JP3841259B2 - Method for preventing unauthorized login of computer system and computer system - Google Patents

Method for preventing unauthorized login of computer system and computer system Download PDF

Info

Publication number
JP3841259B2
JP3841259B2 JP2000093658A JP2000093658A JP3841259B2 JP 3841259 B2 JP3841259 B2 JP 3841259B2 JP 2000093658 A JP2000093658 A JP 2000093658A JP 2000093658 A JP2000093658 A JP 2000093658A JP 3841259 B2 JP3841259 B2 JP 3841259B2
Authority
JP
Japan
Prior art keywords
password
computer system
attacker
input
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2000093658A
Other languages
Japanese (ja)
Other versions
JP2001282739A (en
Inventor
潤一 遠田
吉喜 鮫島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Software Engineering Co Ltd
Original Assignee
Hitachi Software Engineering Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Software Engineering Co Ltd filed Critical Hitachi Software Engineering Co Ltd
Priority to JP2000093658A priority Critical patent/JP3841259B2/en
Publication of JP2001282739A publication Critical patent/JP2001282739A/en
Application granted granted Critical
Publication of JP3841259B2 publication Critical patent/JP3841259B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
本発明は、コンピュータやコンピュータシステム(以下、コンピュータシステムで総称する)を利用しようとするユーザによって入力されたユーザ固有の識別情報およびパスワードの認証処理に係り、特にコンピュータシステムを不正に利用しようとする攻撃者がパスワードを一つずつ試していく総当たり攻撃に対するコンピュータシステムの防御方式に関する。
【0002】
【従来の技術】
従来、コンピュータシステムにおいては、コンピュータシステムが所有するデータやアプリケーションプログラムなどの資源を不正なユーザが不正使用できないようにするため、ユーザ固有の識別情報(以下、ユーザIDと呼ぶ)およびパスワードを入力させ、これらがコンピュータシステム内にあらかじめ登録されている正当なユーザのユーザIDおよびパスワードと一致するかどうかの認証処理を実行し、登録されていなければ不正ユーザによるログイン操作であると判定して、ログインを許可しないようにする方式が一般に採られている。通常、ユーザIDにはユーザの名前など比較的わかりやすいものが選ばれ、パスワードにはユーザ一人一人が自分にしかわからないものが選ばれる。
【0003】
このような認証処理を行って不正使用を防止するように構成したコンピュータシステムに対し、不正ユーザがコンピュータに不正侵入する際にとる攻撃方法として、まず、ユーザIDを手に入れ、そのユーザIDに対してパスワードを一つずつ試していく、いわゆる「総当たり攻撃」という方法がある。パスワードの候補は非常に多く存在するが、「総当たり攻撃」を行うための処理は専用のプログラムを作成することにより自動化できるので、不正ユーザは一秒間程度に何千、何万個もの非常に多くのパスワードを試すことができる。このようにして多くのパスワードの試行による不正ログイン操作を許すことにより、いつかはパスワードは解かれてしまう。
【0004】
そこで、不正ログイン操作の試行回数の上限を設定し、不正ログイン操作が該上限を超えた場合は、当該コンピュータシステムをロックアウト状態に遷移させ、当該コンピュータに対するすべてのユーザのログイン操作を一定期間禁止するようにしたものがある。これをロックアウト方式と称す。これにより、侵入者は多くのパスワードを試すことができなくなり、不正ユーザによるコンピュータシステムの不正使用を防止し、コンピュータシステム内のデータ等の安全性を保つことができる。なお、ロックアウト方式については、例えば特開平11−143834号公報に記載されている。
【0005】
【発明が解決しようとする課題】
ロックアウト方式を採用する際には、普通、ログイン禁止期間(ロックアウト期間)はシステム管理者が該当コンピュータシステムのセキュリティポリシーに沿って定めるが、比較的長い時間であり、システム管理者がロックアウト状態を解除しなければ二度とログインできない場合もある。よって、ロックアウトをかけられてしまうと、正当なユーザも一定期間、当該コンピュータシステムを利用できなくなってしまう。
【0006】
また、不正ログインの際に用いられたユーザIDを所有する正当なユーザが、ログアウトをかけられてしまうと、一定期間、コンピュータシステムを利用できなくなることに着目して、攻撃者が特定ユーザのユーザIDを利用して不正ログインを試みてわざとロックアウト状態に陥らせることによって、当該ユーザのコンピュータシステム利用を不可能にする攻撃を受けるおそれがある。
【0007】
本発明の目的は、パスワード総当たり攻撃に対し、従来のロックアウト方式よりも正当なユーザにとってより利便性の高いコンピュータシステムの防御方式を提供することにある。
【0008】
【課題を解決するための手段】
前記目的を達成するために、本発明では、入力されたパスワードを解析して攻撃者による攻撃であるかどうかを判定し、攻撃者に対してはパスワード試行を何回か行わせた後、攻撃者が不正なパスワードを入力した際には、該攻撃者が攻撃対象とするコンピュータ(サーバ)とは異なるコンピュータ(偽サーバ)にログインさせる(以下、疑似ログインと呼ぶ)方式を採用する。攻撃者が疑似ログインにかかる時間の分、攻撃者が正しいパスワードを解くまでにかかる時間を長くすることができる。また、攻撃者による攻撃を受けている間も、正当なユーザは正しいパスワードを入力することによって、コンピュータシステムの本来のサーバを利用することができる。さらに、本発明では、偽サーバにログインさせた際に攻撃者が入力したユーザID及びパスワード(疑似ログイン情報)を記憶しておき、該攻撃者が同じコンピュータIDおよびパスワードを用いて、再びコンピュータシステムへ侵入を試みた場合には、直ちに偽サーバにログインさせるようにする。
【0009】
【発明の実施の形態】
以下、本発明の一実施形態について図面を用いて説明する。
図1は、本発明の一実施形態におけるシステム構成のブロック図を示す。図において、コンピュータシステム100は、インターネットなどのネットワーク140を通してクライアント150と結ばれている。クライアント150は、ネットワーク140上に多数存在するが、図1では便宜上、1台のみを示す。
【0010】
コンピュータシステム100は、クライアント150のユーザに対して各種データやアプリケーションプログラムなどを提供するシステムであり、ゲートウェイ110、サーバ120、および偽サーバ130から構成されている。ゲートウェイ110は、ログイン処理、ルーティング、攻撃者行動解析、および攻撃者行動制限を行うコンピュータであり、ゲートウェイ制御部111、パスワード格納部112、誤入力パターン格納部113、カウンタ114、制限行動パターン格納部115、および疑似ログイン情報格納部116を持つ。ゲートウェイ制御部111は、ログイン、ルーティング、攻撃者行動解析、および攻撃者行動制限などの一連の処理を制御するためのものである。パスワード格納部112は、コンピュータシステム100のサーバ120を利用する権限を持つすべてのユーザのパスワードをユーザIDと対応付けて格納するためのものである。誤入力パターン格納部113は、パスワードの入力誤りのパターンを格納するためのものである。カウンタ114は、攻撃者による攻撃の回数をカウントしておくためのものであり、本実施形態では、各ユーザごとに用意するものとする。制限行動パターン格納部115は、攻撃者に対して偽サーバ130内において制限をかける行動のパターン(以下、制限行動パターンと呼ぶ)を格納するためのものである。疑似ログイン情報格納部116は、疑似ログイン情報を格納するためのものである。
【0011】
図2は、疑似ログイン情報格納部116に格納されている疑似ログイン情報の例を示す図である。図2に示した例では、過去にコンピュータシステム100が攻撃者に対して疑似ログインを行わせた際、攻撃者が入力したユーザIDおよびパスワードが格納されている。疑似ログイン情報は、コンピュータシステム100への侵入に成功したと思い込んだ攻撃者が、前回の攻撃の際に用いたのと同じユーザIDおよびパスワードを用いて、再びコンピュータシステム100へ侵入を試みる場合、ゲートウエイ110が当該攻撃者に対して再度疑似ログインを行わせるために使用される。
【0012】
図1に戻り、サーバ120は、ユーザに対して各種のアプリケーションプログラムなどを提供するコンピュータであり、コンピュータシステム100における各種の重要な情報が格納されている。図3は、サーバ120に格納されている情報の例を示す図である。図3に示した例では、コンピュータシステム100が管理する顧客の氏名と電話番号が格納されている。
【0013】
偽サーバ130は、攻撃者に対して疑似ログインを行わせ、各種アプリケーションプログラムなどを提供するためのコンピュータであり、一見コンピュータシステム100における重要な情報であるかのように見える各種の偽情報が格納されている。図4は、偽サーバ130に格納されている偽情報の例を示す図である。図4に示した例では、あたかも図3の如く、顧客の偽の氏名と電話番号が格納されている。
【0014】
クライアント150は、ユーザがコンピュータシステム100を遠隔地から利用するためのクライアントコンピュータであり、入力部151、クライアント制御部152、および表示部153を持つ。入力部151は、ユーザが情報を入力するためのものであり、具体的にはキーボードやマウスなどがあげられる。クライアント制御部152は、クライアント150からのログインに伴う一連の処理を制御するためのものである。表示部153は、ユーザに対して情報を表示するためのものであり、具体的にはディスプレイが例としてあげられる。
【0015】
本実施形態では、ユーザがクライアント150を使用して、遠隔地からコンピュータシステム100のサーバ120にログインする状況を対象としている。
【0016】
図5は、本実施形態におけるログイン処理の全体的フローチャートを示すものである。以下、これにしたがって説明する。
コンピュータシステム100のサーバ120を遠隔地から利用したいユーザは、クライアント150の入力部151から、サーバ120へのログイン要求を入力する(ステップ501)。ログイン要求が入力されると、クライアント制御部152は、該ログイン要求をコンピュータシステム100へ送信する(ステップ502)。コンピュータシステム100では、ログイン要求をネットワーク140を経由して受信すると、ゲートウェイ制御部111が、パスワードを暗号化するための鍵であるセッション鍵を生成する(ステップ503)。セッション鍵は、ログイン要求のたびに毎回異なる値をランダムに生成するようにする。セッション鍵を生成すると、ゲートウェイ制御部111は、該セッション鍵およびログイン画面情報をクライアント150へ送信する(ステップ504)。クライアント150側では、セッション鍵およびログイン画面情報をネットワーク140を経由して受信すると、クライアント制御部152が、ログイン画面情報に基づいてログイン画面を表示部153に表示する(ステップ505)。
【0017】
図6は、ステップ505においてクライアント150の表示部153に表示されるログイン画面の一例を示している。図において、601はユーザID入力領域、602はパスワード入力領域である。
【0018】
ログイン画面が表示されると、ユーザは、あらかじめ定められたユーザIDとパスワードを入力部151から入力する(ステップ506)。ユーザIDとパスワードが入力されると、クライアント制御部152は、所定の暗号アルゴリズムを用いて、該パスワードを受信したセッション鍵で暗号化する(ステップ507)。なお、暗号アルゴリズムは、本発明で問うところのものではなく、任意のアルゴリズムでよい。パスワードを暗号化すると、クライアント制御部152は、先に入力されたユーザIDおよび暗号化されたパスワードをコンピュータシステム100へ送信する(ステップ508)。
【0019】
コンピュータシステム100では、ユーザIDおよび暗号化パスワードをネットワーク140を経由して受信すると、ゲートウェイ制御部111にて、ユーザIDおよびパスワードの正当性を判定して、正当である場合には、当該ユーザに対してサーバ120へのログインを許可し、正当でない場合には該ログインを不許可とする(ステップ509)。
【0020】
図7は、図5のステップ509の詳細を示すフローチャートである。ユーザIDおよび暗号化パスワードをネットワーク140を経由して受信すると、ゲートウェイ制御部111は、該暗号化パスワードをセッション鍵で復号する(ステップ701)。暗号化パスワードを復号すると、ゲートウェイ制御部111は、受信されたユーザIDに対応する正当なパスワードをパスワード格納部112から取り出し、復号したパスワードが、当該正当なパスワードと一致するかどうかを比較する(ステップ702)。パスワード格納部112内のパスワードは、所定の暗号アルゴリズムによって暗号化されており、外部のユーザが解読できないように保護されている。ステップ702において、パスワードが一致する場合、ゲートウェイ制御部111は、ログイン要求をしてきたユーザをサーバ120を利用する権限を持つ正当なユーザであるとみなし、該ユーザがサーバ120にログインすることを許可する(ステップ707)。ログインを許可すると、ゲートウェイ制御部111は、該ユーザのユーザIDをサーバ120へ送信し、クライアント150とサーバ120との間の通信を中継する。
【0021】
図8は、図7のステップ707におけるログイン成功画面の例を示す図である。ログインを許可されたユーザは、クライアント150からネットワーク140を通じて、コンピュータシステム100のサーバ120が提供する各種データやアプリケーションプログラムなどを、前記ユーザが持つ権限の範囲内で利用することができる。
【0022】
一方、ステップ702において、パスワードが一致しない場合、ゲートウェイ制御部111は、疑似ログイン情報格納部116から疑似ログイン情報を取り出し、受信したユーザIDおよび復号したパスワードが、該疑似ログイン情報内のユーザIDおよびパスワードと一致するかどうかを比較する(ステップ703)。ステップ703において、パスワードが一致する場合、ステップ711に進んで疑似ログイン処理を行う。これの詳細は後述する。
【0023】
ステップ703において、パスワードが一致しない場合、ゲートウェイ制御部111は、誤入力パターン格納部113から誤入力パターンを取り出し、復号したパスワードが正当なパスワードの誤入力パターンと一致するかどうかを比較する(ステップ704)。
【0024】
図9は、誤入力パターン格納部113に格納されている誤入力パターンの例を示す図である。図9に示した例では、正しいパスワードの誤入力パターンとして、901の「間違えて隣のキーを打ってしまう」、902「大文字と小文字を間違える」、および、903の「間に余計なキーを打ってしまう」など、正しいパスワードを知っている正当なユーザが誤って入力する場合として考えられるパターンがあげられている。
