータ要求は、データ要求転送機構310のデータ要求受信機構311に受信される(図17ステップS71)。
【0138】
データ要求受信機構311に受信されたデータ要求は、データ要求保留機構312に保留されるとともに、データ要求解析機構320に渡され、データ要求解析機構320に於いて不正アクセスに関わるデータ要求であるか否かが判定される。
【0139】
データ要求解析機構220に渡されたデータ要求は、データ要求分類機構326によって、あらかじめ決められた種類別に分類される(図17ステップS72)。さらにその分類した種類に従い、データ要求パラメータ抽出機構327により数値パラメータが抽出され(図17ステップS73,S74)、この抽出した各数値パラメータ毎に、偏差算出機構321により、パラメータの値の平均値からの偏差が算出される(図17ステップS75)。算出された偏差は、偏差比較機構322により、閾値算出機構323が算出した数値パラメータの値の閾値と比較される(図17ステップS76,S77)。ここで、上記偏差が上記閾値を超えた際は当該解析対象データ要求が破棄される(図17ステップS78)。また、上記データ要求パラメータ抽出機構327で抽出した各数値パラメータについて、その偏差が上記閾値を超えない際は、当該解析対象データ要求がサーバ計算機に渡される(図17ステップS79〜S80)。
【0140】
このようにすることで、例えば日時、金額、期限等をパラメータとする各種のデータ要求に対して、そのデータ要求が不正アクセスに関わるものであるか否かの判定をさらに正確に行うことができるとともに、その特徴がデータベースに格納されていない新しい不正アクセス手段によりサーバへの不正アクセスが試みられた場合でも、サーバ計算機が不正にアクセスされることを防ぐことのできるサーバ計算機保護装置が実現できる。
【0141】
【発明の効果】
以上詳記したように本発明によれば、本発明は、不正アクセスに関わるものではないデータ要求のメッセージ長の平均値と分散を求め、それらの値に基づいた閾値によって、データ要求が不正アクセスに関わるものであるか否かの判定を行うことで、不正アクセスに関わるものでは無いデータ要求のメッセージ長の集合から掛け離れた長さをもつ不正アクセスに関わるデータ要求を確実に検出することができ、これにより信頼性が高く、かつ保守性に優れたサーバ計算機の不正アクセスに対する保護機能を実現できる。
【図面の簡単な説明】
【図1】本発明の第1実施形態に於けるサーバ計算機保護装置の構成を示すブロック図。
【図2】上記第1実施形態に於けるサーバ計算機保護装置のデータ要求を取出す機構の一例を示す図。
【図3】上記第1実施形態に於ける処理動作を示すフローチャート。
【図4】本発明の第2実施形態に於けるサーバ計算機保護装置の構成を示すブロック図。
【図5】上記第2実施形態に於けるサーバ計算機保護装置のデータ要求の分類例を示す図。
【図6】上記第2実施形態に於けるサーバ計算機保護装置のデータ要求の分類例を示す図。
【図7】上記第2実施形態の処理手順を示すフローチャート。
【図8】本発明の第3実施形態に於けるサーバ計算機保護装置の構成を示すブロック図。
【図9】上記第3実施形態の動作を説明するための、データ要求パラメータ抽出機構によって抽出されるパラメータのHTTPでの一例を示す図。
【図10】上記第3実施形態の処理手順を示すフローチャート。
【図11】本発明の第4実施形態に於けるサーバ計算機保護装置の構成を示すブロック図。
【図12】本発明の第5実施形態に於けるサーバ計算機保護装置の構成を示すブロック図。
【図13】上記第5実施形態に於ける頻度表の一例を示す図。
【図14】上記第5実施形態に於ける更新後の頻度表の一例を示す図。
【図15】上記第5実施形態の処理手順を示すフローチャート。
【図16】本発明の第6実施形態に於けるサーバ計算機保護装置の構成を示すブロック図。
【図17】本発明の第7実施形態に於ける処理の手順を示すフローチャート。
【図18】従来のサーバ計算機保護装置の構成を示すブロック図。
【図19】従来のサーバ計算機保護装置の構成を示すブロック図。
【符号の説明】
101A,101B,201A,201B,301A,301B,401A,401B,501A,501B,601A,601B…ネットワークインタフェース、110,210,310,410,510,610…データ要求転送機構、111,211,311,411,511,611…データ要求受信機構、112,212,312,412,512,612…データ要求保留機構、113,213,313,413,513,613…データ要求送信機構、120,220,320,420,520,620…データ要求解析機構、121,221,321,421…偏差算出機構、122,222,322,422…偏差比較機構、123,223,323,423…閾値算出機構、124,224,324,424…平均値算出機構、125,225,325,425…分散算出機構、226,326,426…データ要求分類機構、327,427…データ要求パラメータ抽出機構、431,631…不正アクセス判定通知機構、432,632…判定訂正受け付け機構、433…閾値補正機構、434…平均値補正機構、435…分散補正機構、521,621…パラメータ文字種頻度格納機構、522,622…データ要求パラメータ抽出機構、523,623…データ要求分類機構、633…パラメータ文字種頻度補正機構。

