JP3748192B2 - 不正通信ソフトウェア検出方法 - Google Patents
不正通信ソフトウェア検出方法 Download PDFInfo
- Publication number
- JP3748192B2 JP3748192B2 JP2000047220A JP2000047220A JP3748192B2 JP 3748192 B2 JP3748192 B2 JP 3748192B2 JP 2000047220 A JP2000047220 A JP 2000047220A JP 2000047220 A JP2000047220 A JP 2000047220A JP 3748192 B2 JP3748192 B2 JP 3748192B2
- Authority
- JP
- Japan
- Prior art keywords
- unauthorized communication
- digital signature
- background process
- daemon
- detection method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明は、不正通信ソフトウェア検出方法に関し、特に認証書と秘密鍵とを用いて署名・検証を行う認証書システムを利用することにより不正通信ソフトウェアを自動的に判別する不正通信ソフトウェア検出方法に関する。
【0002】
【従来の技術】
図24は、従来の不正通信ソフトウェア検出方法を示す。図24において、符号50は管理対象のコンピュータであるパーソナル・コンピュータ(Personal Computer : PC)またはワークステーション(Work Station : WS)(以下、「PC等」という)、51はPC等50内で生成されたバックグラウンド・プロセスのエフ・ティ・ピー・デーモン(ftpDaemon : 以下、「ftpデーモン」という)、52はPC等50内で生成されたバックグラウンド・プロセスのテルネット・デーモン(telnetDaemon : 以下、「telnetデーモン」という)、53はPC等50内に不正に仕掛けられた不正通信ソフトウェアであるバックドア(Back Door)、60はプロセスと各デーモンが出力するログ等とを逐一監視し、ネットワークを管理するネットワーク管理者、70は正規にPC等50を利用する正規利用者、80はセキュリティ・ホール(security hole)等を利用してPC等50内に侵入し、本来のデーモン51等をバックドア・デーモンに入れ替えたり、一度作成した抜け道を通して正規利用者70に取って代わる不正通信を行なう侵入者、400はPC等50、ネットワーク管理者60、正規利用者70および侵入者80を接続するネットワークである。以下「ネットワーク」という場合、接続されたPC等50も含めた全体を表現する場合にも用いる。
【0003】
次に動作について説明する。従来、ネットワーク管理者60は、プロセスリストを表示させたときに経験から考えてプロセスが不審な実行のされ方をしていることに偶然に気付いた場合、オペレーティング・システムが残す膨大なログファイルを定期的に監視することにより、不正通信ソフトウェアである証拠を押さえ、それをもとにしてネットワーク400のどこかに隠されているバックドア53を探していた。
【0004】
【発明が解決しようとする課題】
上述のように、不正通信を助けるバックドア53はネットワーク400に巧妙に隠されて仕掛けられているため、バックドア53の発見は豊富な経験を持ったネットワーク管理者60の勘に頼っていた。一方、下位のプロトコル層のネットワーク通信サービスを提供するftpデーモン51等のデーモン・プログラムまたはデーモン・ソフトウェア(以下、「デーモン・プログラム」という)は、通常ファイルと同様にユーザの権限に基づくアクセス制限によってのみセキュリティを確保されている。従って、ネットワーク通信サービスを提供するデーモン・プログラムそのものを入れ替えられた場合、ログファイルの詳細な解析以外にバックドア53を効率的に検出することは極めて困難であるという問題があった。
【0005】
そこで、本発明の目的は、上記問題を解決するためになされたものであり、不正通信を助けるバックドア53等のソフトウェアを効率的に検出することができる不正通信ソフトウェア検出方法を提供することにある。
【0006】
【課題を解決するための手段】
この発明の不正通信ソフトウェア検出方法は、ネットワークを介して接続された複数のコンピュータ間で不正な通信を行なうソフトウェアを検出する不正通信ソフトウェア検出方法であって、
前記複数のコンピュータ上で各々デーモン・プログラムをメイクしてバックグラウンド・プロセスを生成する際に同時に、
(イ)ディジタル署名の対象となるデータを各々ハッシュするハッシュステップと、
(ロ)前記ハッシュステップによりハッシュされたデータを各コンピュータの有する所定の秘密鍵で各々変換して各ディジタル署名を生成するディジタル署名ステップと、
(ハ)前記ディジタル署名ステップにより生成された各ディジタル署名をネットワークを介して接続された記録装置に各々記録するディジタル署名記録ステップとを有し、
前記各バックグラウンド・プロセスが他のコンピュータ上の対応する他のバックグラウンド・プロセスと通信を行なう場合、前記記録装置に記録された当該他のバックグラウンド・プロセスのディジタル署名を読み出し、当該他のバックグラウンド・プロセスのデジタル署名を他のコンピュータの有する所定の秘密鍵に対応する公開鍵で変換して検証することにより、当該他のバックグラウンド・プロセスが不正な通信を行うソフトウェアであるか否かを認証する認証ステップとを備えたものである。
【0007】
この発明の不正通信ソフトウェア検出方法は、ネットワークを介して接続された複数のコンピュータ間で不正な通信を行なうソフトウェアを検出する不正通信ソフトウェア検出方法であって、
前記複数のコンピュータ上で各々デーモン・プログラムをメイクしてバックグラウンド・プロセスを生成する際に、
(イ)各バックグランド・プロセスに対し各々公開鍵演算を施して秘密鍵と認証書とを生成する鍵ペア生成ステップと、
(ロ)前記鍵ペア生成ステップにより生成された秘密鍵で各バックグランド・プロセスを変換し、各ディジタル署名を生成するディジタル署名ステップとを有し、
前記各バックグラウンド・プロセスが他のコンピュータ上の対応する他のバックグラウンド・プロセスと通信を行なう場合、ディジタル署名された当該他のバックグラウンド・プロセスを読み込み当該他のバックグランド・プロセスの公開されている認証書で変換して検証することにより、当該他のバックグラウンド・プロセスが不正な通信を行うソフトウェアであるか否かを認証する認証ステップとを備えたものである。
【0008】
ここで、この発明の不正通信ソフトウェア検出方法は、前記認証ステップにおいて前記他のバックグラウンド・プロセスが不正な通信を行うソフトウェアではないと認証された後に、前記記録装置に記録された各ディジタル署名を所定の期間毎に相互に交換して検証を行なう交換ステップをさらに備えることができるものである。
【0009】
ここで、この発明の不正通信ソフトウェア検出方法において、前記ディジタル署名ステップは、前記鍵ペア生成ステップにより生成された秘密鍵で各バックグランド・プロセスが出力する所定のデータを変換し、各ディジタル署名を生成し、
前記認証ステップは、各バックグラウンド・プロセスが他のコンピュータ上の対応する他のバックグラウンド・プロセスと通信を行なう場合、ディジタル署名された当該他のバックグラウンド・プロセスが出力する所定のデータを当該他のバックグランド・プロセスの公開されている認証書で変換して検証することにより、当該他のバックグラウンド・プロセスが不正な通信を行うソフトウェアであるか否かを認証することができるものである。
【0010】
ここで、この発明の不正通信ソフトウェア検出方法において、前記所定のデータは、バックグラウンド・プロセスが出力するログ・ファイルとすることができるものである。
【0011】
ここで、この発明の不正通信ソフトウェア検出方法において、前記所定のデータは、バックグラウンド・プロセスが出力するパケット・データとすることができるものである。
【0012】
ここで、この発明の不正通信ソフトウェア検出方法において、前記ディジタル署名記録ステップは、前記ディジタル署名ステップにより生成された各ディジタル署名を前記バックグラウンド・プロセスに固有の記録装置に各々記録することができるものである。
【0013】
ここで、この発明の不正通信ソフトウェア検出方法において、前記所定のデータは、バックグラウンド・プロセスの構成を記録した設定ファイルであり、前記認証ステップは、正規のユーザがバックグラウンド・プロセスの利用を行なう場合、ディジタル署名された該バックグラウンド・プロセスの設定ファイルを該バックグランド・プロセスの認証書で変換して検証することにより、該バックグラウンド・プロセスが不正な通信を行うソフトウェアであるか否かを認証することができるものである。
【0014】
ここで、この発明の不正通信ソフトウェア検出方法において、前記ディジタル署名ステップは、前記ハッシュステップによりハッシュされたデータを各コンピュータに共通の秘密鍵で各々変換して各ディジタル署名を生成し、前記ディジタル署名記録ステップは、前記ディジタル署名ステップにより生成された各ディジタル署名を前記バックグラウンド・プロセスに固有の記録装置に各々記録し、前記認証ステップの後に、正規のユーザがバックグラウンド・プロセスの実行設定を行なう場合、前記認証ステップにより不正な通信を行うソフトウェアではないと認証されたバックグラウンド・プロセスに対して所定のコマンドを送り、該所定のコマンドに対して各バックグラウンド・プロセスから返された結果の多数決をとることにより、バックグラウンド・プロセスが不正な通信を行うソフトウェアであるか否かを認証することができるものである。
【発明の詳細な説明】
【0015】
【発明の実施の形態】
以下、図面を参照して、本発明の実施の形態を詳細に説明する。
【0016】
図1は、本発明の各実施の形態に共通する概要を示す。図1において、符号10はサーバ・コンピュータ1、15はサーバ・コンピュータ1(10)のログファイル等、20はサーバ・コンピュータ2、25はサーバ・コンピュータ2(20)のログファイル等、30はプリンタ・サーバ、32はPC、35はノートブック型のPC、37はサーバ・コンピュータ1(10)、サーバ・コンピュータ2(20)、プリンタ・サーバ30、PC32およびノートブック型のPC35等を接続するネットワークである。
【0017】
図1に示されるように、サーバ・コンピュータ1(10)またはサーバ・コンピュータ2(20)は、各々ログファイル等15または25の中に、デーモン・プログラムを生成した際にハッシュ・アルゴリズムにより得られた値を埋め込んでおく。具体的にはログファイル15の中の下線17またはログファイル25の中の下線27で示されるsyslogd等が、定期的にお互いのハッシュ値を計算し、相手のデーモン・プログラムがバックドアに置きかえられていなかどうかを検査する。このため一般的にトロイの木馬(Trojan Horse)といわれる、ユーティリティに見せかけておいて取り込んで実行するとシステムを破壊等するソフトウェアを仕込まれてしまった場合でも、その検出を容易に行なうことができる。
【0018】
実施の形態1.