【0025】
図10は、図7のステップ704における誤入力パターン一致判定の例を示す図である。図10に示す例では、正しいパスワードは「kon2chi=」であり、復号したパスワードは「kom2chi」となっている。この場合、正しいパスワードと復号したパスワードとの違いは、3文字目の「n」と「m」の部分だけである。通常、コンピュータのキーボードの配列では、「n」のキーと「m」のキーは隣同士になっている。よってこの例の場合においては、ゲートウェイ制御部111は、図9の誤入力パターンのうちの、901の「間違えて隣のキーを打ってしまう」に一致するものと判定する。
【0026】
ステップ704において、誤入力パターンと一致する場合、ゲートウェイ制御部111は、サーバ120を利用する権限を持つ正当なユーザがパスワードを誤って入力したものとみなし、ログイン失敗画面情報をクライアント150へ送信して、ユーザがサーバ120にログインすることを拒絶する。
【0027】
クライアント150では、ログイン失敗画面情報をネットワーク140を経由して受信すると、クライアント制御部152は、ログイン失敗画面情報に基づいてログイン失敗画面を表示部153に表示する(ステップ708)。図11は、ステップ708におけるログイン失敗画面の例を示す。ログイン失敗画面が表示されると、ユーザは、あらためてユーザIDとパスワードを入力部151から入力する。すなわち、図5のステップ506から処理を再開する。
【0028】
図7に戻り、ステップ704において、誤入力パターンと一致しない場合、ゲートウェイ制御部111は、攻撃者が総当たり攻撃においてパスワードをランダムに入力したものとみなし、該攻撃者が用いたユーザIDに対応するカウンタ114の値に1を加える(ステップ705)。カウンタ114の値を加算すると、ゲートウェイ制御部111は、該カウンタ114の値が各ユーザごとにあらかじめ設定しておいたしきい値Nuに達しているかどうかを判定する(ステップ706)。カウンタ114の値がNuに達していない場合は、ステップ708に進み、ゲートウェイ制御部111はログインを拒絶する。カウンタ114の値がNuに達している場合は、ゲートウェイ制御部111は、攻撃者が用いたユーザIDおよび復号後パスワード等から構成される疑似ログイン情報を、疑似ログイン情報格納部116へ追加し(ステップ709)、すべてのユーザについてカウンタ114の値を0にクリアした後(ステップ710)、該攻撃者がログインを要求しているサーバ120とは異なる、偽サーバ130にログインすることを許可する(ステップ711)。ログインを許可すると、ゲートウェイ制御部111は、前記攻撃者が用いたユーザIDを偽サーバ130へ送信し、クライアント150と偽サーバ130との間の通信を中継して、該攻撃者の行動を監視する。
【0029】
以上説明したように、ゲートウェイ制御部111は、正当なユーザが関与するクライアントとサーバ120の通信と、攻撃者が関与するクライアントと偽サーバ130の通信との両方を中継する。ゲートウェイ制御部111は、中継している通信に関与している者が正当なユーザであるか、あるいは攻撃者であるかを、擬似ログイン情報格納部116の擬似ログイン情報で把握できる。ゲートウェイ制御部111は、正当なユーザが関与する通信に対しては、中継の際に特に制限を設けない。
【0030】
図12は、図7のステップ711における疑似ログイン画面の一例を示す。図12は、図8のログイン成功画面と一見変わらないものである。ログインを許可された攻撃者は、クライアントからネットワーク140を通じて、コンピュータシステム100の偽サーバ130が提供する各種データやアプリケーションプログラムなどを、後述の制限行動パターンに触れない範囲で利用することができる。よって、当分の間は攻撃者に対してあたかもサーバ120のログインに成功したかのように思い込ませることができる。
【0031】
ここで、しきい値Nuを設定する理由を説明する。正当なユーザに対しては、ログイン時に正しいパスワードを入力しようとすることを当然期待できるが、正当なユーザがログイン時に正しいパスワードとは無関係な文字列を入力してしまう可能性を完全には否定できない。このため、ステップ704において、たとえ誤入力パターンと一致しないからといって即座に疑似ログインを行わせてしまうと、正当なユーザに対して、偽サーバ130にログインさせてしまう可能性がある。また、攻撃者に対しては、一回目の攻撃でログインが成功したように見せかけることになるため、攻撃者に完全に怪しまれてしまう。よって、ある程度大きなしきい値Nuを設定する必要がある。しかしながら、しきい値Nuをあまり大きくし過ぎると、前記しきい値Nuに達する前に攻撃者が正しいパスワードを当ててしまい、サーバ120にログインしてしまう可能性が高くなる。しきい値Nuを設定する際には、このような事情を勘案した上で適切な値を設定すべきである。
【0032】
次に、ステップ710において、カウンタ114の値をすべてのユーザについてクリアする理由を説明する。ある攻撃者が疑似ログインを行った後、該攻撃者とは別の攻撃者がコンピュータシステム100へ侵入を試みる可能性が考えられる。このとき、カウンタ114の値をすべてのユーザについてクリアしておかないと、後から侵入を試みる攻撃者は、しきい値Nu以下の回数のパスワード試行で疑似ログインできてしまう。このため、カウンタ114の値をすべてのユーザについてクリアする必要がある。
【0033】
上で述べた複数の攻撃者に対処する方法としては、カウンタ114を攻撃者ごとに用意することも考えられる。一般的に、コンピュータシステムに対する複数の攻撃が同一の者による攻撃か、あるいは別々の者による攻撃かを判別することは難しいが、判別法の例としては、同一のIPアドレスから行われた攻撃を同一者からの攻撃とみなす方法や、同一時間帯に行われた攻撃を同一者からの攻撃とみなす方法が挙げられる。
【0034】
また、攻撃側は、複数の攻撃者が同一時間帯に、それぞれ異なるIDを利用して一斉に攻撃をかけてくることが想定される(グループ攻撃)。これに対処するには、カウンタ114に各ユーザに共通のカウンタを用意し、複数の攻撃者による一定時間内の不正パスワード入力回数を該カウンタでカウントし、該カウント値が所定の値に達した場合にグループ攻撃と判断して偽サーバ130にログインを許可するようにする。あるいは、コンピュータシステム100を一定期間ロックアウトする。
【0035】
次に、図7のステップ711における疑似ログイン後の攻撃者の行動監視について詳述する。図13は、この擬似ログイン後の攻撃者の行動監視の処理を示すフローチャートである。
【0036】
擬似ログインした攻撃者は、クライアント150の入力部151から、コンピュータシステム100のサーバ120を対象にコマンドを入力する(ステップ1301)。コマンドが入力されると、クライアント制御部152は、該コマンドをコンピュータシステム100へ送信する(ステップ1302)。
【0037】
コンピュータシステム100では、クライアント150からコマンドをネットワーク140を経由して受信すると、ゲートウェイ制御部111は、該コマンドを解析し、該コマンドによって攻撃者が行おうとする行動が、制限行動パターン格納部115に格納されている制限行動パターンと一致するかどうかを比較する(ステップ1303)。
【0038】
図14は、制限行動パターン格納部115に格納されている制限行動パターンの例を示す図である。図14に示した例では、制限行動パターンとして、1401の「特権ユーザになろうとする」、および1402の「他のコンピュータにログインしようとする」などの、攻撃者に対して偽サーバ130内において制限をかける行動のパターンがあげられている。なお、制限行動パターンは、コンピュータシステム100内のセキュリティポリシーに応じて設定する。
【0039】
図15は、図13のステップ1303における制限行動パターン一致判定の一例を示す図である。図15に示す例では、ゲートウェイ制御部111は、「su」というコマンドを受信すると、該コマンドを解析して、図14の制限行動パターンのうちの、1401の「特権ユーザになろうとする」の一致するものと判定している。
【0040】
図13に戻り、ステップ1303において、制限行動パターンと一致する場合、ゲートウェイ制御部111は、入力されたコマンドを偽サーバ130に中継することなく、該コマンドに応じたコマンド失敗応答をクライアント150へ返す。クライアント150では、コマンド失敗応答をネットワーク140を経由して受信すると、クライアント制御部152は、該コマンド失敗応答に基づいてコマンド失敗画面を表示部153に表示する(ステップ1304)。
【0041】
図16は、ステップ1303において、図14の制限行動パターンの「特権ユーザになろうとする」1401に一致した場合の、ステップ1304におけるコマンド失敗画面の例を示す図である。図16に示した例では、攻撃者が特権ユーザになろうとしてコマンドとパスワードを入力したものの、該特権ユーザになることに失敗した状況が表わされている。
【0042】
なお、本実施形態におけるコンピュータシステム100では、ユーザが遠隔地にあるクライアント150から特権ユーザのユーザIDとパスワードを入力して直接ログインすることを禁止するものとする。
【0043】
図17は、ステップ1303において、図14の制限行動パターンの「他のコンピュータにログインしようとする」1402に一致した場合の、ステップ1304におけるコマンド失敗画面の例を示す図である。図17に示した例では、攻撃者が他のコンピュータにログインしようとしてコマンドを入力したものの、何の応答も返ってこない状況が表わされている。図17に示したように、攻撃者が入力したコマンドによっては、クライアント150に何の応答も返ってこない場合がある。すなわち、ステップ1304におけるコマンド失敗応答には、ゲートウェイ制御部111がクライアント150へ何の応答も返さない場合も含んでいる。
【0044】
再び図13に戻り、ステップ1303において、制限行動パターンと一致しない場合、ゲートウェイ制御部111は、受信したコマンドを偽サーバ130へ中継する(ステップ1305)。
以上で説明したように、コンピュータシステム100は、攻撃者に対しては疑似ログインを行わせて、偽サーバ130が提供する各種データやアプリケーションプログラムなどを、制限行動パターンに触れない範囲で自由に利用させる。コンピュータシステム100内における重要な情報はサーバ120の方に格納してあり、かつコンピュータシステム100内のセキュリティポリシーに応じた制限行動パターンを設定してあるので、コンピュータシステム100が疑似ログインをさせた攻撃者によって致命的な被害を受けることはない。
【0045】
侵入に成功したと思い込んだ攻撃者は、前回の攻撃の際に用いたのと同じユーザIDおよびパスワードを用いて、再度、コンピュータシステム100へ侵入を試みることが考えられる。その場合、コンピュータシステム100は、図7のステップ703からステップ711を経由して、攻撃者に対して再び疑似ログインを行わせることになる。しかしながら、やがて攻撃者は自分が侵入しているコンピュータが攻撃目標であるサーバ120ではないことに気付き、一旦ログアウトして再びユーザIDおよびパスワードを変えて総当たり攻撃を仕掛けてくるかもしれない。そのときは、疑似ログインに用いるしきい値Nuと、偽サーバ130に格納する偽情報の内容を変えておく。さらに、疑似ログイン情報格納部116に格納してある疑似ログイン情報の内容を消去し、以前の疑似ログイン時のユーザIDおよびパスワードでは再び疑似ログインできないようにしておく。
【0046】
しきい値Nuを変えておかないと、攻撃者は前回と同じ回数のパスワード試行でログインすることになり、疑似ログインさせられていることが簡単に判明してしまう。また、以前の疑似ログイン時のユーザIDおよびパスワードで再び疑似ログインできたままにしておくのも問題がある。攻撃者はNu回のパスワード入力によって疑似ログインした場合でも、以前の疑似ログイン時のパスワードを入力することで疑似ログインした場合でも、どちらでも偽サーバ130内の偽情報を閲覧できることになる。攻撃者は前記攻撃を両方試みることによって、どちらの場合でもログイン先のコンピュータ内の情報が同一の内容であることを確認できるため、やはり疑似ログインさせられていることが判明してしまう。しきい値Nuと偽情報の内容を変え、以前の疑似ログイン時のユーザIDおよびパスワードでは再び疑似ログインできないようにしておけば、再び偽サーバ130に疑似ログインしてきた攻撃者は疑心暗鬼に陥り、自分がログインしたコンピュータが本物のサーバ120かどうかわからなくなることが期待できる。このようにして、パスワードの総当たり攻撃を仕掛けてくる攻撃者に対して、パスワードを解くまでの時間を稼ぐことができる。
【0047】
以上、本発明の一実施の形態について説明したが、本発明の疑似ログイン方式は、従来のロックアウト方式と併用することも可能である。併用した場合、どちらかの方式を単独で採用した場合に比べて、攻撃者は、疑似ログインあるいはロックアウトにかかる時間の分だけパスワードを解くのに時間がかかることになる。このため、コンピュータシステムがより安全になるものと考えられる。
【0048】
【発明の効果】
以上説明したように、本発明によれば、コンピュータシステムを不正に利用しようとする攻撃者が総当たり攻撃によってパスワードを解くまでの時間を長くし、かつ、正当なユーザが攻撃者の攻撃に妨げられることなくコンピュータシステムを利用することができる。
【図面の簡単な説明】
【図1】本発明のの一実施形態におけるシステム構成のブロック図である。
【図2】図1の疑似ログイン情報格納部に格納されている疑似ログイン情報の一例を示す図である。
【図3】図1のサーバに格納されている情報の一例を示す図である。
【図4】図1の偽サーバ130に格納されている偽情報の一例を示す図である。
【図5】本発明の一実施形態におけるログイン処理の全体的フローチャートである。
【図6】図5のステップ505におけるログイン画面の一例を示す図である。
【図7】図5のステップ509の詳細を示すフローチャートである。
【図8】図7のステップ707におけるログイン成功画面の一例を示す図である。
【図9】図1の誤入力パターン格納部113に格納されている誤入力パターンの一例を示す図である。
【図10】図7のステップ704における誤入力パターン一致判定の一例を示す図である。
【図11】図7のステップ708におけるログイン失敗画面の一例を示す図である。
【図12】図7のステップ711における疑似ログイン画面の一例を示す図である。
【図13】図7のステップ711における疑似ログイン後の攻撃者行動監視の処理を示すフローチャートである。
【図14】図1の制限行動パターン格納部115に格納されている制限行動パターンの一例を示す図である。
【図15】図13のステップ1303における制限行動パターン一致判定の一例を示す図である。
【図16】図13のステップ1304におけるコマンド失敗画面の一例を示す図である。
【図17】図13のステップ1304におけるコマンド失敗画面の他の例を示す図である。
【符号の説明】
100 コンピュータシステム
110 ゲートウェイ
111 ゲートウェイ制御部
112 パスワード格納部
113 誤入力パターン格納部
114 カウンタ
115 禁止行動パターン格納部
116 疑似ログイン情報格納部
120 サーバ
130 偽サーバ
140 ネットワーク
150 クライアント
151 入力部
152 クライアント制御部
153 表示部[0001]
BACKGROUND OF THE INVENTION
The present invention relates to authentication processing of user-specific identification information and a password input by a user who intends to use a computer or a computer system (hereinafter collectively referred to as a computer system), and particularly attempts to illegally use a computer system. The present invention relates to a defense method of a computer system against a brute force attack in which an attacker tries passwords one by one.