Claims (29)

  1. クライアントから送出されたデータ要求をサーバ計算機に代わり受信して、当該受信したデータ要求が不正アクセスに関わるものか否かを解析するデータ要求解析機構と、当該データ要求解析機構の判定に従い前記クライアントから送出されたデータ要求の前記サーバ計算機への転送を制御するデータ要求転送機構とを備えたサーバ計算機保護装置に於いて、
    前記データ要求解析機構は、
    前記サーバ計算機が過去の一定期間内に受信したデータ要求のメッセージ長の平均値を算出する平均値算出手段と、
    前記サーバ計算機が過去の一定期間内に受信したデータ要求のメッセージ長の分散を算出する分散算出手段と、
    前記平均値算出手段が算出した平均値と前記分散算出手段が算出した分散から、前記メッセージ長の偏差の閾値を算出する閾値算出手段と、
    前記平均値算出手段が算出した平均値と前記解析の対象にある受信したデータ要求のメッセージ長からメッセージ長の偏差を算出する偏差算出手段と、
    前記閾値算出手段が算出した閾値と前記偏差算出手段が算出した偏差を比較し、偏差が閾値を超えたとき、前記解析の対象にある受信したデータ要求は不正アクセスに関わるものであると判定する偏差比較手段とを具備し、
    前記データ要求転送機構は、前記偏差比較手段の判定に従いクライアントから送出されたデータ要求のサーバ計算機への転送を制御することを特徴とするサーバ計算機保護装置。
  2. 前記データ要求解析機構は、受信したデータ要求を分類する分類手段をさらに具備し、
    前記平均値算出手段は、前記分類手段により同種と分類されたデータ要求のメッセージ長の平均値を算出し、
    前記分散算出手段は、前記分類手段により同種と分類されたデータ要求のメッセージ長の分散を算出し、
    前記閾値算出手段は、前記分類手段により同種と分類されたデータ要求のメッセージ長の偏差の閾値を算出し、
    前記偏差算出手段は、前記解析の対象にある受信したデータ要求のメッセージ長と、前記平均値算出手段が算出した前記解析の対象にある受信したデータ要求と同種と分類されたデータ要求の平均値からメッセージ長の偏差を算出することを特徴とする請求項1記載のサーバ計算機保護装置。
  3. 前記データ要求解析機構は、受信したデータ要求の構造に従い当該データ要求からパラメータを抽出するパラメータ抽出手段をさらに具備し、
    前記平均値算出手段は、前記分類手段により同種と分類されたデータ要求のメッセージ長の平均値、および前記分類手段により同種と分類されたデータ要求から前記パラメータ抽出手段により抽出されたパラメータの長さの平均値を算出し、
    前記分散算出手段は、前記分類手段により同種と分類されたデータ要求のメッセージ長の分散、および前記分類手段により同種と分類されたデータ要求から前記パラメータ抽出手段により抽出されたパラメータの長さの分散を算出し、
    前記閾値算出手段は、前記分類手段により同種と分類されたデータ要求のメッセージ長の偏差の閾値、および前記分類手段により同種と分類されたデータ要求から前記パラメータ抽出手段により抽出されたパラメータの長さの偏差の閾値を算出し、
    前記偏差算出手段は、前記解析の対象にある受信したデータ要求のメッセージ長と、前記平均値算出手段が算出した前記解析の対象にある受信したデータ要求と同種と分類されたデータ要求の平均値からメッセージ長の偏差を算出するとともに、前記解析の対象にある受信したデータ要求に含まれるパラメータの長さと、前記平均値算出手段が算出した前記解析の対象にある受信したデータ要求と同種と分類されたデータ要求に含まれるパラメータの長さの平均値とからパラメータの長さの偏差を算出し、
    前記偏差比較手段は、前記偏差算出手段により算出された偏差が前記閾値算出手段により算出された閾値を超えたとき、前記解析の対象にあるデータ要求は不正アクセスに関わるものであると判定することを特徴とする請求項2記載のサーバ計算機保護装置。
  4. 前記データ要求解析機構は、受信したデータ要求の構造に従い当該データ要求から複数のパラメータをそれぞれ抽出するパラメータ抽出手段をさらに具備し、
    前記平均値算出手段は、前記分類手段により同種と分類されたデータ要求のメッセージ長の平均値、および前記分類手段により同種と分類されたデータ要求から前記パラメータ抽出手段により抽出されたパラメータ各々の長さの平均値を算出し、
    前記分散算出手段は、前記分類手段により同種と分類されたデータ要求のメッセージ長の分散、および前記分類手段により同種と分類されたデータ要求から前記パラメータ抽出手段により抽出されたパラメータ各々の長さの分散を算出し、前記閾値算出手段は、前記分類手段により同種と分類されたデータ要求のメッセージ長の偏差の閾値、および前記分類手段により同種と分類されたデータ要求から前記パラメータ抽出手段により抽出されたパラメータ各々の長さの偏差の閾値を算出し、