図2ないし4は、本発明の実施の形態1における不正通信ソフトウェア検出方法を示す。図2ないし4において、符号100は管理対象のコンピュータであるPC等A、110はPC等A100内で生成されたftpデーモン、120はPC等A110内で生成されたtelnetデーモン、200は管理対象のコンピュータであるPC等B、210はPC等B200内で生成されたftpデーモン、220はPC等B200内で生成されたtelnetデーモン、300はPC等A100またはPC等B200がハッシュ値等のデータを記録する記録装置、310はtelnetデーモン120が記録装置300に記録するディジタル署名されたハッシュ値(H(A,telnet))、320はftpデーモン110が記録装置300に記録するディジタル署名されたハッシュ値(H(A,ftp))、330はtelnetデーモン220が記録装置300に記録するディジタル署名されたハッシュ値(H(B,telnet))、340はftpデーモン210が記録装置300に記録するディジタル署名されたハッシュ値(H(B,ftp))、350は記録装置300に記録されたその他の値、400はPC等A100、PC等B200および記録装置300を接続するネットワークである。
【0019】
図2に示されるように、PC等A100またはPC等B200においてネットワーク通信を行うデーモン・プログラムをメイク(make)する際に、同時に、ディジタル署名の対象となるデータをハッシュ(Hash)してハッシュ値を作成する。次に、このハッシュ値をPC等A100またはPC等B200が有する所定の秘密鍵で各々変換してディジタル署名を生成し、このディジタル署名を記録装置300に各々記録する(ステップS10、S12,S15、S17)。このハッシュ値はデーモン・プログラム毎に固有に署名されているため改竄される心配はない。格納場所は記録装置300だけではなく任意に決められた場所であってもよい。
【0020】
図3に示されるように、管理対象のPC等B200内のftpデーモン210がPC等A100内の対応するftpデーモン110と通信を行なう場合、記録装置300に記録されたftpデーモン110が生成し記録したディジタル署名320をPC等A100の有する所定の秘密鍵に対応する公開鍵で変換して検証する(ステップS20)。この検証により、ftpデーモン110が不正な通信を行うソフトウェアであるか否かを認証することができる(ステップS30)。以上と同様の操作をPC等A100側も行ない、お互いに認証が終わってから、TCP層でのコネクションを張る(ステップS40)。
【0021】
図4に示されるように、何らかのセキュリティ・ホールを利用して侵入した正規でないユーザ130が、あるデーモン・プログラム、例えばftpデーモン110を不正通信ソフトウェアであるバックドア115と入れ替えた場合を考える。上述のように、改竄不可能な、ftpデーモン110が生成し記録したディジタル署名320はそのまま記録装置300内に残っている。したがって、ftpデーモン210とバックドア115とが上述のように相互に認証を行った場合、バックドア115に置きかえられていることを検出することができる(ステップS70)。最後に、バックドア115にはPCウィルスに類似の機能がある危険性を考えて、ftpデーモン210はネットワーク管理者に通知を行い、バックドア115とのコネクションを自動的に切断する(ステップS80)。
【0022】
以上より、実施の形態1によれば、改竄不可能なディジタル署名されたハッシュ値をデーモン・プログラム毎に記録しておくことができるため、デーモン・プログラムが不正な通信を行うバックドアに置きかえられた場合であっても、このバックドアを簡易に検出することができる。
【0023】
実施の形態2.
図5ないし7は、本発明の実施の形態2における不正通信ソフトウェア検出方法を示す。図2ないし4で図2ないし4と同じ符号を付した箇所は同じ機能を有するため説明は省略する。図5ないし7において、符号500は秘密鍵510と認証書520とを生成するPC等B200のインストーラ、600は秘密鍵610と認証書620とを生成するPC等A100のインストーラである。
【0024】
図5に示されるように、PC等A100においてネットワーク通信を行うデーモン・プログラムをメイク(make)する際に、各デーモン110、120等毎に各々公開鍵演算を施して秘密鍵610と認証書620とを生成する(ステップS100)。PC等B200においても同様に、ネットワーク通信を行うデーモン・プログラムをメイク(make)する際に、各デーモン210、220等毎に各々公開鍵演算を施して秘密鍵510と認証書520とを生成する(ステップS200)。次に、PC等A100において、生成された秘密鍵610でftpデーモン110等を変換し、ディジタル署名を生成する(ステップS120)。PC等B200においても同様に、生成された秘密鍵510でftpデーモン210等を変換し、ディジタル署名を生成する(ステップS220)。
【0025】
図6に示されるように、PC等B200のftpデーモン210は、PC等A100の対応するftpデーモン110のディジタル署名された実行形式のファイルを読みこみ(ステップS300)、公開されている認証書620で変換して検証することにより、ftpデーモン110が不正な通信を行うバックドアであるか否かを認証する(ステップS375)。以上の操作をPC等A100側からも行ない、ftpデーモン210が不正な通信を行うバックドアであるか否かを認証する(ステップS325、S350)。以上の検証を相互に行なった後、TCP層でのコネクションを張る。
【0026】
図7に示されるように、何らかのセキュリティ・ホールを利用して侵入した正規でないユーザが、あるデーモン・プログラム、例えばftpデーモン110を不正通信ソフトウェアであるバックドア115と入れ替えた場合を考える。上述のように、入れかえられたバックドア115にはディジタル署名されていないため、ftpデーモン210とバックドア115とが上述のように相互に認証を行った場合、バックドア115に置きかえられていることを検出することができる(ステップS400、S420)。最後に、バックドア115にはPCウィルスに類似の機能がある危険性を考えて、ftpデーモン210はネットワーク管理者に通知を行い、バックドア115とのコネクションを自動的に切断する。
【0027】
以上より、実施の形態2によれば、デーモン・プログラムにディジタル署名しておくことができるため、デーモン・プログラムが不正な通信を行うバックドアに置きかえられた場合であっても、このバックドアを簡易に検出することができる。
【0028】
実施の形態3.
図8ないし10は、本発明の実施の形態3における不正通信ソフトウェア検出方法を示す。図8ないし10で図5ないし7と同じ符号を付した箇所は同じ機能を有するため説明は省略する。
【0029】
図8に示されるように、PC等A100またはPC等B200においてネットワーク通信を行うデーモン・プログラムをメイク(make)する際に、同時に、ディジタル署名の対象となるデータをハッシュ(Hash)してハッシュ値を作成する。次に、このハッシュ値をPC等A100またはPC等B200が有する所定の秘密鍵で各々変換してディジタル署名を生成し、このディジタル署名を記録装置300に各々記録する(ステップS500、S520、S530、S540)。このハッシュ値はデーモン・プログラム毎に固有に署名されているため改竄される心配はない。格納場所は記録装置300だけではなく任意に決められた場所であってもよい。
【0030】
図9に示されるように、管理対象のPC等B200内のftpデーモン210がPC等A100内の対応するftpデーモン11と通信を行なう場合、記録装置300に記録されたftpデーモン110が生成し記録したディジタル署名320をPC等A100の有する所定の秘密鍵に対応する公開鍵で変換して検証する(ステップS600)。この検証により、ftpデーモン110が不正な通信を行うソフトウェアであるか否かを認証することができる(ステップS620)。以上と同様の操作をPC等A100側も行ない、お互いに認証が終わってから、TCP層でのコネクションを張る。次に、ftpデーモン210と110とは定期的にディジタル署名されたハッシュ値を交換し、常時デーモン・プログラムを監視する(ステップS630)。元のデーモン・プログラム110等が入れ替わる場合は、必ず1度はTCPコネクションが自動的に切断される。
【0031】
図10に示されるように、何らかのセキュリティ・ホールを利用して侵入した正規でないユーザ130が、あるデーモン・プログラム、例えばftpデーモン110を不正通信ソフトウェアであるバックドア115と入れ替えた場合を考える。上述のように、元のデーモン・プログラム110等が入れ替わる場合は、必ず1度はTCPコネクションが自動的に切断されるため、ftpデーモン210とバックドア115とが上述のように相互に認証を行った場合、機能の一部をコピーしたバックドア115に置きかえられていることを検出することができる(ステップS700)。最後に、バックドア115にはPCウィルスに類似の機能がある危険性を考えて、ftpデーモン210はネットワーク管理者に通知を行い、バックドア115とのコネクションを自動的に切断する(ステップS750)。
【0032】
以上より、実施の形態3によれば、デーモン・プログラムがお互いに認証を終わり、TCP層でのコネクションを張った後も、デーモン間で定期的にディジタル署名されたハッシュ値を交換し、常時デーモン・プログラムを監視することができるため、デーモン・プログラムが不正な通信を行うバックドアに置きかえられた場合であっても、このバックドアを簡易に検出することができる。
【0033】
実施の形態4.