[0002]
[Prior art]
2. Description of the Related Art Conventionally, in a computer system, in order to prevent unauthorized users from illegally using resources such as data and application programs owned by the computer system, user-specific identification information (hereinafter referred to as user ID) and a password are input. Authenticates whether these match the user ID and password of a legitimate user registered in advance in the computer system. If not registered, it is determined that the login operation is performed by an unauthorized user. Generally, a method of not permitting this is adopted. Usually, a relatively easy-to-understand user name such as the user's name is selected as the user ID, and a password that each user can only understand is selected.
[0003]
As an attack method to be taken when an unauthorized user intrudes into a computer against a computer system configured to perform such authentication processing to prevent unauthorized use, first, a user ID is obtained, and the user ID is assigned to the user ID. There is a so-called “brute force attack” method in which passwords are tried one by one. Although there are a lot of password candidates, the process to perform a “brute force attack” can be automated by creating a dedicated program, so thousands of unauthorized users are extremely numerous in about one second. You can try many passwords. In this way, by allowing an unauthorized login operation through many password attempts, the password is eventually unlocked.
[0004]
Therefore, an upper limit is set for the number of unauthorized login operations, and if the unauthorized login operation exceeds the upper limit, the computer system is shifted to the lockout state, and login operations of all users to the computer are prohibited for a certain period. There is something to do. This is called a lockout method. As a result, the intruder cannot try many passwords, and the unauthorized use of the computer system by unauthorized users can be prevented, and the safety of data in the computer system can be maintained. The lockout method is described in, for example, Japanese Patent Application Laid-Open No. 11-143834.
[0005]
[Problems to be solved by the invention]
When adopting the lockout method, the login prohibition period (lockout period) is usually determined by the system administrator in accordance with the security policy of the corresponding computer system, but it is a relatively long time. You may not be able to log in again without releasing the status. Therefore, if a lockout is applied, a legitimate user cannot use the computer system for a certain period.
[0006]
Also, paying attention to the fact that if a legitimate user who possesses the user ID used for unauthorized login is logged out, the computer system cannot be used for a certain period of time. If an unauthorized login is attempted using the ID and the lockout state is intentionally entered, there is a risk of an attack that makes the user's use of the computer system impossible.
[0007]
An object of the present invention is to provide a computer system defense method that is more convenient for a legitimate user than a conventional lockout method against a password brute force attack.
[0008]
[Means for Solving the Problems]
  In order to achieve the above object, in the present invention, the input password is analyzed to determine whether or not the attack is by an attacker, and after the attacker has made several password attempts, the attack is performed. When an attacker enters an illegal password, a method is employed in which the attacker logs in to a computer (fake server) different from the computer (server) targeted for attack (hereinafter referred to as pseudo login). The amount of time it takes for an attacker to take a pseudo login can increase the time it takes for the attacker to unlock the correct password. Even during an attack by an attacker, a legitimate user can use the original server of the computer system by inputting the correct password.Furthermore, in the present invention, the user ID and password (pseudo login information) input by the attacker when logging in to the fake server are stored, and the attacker uses the same computer ID and password to re-use the computer system. If an attempt is made to intrude, login to a fake server immediately.
[0009]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, an embodiment of the present invention will be described with reference to the drawings.
FIG. 1 shows a block diagram of a system configuration in an embodiment of the present invention. In the figure, a computer system 100 is connected to a client 150 through a network 140 such as the Internet. Many clients 150 exist on the network 140, but only one is shown in FIG. 1 for convenience.
[0010]
  The computer system 100 is a system that provides various data, application programs, and the like to the user of the client 150, and includes a gateway 110, a server 120, and a fake server 130. The gateway 110 is a computer that performs login processing, routing, attacker behavior analysis, and attacker behavior restriction, and includes a gateway control unit 111, a password storage unit 112, an erroneous input pattern storage unit 113, a counter 114, and a restricted behavior pattern storage unit. 115 and a pseudo login information storage unit 116. The gateway control unit 111 is for controlling a series of processes such as login, routing, attacker behavior analysis, and attacker behavior restriction. The password storage unit 112 stores the passwords of all users who have authority to use the server 120 of the computer system 100.In association with the user IDIt is for storing. The erroneous input pattern storage unit 113 is for storing a password input error pattern. The counter 114 is for counting the number of attacks by the attacker, and in this embodiment, it is prepared for each user. The restricted action pattern storage unit 115 is for storing an action pattern for restricting an attacker in the fake server 130 (hereinafter referred to as a restricted action pattern). The pseudo login information storage unit 116 is for storing pseudo login information.
[0011]
FIG. 2 is a diagram illustrating an example of pseudo login information stored in the pseudo login information storage unit 116. In the example shown in FIG. 2, the user ID and password input by the attacker when the computer system 100 has made the attacker perform pseudo login in the past are stored. The pseudo-login information is used when an attacker who thinks that the computer system 100 has been successfully invaded attempts to enter the computer system 100 again using the same user ID and password used in the previous attack. The gateway 110 is used to cause the attacker to perform pseudo login again.
[0012]
Returning to FIG. 1, the server 120 is a computer that provides various application programs to the user, and stores various important information in the computer system 100. FIG. 3 is a diagram illustrating an example of information stored in the server 120. In the example shown in FIG. 3, the name and telephone number of the customer managed by the computer system 100 are stored.