    前記偏差算出手段は、前記解析の対象にある受信したデータ要求のメッセージ長と、前記平均値算出手段が算出した前記解析の対象にある受信したデータ要求と同種と分類されたデータ要求の平均値とからメッセージ長の偏差を算出するとともに、前記解析の対象にある受信したデータ要求に含まれるパラメータ各々の長さと、前記平均値算出手段が算出した前記解析の対象にある受信したデータ要求と同種と分類されたデータ要求に含まれるパラメータ各々の長さの平均値とからパラメータ各々の長さの偏差を算出し、
    前記偏差比較手段は、前記偏差算出手段により算出された偏差のうちの一つあるいは複数が前記閾値算出手段により算出された閾値を超えたとき、前記解析の対象にある受信したデータ要求は不正アクセスに関わるものであると判定することを特徴とする請求項2記載のサーバ計算機保護装置。
  5. 前記データ要求解析機構は、前記偏差比較手段に於いて、受信したデータ要求が不正アクセスに関わるものであると判定した際に、その旨を管理者に通知する不正アクセス判定通知手段と、
    前記管理者からの訂正指示を受付ける判定訂正受付け手段と、
    前記判定訂正受付け手段が受付けた訂正指示に従い、前記平均値算出手段が算出する平均値、前記分散算出手段が算出する分散、前記閾値算出機構が算出する閾値の少なくともいずれかを補正する補正手段とをさらに具備することを特徴とする請求項1乃至4のいずれかに記載のサーバ計算機保護装置。
  6. クライアントから送出されたデータ要求をサーバ計算機に代わり受信して、当該受信したデータ要求が不正アクセスに関わるものか否かを解析するデータ要求解析機構と、当該データ要求解析機構の判定に従い前記クライアントから送出されたデータ要求の前記サーバ計算機への転送を制御するデータ要求転送機構とを備えたサーバ計算機保護装置に於いて、
    前記データ要求解析機構は、
    前記受信したデータ要求を分類する分類手段と、
    前記受信したデータ要求の構造に従い当該データ要求からパラメータを抽出するパラメータ抽出手段と、
    前記分類手段により同種と分類されたデータ要求から前記パラメータ抽出手段により抽出されたパラメータに含まれる文字種の出現回数を頻度表として保持する頻度表保持手段と、
    前記パラメータ抽出手段により抽出された前記解析の対象にある受信したデータ要求のパラメータに含まれる文字種と、前記頻度表保持手段により保持された頻度表とをもとに、前記解析の対象にある受信したデータ要求が不正アクセスに関わるものであるか否かを判定する判定手段とを具備し、
    前記データ要求転送機構は、前記判定手段の判定に従いクライアントから送出されたデータ要求のサーバ計算機への転送を制御することを特徴とするサーバ計算機保護装置。
  7. 前記パラメータ抽出手段は、前記受信したデータ要求の構造に従い当該データ要求から複数のパラメータを抽出し、
    前記頻度表保持手段は、前記分類手段により同種と分類されたデータ要求毎に、前記パラメータ抽出手段により抽出されたパラメータ各々に含まれる文字種の出現回数を頻度表として保持し、
    前記判定手段は、前記パラメータ抽出手段により抽出された前記解析の対象にある受信したデータ要求のパラメータ各々に含まれる文字種と、前記頻度表保持手段により保持された頻度表とをもとに、前記解析の対象にある受信したデータ要求が不正アクセスに関わるものであるか否かを判定する請求項6記載のサーバ計算機保護装置。
  8. 前記判定手段は、前記解析の対象にある受信したデータ要求のパラメータに含まれる文字種が、前記頻度表の頻度0の文字種、若しくは前記頻度表に存在しない文字種であるとき、前記解析の対象にある受信したデータ要求が不正アクセスに関わるものであると判定する請求項6記載のサーバ計算機保護装置。
  9. 前記判定手段は、前記解析の対象にある受信したデータ要求のパラメータに含まれる文字種が、前記頻度表の所定頻度以上の文字種であるとき、前記解析の対象にある受信したデータ要求が正当なアクセスに関わるものであると判定する請求項6記載のサーバ計算機保護装置。
  10. 前記データ要求解析機構は、前記判定手段に於いて受信したデータ要求が不正アクセスに関わるものであると判定した際に、その旨を管理者に通知する不正アクセス判定通知手段と、
    前記管理者からの訂正指示を受付ける判定訂正受付け手段と、
    前記判定訂正受付け手段が受付けた訂正指示に従い、前記頻度表を補正する補正手段とをさらに具備することを特徴とする請求項6乃至9のいずれかに記載のサーバ計算機保護装置。
  11. クライアントから送出されたデータ要求をサーバ計算機に代わり受信して、当該受信したデータ要求が不正アクセスに関わるものか否かを解析するデータ要求解析機構と、当該データ要求解析機構の判定に従い前記クライアントから送出されたデータ要求の前記サーバ計算機への転送を制御するデータ要求転送機構とを備えたサーバ計算機保護装置に於いて、