図11および12は、本発明の実施の形態4における不正通信ソフトウェア検出方法を示す。図11および12で図2ないし4と同じ符号を付した箇所は同じ機能を有するため説明は省略する。図11および12において、符号800はftpデーモン110が出力するログファイル、700は正規利用者である。
【0034】
実施の形態2においては、生成された秘密鍵610でftpデーモン110等を変換しディジタル署名を生成したが、本実施の形態4においては実施の形態2と異なり、生成された秘密鍵610でftpデーモン110が出力するログファイル800にディジタル署名を行なうことができる(ステップS810)。正規利用者700は、利用したいデーモン・プログラムが出力するログファイル800を公開された認証書620で検証し、デーモン・プログラム110が正当なものであるか否かを検証することができる(ステップS820)。これにより、正規利用者700が正規のデーモン・プログラム110等を正しく使っていることが保障される。他は実施の形態2と同様である。
【0035】
図12に示されるように、何らかのセキュリティ・ホールを利用して侵入した正規でないユーザが、あるデーモン・プログラム、例えばftpデーモン110を不正通信ソフトウェアであるバックドア115と入れ替えた場合を考える。上述のように、入れかえられたバックドア115が出力したログファイル800にはディジタル署名されていない。したがって、公開された認証書620を用いることにより(ステップS900)、バックドア115に置きかえられていることを検出することができる(ステップS910)。最後に、バックドア115にはPCウィルスに類似の機能がある危険性を考えて、ftpデーモン210はネットワーク管理者に通知を行い、バックドア115とのアクセスが禁止される(ステップS920)。
【0036】
以上より、実施の形態4によれば、デーモン・プログラムが出力するログファイルにディジタル署名しておくことができるため、デーモン・プログラムが不正な通信を行うバックドアに置きかえられた場合であっても、このバックドアを簡易に検出することができる。
【0037】
実施の形態5.
図13および14は、本発明の実施の形態5における不正通信ソフトウェア検出方法を示す。図13および14で図11および12と同じ符号を付した箇所は同じ機能を有するため説明は省略する。
【0038】
実施の形態4においては、生成された秘密鍵610でftpデーモン110が出力するログファイル800にディジタル署名を行なったが、本実施の形態5においては実施の形態4と異なり、ftpデーモン110が出力するパケット810に逐次署名を行なうことができる(ステップS1000)。正規利用者700は、利用したいデーモン・プログラムが出力するパケット810を公開された認証書620で検証し、デーモン固有のパケットであるか否かを検証することができる(ステップS1100、S1110)。これにより、正規利用者700が正規のデーモン・プログラム110等を正しく使っていることが保障される。他は実施の形態4と同様である。
【0039】
図14に示されるように、何らかのセキュリティ・ホールを利用して侵入した正規でないユーザが、あるデーモン・プログラム、例えばftpデーモン110を不正通信ソフトウェアであるバックドア115と入れ替えた場合を考える。上述のように、入れかえられたバックドア115が出力したパケット810にはディジタル署名されていない。したがって、公開された認証書620を用いることにより(ステップS1200)、ftpデーモン110に固有のパケットではないことを検知し、バックドア115に置きかえられていることを検出することができる(ステップS1210)。最後に、バックドア115にはPCウィルスに類似の機能がある危険性を考えて、ftpデーモン210はネットワーク管理者に通知を行い、バックドア115とのアクセスが禁止される(ステップS1220)。
【0040】
以上より、実施の形態5によれば、デーモン・プログラムが出力するパケットに逐次ディジタル署名しておくことができるため、デーモン・プログラムが不正な通信を行うバックドアに置きかえられた場合であっても、このバックドアを簡易に検出することができる。
【0041】
実施の形態6.
図15ないし17は、本発明の実施の形態6における不正通信ソフトウェア検出方法を示す。図15ないし17で図2ないし4と同じ符号を付した箇所は同じ機能を有するため説明は省略する。図15ないし17において、符号150はtelenet デーモン120がディジタル署名等を出力する記録装置、250はtelnetデーモン220がディジタル署名等を出力する記録装置、1000は管理対象のコンピュータであるPC等D、1120はPC等D1000内で生成されたtelnetデーモン、1150はtelnetデーモン1110がディジタル署名等を出力する記録装置、1200は管理対象のコンピュータであるPC等C、1220はPC等C1200内で生成されたtelnetデーモン、1250はtelnetデーモン1220がディジタル署名等を出力する記録装置である。
【0042】
図15に示されるように、PC等A100、PC等B200、PC等C1200およびPC等D1000においてネットワーク通信を行うデーモン・プログラムをメイク(make)する際に、同時に、ディジタル署名の対象となるデータをハッシュ(Hash)してハッシュ値を作成する。次に、このハッシュ値をPC等A100、PC等B200、PC等C1200、PC等D1000が各々有する所定の秘密鍵で変換してディジタル署名を生成する。このディジタル署名を各々の記録装置150、250、1250または1150に記録する(ステップS1300、S1310、S1330、S1320)。このハッシュ値はデーモン・プログラム毎に固有に署名されているため改竄される心配はない。格納場所は記録装置150等だけではなく任意に決められた場所であってもよい。
【0043】
図16に示されるように、例えば管理対象のPC等A100内のtelnet デーモン120がPC等B200内の対応するtelnetデーモン220と通信を行なう場合、記録装置250に記録されたtelnetデーモン220が生成し記録したディジタル署名をPC等B200の有する所定の秘密鍵に対応する公開鍵で変換して検証する(ステップS1510)。この検証により、telnetデーモン220が不正な通信を行うソフトウェアであるか否かを認証することができる。以上と同様の操作をPC等B200側も行ない、お互いに認証が終わってから、TCP層でのコネクションを張る(ステップS1610)。telnet デーモン120が他のtelnetデーモン1220または1120と通信を行なう場合にも、上述と同様の認証を行なう。このようにして、互いに違うデーモン・プログラムを相互に監視し合うことができる。
【0044】
図17に示されるように、何らかのセキュリティ・ホールを利用して侵入した正規でないユーザが、あるデーモン・プログラム、例えばtelnet デーモン1120を不正通信ソフトウェアであるバックドア115と入れ替えた場合を考える。上述のように、改竄不可能な、telnet デーモン1120が生成し記録したディジタル署名はそのまま記録装置1150内に残っている。したがって、例えばtelnetデーモン1220とバックドア115とが上述のように相互に認証を行った場合、バックドア115に置きかえられていることを検出することができる(ステップS1700)。最後に、バックドア115にはPCウィルスに類似の機能がある危険性を考えて、telnetデーモン1220はネットワーク管理者に通知を行い、バックドア115とのコネクションを自動的に切断する(ステップS1710)。
【0045】
以上より、実施の形態6によれば、改竄不可能なディジタル署名されたハッシュ値をデーモン・プログラム毎に異なる記録装置に記録しておくことができるため、デーモン・プログラムが不正な通信を行うバックドアに置きかえられた場合であっても、このバックドアを簡易に検出することができる。
【0046】
実施の形態7.
図18および19は、本発明の実施の形態7における不正通信ソフトウェア検出方法を示す。図18および19で図11および12と同じ符号を付した箇所は同じ機能を有するため説明は省略する。図18および19において、符号850はftpデーモン110等の構成を記録した設定ファイルである。
【0047】
実施の形態4においては、生成された秘密鍵610でftpデーモン110が出力するログファイル800にディジタル署名を行なったが、本実施の形態7においては実施の形態4と異なり、設定ファイル850に逐次署名を行なうことができる(ステップS1810)。デーモン・プログラムを意図的に動かす上で設定ファイル850は必要不可欠なものであるから、設定ファイル850に署名を行い、改竄から守ることは重要である。正規利用者700は、利用したいデーモン・プログラムの設定ファイル850を公開された認証書620で検証し、デーモン固有の設定ファイルであるか否かを検証することができる(ステップS1820)。これにより、正規利用者700が正規のデーモン・プログラム110等を正しく使っていることが保障される。他は実施の形態4と同様である。
【0048】
図19に示されるように、何らかのセキュリティ・ホールを利用して侵入した正規でないユーザが、あるデーモン・プログラム、例えばftpデーモン110を不正通信ソフトウェアであるバックドア115と入れ替えた場合を考える。上述のように、入れかえられたバックドア115の設定ファイル850にはディジタル署名されていない。したがって、公開された認証書620を用いることにより(ステップS1900)、ftpデーモン110に固有の設定ファイルではないことを検知し、バックドア115に置きかえられていることを検出することができる(ステップS1920)。最後に、バックドア115にはPCウィルスに類似の機能がある危険性を考えて、ftpデーモン210はネットワーク管理者に通知を行い、バックドア115とのアクセスが禁止される(ステップS1920)。
【0049】
以上より、実施の形態7によれば、デーモン・プログラムに固有の設定ファイルに逐次ディジタル署名しておくことができるため、デーモン・プログラムが不正な通信を行うバックドアに置きかえられた場合であっても、このバックドアを簡易に検出することができる。
【0050】
実施の形態8.