[0013]
The fake server 130 is a computer for making an attacker perform a pseudo login and providing various application programs and the like, and stores various fake information that appears to be important information in the computer system 100 at first glance. Has been. FIG. 4 is a diagram illustrating an example of fake information stored in the fake server 130. In the example shown in FIG. 4, the fake name and telephone number of the customer are stored as if in FIG.
[0014]
The client 150 is a client computer that allows a user to use the computer system 100 from a remote location, and includes an input unit 151, a client control unit 152, and a display unit 153. The input unit 151 is for a user to input information, and specifically includes a keyboard and a mouse. The client control unit 152 is for controlling a series of processes accompanying login from the client 150. The display unit 153 is for displaying information to the user, and a specific example is a display.
[0015]
In this embodiment, a situation where a user logs in to the server 120 of the computer system 100 from a remote place using the client 150 is targeted.
[0016]
FIG. 5 shows an overall flowchart of the login process in the present embodiment. Hereinafter, it demonstrates according to this.
A user who wants to use the server 120 of the computer system 100 from a remote location inputs a login request to the server 120 from the input unit 151 of the client 150 (step 501). When the login request is input, the client control unit 152 transmits the login request to the computer system 100 (step 502). In the computer system 100, when the login request is received via the network 140, the gateway control unit 111 generates a session key that is a key for encrypting the password (step 503). As the session key, a different value is randomly generated every time a login request is made. When the session key is generated, the gateway control unit 111 transmits the session key and login screen information to the client 150 (step 504). On the client 150 side, when the session key and login screen information are received via the network 140, the client control unit 152 displays a login screen on the display unit 153 based on the login screen information (step 505).
[0017]
FIG. 6 shows an example of a login screen displayed on the display unit 153 of the client 150 in step 505. In the figure, 601 is a user ID input area, and 602 is a password input area.
[0018]
When the login screen is displayed, the user inputs a predetermined user ID and password from the input unit 151 (step 506). When the user ID and password are input, the client control unit 152 encrypts the password with the received session key using a predetermined encryption algorithm (step 507). Note that the encryption algorithm is not the one in question in the present invention, and may be an arbitrary algorithm. When the password is encrypted, the client control unit 152 transmits the previously input user ID and the encrypted password to the computer system 100 (step 508).
[0019]
When the computer system 100 receives the user ID and the encrypted password via the network 140, the gateway control unit 111 determines the validity of the user ID and the password. On the other hand, login to the server 120 is permitted, and if it is not valid, the login is not permitted (step 509).
[0020]
FIG. 7 is a flowchart showing details of step 509 in FIG. When the user ID and the encrypted password are received via the network 140, the gateway control unit 111 decrypts the encrypted password with the session key (step 701). When the encrypted password is decrypted, the gateway control unit 111 extracts a valid password corresponding to the received user ID from the password storage unit 112, and compares whether the decrypted password matches the valid password ( Step 702). The password in the password storage unit 112 is encrypted by a predetermined encryption algorithm, and is protected so that it cannot be decrypted by an external user. In step 702, if the passwords match, the gateway control unit 111 regards the user who has made the login request as a valid user having authority to use the server 120, and permits the user to log in to the server 120. (Step 707). When the login is permitted, the gateway control unit 111 transmits the user ID of the user to the server 120 and relays communication between the client 150 and the server 120.
[0021]
FIG. 8 is a diagram showing an example of a successful login screen in step 707 of FIG. A user who is permitted to log in can use various data, application programs, and the like provided by the server 120 of the computer system 100 from the client 150 through the network 140 within the authority of the user.
[0022]
On the other hand, if the passwords do not match in step 702, the gateway control unit 111 retrieves the pseudo login information from the pseudo login information storage unit 116, and the received user ID and the decrypted password are stored in the pseudo login information. It is compared whether or not it matches the password (step 703). If the passwords match in step 703, the process proceeds to step 711 to perform a pseudo login process. Details of this will be described later.
[0023]
If the passwords do not match in step 703, the gateway control unit 111 retrieves the erroneous input pattern from the erroneous input pattern storage unit 113, and compares whether or not the decrypted password matches the correct password erroneous input pattern (step 703). 704).
[0024]
FIG. 9 is a diagram illustrating an example of erroneous input patterns stored in the erroneous input pattern storage unit 113. In the example shown in FIG. 9, as an incorrect input pattern of a correct password, 901 “I mistakenly hit the next key”, 902 “Improper uppercase and lowercase letters”, and 903 “An extra key between For example, there is a pattern that can be considered as a case where a legitimate user who knows the correct password incorrectly inputs the password.
[0025]
FIG. 10 is a diagram illustrating an example of erroneous input pattern matching determination in step 704 of FIG. In the example shown in FIG. 10, the correct password is “kon2chi =”, and the decrypted password is “kom2chi”. In this case, the difference between the correct password and the decrypted password is only the third character “n” and “m”. Usually, in the keyboard layout of a computer, the “n” key and the “m” key are adjacent to each other. Therefore, in the case of this example, the gateway control unit 111 determines that the error input pattern of FIG.
[0026]
In step 704, if the input pattern matches the incorrect input pattern, the gateway control unit 111 regards that a legitimate user who has authority to use the server 120 inputs the password incorrectly, and transmits login failure screen information to the client 150. Thus, the user refuses to log in to the server 120.
[0027]
When the client 150 receives the login failure screen information via the network 140, the client control unit 152 displays the login failure screen on the display unit 153 based on the login failure screen information (step 708). FIG. 11 shows an example of the login failure screen in step 708. When the login failure screen is displayed, the user again inputs the user ID and password from the input unit 151. That is, the processing is resumed from step 506 in FIG.