    前記データ要求解析機構は、
    前記受信したデータ要求を分類する分類手段と、
    前記受信したデータ要求の構造に従い当該データ要求に含まれるパラメータを抽出するパラメータ抽出手段と、
    前記パラメータ抽出手段により抽出されたパラメータから数値パラメータのみを抽出する数値パラメータ抽出手段と、
    前記分類手段により同種と分類された過去の一定期間内に受信したデータ要求から前記数値パラメータ抽出手段により抽出された数値パラメータの値の平均値を算出する平均値算出手段と、
    前記数値パラメータ抽出手段により抽出された数値パラメータの値の分散を算出する分散算出手段と、
    前記平均値算出手段により算出された平均値と前記分散算出手段により算出された分散から、前記数値パラメータ抽出手段により抽出された数値パラメータの値の偏差の閾値を算出する閾値算出手段と、
    前記平均値算出手段により算出された数値パラメータの値の平均値と、前記解析の対象にある受信したデータ要求の前記数値パラメータ抽出手段により抽出された数値パラメータから数値パラメータの値の偏差を算出する偏差算出手段と、前記閾値算出手段により算出された閾値と前記偏差算出手段により算出された偏差とを比較し、偏差が閾値を超えたとき、前記解析の対象にある受信したデータ要求は不正アクセスに関わるものであると判定する判定手段と
    を具備したことを特徴とするサーバ計算機保護装置。
  12. 前記数値パラメータ抽出手段は、前記受信したデータ要求の構造に従い、前記パラメータ抽出手段により抽出されたパラメータから当該パラメータに含まれる複数の数値パラメータを各パラメータ毎に抽出し、
    前記平均値算出手段は、前記分類手段により同種と分類された過去の一定期間内に受信したデータ要求の数値パラメータ各々の値の平均値を算出し、
    前記分散算出手段は、前記数値パラメータ各々の値の分散を算出し、
    前記閾値算出手段は、前記平均値算出手段により算出された平均値と前記分散算出手段により算出された分散から、前記数値パラメータ各々の値の偏差の閾値を算出し、
    前記偏差算出手段は、前記平均値算出手段により算出された平均値と、前記解析の対象にある受信したデータ要求の数値パラメータから数値パラメータ各々の値の偏差を算出し、
    前記判定手段は、前記閾値算出ステップにより算出された閾値と前記偏差算出手段により算出された偏差とを比較し、偏差のうちの一つあるいは複数が閾値を超えたとき、前記解析の対象にある受信したデータ要求は不正アクセスに関わるものであると判定することを特徴とする請求項11記載のサーバ計算機保護装置。
  13. 前記データ要求解析機構は、前記判定手段に於いて受信したデータ要求が不正アクセスに関わるものであると判定した際に、その旨を管理者に通知する不正アクセス判定通知手段と、
    前記管理者からの訂正指示を受付ける判定訂正受付け手段と、
    前記判定訂正受付け手段が受付けた訂正指示に従い、前記平均値算出手段が算出する平均値、前記分散算出手段が算出する分散、前記閾値算出機構が算出する閾値の少なくともいずれかを補正する補正手段とをさらに具備することを特徴とする請求項11または12記載のサーバ計算機保護装置。
  14. クライアントから送出されたデータ要求をサーバに代わり受信して、当該受信したデータ要求が不正アクセスに関わるものであるか否かを解析するサーバ計算機保護装置のデータ要求解析方法であって、
    前記サーバが過去の一定期間内に受信したデータ要求のメッセージ長の平均値を算出する平均値算出ステップと、
    前記サーバが過去の一定期間内に受信したデータ要求のメッセージ長の分散を算出する分散算出ステップと、
    前記平均値算出ステップで算出した平均値および前記分散算出ステップで算出した分散から前記メッセージ長の偏差の閾値を算出する閾値算出ステップと、
    前記平均値算出ステップで算出した平均値と前記解析の対象にある受信したデータ要求のメッセージ長からメッセージ長の偏差を算出する偏差算出ステップと、
    前記閾値算出ステップで算出した閾値と前記偏差算出ステップで算出した偏差を比較して、偏差が閾値を超えたとき、前記解析の対象にある受信したデータ要求は不正アクセスに関わるものであると判定する判定ステップと
    を具備したこと特徴とするサーバ計算機保護装置のデータ要求解析方法。
  15. 前記受信したデータ要求を分類する分類ステップをさらに具備し、
    前記平均値算出ステップは、前記分類ステップにより同種と分類されたデータ要求のメッセージ長の平均値を算出し、
    前記分散算出ステップは、前記分類ステップにより同種と分類されたデータ要求のメッセージ長の分散を算出し、
    前記閾値算出ステップは、前記分類ステップにより同種と分類されたデータ要求のメッセージ長の偏差の閾値を算出し、