図20ないし23は、本発明の実施の形態8における不正通信ソフトウェア検出方法を示す。図20ないし23で図15ないし17と同じ符号を付した箇所は同じ機能を有するため説明は省略する。記録装置150および1250は簡略化のため図20ないし22では省略する。
【0051】
図20に示されるように、PC等A100、PC等B200およびPC等C1200においてネットワーク通信を行うデーモン・プログラムをメイク(make)する際に、同時に、ディジタル署名の対象となるデータをハッシュ(Hash)してハッシュ値を作成する。次に、このハッシュ値をPC等A100、PC等B200、PC等C1200が共通に有する所定の秘密鍵で変換してディジタル署名を生成する。この共通に作成されたディジタル署名を、各記録装置150、250または1250に記録する(ステップS2000、S2010、S2020)。このハッシュ値はデーモン・プログラムに共通に署名されているため改竄される心配はない。格納場所は記録装置250等だけではなく任意に決められた場所であってもよい。
【0052】
図21に示されるように、例えば管理対象のPC等A100内のtelnetデーモン110がPC等B200内の対応するtelnetデーモン220と通信を行なう場合、記録装置250に記録された共通に作成されたディジタル署名を共通の秘密鍵に対応する公開鍵で変換して検証する(ステップS2100)。この検証により、telnetデーモン220が不正な通信を行うソフトウェアであるか否かを認証することができる。以上と同様の操作をPC等B200側も行ない、お互いに認証が終わってから(ステップS2110)、TCP層でのコネクションを張る(ステップS2130)。telnetデーモン110とtelnetデーモン1220との間、telnetデーモン220とtelnetデーモン1220との間で通信を行なう場合にも、上述と同様の認証を行なう(ステップS2120、S2140、S2150)。
【0053】
図22に示されるように、正規利用者700が、あるデーモン・プログラムを実行しようとした場合(ステップS2200)、正規利用者700は同一サイト内に存在する認証が済んでTCPコネクションが張られているデーモン・プログラムを探し出し、それらすべてに対して、例えばディジタル署名を返送させるコマンドを送る(ステップS2210、S2220)。そのコマンドの返答結果に対して多数決を取り、最も信用できるデーモン・プログラム群を決定する。
【0054】
図23に示されるように、何らかのセキュリティ・ホールを利用して侵入した正規でないユーザが、あるデーモン・プログラム、例えばtelnetデーモン2200を不正通信ソフトウェアであるバックドア215と入れ替えた場合を考える。上述のように、共通に生成されたディジタル署名はそのまま記録装置150、1250内に残っている。したがって、telnetデーモン110からの返答結果(ステップS2300)、telnetデーモン1220からの返答結果(ステップS2310)およびバックドア115からの返答結果(ステップS2320)の多数決を取り、最も信用できるデーモン・プログラム群を決定する。
【0055】
以上より、実施の形態8によれば、共通に生成されたディジタル署名を各々記録しておくことができ、各デーモン・プログラムからの返答結果の多数決をとることができるため、仮に偶然によりディジタル署名を複製することができた場合であっても、置きかえられた不正な通信を行うバックドアを簡易に検出することができる。
【0056】
上述されたデーモン・プログラムは、デーモン・プロセス(Daemon Process)と読み替えることも可能である。上述の実施の形態においてはtelnetデーモンおよびftpデーモンを例に説明したが、本発明の不正ソフトウェア検出方法が適用される対象は、デーモン・プログラムに限定されるものではなく、かつTCP/IPに限らずあらゆる通信プロトコルを実装する通信サーバ・ソフトウェアに対しても適用可能である。さらに、上記全実施例は、侵入検知システム、不正コピー防止システム等に対しても適用可能である。
【0057】
【発明の効果】
以上説明したように、本発明の不正通信ソフトウェア検出方法によれば、改竄不可能なディジタル署名されたハッシュ値をデーモン・プログラム毎に記録しておくことにより、不正通信を助けるバックドアのソフトウェアを効率的に検出することができる不正通信ソフトウェア検出方法を提供することができる。
【図面の簡単な説明】
【図1】 本発明の各実施の形態に共通する概要を示す図である。
【図2】 本発明の実施の形態1における不正通信ソフトウェア検出方法を示す図である。
【図3】 本発明の実施の形態1における不正通信ソフトウェア検出方法を示す図である。
【図4】 本発明の実施の形態1における不正通信ソフトウェア検出方法を示す図である。
【図5】 本発明の実施の形態2における不正通信ソフトウェア検出方法を示す図である。
【図6】 本発明の実施の形態2における不正通信ソフトウェア検出方法を示す図である。
【図7】 本発明の実施の形態2における不正通信ソフトウェア検出方法を示す図である。
【図8】 本発明の実施の形態3における不正通信ソフトウェア検出方法を示す図である。
【図9】 本発明の実施の形態3における不正通信ソフトウェア検出方法を示す図である。
【図10】 本発明の実施の形態3における不正通信ソフトウェア検出方法を示す図である。
【図11】 本発明の実施の形態4における不正通信ソフトウェア検出方法を示す図である。
【図12】 本発明の実施の形態4における不正通信ソフトウェア検出方法を示す図である。
【図13】 本発明の実施の形態5における不正通信ソフトウェア検出方法を示す図である。
【図14】 本発明の実施の形態5における不正通信ソフトウェア検出方法を示す図である。
【図15】 本発明の実施の形態6における不正通信ソフトウェア検出方法を示す図である。
【図16】 本発明の実施の形態6における不正通信ソフトウェア検出方法を示す図である。
【図17】 本発明の実施の形態6における不正通信ソフトウェア検出方法を示す図である。
【図18】 本発明の実施の形態7における不正通信ソフトウェア検出方法を示す図である。
【図19】 本発明の実施の形態7における不正通信ソフトウェア検出方法を示す図である。
【図20】 本発明の実施の形態8における不正通信ソフトウェア検出方法を示す図である。
【図21】 本発明の実施の形態8における不正通信ソフトウェア検出方法を示す図である。
【図22】 本発明の実施の形態8における不正通信ソフトウェア検出方法を示す図である。
【図23】 本発明の実施の形態8における不正通信ソフトウェア検出方法を示す図である。
【図24】 従来の不正通信ソフトウェア検出方法を示す図である。
【符号の説明】
10 サーバ・コンピュータ1、 15、25 ログファイル等、 20 サーバ・コンピュータ2、 30 プリンタ・サーバ、 32、50、100、200、1000、1200 PC等、 35 ノートブック型のPC、 37、400 ネットワーク、 51、110、210 はftpデーモン、 52、120、220、1110、1220 telnetデーモン、 53 バックドア、 60 ネットワーク管理者、 70、700 正規利用者、 80 侵入者、 150、250、300、1150、1250 記録装置、 310、320、330、340 ディジタル署名されたハッシュ値(H(A,telnet))、 350 その他の値、 500、600 インストーラ、 510、610 秘密鍵、 520、620 認証書、 800 ログファイル、 50 設定ファイル。
【発明の属する技術分野】
本発明は、不正通信ソフトウェア検出方法に関し、特に認証書と秘密鍵とを用いて署名・検証を行う認証書システムを利用することにより不正通信ソフトウェアを自動的に判別する不正通信ソフトウェア検出方法に関する。
【0002】
【従来の技術】
図24は、従来の不正通信ソフトウェア検出方法を示す。図24において、符号50は管理対象のコンピュータであるパーソナル・コンピュータ(Personal Computer : PC)またはワークステーション(Work Station : WS)(以下、「PC等」という)、51はPC等50内で生成されたバックグラウンド・プロセスのエフ・ティ・ピー・デーモン(ftpDaemon : 以下、「ftpデーモン」という)、52はPC等50内で生成されたバックグラウンド・プロセスのテルネット・デーモン(telnetDaemon : 以下、「telnetデーモン」という)、53はPC等50内に不正に仕掛けられた不正通信ソフトウェアであるバックドア(Back Door)、60はプロセスと各デーモンが出力するログ等とを逐一監視し、ネットワークを管理するネットワーク管理者、70は正規にPC等50を利用する正規利用者、80はセキュリティ・ホール(security hole)等を利用してPC等50内に侵入し、本来のデーモン51等をバックドア・デーモンに入れ替えたり、一度作成した抜け道を通して正規利用者70に取って代わる不正通信を行なう侵入者、400はPC等50、ネットワーク管理者60、正規利用者70および侵入者80を接続するネットワークである。以下「ネットワーク」という場合、接続されたPC等50も含めた全体を表現する場合にも用いる。
【0003】
次に動作について説明する。従来、ネットワーク管理者60は、プロセスリストを表示させたときに経験から考えてプロセスが不審な実行のされ方をしていることに偶然に気付いた場合、オペレーティング・システムが残す膨大なログファイルを定期的に監視することにより、不正通信ソフトウェアである証拠を押さえ、それをもとにしてネットワーク400のどこかに隠されているバックドア53を探していた。
【0004】
【発明が解決しようとする課題】
上述のように、不正通信を助けるバックドア53はネットワーク400に巧妙に隠されて仕掛けられているため、バックドア53の発見は豊富な経験を持ったネットワーク管理者60の勘に頼っていた。一方、下位のプロトコル層のネットワーク通信サービスを提供するftpデーモン51等のデーモン・プログラムまたはデーモン・ソフトウェア(以下、「デーモン・プログラム」という)は、通常ファイルと同様にユーザの権限に基づくアクセス制限によってのみセキュリティを確保されている。従って、ネットワーク通信サービスを提供するデーモン・プログラムそのものを入れ替えられた場合、ログファイルの詳細な解析以外にバックドア53を効率的に検出することは極めて困難であるという問題があった。
【0005】
そこで、本発明の目的は、上記問題を解決するためになされたものであり、不正通信を助けるバックドア53等のソフトウェアを効率的に検出することができる不正通信ソフトウェア検出方法を提供することにある。
【0006】
【課題を解決するための手段】
この発明の不正通信ソフトウェア検出方法は、ネットワークを介して接続された複数のコンピュータ間で不正な通信を行なうソフトウェアを検出する不正通信ソフトウェア検出方法であって、
前記複数のコンピュータ上で各々デーモン・プログラムをメイクしてバックグラウンド・プロセスを生成する際に同時に、
(イ)ディジタル署名の対象となるデータを各々ハッシュするハッシュステップと、
(ロ)前記ハッシュステップによりハッシュされたデータを各コンピュータの有する所定の秘密鍵で各々変換して各ディジタル署名を生成するディジタル署名ステップと、
(ハ)前記ディジタル署名ステップにより生成された各ディジタル署名をネットワークを介して接続された記録装置に各々記録するディジタル署名記録ステップとを有し、
前記各バックグラウンド・プロセスが他のコンピュータ上の対応する他のバックグラウンド・プロセスと通信を行なう場合、前記記録装置に記録された当該他のバックグラウンド・プロセスのディジタル署名を読み出し、当該他のバックグラウンド・プロセスのデジタル署名を他のコンピュータの有する所定の秘密鍵に対応する公開鍵で変換して検証することにより、当該他のバックグラウンド・プロセスが不正な通信を行うソフトウェアであるか否かを認証する認証ステップとを備えたものである。
【0007】
この発明の不正通信ソフトウェア検出方法は、ネットワークを介して接続された複数のコンピュータ間で不正な通信を行なうソフトウェアを検出する不正通信ソフトウェア検出方法であって、
前記複数のコンピュータ上で各々デーモン・プログラムをメイクしてバックグラウンド・プロセスを生成する際に、
(イ)各バックグランド・プロセスに対し各々公開鍵演算を施して秘密鍵と認証書とを生成する鍵ペア生成ステップと、
(ロ)前記鍵ペア生成ステップにより生成された秘密鍵で各バックグランド・プロセスを変換し、各ディジタル署名を生成するディジタル署名ステップとを有し、
前記各バックグラウンド・プロセスが他のコンピュータ上の対応する他のバックグラウンド・プロセスと通信を行なう場合、ディジタル署名された当該他のバックグラウンド・プロセスを読み込み当該他のバックグランド・プロセスの公開されている認証書で変換して検証することにより、当該他のバックグラウンド・プロセスが不正な通信を行うソフトウェアであるか否かを認証する認証ステップとを備えたものである。
【0008】
ここで、この発明の不正通信ソフトウェア検出方法は、前記認証ステップにおいて前記他のバックグラウンド・プロセスが不正な通信を行うソフトウェアではないと認証された後に、前記記録装置に記録された各ディジタル署名を所定の期間毎に相互に交換して検証を行なう交換ステップをさらに備えることができるものである。
【0009】
ここで、この発明の不正通信ソフトウェア検出方法において、前記ディジタル署名ステップは、前記鍵ペア生成ステップにより生成された秘密鍵で各バックグランド・プロセスが出力する所定のデータを変換し、各ディジタル署名を生成し、
前記認証ステップは、各バックグラウンド・プロセスが他のコンピュータ上の対応する他のバックグラウンド・プロセスと通信を行なう場合、ディジタル署名された当該他のバックグラウンド・プロセスが出力する所定のデータを当該他のバックグランド・プロセスの公開されている認証書で変換して検証することにより、当該他のバックグラウンド・プロセスが不正な通信を行うソフトウェアであるか否かを認証することができるものである。
【0010】
ここで、この発明の不正通信ソフトウェア検出方法において、前記所定のデータは、バックグラウンド・プロセスが出力するログ・ファイルとすることができるものである。
【0011】
ここで、この発明の不正通信ソフトウェア検出方法において、前記所定のデータは、バックグラウンド・プロセスが出力するパケット・データとすることができるものである。
【0012】
ここで、この発明の不正通信ソフトウェア検出方法において、前記ディジタル署名記録ステップは、前記ディジタル署名ステップにより生成された各ディジタル署名を前記バックグラウンド・プロセスに固有の記録装置に各々記録することができるものである。
【0013】
ここで、この発明の不正通信ソフトウェア検出方法において、前記所定のデータは、バックグラウンド・プロセスの構成を記録した設定ファイルであり、前記認証ステップは、正規のユーザがバックグラウンド・プロセスの利用を行なう場合、ディジタル署名された該バックグラウンド・プロセスの設定ファイルを該バックグランド・プロセスの認証書で変換して検証することにより、該バックグラウンド・プロセスが不正な通信を行うソフトウェアであるか否かを認証することができるものである。
【0014】
ここで、この発明の不正通信ソフトウェア検出方法において、前記ディジタル署名ステップは、前記ハッシュステップによりハッシュされたデータを各コンピュータに共通の秘密鍵で各々変換して各ディジタル署名を生成し、前記ディジタル署名記録ステップは、前記ディジタル署名ステップにより生成された各ディジタル署名を前記バックグラウンド・プロセスに固有の記録装置に各々記録し、前記認証ステップの後に、正規のユーザがバックグラウンド・プロセスの実行設定を行なう場合、前記認証ステップにより不正な通信を行うソフトウェアではないと認証されたバックグラウンド・プロセスに対して所定のコマンドを送り、該所定のコマンドに対して各バックグラウンド・プロセスから返された結果の多数決をとることにより、バックグラウンド・プロセスが不正な通信を行うソフトウェアであるか否かを認証することができるものである。
【発明の詳細な説明】
【0015】
【発明の実施の形態】
以下、図面を参照して、本発明の実施の形態を詳細に説明する。
【0016】
図1は、本発明の各実施の形態に共通する概要を示す。図1において、符号10はサーバ・コンピュータ1、15はサーバ・コンピュータ1(10)のログファイル等、20はサーバ・コンピュータ2、25はサーバ・コンピュータ2(20)のログファイル等、30はプリンタ・サーバ、32はPC、35はノートブック型のPC、37はサーバ・コンピュータ1(10)、サーバ・コンピュータ2(20)、プリンタ・サーバ30、PC32およびノートブック型のPC35等を接続するネットワークである。
【0017】
図1に示されるように、サーバ・コンピュータ1(10)またはサーバ・コンピュータ2(20)は、各々ログファイル等15または25の中に、デーモン・プログラムを生成した際にハッシュ・アルゴリズムにより得られた値を埋め込んでおく。具体的にはログファイル15の中の下線17またはログファイル25の中の下線27で示されるsyslogd等が、定期的にお互いのハッシュ値を計算し、相手のデーモン・プログラムがバックドアに置きかえられていなかどうかを検査する。このため一般的にトロイの木馬(Trojan Horse)といわれる、ユーティリティに見せかけておいて取り込んで実行するとシステムを破壊等するソフトウェアを仕込まれてしまった場合でも、その検出を容易に行なうことができる。
【0018】
実施の形態1.
図2ないし4は、本発明の実施の形態1における不正通信ソフトウェア検出方法を示す。図2ないし4において、符号100は管理対象のコンピュータであるPC等A、110はPC等A100内で生成されたftpデーモン、120はPC等A110内で生成されたtelnetデーモン、200は管理対象のコンピュータであるPC等B、210はPC等B200内で生成されたftpデーモン、220はPC等B200内で生成されたtelnetデーモン、300はPC等A100またはPC等B200がハッシュ値等のデータを記録する記録装置、310はtelnetデーモン120が記録装置300に記録するディジタル署名されたハッシュ値(H(A,telnet))、320はftpデーモン110が記録装置300に記録するディジタル署名されたハッシュ値(H(A,ftp))、330はtelnetデーモン220が記録装置300に記録するディジタル署名されたハッシュ値(H(B,telnet))、340はftpデーモン210が記録装置300に記録するディジタル署名されたハッシュ値(H(B,ftp))、350は記録装置300に記録されたその他の値、400はPC等A100、PC等B200および記録装置300を接続するネットワークである。
【0019】
図2に示されるように、PC等A100またはPC等B200においてネットワーク通信を行うデーモン・プログラムをメイク(make)する際に、同時に、ディジタル署名の対象となるデータをハッシュ(Hash)してハッシュ値を作成する。次に、このハッシュ値をPC等A100またはPC等B200が有する所定の秘密鍵で各々変換してディジタル署名を生成し、このディジタル署名を記録装置300に各々記録する(ステップS10、S12,S15、S17)。このハッシュ値はデーモン・プログラム毎に固有に署名されているため改竄される心配はない。格納場所は記録装置300だけではなく任意に決められた場所であってもよい。
【0020】
図3に示されるように、管理対象のPC等B200内のftpデーモン210がPC等A100内の対応するftpデーモン110と通信を行なう場合、記録装置300に記録されたftpデーモン110が生成し記録したディジタル署名320をPC等A100の有する所定の秘密鍵に対応する公開鍵で変換して検証する(ステップS20)。この検証により、ftpデーモン110が不正な通信を行うソフトウェアであるか否かを認証することができる(ステップS30)。以上と同様の操作をPC等A100側も行ない、お互いに認証が終わってから、TCP層でのコネクションを張る(ステップS40)。
【0021】
図4に示されるように、何らかのセキュリティ・ホールを利用して侵入した正規でないユーザ130が、あるデーモン・プログラム、例えばftpデーモン110を不正通信ソフトウェアであるバックドア115と入れ替えた場合を考える。上述のように、改竄不可能な、ftpデーモン110が生成し記録したディジタル署名320はそのまま記録装置300内に残っている。したがって、ftpデーモン210とバックドア115とが上述のように相互に認証を行った場合、バックドア115に置きかえられていることを検出することができる(ステップS70)。最後に、バックドア115にはPCウィルスに類似の機能がある危険性を考えて、ftpデーモン210はネットワーク管理者に通知を行い、バックドア115とのコネクションを自動的に切断する(ステップS80)。
【0022】
以上より、実施の形態1によれば、改竄不可能なディジタル署名されたハッシュ値をデーモン・プログラム毎に記録しておくことができるため、デーモン・プログラムが不正な通信を行うバックドアに置きかえられた場合であっても、このバックドアを簡易に検出することができる。
【0023】
実施の形態2.
図5ないし7は、本発明の実施の形態2における不正通信ソフトウェア検出方法を示す。図2ないし4で図2ないし4と同じ符号を付した箇所は同じ機能を有するため説明は省略する。図5ないし7において、符号500は秘密鍵510と認証書520とを生成するPC等B200のインストーラ、600は秘密鍵610と認証書620とを生成するPC等A100のインストーラである。
【0024】
図5に示されるように、PC等A100においてネットワーク通信を行うデーモン・プログラムをメイク(make)する際に、各デーモン110、120等毎に各々公開鍵演算を施して秘密鍵610と認証書620とを生成する(ステップS100)。PC等B200においても同様に、ネットワーク通信を行うデーモン・プログラムをメイク(make)する際に、各デーモン210、220等毎に各々公開鍵演算を施して秘密鍵510と認証書520とを生成する(ステップS200)。次に、PC等A100において、生成された秘密鍵610でftpデーモン110等を変換し、ディジタル署名を生成する(ステップS120)。PC等B200においても同様に、生成された秘密鍵510でftpデーモン210等を変換し、ディジタル署名を生成する(ステップS220)。
【0025】
図6に示されるように、PC等B200のftpデーモン210は、PC等A100の対応するftpデーモン110のディジタル署名された実行形式のファイルを読みこみ(ステップS300)、公開されている認証書620で変換して検証することにより、ftpデーモン110が不正な通信を行うバックドアであるか否かを認証する(ステップS375)。以上の操作をPC等A100側からも行ない、ftpデーモン210が不正な通信を行うバックドアであるか否かを認証する(ステップS325、S350)。以上の検証を相互に行なった後、TCP層でのコネクションを張る。
【0026】
図7に示されるように、何らかのセキュリティ・ホールを利用して侵入した正規でないユーザが、あるデーモン・プログラム、例えばftpデーモン110を不正通信ソフトウェアであるバックドア115と入れ替えた場合を考える。上述のように、入れかえられたバックドア115にはディジタル署名されていないため、ftpデーモン210とバックドア115とが上述のように相互に認証を行った場合、バックドア115に置きかえられていることを検出することができる(ステップS400、S420)。最後に、バックドア115にはPCウィルスに類似の機能がある危険性を考えて、ftpデーモン210はネットワーク管理者に通知を行い、バックドア115とのコネクションを自動的に切断する。
【0027】
以上より、実施の形態2によれば、デーモン・プログラムにディジタル署名しておくことができるため、デーモン・プログラムが不正な通信を行うバックドアに置きかえられた場合であっても、このバックドアを簡易に検出することができる。
【0028】
実施の形態3.
図8ないし10は、本発明の実施の形態3における不正通信ソフトウェア検出方法を示す。図8ないし10で図5ないし7と同じ符号を付した箇所は同じ機能を有するため説明は省略する。
【0029】
図8に示されるように、PC等A100またはPC等B200においてネットワーク通信を行うデーモン・プログラムをメイク(make)する際に、同時に、ディジタル署名の対象となるデータをハッシュ(Hash)してハッシュ値を作成する。次に、このハッシュ値をPC等A100またはPC等B200が有する所定の秘密鍵で各々変換してディジタル署名を生成し、このディジタル署名を記録装置300に各々記録する(ステップS500、S520、S530、S540)。このハッシュ値はデーモン・プログラム毎に固有に署名されているため改竄される心配はない。格納場所は記録装置300だけではなく任意に決められた場所であってもよい。
【0030】
図9に示されるように、管理対象のPC等B200内のftpデーモン210がPC等A100内の対応するftpデーモン11と通信を行なう場合、記録装置300に記録されたftpデーモン110が生成し記録したディジタル署名320をPC等A100の有する所定の秘密鍵に対応する公開鍵で変換して検証する(ステップS600)。この検証により、ftpデーモン110が不正な通信を行うソフトウェアであるか否かを認証することができる(ステップS620)。以上と同様の操作をPC等A100側も行ない、お互いに認証が終わってから、TCP層でのコネクションを張る。次に、ftpデーモン210と110とは定期的にディジタル署名されたハッシュ値を交換し、常時デーモン・プログラムを監視する(ステップS630)。元のデーモン・プログラム110等が入れ替わる場合は、必ず1度はTCPコネクションが自動的に切断される。
【0031】
図10に示されるように、何らかのセキュリティ・ホールを利用して侵入した正規でないユーザ130が、あるデーモン・プログラム、例えばftpデーモン110を不正通信ソフトウェアであるバックドア115と入れ替えた場合を考える。上述のように、元のデーモン・プログラム110等が入れ替わる場合は、必ず1度はTCPコネクションが自動的に切断されるため、ftpデーモン210とバックドア115とが上述のように相互に認証を行った場合、機能の一部をコピーしたバックドア115に置きかえられていることを検出することができる(ステップS700)。最後に、バックドア115にはPCウィルスに類似の機能がある危険性を考えて、ftpデーモン210はネットワーク管理者に通知を行い、バックドア115とのコネクションを自動的に切断する(ステップS750)。
【0032】
以上より、実施の形態3によれば、デーモン・プログラムがお互いに認証を終わり、TCP層でのコネクションを張った後も、デーモン間で定期的にディジタル署名されたハッシュ値を交換し、常時デーモン・プログラムを監視することができるため、デーモン・プログラムが不正な通信を行うバックドアに置きかえられた場合であっても、このバックドアを簡易に検出することができる。
【0033】
実施の形態4.
図11および12は、本発明の実施の形態4における不正通信ソフトウェア検出方法を示す。図11および12で図2ないし4と同じ符号を付した箇所は同じ機能を有するため説明は省略する。図11および12において、符号800はftpデーモン110が出力するログファイル、700は正規利用者である。
【0034】
実施の形態2においては、生成された秘密鍵610でftpデーモン110等を変換しディジタル署名を生成したが、本実施の形態4においては実施の形態2と異なり、生成された秘密鍵610でftpデーモン110が出力するログファイル800にディジタル署名を行なうことができる(ステップS810)。正規利用者700は、利用したいデーモン・プログラムが出力するログファイル800を公開された認証書620で検証し、デーモン・プログラム110が正当なものであるか否かを検証することができる(ステップS820)。これにより、正規利用者700が正規のデーモン・プログラム110等を正しく使っていることが保障される。他は実施の形態2と同様である。
【0035】
図12に示されるように、何らかのセキュリティ・ホールを利用して侵入した正規でないユーザが、あるデーモン・プログラム、例えばftpデーモン110を不正通信ソフトウェアであるバックドア115と入れ替えた場合を考える。上述のように、入れかえられたバックドア115が出力したログファイル800にはディジタル署名されていない。したがって、公開された認証書620を用いることにより(ステップS900)、バックドア115に置きかえられていることを検出することができる(ステップS910)。最後に、バックドア115にはPCウィルスに類似の機能がある危険性を考えて、ftpデーモン210はネットワーク管理者に通知を行い、バックドア115とのアクセスが禁止される(ステップS920)。
【0036】
以上より、実施の形態4によれば、デーモン・プログラムが出力するログファイルにディジタル署名しておくことができるため、デーモン・プログラムが不正な通信を行うバックドアに置きかえられた場合であっても、このバックドアを簡易に検出することができる。
【0037】
実施の形態5.
図13および14は、本発明の実施の形態5における不正通信ソフトウェア検出方法を示す。図13および14で図11および12と同じ符号を付した箇所は同じ機能を有するため説明は省略する。
【0038】
実施の形態4においては、生成された秘密鍵610でftpデーモン110が出力するログファイル800にディジタル署名を行なったが、本実施の形態5においては実施の形態4と異なり、ftpデーモン110が出力するパケット810に逐次署名を行なうことができる(ステップS1000)。正規利用者700は、利用したいデーモン・プログラムが出力するパケット810を公開された認証書620で検証し、デーモン固有のパケットであるか否かを検証することができる(ステップS1100、S1110)。これにより、正規利用者700が正規のデーモン・プログラム110等を正しく使っていることが保障される。他は実施の形態4と同様である。
【0039】
図14に示されるように、何らかのセキュリティ・ホールを利用して侵入した正規でないユーザが、あるデーモン・プログラム、例えばftpデーモン110を不正通信ソフトウェアであるバックドア115と入れ替えた場合を考える。上述のように、入れかえられたバックドア115が出力したパケット810にはディジタル署名されていない。したがって、公開された認証書620を用いることにより(ステップS1200)、ftpデーモン110に固有のパケットではないことを検知し、バックドア115に置きかえられていることを検出することができる(ステップS1210)。最後に、バックドア115にはPCウィルスに類似の機能がある危険性を考えて、ftpデーモン210はネットワーク管理者に通知を行い、バックドア115とのアクセスが禁止される(ステップS1220)。
【0040】
以上より、実施の形態5によれば、デーモン・プログラムが出力するパケットに逐次ディジタル署名しておくことができるため、デーモン・プログラムが不正な通信を行うバックドアに置きかえられた場合であっても、このバックドアを簡易に検出することができる。
【0041】
実施の形態6.
図15ないし17は、本発明の実施の形態6における不正通信ソフトウェア検出方法を示す。図15ないし17で図2ないし4と同じ符号を付した箇所は同じ機能を有するため説明は省略する。図15ないし17において、符号150はtelenet デーモン120がディジタル署名等を出力する記録装置、250はtelnetデーモン220がディジタル署名等を出力する記録装置、1000は管理対象のコンピュータであるPC等D、1120はPC等D1000内で生成されたtelnetデーモン、1150はtelnetデーモン1110がディジタル署名等を出力する記録装置、1200は管理対象のコンピュータであるPC等C、1220はPC等C1200内で生成されたtelnetデーモン、1250はtelnetデーモン1220がディジタル署名等を出力する記録装置である。
【0042】
図15に示されるように、PC等A100、PC等B200、PC等C1200およびPC等D1000においてネットワーク通信を行うデーモン・プログラムをメイク(make)する際に、同時に、ディジタル署名の対象となるデータをハッシュ(Hash)してハッシュ値を作成する。次に、このハッシュ値をPC等A100、PC等B200、PC等C1200、PC等D1000が各々有する所定の秘密鍵で変換してディジタル署名を生成する。このディジタル署名を各々の記録装置150、250、1250または1150に記録する(ステップS1300、S1310、S1330、S1320)。このハッシュ値はデーモン・プログラム毎に固有に署名されているため改竄される心配はない。格納場所は記録装置150等だけではなく任意に決められた場所であってもよい。
【0043】
図16に示されるように、例えば管理対象のPC等A100内のtelnet デーモン120がPC等B200内の対応するtelnetデーモン220と通信を行なう場合、記録装置250に記録されたtelnetデーモン220が生成し記録したディジタル署名をPC等B200の有する所定の秘密鍵に対応する公開鍵で変換して検証する(ステップS1510)。この検証により、telnetデーモン220が不正な通信を行うソフトウェアであるか否かを認証することができる。以上と同様の操作をPC等B200側も行ない、お互いに認証が終わってから、TCP層でのコネクションを張る(ステップS1610)。telnet デーモン120が他のtelnetデーモン1220または1120と通信を行なう場合にも、上述と同様の認証を行なう。このようにして、互いに違うデーモン・プログラムを相互に監視し合うことができる。
【0044】
図17に示されるように、何らかのセキュリティ・ホールを利用して侵入した正規でないユーザが、あるデーモン・プログラム、例えばtelnet デーモン1120を不正通信ソフトウェアであるバックドア115と入れ替えた場合を考える。上述のように、改竄不可能な、telnet デーモン1120が生成し記録したディジタル署名はそのまま記録装置1150内に残っている。したがって、例えばtelnetデーモン1220とバックドア115とが上述のように相互に認証を行った場合、バックドア115に置きかえられていることを検出することができる(ステップS1700)。最後に、バックドア115にはPCウィルスに類似の機能がある危険性を考えて、telnetデーモン1220はネットワーク管理者に通知を行い、バックドア115とのコネクションを自動的に切断する(ステップS1710)。
【0045】
以上より、実施の形態6によれば、改竄不可能なディジタル署名されたハッシュ値をデーモン・プログラム毎に異なる記録装置に記録しておくことができるため、デーモン・プログラムが不正な通信を行うバックドアに置きかえられた場合であっても、このバックドアを簡易に検出することができる。
【0046】
実施の形態7.
図18および19は、本発明の実施の形態7における不正通信ソフトウェア検出方法を示す。図18および19で図11および12と同じ符号を付した箇所は同じ機能を有するため説明は省略する。図18および19において、符号850はftpデーモン110等の構成を記録した設定ファイルである。
【0047】
実施の形態4においては、生成された秘密鍵610でftpデーモン110が出力するログファイル800にディジタル署名を行なったが、本実施の形態7においては実施の形態4と異なり、設定ファイル850に逐次署名を行なうことができる(ステップS1810)。デーモン・プログラムを意図的に動かす上で設定ファイル850は必要不可欠なものであるから、設定ファイル850に署名を行い、改竄から守ることは重要である。正規利用者700は、利用したいデーモン・プログラムの設定ファイル850を公開された認証書620で検証し、デーモン固有の設定ファイルであるか否かを検証することができる(ステップS1820)。これにより、正規利用者700が正規のデーモン・プログラム110等を正しく使っていることが保障される。他は実施の形態4と同様である。
【0048】
図19に示されるように、何らかのセキュリティ・ホールを利用して侵入した正規でないユーザが、あるデーモン・プログラム、例えばftpデーモン110を不正通信ソフトウェアであるバックドア115と入れ替えた場合を考える。上述のように、入れかえられたバックドア115の設定ファイル850にはディジタル署名されていない。したがって、公開された認証書620を用いることにより(ステップS1900)、ftpデーモン110に固有の設定ファイルではないことを検知し、バックドア115に置きかえられていることを検出することができる(ステップS1920)。最後に、バックドア115にはPCウィルスに類似の機能がある危険性を考えて、ftpデーモン210はネットワーク管理者に通知を行い、バックドア115とのアクセスが禁止される(ステップS1920)。
【0049】
以上より、実施の形態7によれば、デーモン・プログラムに固有の設定ファイルに逐次ディジタル署名しておくことができるため、デーモン・プログラムが不正な通信を行うバックドアに置きかえられた場合であっても、このバックドアを簡易に検出することができる。
【0050】
実施の形態8.
図20ないし23は、本発明の実施の形態8における不正通信ソフトウェア検出方法を示す。図20ないし23で図15ないし17と同じ符号を付した箇所は同じ機能を有するため説明は省略する。記録装置150および1250は簡略化のため図20ないし22では省略する。
【0051】
図20に示されるように、PC等A100、PC等B200およびPC等C1200においてネットワーク通信を行うデーモン・プログラムをメイク(make)する際に、同時に、ディジタル署名の対象となるデータをハッシュ(Hash)してハッシュ値を作成する。次に、このハッシュ値をPC等A100、PC等B200、PC等C1200が共通に有する所定の秘密鍵で変換してディジタル署名を生成する。この共通に作成されたディジタル署名を、各記録装置150、250または1250に記録する(ステップS2000、S2010、S2020)。このハッシュ値はデーモン・プログラムに共通に署名されているため改竄される心配はない。格納場所は記録装置250等だけではなく任意に決められた場所であってもよい。
【0052】
図21に示されるように、例えば管理対象のPC等A100内のtelnetデーモン110がPC等B200内の対応するtelnetデーモン220と通信を行なう場合、記録装置250に記録された共通に作成されたディジタル署名を共通の秘密鍵に対応する公開鍵で変換して検証する(ステップS2100)。この検証により、telnetデーモン220が不正な通信を行うソフトウェアであるか否かを認証することができる。以上と同様の操作をPC等B200側も行ない、お互いに認証が終わってから(ステップS2110)、TCP層でのコネクションを張る(ステップS2130)。telnetデーモン110とtelnetデーモン1220との間、telnetデーモン220とtelnetデーモン1220との間で通信を行なう場合にも、上述と同様の認証を行なう(ステップS2120、S2140、S2150)。
【0053】
図22に示されるように、正規利用者700が、あるデーモン・プログラムを実行しようとした場合(ステップS2200)、正規利用者700は同一サイト内に存在する認証が済んでTCPコネクションが張られているデーモン・プログラムを探し出し、それらすべてに対して、例えばディジタル署名を返送させるコマンドを送る(ステップS2210、S2220)。そのコマンドの返答結果に対して多数決を取り、最も信用できるデーモン・プログラム群を決定する。
【0054】
図23に示されるように、何らかのセキュリティ・ホールを利用して侵入した正規でないユーザが、あるデーモン・プログラム、例えばtelnetデーモン2200を不正通信ソフトウェアであるバックドア215と入れ替えた場合を考える。上述のように、共通に生成されたディジタル署名はそのまま記録装置150、1250内に残っている。したがって、telnetデーモン110からの返答結果(ステップS2300)、telnetデーモン1220からの返答結果(ステップS2310)およびバックドア115からの返答結果(ステップS2320)の多数決を取り、最も信用できるデーモン・プログラム群を決定する。
【0055】
以上より、実施の形態8によれば、共通に生成されたディジタル署名を各々記録しておくことができ、各デーモン・プログラムからの返答結果の多数決をとることができるため、仮に偶然によりディジタル署名を複製することができた場合であっても、置きかえられた不正な通信を行うバックドアを簡易に検出することができる。
【0056】
上述されたデーモン・プログラムは、デーモン・プロセス(Daemon Process)と読み替えることも可能である。上述の実施の形態においてはtelnetデーモンおよびftpデーモンを例に説明したが、本発明の不正ソフトウェア検出方法が適用される対象は、デーモン・プログラムに限定されるものではなく、かつTCP/IPに限らずあらゆる通信プロトコルを実装する通信サーバ・ソフトウェアに対しても適用可能である。さらに、上記全実施例は、侵入検知システム、不正コピー防止システム等に対しても適用可能である。
【0057】
【発明の効果】
以上説明したように、本発明の不正通信ソフトウェア検出方法によれば、改竄不可能なディジタル署名されたハッシュ値をデーモン・プログラム毎に記録しておくことにより、不正通信を助けるバックドアのソフトウェアを効率的に検出することができる不正通信ソフトウェア検出方法を提供することができる。
【図面の簡単な説明】
【図1】 本発明の各実施の形態に共通する概要を示す図である。
【図2】 本発明の実施の形態1における不正通信ソフトウェア検出方法を示す図である。
【図3】 本発明の実施の形態1における不正通信ソフトウェア検出方法を示す図である。
【図4】 本発明の実施の形態1における不正通信ソフトウェア検出方法を示す図である。
【図5】 本発明の実施の形態2における不正通信ソフトウェア検出方法を示す図である。
【図6】 本発明の実施の形態2における不正通信ソフトウェア検出方法を示す図である。
【図7】 本発明の実施の形態2における不正通信ソフトウェア検出方法を示す図である。
【図8】 本発明の実施の形態3における不正通信ソフトウェア検出方法を示す図である。
【図9】 本発明の実施の形態3における不正通信ソフトウェア検出方法を示す図である。
【図10】 本発明の実施の形態3における不正通信ソフトウェア検出方法を示す図である。
【図11】 本発明の実施の形態4における不正通信ソフトウェア検出方法を示す図である。
【図12】 本発明の実施の形態4における不正通信ソフトウェア検出方法を示す図である。
【図13】 本発明の実施の形態5における不正通信ソフトウェア検出方法を示す図である。
【図14】 本発明の実施の形態5における不正通信ソフトウェア検出方法を示す図である。
【図15】 本発明の実施の形態6における不正通信ソフトウェア検出方法を示す図である。
【図16】 本発明の実施の形態6における不正通信ソフトウェア検出方法を示す図である。
【図17】 本発明の実施の形態6における不正通信ソフトウェア検出方法を示す図である。
【図18】 本発明の実施の形態7における不正通信ソフトウェア検出方法を示す図である。
【図19】 本発明の実施の形態7における不正通信ソフトウェア検出方法を示す図である。
【図20】 本発明の実施の形態8における不正通信ソフトウェア検出方法を示す図である。
【図21】 本発明の実施の形態8における不正通信ソフトウェア検出方法を示す図である。
【図22】 本発明の実施の形態8における不正通信ソフトウェア検出方法を示す図である。
【図23】 本発明の実施の形態8における不正通信ソフトウェア検出方法を示す図である。
【図24】 従来の不正通信ソフトウェア検出方法を示す図である。
【符号の説明】
10 サーバ・コンピュータ1、 15、25 ログファイル等、 20 サーバ・コンピュータ2、 30 プリンタ・サーバ、 32、50、100、200、1000、1200 PC等、 35 ノートブック型のPC、 37、400 ネットワーク、 51、110、210 はftpデーモン、 52、120、220、1110、1220 telnetデーモン、 53 バックドア、 60 ネットワーク管理者、 70、700 正規利用者、 80 侵入者、 150、250、300、1150、1250 記録装置、 310、320、330、340 ディジタル署名されたハッシュ値(H(A,telnet))、 350 その他の値、 500、600 インストーラ、 510、610 秘密鍵、 520、620 認証書、 800 ログファイル、 50 設定ファイル。
Claims (9)
- ネットワークを介して接続された複数のコンピュータ間で不正な通信を行なうソフトウェアを検出する不正通信ソフトウェア検出方法であって、
前記複数のコンピュータ上で各々デーモン・プログラムをメイクしてバックグラウンド・プロセスを生成する際に同時に、
(イ)ディジタル署名の対象となるデータを各々ハッシュするハッシュステップと、
(ロ)前記ハッシュステップによりハッシュされたデータを各コンピュータの有する所定の秘密鍵で各々変換して各ディジタル署名を生成するディジタル署名ステップと、
(ハ)前記ディジタル署名ステップにより生成された各ディジタル署名をネットワークを介して接続された記録装置に各々記録するディジタル署名記録ステップとを有し、
前記各バックグラウンド・プロセスが他のコンピュータ上の対応する他のバックグラウンド・プロセスと通信を行なう場合、前記記録装置に記録された当該他のバックグラウンド・プロセスのディジタル署名を読み出し、当該他のバックグラウンド・プロセスのデジタル署名を他のコンピュータの有する所定の秘密鍵に対応する公開鍵で変換して検証することにより、当該他のバックグラウンド・プロセスが不正な通信を行うソフトウェアであるか否かを認証する認証ステップと
を備えたことを特徴とする不正通信ソフトウェア検出方法。 - ネットワークを介して接続された複数のコンピュータ間で不正な通信を行なうソフトウェアを検出する不正通信ソフトウェア検出方法であって、
前記複数のコンピュータ上で各々デーモン・プログラムをメイクしてバックグラウンド・プロセスを生成する際に、
(イ)各バックグランド・プロセスに対し各々公開鍵演算を施して秘密鍵と認証書とを生成する鍵ペア生成ステップと、
(ロ)前記鍵ペア生成ステップにより生成された秘密鍵で各バックグランド・プロセスを変換し、各ディジタル署名を生成するディジタル署名ステップとを有し、
前記各バックグラウンド・プロセスが他のコンピュータ上の対応する他のバックグラウンド・プロセスと通信を行なう場合、ディジタル署名された当該他のバックグラウンド・プロセスを読み込み当該他のバックグランド・プロセスの公開されている認証書で変換して検証することにより、当該他のバックグラウンド・プロセスが不正な通信を行うソフトウェアであるか否かを認証する認証ステップと