[0028]
Returning to FIG. 7, in step 704, if it does not match the incorrect input pattern, the gateway control unit 111 considers that the attacker has randomly input the password in the brute force attack and corresponds to the user ID used by the attacker. 1 is added to the value of the counter 114 (step 705). When the value of the counter 114 is added, the gateway control unit 111 determines whether or not the value of the counter 114 has reached a threshold Nu set in advance for each user (step 706). When the value of the counter 114 has not reached Nu, the process proceeds to step 708, and the gateway control unit 111 rejects the login. When the value of the counter 114 reaches Nu, the gateway control unit 111 adds pseudo login information including the user ID used by the attacker, the decrypted password, and the like to the pseudo login information storage unit 116 ( Step 709) After clearing the value of the counter 114 to 0 for all users (Step 710), the attacker is allowed to log in to the fake server 130 that is different from the server 120 requesting login (Step 710). Step 711). When the login is permitted, the gateway control unit 111 transmits the user ID used by the attacker to the fake server 130, relays communication between the client 150 and the fake server 130, and monitors the behavior of the attacker. To do.
[0029]
As described above, the gateway control unit 111 relays both the communication between the client and the server 120 in which the legitimate user is involved, and the communication between the client and the fake server 130 in which the attacker is involved. The gateway control unit 111 can grasp whether the person involved in the relayed communication is a valid user or an attacker from the pseudo login information in the pseudo login information storage unit 116. The gateway control unit 111 does not particularly limit the communication involved with a legitimate user when relaying.
[0030]
FIG. 12 shows an example of a pseudo login screen in step 711 of FIG. FIG. 12 is the same as the login success screen of FIG. 8 at first glance. An attacker who is permitted to log in can use various data, application programs, and the like provided by the fake server 130 of the computer system 100 from the client through the network 140 as long as the restricted action pattern described later is not touched. Therefore, for the time being, it is possible to make an attacker think as if the login of the server 120 was successful.
[0031]
Here, the reason for setting the threshold Nu will be described. Of course, legitimate users can expect to enter the correct password when logging in, but completely deny the possibility that the legitimate user will enter a string unrelated to the correct password when logging in. Can not. For this reason, in step 704, if a pseudo login is performed immediately even if it does not match the erroneous input pattern, there is a possibility that a legitimate user is logged into the fake server 130. Moreover, since it seems that the login was successful in the first attack, the attacker is completely suspicious by the attacker. Therefore, it is necessary to set a certain large threshold value Nu. However, if the threshold Nu is made too large, there is a high possibility that an attacker will apply the correct password before reaching the threshold Nu and log in to the server 120. When setting the threshold Nu, an appropriate value should be set in consideration of such circumstances.
[0032]
Next, the reason why the value of the counter 114 is cleared for all users in Step 710 will be described. There is a possibility that after an attacker performs a pseudo login, an attacker different from the attacker may attempt to enter the computer system 100. At this time, if the value of the counter 114 is not cleared for all users, an attacker who tries to intrude later can perform pseudo-login with a number of password attempts equal to or less than the threshold Nu. For this reason, it is necessary to clear the value of the counter 114 for all users.
[0033]
As a method of dealing with a plurality of attackers described above, it is conceivable to prepare a counter 114 for each attacker. In general, it is difficult to determine whether multiple attacks on a computer system are attacks by the same person or attacks by different persons. As an example of a discrimination method, an attack made from the same IP address is used. There are a method that considers an attack from the same person, and a method that regards an attack made at the same time as an attack from the same person.
[0034]
Also, it is assumed that the attacker side attacks a plurality of attackers at the same time using different IDs at the same time (group attack). In order to cope with this, a counter common to each user is prepared in the counter 114, the number of illegal passwords input by a plurality of attackers within a certain time is counted by the counter, and the count value reaches a predetermined value. In this case, it is determined that the attack is a group attack, and login to the fake server 130 is permitted. Alternatively, the computer system 100 is locked out for a certain period.
[0035]
Next, the behavior monitoring of the attacker after the pseudo login in Step 711 of FIG. 7 will be described in detail. FIG. 13 is a flowchart showing processing for monitoring the behavior of the attacker after the pseudo login.
[0036]
An attacker who has made a pseudo login inputs a command to the server 120 of the computer system 100 from the input unit 151 of the client 150 (step 1301). When a command is input, the client control unit 152 transmits the command to the computer system 100 (step 1302).
[0037]
In the computer system 100, when a command is received from the client 150 via the network 140, the gateway control unit 111 analyzes the command, and an action to be performed by an attacker according to the command is stored in the restricted action pattern storage unit 115. It is compared whether or not it matches the stored restricted action pattern (step 1303).
[0038]
FIG. 14 is a diagram illustrating an example of the restricted action pattern stored in the restricted action pattern storage unit 115. In the example shown in FIG. 14, as the restricted action patterns, 1401 “attempts to become a privileged user” and 1402 “attempts to log in to another computer”, etc., against the attacker in the fake server 130. There are patterns of behaviors that place restrictions. The restricted action pattern is set according to the security policy in the computer system 100.
[0039]
FIG. 15 is a diagram illustrating an example of the restricted action pattern match determination in step 1303 of FIG. In the example illustrated in FIG. 15, when the gateway control unit 111 receives a command “su”, the gateway control unit 111 analyzes the command, and in the restricted action pattern illustrated in FIG. Judged to match.
[0040]