    前記偏差算出ステップは、前記解析の対象にある受信したデータ要求のメッセージ長と、前記平均値算出ステップにより算出された前記解析の対象にあるデータ要求と同種と分類されたデータ要求の平均値とからメッセージ長の偏差を算出する請求項14記載のサーバ計算機保護装置に於けるデータ要求解析方法。
  16. 前記受信したデータ要求からパラメータを抽出するパラメータ抽出ステップをさらに具備し、
    前記平均値算出ステップは、前記分類ステップにより同種と分類されたデータ要求のメッセージ長の平均値、および前記分類ステップにより同種と分類されたデータ要求から前記パラメータ抽出ステップにより抽出されたパラメータの長さの平均値を算出し、
    前記分散算出ステップは、前記分類ステップにより同種と分類されたデータ要求のメッセージ長の分散、および前記分類ステップにより同種と分類されたデータ要求から前記パラメータ抽出ステップにより抽出されたパラメータの長さの分散を算出し、
    前記閾値算出ステップは、前記分類ステップにより同種と分類されたデータ要求のメッセージ長の偏差の閾値、および前記分類ステップにより同種と分類されたデータ要求から前記パラメータ抽出ステップにより抽出されたパラメータの長さの偏差の閾値を算出し、
    前記偏差算出ステップは、前記解析の対象にある受信したデータ要求のメッセージ長と、前記平均値算出ステップにより算出された前記解析の対象にあるデータ要求と同種と分類されたデータ要求の平均値とから前記メッセージ長の偏差を算出するとともに、前記解析の対象にある受信したデータ要求に含まれるパラメータの長さと、前記平均値算出ステップにより算出された前記解析の対象にある受信したデータ要求と同種と分類されたデータ要求に含まれるパラメータの長さの平均値とからパラメータの長さの偏差を算出し、
    前記判定ステップは、前記偏差算出ステップにより算出された偏差が前記閾値よりも大きいとき、前記解析の対象にある受信したデータ要求は不正アクセスに関わるものであると判定することを特徴とする請求項15記載のサーバ計算機保護装置に於けるデータ要求解析方法。
  17. 前記受信したデータ要求の構造に従い当該データ要求に存在する複数のパラメータをそれぞれ抽出するパラメータ抽出ステップをさらに具備し、
    前記平均値算出ステップは、前記分類ステップにより同種と分類されたデータ要求のメッセージ長の平均値、および前記分類ステップにより同種と分類されたデータ要求から前記パラメータ抽出ステップにより抽出されたパラメータ各々の長さの平均値を算出し、
    前記分散算出ステップは、前記分類ステップにより同種と分類されたデータ要求のメッセージ長の分散、および前記分類ステップにより同種と分類されたデータ要求から前記パラメータ抽出ステップにより抽出されたパラメータ各々の長さの分散を算出し、
    前記閾値算出ステップは、前記分類ステップにより同種と分類されたデータ要求のメッセージ長の偏差の閾値、および前記分類ステップにより同種と分類されたデータ要求から前記パラメータ抽出ステップにより抽出されたパラメータ各々の長さの偏差の閾値を算出し、
    前記偏差算出ステップは、前記解析の対象にある受信したデータ要求のメッセージ長と、前記平均値算出ステップにより算出された前記解析の対象にあるデータ要求と同種と分類されたデータ要求の平均値とから前記メッセージ長の偏差を算出するとともに、前記解析の対象にある受信したデータ要求のパラメータ各々の長さと、前記平均値算出ステップにより算出された前記解析の対象にある受信したデータ要求と同種と分類されたデータ要求に含まれるパラメータ各々の長さの平均値とからパラメータ各々の長さの偏差を算出し、
    前記判定ステップは、前記偏差算出ステップにより算出された偏差のうち、一つあるいは複数が前記閾値を超えたとき、前記解析の対象にある受信したデータ要求は不正アクセスに関わるものであると判定することを特徴とする請求項15記載のサーバ計算機保護装置に於けるデータ要求解析方法。
  18. 前記判定ステップに於いて、受信したデータ要求は不正アクセスに関わるものであると判定した際に、その旨を外部に通知する不正アクセス判定通知ステップと、
    外部からの訂正指示を受付けて、当該訂正指示に従い、前記平均値算出ステップ、前記分散算出ステップ、前記閾値算出ステップの少なくともいずれかの値を補正する補正ステップと
    をさらに具備した請求項14乃至17のいずれかに記載のサーバ計算機保護装置に於けるデータ要求解析方法。
  19. クライアントから送出されたデータ要求をサーバに代わり受信して、当該受信したデータ要求が不正アクセスに関わるものか否かを解析するサーバ計算機保護装置のデータ要求解析方法であって、
    前記受信したデータ要求を分類する分類ステップと、
    前記受信したデータ要求の構造に従い当該データ要求からパラメータを抽出するパラメータ抽出ステップと、