を備えたことを特徴とする不正通信ソフトウェア検出方法。 - 前記認証ステップにおいて前記他のバックグラウンド・プロセスが不正な通信を行うソフトウェアではないと認証された後に、前記記録装置に記録された各ディジタル署名を所定の期間毎に相互に交換して検証を行なう交換ステップをさらに備えたことを特徴とする請求項1記載の不正通信ソフトウェア検出方法。
- 前記ディジタル署名ステップは、前記鍵ペア生成ステップにより生成された秘密鍵で各バックグランド・プロセスが出力する所定のデータを変換し、各ディジタル署名を生成し、
前記認証ステップは、各バックグラウンド・プロセスが他のコンピュータ上の対応する他のバックグラウンド・プロセスと通信を行なう場合、ディジタル署名された当該他のバックグラウンド・プロセスが出力する所定のデータを当該他のバックグランド・プロセスの公開されている認証書で変換して検証することにより、当該他のバックグラウンド・プロセスが不正な通信を行うソフトウェアであるか否かを認証することを特徴とする請求項2記載の不正通信ソフトウェア検出方法。 - 前記所定のデータは、バックグラウンド・プロセスが出力するログ・ファイルであることを特徴とする請求項4記載の不正通信ソフトウェア検出方法。
- 前記所定のデータは、バックグラウンド・プロセスが出力するパケット・データであることを特徴とする請求項4記載の不正通信ソフトウェア検出方法。
- 前記ディジタル署名記録ステップは、前記ディジタル署名ステップにより生成された各ディジタル署名を前記バックグラウンド・プロセスに固有の記録装置に各々記録することを特徴とする請求項1記載の不正通信ソフトウェア検出方法。
- 前記所定のデータは、バックグラウンド・プロセスの構成を記録した設定ファイルであり、
前記認証ステップは、正規のユーザがバックグラウンド・プロセスの利用を行なう場合、ディジタル署名された該バックグラウンド・プロセスの設定ファイルを該バックグランド・プロセスの認証書で変換して検証することにより、該バックグラウンド・プロセスが不正な通信を行うソフトウェアであるか否かを認証することを特徴とする請求項4記載の不正通信ソフトウェア検出方法。 - 前記ディジタル署名ステップは、前記ハッシュステップによりハッシュされたデータを各コンピュータに共通の秘密鍵で各々変換して各ディジタル署名を生成し、
前記ディジタル署名記録ステップは、前記ディジタル署名ステップにより生成された各ディジタル署名を前記バックグラウンド・プロセスに固有の記録装置に各々記録し、
前記認証ステップの後に、正規のユーザがバックグラウンド・プロセスの実行設定を行なう場合、前記認証ステップにより不正な通信を行うソフトウェアではないと認証されたバックグラウンド・プロセスに対して所定のコマンドを送り、該所定のコマンドに対して各バックグラウンド・プロセスから返された結果の多数決をとることにより、バックグラウンド・プロセスが不正な通信を行うソフトウェアであるか否かを認証することを特徴とする請求項1記載の不正通信ソフトウェア検出方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000047220A JP3748192B2 (ja) | 2000-02-24 | 2000-02-24 | 不正通信ソフトウェア検出方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000047220A JP3748192B2 (ja) | 2000-02-24 | 2000-02-24 | 不正通信ソフトウェア検出方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2001236314A JP2001236314A (ja) | 2001-08-31 |
| JP3748192B2 true JP3748192B2 (ja) | 2006-02-22 |
Family
ID=18569506
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000047220A Expired - Fee Related JP3748192B2 (ja) | 2000-02-24 | 2000-02-24 | 不正通信ソフトウェア検出方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3748192B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107911355A (zh) * | 2017-11-07 | 2018-04-13 | 杭州安恒信息技术有限公司 | 一种基于攻击链的网站后门利用事件识别方法 |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20040003221A (ko) * | 2002-07-02 | 2004-01-13 | 김상욱 | 유닉스 커널 모드에서의 커널 백도어 탐지 및 대응 장치및 그방법 |
| JP2006203564A (ja) * | 2005-01-20 | 2006-08-03 | Nara Institute Of Science & Technology | マイクロプロセッサ、ノード端末、コンピュータシステム及びプログラム実行証明方法 |
| JP2007058639A (ja) * | 2005-08-25 | 2007-03-08 | Hitachi Electronics Service Co Ltd | 不正アクセス検知システム |
| JP5405986B2 (ja) * | 2008-11-26 | 2014-02-05 | パナソニック株式会社 | ソフトウェア更新システム、管理装置、記録媒体及び集積回路 |
-
2000
- 2000-02-24 JP JP2000047220A patent/JP3748192B2/ja not_active Expired - Fee Related
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107911355A (zh) * | 2017-11-07 | 2018-04-13 | 杭州安恒信息技术有限公司 | 一种基于攻击链的网站后门利用事件识别方法 |
| CN107911355B (zh) * | 2017-11-07 | 2020-05-01 | 杭州安恒信息技术股份有限公司 | 一种基于攻击链的网站后门利用事件识别方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2001236314A (ja) | 2001-08-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4278327B2 (ja) | コンピュータ・プラットフォームおよびその運用方法 | |
| JP4860856B2 (ja) | コンピュータ装置 | |
| US7526654B2 (en) | Method and system for detecting a secure state of a computer system | |
| Kher et al. | Securing distributed storage: challenges, techniques, and systems | |
| US7228434B2 (en) | Method of protecting the integrity of a computer program | |
| JP4838631B2 (ja) | 文書アクセス管理プログラム、文書アクセス管理装置および文書アクセス管理方法 | |
| US7711951B2 (en) | Method and system for establishing a trust framework based on smart key devices | |
| EP0936530A1 (en) | Virtual smart card | |
| US20040128395A1 (en) | License management method and license management system | |
| EP1203278B1 (en) | Enforcing restrictions on the use of stored data | |
| JP2006511877A (ja) | ソフトウェアの改ざんを事前に対処することによって検出するためのシステムおよび方法 | |
| GB2387678A (en) | Apparatus for remote working where remote computer incorporates a trusted device | |
| JP2008083910A (ja) | ソフトウエア管理システムおよびソフトウエア管理プログラム | |
| JPH1198134A (ja) | クッキーの改ざん・コピー検出処理方法およびプログラム記憶媒体 | |
| JP3748192B2 (ja) | 不正通信ソフトウェア検出方法 | |
| Smith et al. | Security issues in on-demand grid and cluster computing | |
| DK1634140T3 (en) | PROCEDURE AND SYSTEM FOR PERFORMING A TRANSACTION AND PERFORMING A CONFIRMATION OF LEGAL ACCESS TO OR USE OF DIGITAL DATA | |
| CN114818005A (zh) | 一种Linux系统完整性检查方法与系统 | |
| KR101458929B1 (ko) | 3자 인증을 이용한 로그 정보 인증 시스템의 osp 서버에 포함된 로그 블랙박스 장치 및 그 운영방법 | |
| JP3840580B1 (ja) | ソフトウエア管理システムおよびソフトウエア管理プログラム | |
| Monteiro et al. | An authentication and validation mechanism for analyzing syslogs forensically | |
| JP2003114876A (ja) | ネットワーク監視システム | |
| JP2005141654A (ja) | 情報通過制御システム、情報通過制御装置、サービス提供装置、プログラム及び記録媒体 | |
| Ahmad et al. | Design of a Network-Access Audit Log for Security Monitoring and Forensic Investigation. | |
| Guan et al. | Intrusion Detection Using Log Server and Support Vector Machines |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050216 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050315 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050513 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050712 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050909 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20051122 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20051124 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091209 Year of fee payment: 4 |
|
| LAPS | Cancellation because of no payment of annual fees |