Returning to FIG. 13, in step 1303, when the restriction action pattern matches, the gateway control unit 111 returns a command failure response corresponding to the command to the client 150 without relaying the input command to the fake server 130. . When the client 150 receives a command failure response via the network 140, the client control unit 152 displays a command failure screen on the display unit 153 based on the command failure response (step 1304).
[0041]
FIG. 16 is a diagram showing an example of a command failure screen in step 1304 when it matches the “becoming a privileged user” 1401 of the restricted action pattern in FIG. 14 in step 1303. The example shown in FIG. 16 shows a situation in which an attacker has entered a command and a password to become a privileged user but failed to become the privileged user.
[0042]
In the computer system 100 according to the present embodiment, it is prohibited that the user directly logs in by inputting the user ID and password of the privileged user from the client 150 in the remote place.
[0043]
FIG. 17 is a diagram showing an example of a command failure screen in step 1304 in the case where the restricted action pattern in FIG. 14 matches the “attempt to log in to another computer” 1402 in step 1303. The example shown in FIG. 17 shows a situation in which an attacker enters a command to log in to another computer, but does not return any response. As shown in FIG. 17, depending on the command input by the attacker, no response may be returned to the client 150. That is, the command failure response in step 1304 includes the case where the gateway control unit 111 does not return any response to the client 150.
[0044]
Returning to FIG. 13 again, if it is determined in step 1303 that the restriction action pattern does not match, the gateway control unit 111 relays the received command to the fake server 130 (step 1305).
As described above, the computer system 100 allows an attacker to perform a pseudo login and freely use various data and application programs provided by the fake server 130 without touching the restricted action pattern. Let Since important information in the computer system 100 is stored in the server 120 and a restricted action pattern according to the security policy in the computer system 100 is set, an attack in which the computer system 100 causes a pseudo login Will not be fatally damaged by a person.
[0045]
An attacker who believes that the intrusion has succeeded may attempt to intrude into the computer system 100 again using the same user ID and password used during the previous attack. In that case, the computer system 100 causes the attacker to perform pseudo login again via steps 703 to 711 in FIG. However, the attacker may eventually realize that the computer he or she is invading is not the attack target server 120, and may once log out and change the user ID and password again to launch a brute force attack. At that time, the threshold value Nu used for the pseudo login and the contents of the false information stored in the false server 130 are changed. Further, the contents of the pseudo login information stored in the pseudo login information storage unit 116 are erased so that the pseudo login cannot be performed again with the user ID and password at the previous pseudo login.
[0046]
If the threshold value Nu is not changed, the attacker logs in with the same number of password attempts as the previous time, and it is easily determined that the user has been pseudo-logged in. Another problem is that pseudo login can be made again with the user ID and password at the previous pseudo login. The attacker can browse the fake information in the fake server 130 either by pseudo login by entering Nu passwords or by pseudo login by entering the password at the previous pseudo login. By trying both attacks, the attacker can confirm that the information in the login computer has the same contents in either case, so that it is also found that pseudo login is performed. If the contents of the false information are changed by changing the threshold Nu and the user ID and password at the previous pseudo-login cannot be used again, the attacker who has pseudo-logged in the fake server 130 again falls into suspicion, It can be expected that the computer on which the user has logged in is not sure whether the computer is the real server 120. In this way, it is possible to gain time until the password is solved for an attacker who performs a brute force attack of the password.
[0047]
Although one embodiment of the present invention has been described above, the pseudo login system of the present invention can be used in combination with a conventional lockout system. When used in combination, the attacker will need more time to unlock the password for the time required for pseudo-login or lockout than when either method is used alone. For this reason, it is considered that the computer system becomes safer.
[0048]
【The invention's effect】
As described above, according to the present invention, an attacker who tries to use a computer system illegally increases the time until the password is solved by a brute force attack, and a legitimate user prevents the attacker from attacking. The computer system can be used without being used.
[Brief description of the drawings]
FIG. 1 is a block diagram of a system configuration according to an embodiment of the present invention.
FIG. 2 is a diagram illustrating an example of pseudo login information stored in a pseudo login information storage unit of FIG. 1;
FIG. 3 is a diagram illustrating an example of information stored in the server of FIG. 1;
FIG. 4 is a diagram illustrating an example of false information stored in a false server 130 of FIG.
FIG. 5 is an overall flowchart of a login process according to an embodiment of the present invention.
6 is a diagram showing an example of a login screen in step 505 of FIG.
FIG. 7 is a flowchart showing details of step 509 in FIG. 5;
8 is a diagram showing an example of a successful login screen in step 707 of FIG.
9 is a diagram illustrating an example of an erroneous input pattern stored in an erroneous input pattern storage unit 113 of FIG. 1;
10 is a diagram illustrating an example of erroneous input pattern matching determination in step 704 of FIG. 7;
11 is a diagram showing an example of a login failure screen in step 708 of FIG.
12 is a diagram showing an example of a pseudo login screen in step 711 of FIG.
13 is a flowchart showing an attacker behavior monitoring process after pseudo login in Step 711 of FIG. 7;
14 is a diagram illustrating an example of a restricted action pattern stored in a restricted action pattern storage unit 115 in FIG. 1. FIG.
15 is a diagram showing an example of a restricted action pattern match determination in step 1303 of FIG.
FIG. 16 is a diagram showing an example of a command failure screen in step 1304 of FIG.
17 is a diagram showing another example of the command failure screen in step 1304 of FIG.
[Explanation of symbols]
100 computer system
110 gateway
111 Gateway control unit
112 Password storage
113 Error input pattern storage
114 counter
115 Prohibited behavior pattern storage
116 Pseudo login information storage
120 servers
130 Fake server
140 network
150 clients
151 Input section
152 Client control unit
153 Display