    前記分類ステップにより同種と分類されたデータ要求毎に、前記パラメータ抽出ステップにより抽出されたパラメータに含まれる文字種の出現回数を頻度表として保持する頻度表保持ステップと、
    前記パラメータ抽出ステップにより抽出された前記解析の対象にある受信したデータ要求のパラメータに含まれる文字種と、前記頻度表保持ステップにより保持された頻度表とをもとに、前記解析の対象にある受信したデータ要求が不正アクセスに関わるものであるか否かを判定する判定ステップと
    を具備したことを特徴とするサーバ計算機保護装置に於けるデータ要求解析方法。
  20. 前記パラメータ抽出ステップは、前記受信したデータ要求の構造に従い当該データ要求から複数のパラメータを抽出し、
    前記頻度表保持ステップは、前記分類ステップにより同種と分類されたデータ要求毎に、前記パラメータ抽出ステップにより抽出されたパラメータ各々に含まれる文字種の出現回数を頻度表として保持し、
    前記判定ステップは、前記パラメータ抽出ステップにより抽出された前記解析の対象にある受信したデータ要求のパラメータ各々に含まれる文字種と、前記頻度表保持ステップにより保持された頻度表とをもとに、前記解析の対象にある受信したデータ要求が不正アクセスに関わるものであるか否かを判定する請求項19記載のサーバ計算機保護装置に於けるデータ要求解析方法。
  21. 前記判定ステップは、前記解析の対象にある受信したデータ要求のパラメータに含まれる文字種が、前記頻度表の頻度0の文字種、若しくは前記頻度表に存在しない文字種であるとき、前記解析の対象にある受信したデータ要求が不正アクセスに関わるものであると判定する請求項19記載のサーバ計算機保護装置に於けるデータ要求解析方法。
  22. 前記判定ステップは、前記解析の対象にある受信したデータ要求のパラメータに含まれる文字種が、前記頻度表の所定頻度以上の文字種であるとき、前記解析の対象にある受信したデータ要求が正当なアクセスに関わるものであると判定する請求項19記載のサーバ計算機保護装置に於けるデータ要求解析方法。
  23. 前記判定ステップに於いて、受信したデータ要求は不正アクセスに関わるものであると判定した際に、その旨を外部に通知する不正アクセス判定通知ステップと、
    外部からの訂正指示を受付けて、当該訂正指示に従い、前記頻度表を補正する補正ステップと
    をさらに具備した請求項19乃至22のいずれかに記載のサーバ計算機保護装置に於けるデータ要求解析方法。
  24. クライアントから送出されたデータ要求をサーバに代わり受信して、当該受信したデータ要求が不正アクセスに関わるものか否かを解析するサーバ計算機保護装置のデータ要求解析方法に於いて、
    前記受信したデータ要求を分類する分類ステップと、
    前記受信したデータ要求の構造に従い当該データ要求からパラメータを抽出するパラメータ抽出ステップと、
    前記パラメータ抽出ステップにより抽出されたパラメータから数値パラメータのみを抽出する数値パラメータ抽出ステップと、
    前記分類ステップにより同種と分類された過去の一定期間内に受信したデータ要求から前記数値パラメータ抽出ステップにより抽出された数値パラメータの値の平均値を算出する平均値算出ステップと、
    前記数値パラメータ抽出ステップにより抽出された数値パラメータの値の分散を算出する分散算出ステップと、
    前記平均値算出ステップにより算出された平均値と前記分散算出ステップにより算出された分散から、前記数値パラメータ抽出ステップにより抽出された数値パラメータの値の偏差の閾値を算出する閾値算出ステップと、
    前記平均値算出ステップにより算出された数値パラメータの値の平均値と、前記解析の対象にある受信したデータ要求の前記数値パラメータ抽出ステップにより抽出された数値パラメータから数値パラメータの値の偏差を算出する偏差算出ステップと、
    前記閾値算出ステップにより算出された閾値と前記偏差算出ステップにより算出された偏差とを比較し、偏差が閾値を超えたとき、前記解析の対象にある受信したデータ要求は不正アクセスに関わるものであると判定する判定ステップと
    を具備したことを特徴とするサーバ計算機保護装置に於けるデータ要求解析方法。
  25. 前記数値パラメータ抽出ステップは、前記パラメータ抽出ステップにより抽出されたパラメータから当該パラメータに含まれる数値パラメータのすべてを各パラメータ毎に抽出し、
    前記平均値算出ステップは、前記分類ステップにより同種と分類された過去の一定期間内に受信したデータ要求の数値パラメータ各々の値の平均値を算出し、
    前記分散算出ステップは、前記数値パラメータ各々の値の分散を算出し、
    前記閾値算出ステップは、前記平均値算出ステップにより算出された平均値と前記分散算出ステップにより算出された分散から、前記数値パラメータ各々の値の偏差の閾値を算出し、
    前記偏差算出ステップは、前記平均値算出ステップにより算出された平均値と、前記解析の対象にある受信したデータ要求の数値パラメータから数値パラメータ各々の値の偏差を算出し、
    前記判定ステップは、前記閾値算出ステップにより算出された閾値と前記偏差算出ステップにより算出された偏差とを比較し、偏差のうちの一つあるいは複数が閾値を超えたとき、前記解析の対象にある受信したデータ要求は不正アクセスに関わるものであると判定することを特徴とする請求項24記載のサーバ計算機保護装置に於けるデータ要求解析方法。
  26. 前記判定ステップに於いて、受信したデータ要求は不正アクセスに関わるものであると判定した際に、その旨を外部に通知する通知ステップと、
    外部からの訂正指示を受付けて、当該訂正指示に従い、前記平均値算出ステップ、前記分散算出ステップ、前記閾値算出ステップの少なくともいずれかの値を補正する補正ステップとをさらに具備した請求項24記載のサーバ計算機保護装置に於けるデータ要求解析方法。
  27. クライアントから送出されたデータ要求をサーバに代わり受信して、当該受信したデータ要求が不正アクセスに関わるものであるか否かを解析するサーバ計算機保護装置のデータ要求解析装置としてコンピュータを機能させるためのプログラムであって、
    前記サーバが過去の一定期間内に受信したデータ要求のメッセージ長の平均値を算出する機能と、
    前記サーバが過去の一定期間内に受信したデータ要求のメッセージ長の分散を算出する機能と、
    前記算出した平均値および分散から前記メッセージ長の偏差の閾値を算出する機能と、
    前記算出した平均値と前記解析の対象にある受信したデータ要求のメッセージ長からメッセージ長の偏差を算出する機能と、
    前記算出した閾値と偏差を比較して、偏差が閾値を超えたとき、前記解析の対象にある受信したデータ要求は不正アクセスに関わるものであると判定する機能と
    をコンピュータに実現させるためのプログラム。
  28. クライアントから送出されたデータ要求をサーバに代わり受信して、当該受信したデータ要求が不正アクセスに関わるものであるか否かを解析するサーバ計算機保護装置のデータ要求解析装置としてコンピュータを機能させるためのプログラムであって、
    前記受信したデータ要求を分類する機能と、
    前記受信したデータ要求の構造に従い当該データ要求からパラメータを抽出する機能と、
    前記分類により同種と分類されたデータ要求毎に、前記抽出したパラメータに含まれる文字種の出現回数を頻度表として保持する機能と、
    前記抽出した前記解析の対象にある受信したデータ要求のパラメータに含まれる文字種と、前記頻度表とをもとに、前記解析の対象にある受信したデータ要求が不正アクセスに関わるものであるか否かを判定する機能と
    をコンピュータに実現させるためのプログラム。
  29. クライアントから送出されたデータ要求をサーバに代わり受信して、当該受信したデータ要求が不正アクセスに関わるものであるか否かを解析するサーバ計算機保護装置のデータ要求解析装置としてコンピュータを機能させるためのプログラムであって、
    前記受信したデータ要求を分類する機能と、
    前記受信したデータ要求の構造に従い当該データ要求からパラメータを抽出する機能と、
    前記抽出したパラメータから数値パラメータのみを抽出する機能と、
    前記分類により同種と分類された過去の一定期間内に受信したデータ要求から前記抽出した数値パラメータの値の平均値を算出する機能と、
    前記抽出した数値パラメータの値の分散を算出する機能と、
    前記算出した平均値と分散から、前記抽出した数値パラメータの値の偏差の閾値を算出する機能と、
    前記算出した数値パラメータの値の平均値と、前記解析の対象にある受信したデータ要求より抽出した数値パラメータから数値パラメータの値の偏差を算出する機能と、
    前記算出した閾値と偏差とを比較し、偏差が閾値を超えたとき、前記解析の対象にある受信したデータ要求は不正アクセスに関わるものであると判定する機能と
    をコンピュータに実現させるためのプログラム。
JP2003016291A 2003-01-24 2003-01-24 サーバ計算機保護装置、同装置のデータ要求解析方法およびプログラム Expired - Fee Related JP3651610B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003016291A JP3651610B2 (ja) 2003-01-24 2003-01-24 サーバ計算機保護装置、同装置のデータ要求解析方法およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003016291A JP3651610B2 (ja) 2003-01-24 2003-01-24 サーバ計算機保護装置、同装置のデータ要求解析方法およびプログラム