Claims (4)

入力されたユーザ固有の識別情報およびパスワードを認証して、正当なユーザにログインを許可するコンピュータシステムにおいて、該コンピュータシステムが実行する不正ログイン防御方法であって、
入力された識別情報およびパスワードを解析して、コンピュータシステムを不正に利用しようとする攻撃者が入力したパスワードであるかどうか判断し、
前記攻撃者によるパスワード入力回数をカウントして、前記入力回数が所定の値に達した場合に、攻撃者に対して偽のログインを許可すると共に、該攻撃者が入力した識別情報およびパスワードを記憶し、攻撃者によるパスワード入力回数のカウントをすべてクリアし、
以後、入力された識別情報およびパスワードが前記記憶した識別情報およびパスワードと一致した場合、直ちに偽のログインを許可する、
ことを特徴とするコンピュータシステムの不正ログイン防御方法。Authenticates the entered user-specific identification information and a password, Oite the computer system to allow login to the authorized user, a fraudulent login defense of the computer system to perform,
Analyzes the entered identification information and password to determine whether the password is entered by an attacker who attempts to use the computer system illegally.
Counts the number of passwords entered by the attacker, and when the number of times the input reaches a predetermined value, allows the attacker to log in fake and stores the identification information and password entered by the attacker Clear the count of passwords entered by attackers,
Thereafter, when the input identification information and password match the stored identification information and password, a fake login is immediately permitted.
A method for preventing unauthorized login of a computer system. 請求項1記載のコンピュータシステムの不正ログイン防御方法において、
複数の攻撃者による所定時間内のパスワード入力回数をカウントし、前記入力回数が所定の値に達した場合に、各攻撃者に対して偽のログインを許可する、
ことを特徴とするコンピュータシステムの不正ログイン防御方法。The method for preventing unauthorized login of a computer system according to claim 1,
Counting the number of passwords entered by a plurality of attackers within a predetermined time, and allowing the fake login to each attacker when the number of inputs reaches a predetermined value.
A method for preventing unauthorized login of a computer system. 入力されたユーザ固有の識別情報およびパスワードを認証して、正当なユーザにログインを許可するコンピュータシステムにおいて、
各種有用な情報を格納し、各種アプリケーションプログラムを提供する第一のサーバと、
前記第一のサーバに格納された情報に似せた無用な偽情報を格納し、各種アプリケーションプログラムを提供する第二のサーバと、
コンピュータシステムを利用する権限を持つユーザのパスワードを識別情報と対応づけて格納する第一の記憶手段と、
前記第二のサーバを利用することを許可したユーザの識別情報およびパスワードを格納する第二の記憶手段と、
ユーザがパスワードを入力する際に想定される入力誤りのパターンを格納する第三の記憶手段と、
前記第1の記憶手段を参照し、入力された識別情報およびパスワードが正当である場合には、該識別情報およびパスワードを入力したユーザに対して前記第一のサーバを利用することを許可する手段と、
入力された識別情報およびパスワードが正当でなく、前記第二の記憶手段にも格納されておらず、かつ、入力されたパスワードが前記第三の記憶手段の入力誤りのパターンとも一致しない場合には、前記入力されたパスワードは、コンピュータシステムを不正に利用しようとする攻撃者が入力したパスワードであると判断する手段と、
前記コンピュータシステムを不正に利用しようとする攻撃者によるパスワード入力回数をカウントする手段と、
前記パスワード入力回数が所定の値に達した場合には、前記攻撃者に対して前記第二のサーバを利用することを許可すると共に、入力された識別情報及びパスワードを前記第二の記憶手段に記憶し、攻撃者によるパスワード入力回数のカウントをすべてクリアする手段と、
入力された該識別情報及びパスワードが正当でなく、前記第二の記憶手段に格納されている場合には、該識別情報およびパスワードを入力したユーザを攻撃者と見做し、直ちに前記第二のサーバを利用することを許可する手段と、
を有することを特徴とするコンピュータシステム。In a computer system that authenticates the input user-specific identification information and password and allows a legitimate user to log in,
A first server that stores various useful information and provides various application programs;
A second server that stores useless fake information resembling the information stored in the first server and provides various application programs;
First storage means for storing a password of a user authorized to use a computer system in association with identification information;
Second storage means for storing identification information and a password of a user permitted to use the second server;
Third storage means for storing an input error pattern assumed when the user inputs a password;
Means for referring to the first storage means and permitting the user who has input the identification information and password to use the first server when the input identification information and password are valid. When,
When the input identification information and password are not valid, are not stored in the second storage means, and the input password does not match the input error pattern of the third storage means Means for determining that the input password is a password input by an attacker who intends to illegally use the computer system;
Means for counting the number of times a password is input by an attacker who attempts to use the computer system illegally;
When the password input count reaches a predetermined value, the attacker is allowed to use the second server, and the input identification information and password are stored in the second storage means. Means to remember and clear all counts of password input by attackers,
If the input identification information and password are not valid and are stored in the second storage means, the user who has input the identification information and password is regarded as an attacker, and the second information is immediately entered. Means to allow the server to be used;
A computer system comprising: 請求項3記載のコンピュータシステムにおいて、
第二のサーバを利用する攻撃者に対して制限をかける行動のパターンを格納する手段と、
攻撃者の行動が前記制限をかける行動のパターンに一致した場合には、前記攻撃者の行動に制限をかける手段と、
を有することを特徴とするコンピュータシステム。The computer system according to claim 3.
Means for storing an action pattern that restricts an attacker using the second server;
A means for restricting the attacker's action when the attacker's action matches the restriction action pattern;
A computer system comprising:
JP2000093658A 2000-03-30 2000-03-30 Method for preventing unauthorized login of computer system and computer system Expired - Fee Related JP3841259B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000093658A JP3841259B2 (en) 2000-03-30 2000-03-30 Method for preventing unauthorized login of computer system and computer system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000093658A JP3841259B2 (en) 2000-03-30 2000-03-30 Method for preventing unauthorized login of computer system and computer system