Publications (2)

Publication Number Publication Date
JP2004229092A JP2004229092A (ja) 2004-08-12
JP3651610B2 true JP3651610B2 (ja) 2005-05-25

Family

ID=32903796

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003016291A Expired - Fee Related JP3651610B2 (ja) 2003-01-24 2003-01-24 サーバ計算機保護装置、同装置のデータ要求解析方法およびプログラム

Country Status (1)

Country Link
JP (1) JP3651610B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4887081B2 (ja) * 2006-06-12 2012-02-29 株式会社Kddi研究所 通信監視装置、通信監視方法およびプログラム

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001313640A (ja) * 2000-05-02 2001-11-09 Ntt Data Corp 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体
JP2002330177A (ja) * 2001-03-02 2002-11-15 Seer Insight Security Inc セキュリティ管理サーバおよびこれと連携して動作するホストサーバ
JP2002342279A (ja) * 2001-03-13 2002-11-29 Fujitsu Ltd フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム

Also Published As

Publication number Publication date
JP2004229092A (ja) 2004-08-12

Similar Documents

Publication Publication Date Title
US7958549B2 (en) Attack defending system and attack defending method
US6981280B2 (en) Intelligent network scanning system and method
US20190334948A1 (en) Webshell detection method and apparatus
US9507944B2 (en) Method for simulation aided security event management
US7325249B2 (en) Identifying unwanted electronic messages
US9736260B2 (en) Redirecting from a cloud service to a third party website to save costs without sacrificing security
US8689276B2 (en) System and method for controlling access to files
US20060069687A1 (en) Session continuity for providing content to a remote device
EP3447669B1 (en) Information leakage detection method and device, server, and computer-readable storage medium
US8112517B2 (en) Relay system, relay program, and relay method
US10498760B1 (en) Monitoring system for detecting and preventing a malicious program code from being uploaded from a client computer to a webpage computer server
CN103607385A (zh) 基于浏览器进行安全检测的方法和装置
US10686808B2 (en) Notification for reassembly-free file scanning
CN111064780B (zh) 一种多任务内容更新方法、装置、设备及介质
US8023512B2 (en) Communication device
US8473556B2 (en) Apparatus, a method, a program and a system for processing an e-mail
JP2008015733A (ja) ログ管理計算機
CN109688099B (zh) 服务器端撞库识别方法、装置、设备及可读存储介质
JP3651610B2 (ja) サーバ計算機保護装置、同装置のデータ要求解析方法およびプログラム
CN115297104B (zh) 文件上传方法、装置、电子设备和存储介质
TW201928746A (zh) 偵測惡意程式的方法和裝置
JP4334605B2 (ja) 不正アクセス防止装置および不正アクセス防止プログラム
CN110311850A (zh) 一种基于网络的数据处理方法及电子设备
CN117376034B (zh) 基于用户行为关联的网络流量识别系统、方法及介质
US11528189B1 (en) Network device identification and categorization using behavioral fingerprints

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050128

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050208

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050215

R151 Written notification of patent or utility model registration

Ref document number: 3651610

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080304

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090304

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100304

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100304

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110304

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120304

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130304

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140304

Year of fee payment: 9

LAPS Cancellation because of no payment of annual fees