Publications (2)

Publication Number Publication Date
JP2001282739A JP2001282739A (en) 2001-10-12
JP3841259B2 true JP3841259B2 (en) 2006-11-01

Family

ID=18608813

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000093658A Expired - Fee Related JP3841259B2 (en) 2000-03-30 2000-03-30 Method for preventing unauthorized login of computer system and computer system

Country Status (1)

Country Link
JP (1) JP3841259B2 (en)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4567702B2 (en) * 2001-10-15 2010-10-20 三菱電機株式会社 Cryptographic communication device
JP2005208931A (en) * 2004-01-22 2005-08-04 Fujitsu Ltd Device for authenticating information apparatus, application authentication program, medium in which application authentication program is recorded, and method for authenticating application
JP5015044B2 (en) * 2008-03-11 2012-08-29 Necパーソナルコンピュータ株式会社 Information processing system, information terminal, and program
JP5015043B2 (en) * 2008-03-11 2012-08-29 Necパーソナルコンピュータ株式会社 Information processing system, information terminal, and program
KR101576632B1 (en) * 2012-11-30 2015-12-10 네이버비즈니스플랫폼 주식회사 System, apparatus, method and computer readable recording medium for detecting and treating illegal access
JP5613855B1 (en) 2014-04-23 2014-10-29 株式会社 ディー・エヌ・エー User authentication system
JP5996615B2 (en) * 2014-11-19 2016-09-21 京セラドキュメントソリューションズ株式会社 Electronic device and electronic device user authentication method
JP6528448B2 (en) 2015-02-19 2019-06-12 富士通株式会社 Network attack monitoring device, network attack monitoring method, and program
JP7034870B2 (en) 2018-09-19 2022-03-14 株式会社東芝 Authentication device

Also Published As

Publication number Publication date
JP2001282739A (en) 2001-10-12

Similar Documents

Publication Publication Date Title
Juels et al. Honeywords: Making password-cracking detectable
US7093291B2 (en) Method and system for detecting and preventing an intrusion in multiple platform computing environments
US6510523B1 (en) Method and system for providing limited access privileges with an untrusted terminal
US7523499B2 (en) Security attack detection and defense
KR101746732B1 (en) System and method for improving security of user account access
Rani et al. Cyber security techniques, architectures, and design
CN111510453A (en) Business system access method, device, system and medium
WO2008109661A2 (en) Method and system for securely caching authentication elements
JP3841259B2 (en) Method for preventing unauthorized login of computer system and computer system
US20090019289A1 (en) Negative authentication system for a networked computer system
LeJeune et al. An algorithmic approach to improving cloud security: The MIST and Malachi algorithms
Soria-Machado et al. Detecting lateral movements in windows infrastructure
JP2003023676A (en) Remote control system
US10523633B2 (en) Method of communicating between secured computer systems, a computer network infrastructure and a computer program product
EP4170965A1 (en) Application security through global lockout and capture
JP2006277063A (en) Hacking defence device and hacking defence program
JP6842951B2 (en) Unauthorized access detectors, programs and methods
JPH11143834A (en) Lock out method for log-in operation
US20200065475A1 (en) UltraSafe Login
KR100625081B1 (en) The Method of safe certification service
JP2009093222A (en) Information processor, information management device, information management system, information processing program and information management program
Veríssimo et al. Fundamental security concepts
Steinauer et al. Basic intrusion protection: the first line of defense
MA et al. Attacks and countermeasures in software system security
Howard et al. Cyber fraud trends and mitigation

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050420

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050510

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050711

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060315

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060404

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060802

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060803

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090818

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120818

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees