JP4020912B2 - 不正アクセス検知装置、不正アクセス検知プログラムおよび不正アクセス検知方法 - Google Patents

不正アクセス検知装置、不正アクセス検知プログラムおよび不正アクセス検知方法 Download PDF

Info

Publication number
JP4020912B2
JP4020912B2 JP2004508004A JP2004508004A JP4020912B2 JP 4020912 B2 JP4020912 B2 JP 4020912B2 JP 2004508004 A JP2004508004 A JP 2004508004A JP 2004508004 A JP2004508004 A JP 2004508004A JP 4020912 B2 JP4020912 B2 JP 4020912B2
Authority
JP
Japan
Prior art keywords
unauthorized access
transition
event sequence
attack
unauthorized
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004508004A
Other languages
English (en)
Other versions
JPWO2003100619A1 (ja
Inventor
和己 久保田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Publication of JPWO2003100619A1 publication Critical patent/JPWO2003100619A1/ja
Application granted granted Critical
Publication of JP4020912B2 publication Critical patent/JP4020912B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/10Payment architectures specially adapted for electronic funds transfer [EFT] systems; specially adapted for home banking systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/03Credit; Loans; Processing thereof
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • General Engineering & Computer Science (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Marketing (AREA)
  • Technology Law (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

【0001】
【技術分野】
この発明は、コンピュータネットワークを通じてサービスを提供するサーバに対して不正クライアントが不正行為に先立っておこなう一連の処理要求を不正アクセスとして検知する不正アクセス検知装置、不正アクセス検知プログラムおよび不正アクセス検知方法に関し、特に、精度良く不正アクセスを検知するとともに、攻撃の予兆を検知し、サーバが将来の攻撃に備えることを可能とする不正アクセス検知装置、不正アクセス検知プログラムおよび不正アクセス検知方法に関するものである。
【0002】
【背景技術】
近年のネットワーク技術の進展に伴って、インターネット上の分散システムであるワールドワイドウエブ(WWW)の利用が急速に拡大し、さまざまなサービスを提供するサーバも累増してきたが、かかるサーバの増加とともに不正アクセスも急増している。
【0003】
この急増する不正アクセスに対処するために、不正アクセスを検知する不正アクセス検知ツールが利用されている。この不正アクセス検知ツールは、クライアントからの不正な処理要求を検知する検知ルールを有し、この検知ルールとクライアントからの処理要求を照らし合わせることによって不正アクセスの判定をおこなっている。検知ルールの具体例としては、実際には存在しない非常に長いURLを用いたホームページアクセス要求、無意味で非常に長い文字列の照合処理要求、正しくないパスワードの入力などがある。
【0004】
【発明が解決しようとする課題】
しかしながら、従来の不正アクセス判定技術のように、個々の処理要求に対して不正アクセスの判定をおこなおうとすると、正当なアクセスか不当なアクセスかを判定できない場合が多く発生するという問題がある。たとえば、正しくないパスワードの入力に対しては、不正なアクセスの試みであるのか、正当な利用者の単なる誤入力であるのかの判定ができない。
【0005】
もし、この正しくないパスワード入力を全て不正アクセスとすると、正当なアクセスを不正アクセスと判定する誤検知が多く発生し、逆に、全て不正アクセスでないとすると、不正なアクセスを見逃し、実際に侵入攻撃がおこなわれるまで不正アクセスを検知することができないという問題がある。
【0006】
なお、サーバの負荷状態などの指標を監視して、その指標の値が正常値から逸脱した場合に不正アクセスがおこなわれたと判定する不正アクセス判定技術があるが、この不正アクセス判定技術には、指標の正常値を決めることが困難であるという問題がある。
【0007】
従って、この発明は、精度良く不正アクセスを検知するとともに、攻撃の予兆を検知し、サーバが将来の攻撃に備えることを可能とする不正アクセス検知装置、不正アクセス検知プログラムおよび不正アクセス検知方法を提供することを目的としている。
【0008】
【発明の開示】
上述した課題を解決し、目的を達成するため、本発明は、正クライアントが、コンピュータネットワークを通じてサービスを提供するサーバに対する攻撃に先立ってう一連の処理要求と、該処理要求の遷移時間又は遷移確率の少なくともいずれかを不正アクセス事象列として記憶する不正アクセス事象列記憶手段と、クライアントの一連の処理要求を前記不正アクセス事象列記憶手段に記憶された不正アクセス事象列と照合し、該不正アクセス事象列における該一連の処理要求の遷移段階に基づき、該不正アクセス事象列に遷移時間を含む場合には攻撃発生までの時間、遷移確率を含む場合には攻撃発生確率を求める攻撃予測手段と、を備えたことを特徴とする。
【0009】
また、本発明は、ライアントの一連の処理要求を、不正クライアントがコンピュータネットワークを通じてサービスを提供するサーバに対する攻撃に先立って行う一連の処理要求と、該処理要求の遷移時間又は遷移確率の少なくともいずれかを不正アクセス事象列として記憶する不正アクセス事象列記憶手段に記憶された不正アクセス事象列と照合し、該不正アクセス事象列における該一連の処理要求の遷移段階に基づき、該不正アクセス事象列に遷移時間を含む場合には攻撃発生までの時間、遷移確率を含む場合には攻撃発生確 率を求める攻撃予測ステップをコンピュータ実行させることを特徴とする。
【0010】
また、本発明は、ライアントの一連の処理要求を、不正クライアントがコンピュータネットワークを通じてサービスを提供するサーバに対する攻撃に先立って行う一連の処理要求と、該処理要求の遷移時間又は遷移確率の少なくともいずれかを不正アクセス事象列として記憶する不正アクセス事象列記憶手段に記憶された不正アクセス事象列と照合し、該不正アクセス事象列における該一連の処理要求の遷移段階に基づき、該不正アクセス事象列に遷移時間を含む場合には攻撃発生までの時間、遷移確率を含む場合には攻撃発生確率を求める攻撃予測ステップコンピュータが実行することを特徴とする。
【0011】
かかる発明によれば、不正クライアントが、コンピュータネットワークを通じてサービスを提供するサーバに対する攻撃に先立って行う一連の処理要求と、該処理要求の遷移時間又は遷移確率の少なくともいずれかを不正アクセス事象列として記憶し、クライアントの一連の処理要求を不正アクセス事象列と照合し、不正アクセス事象列における一連の処理要求の遷移段階に基づき、不正アクセス事象列に遷移時間を含む場合には攻撃発生までの時間、遷移確率を含む場合には攻撃発生確率を求めることとしたので、精度良く不正アクセスを検知するとともに、攻撃の予兆を検知し、サーバが将来の攻撃に備えることを可能とすることができる。
【0012】
【発明を実施するための最良の形態】
以下、添付図面を参照して、この発明に係る不正アクセス検知装置、不正アクセス検知プログラムおよび不正アクセス検知方法の好適な実施の形態を詳細に説明する。なお、以下に示す実施の形態1では、この発明に係る不正アクセス検知装置をサーバに組み込んだ場合について説明し、実施の形態2では、この発明に係る不正アクセス検知装置をネットワークに組み込んだ場合について説明する。
【0013】
実施の形態1.
まず、本実施の形態1に係るサーバについて説明する。第1図は、本実施の形態1に係るサーバの構成を示す機能ブロック図である。同図に示すように、このサーバ100は、サーバ処理部110と、アクセスログ120と、不正アクセス検知部130とを有し、インターネットを介してクライアント10〜30にサービスを提供するコンピュータである。なお、ここでは説明の便宜上、3台のクライアント10〜30のみを示したが、このサーバ100は、任意の台数のクライアントからアクセスされる。
【0014】
サーバ処理部110は、クライアント10〜30からの処理要求に応答してサービスを提供する処理部であり、処理要求が正当か否かの判定を不正アクセス検知部130に依頼し、処理要求が不正と判定された場合には、サービスの提供をおこなわない。
【0015】
アクセスログ120は、クライアント10〜30からの処理要求を記録したデータであり、処理要求が正当な処理要求か不正な処理要求かにかかわらず、全ての処理要求とその処理結果を記録する。
【0016】
不正アクセス検知部130は、サーバ100に対する不正アクセスを検知する処理部であり、不正クライアント判定部131と、不正アクセスイベント判定部132と、イベントシーケンス判定部133と、イベントシーケンス作成部134と、不正クライアントデータベース135と、検知ルール136と、検知ログ137と、検知イベントマスタテーブル138と、不正アクセスイベントシーケンスデータベース139とを有する。
【0017】
不正クライアント判定部131は、サーバ100へアクセスするクライアント10〜30を不正クライアントデータベース135に登録されている不正クライアントと照合することによって不正アクセスを検知する処理部である。
【0018】
不正アクセスイベント判定部132は、クライアント10〜30からサーバ100への個々の処理要求を検知ルール136に登録されている不正な処理要求と照合することによって不正アクセスを検知する処理部である。
【0019】
イベントシーケンス判定部133は、クライアント10〜30からサーバ100への一連の処理要求を不正アクセスイベントシーケンスデータベース139に登録されている不正アクセスイベントシーケンスと照合することによって不正アクセスを検知する処理部である。このイベントシーケンス判定部133は、個々の処理要求単体で不正を判定するのではなく、クライアント10〜30からの一連の処理要求を時系列に照合することによって不正アクセスを検知するとともに、攻撃の予兆を検知する。また、検知した攻撃の予兆に基づいて、攻撃予報を発報する。なお、不正アクセスイベントシーケンスデータベース139に登録されている不正アクセスイベントシーケンスの詳細については後述する。
【0020】
イベントシーケンス作成部134は、アクセスログ120および不正アクセスを記録した検知ログ137から不正アクセスイベントシーケンスを生成し、生成された不正アクセスイベントシーケンスから不正アクセスイベントシーケンスデータベース139に登録する不正アクセスイベントシーケンスを、検知イベントマスタテーブル138を用いて選択する処理部である。なお、このイベントシーケンス作成部134の詳細についても後述する。
【0021】
不正クライアントデータベース135は、過去に不正アクセスをおこなった不正クライアントを登録したデータベースである。この不正クライアントデータベース135には、IPアドレス、クライアント名、この不正クライアントデータベース135への登録日、サーバ100への最終アクセス日が不正クライアントごとに記録される。サーバ100への最終アクセス日は、一定期間アクセスのない不正クライアントをこの不正クライアントデータベース135から削除する場合に使用される。
【0022】
第2図は、不正クライアントデータベース135の一例を示す図である。同図は、IPアドレスが1.2.3.4であるクライアントが2001/1/1に不正クライアントとして登録され、この不正クライアントのサーバ100への最終アクセス日が2001/1/10であることを示している。また、IPアドレスが111.222.111.222であってクライアント名がa.b.c.or.jpであるクライアントが、2000/11/13に不正クライアントとして登録され、この不正クライアントのサーバ100への最終アクセス日が2001/1/12であることを示し、IPアドレスが100.200.255.255であってクライアント名がaaa.bbb.ccc.ne.jpであるクライアントが、2000/7/18に不正クライアントとして登録され、この不正クライアントのサーバ100への最終アクセス要求日が2000/11/13であることを示している。
【0023】
検知ルール136は、不正な処理要求を登録したデータベースである。この検知ルール136は、処理要求単位に不正アクセスを登録したものであり、単一の処理要求だけに基づいた不正アクセスの判定に用いられる。一方、複数の処理要求に基づいた不正アクセスの判定には、不正アクセスイベントシーケンスデータベース139が用いられる。
【0024】
検知ログ137は、不正クライアント判定部131、不正アクセスイベント判定部132またはイベントシーケンス判定部133が不正アクセスを検知した場合に、その不正アクセスについて記録したデータであり、不正アクセスイベントシーケンスデータベース139を作成するためのデータとなる。
【0025】
第3図は、検知ログ137の一例を示す図である。同図に示すように、この検知ログ137には、各不正アクセスについて、一連番号であるID、不正アクセスの発生日、不正処理要求の種別を示すイベント名、ソースポート名、ターゲットポート名、不正クライアントのIPアドレスを示す発信元、アクセスされたサーバ100のIPアドレスを示す送信先が記録されている。たとえば、一連番号175006の不正アクセスは、19-Sep-00に発生し、不正処理要求の種別はSNMP_Communityであり、ソースポート名は923であり、ターゲットポート名はSNMPであり、不正クライアントのIPアドレスは192.168.35.166であり、アクセスされたサーバ100のIPアドレスは192.168.35.161であることを示している。
【0026】
検知イベントマスタテーブル138は、不正アクセスイベントシーケンスを構成する個々のイベントを登録したテーブルであり、イベントシーケンス作成部134が不正アクセスイベントシーケンスデータベース139を作成するために使用する。ここで、イベントとは、クライアント10〜30からの単一の処理要求または複数の処理要求を集約した複合処理要求である。なお、この検知イベントマスタテーブル138の詳細は後述する。
【0027】
不正アクセスイベントシーケンスデータベース139は、不正アクセスイベントシーケンスを登録したデータベースであり、この不正アクセスイベントシーケンスデータベース139を利用して不正アクセスを検知することにより、より精度良く不正アクセスを検知するとともに、攻撃予兆を検知し、将来の攻撃に備えることができる。
【0028】
ここで、不正アクセスイベントシーケンスについて説明する。第4図は、不正アクセスイベントシーケンスの概念を説明するための説明図である。同図は、攻撃Xに至る手順として、A、B、CおよびDの4つのイベントを経ていることを示している。
【0029】
同図において、矢印はイベントの遷移を示しており、矢印に付加された確率および時間は、過去の事例に基づくイベント間の遷移確率および時間間隔を示している。たとえば、イベントAからイベントBへの遷移確率はp1であり、時間間隔はt1であることを示している。ここで、時間間隔t1は、過去の事例の平均時間間隔、最小時間間隔、最大時間間隔から構成される。
【0030】
一方、イベントAから「イベントB以外」のイベントへの遷移は、イベントAから「not」への矢印で示し、その遷移確率はp5であることを示している。この場合、p1+p5は1となる。また、イベントAから「イベントB以外」のイベントへの遷移は不正アクセスではなく、その時間間隔は意味を持たないため、遷移確率のみを示している。ここで、イベントBからイベントCへの遷移確率p2は、イベントBに先立ってイベントAが発生した場合の遷移確率である。したがって、この遷移確率p2は、単にイベントBからイベントCへの遷移確率ではないことに注意する必要がある。
【0031】
このように、不正アクセスイベントシーケンスは、攻撃に至るまでに発生するイベントの条件付き状態遷移の確率モデルとして構築される。たとえば、ポートスキャン、ルート権限の取得、不正プログラムの導入による踏み台の設置および攻撃指令によるUDPFloodの送出という順番でイベントが発生し、その後、DDoS(Distributed Denial of Service)攻撃が発生したという事例が過去にあった場合、この一連のイベントの遷移が不正アクセスイベントシーケンスとなる。
【0032】
次に、不正アクセスイベントシーケンスを用いた不正アクセス検知について説明する。不正アクセス検知は、複数の不正アクセスイベントシーケンスを融合した予兆検知ルールを用いておこなわれる。
【0033】
第5図は、予兆検知ルールの構造の一例を示す図である。同図に示すように、この予兆検知ルールは、複数の不正アクセスイベントシーケンスを共通するイベントについて融合し、木の形としたものである。たとえば、A→B→Dの部分は、3つの不正アクセスイベントシーケンスA→B→D→A→攻撃Y、A→B→D→E→G→攻撃ZおよびA→B→D→F→C→攻撃Mを融合したものである。この予兆検知ルールを用いる不正アクセス検知では、個々の不正アクセスイベントシーケンスを独立したルールとして用いる不正アクセス検知では不可能な、複数の不正アクセスイベントシーケンスにまたがった不正アクセス検知をおこなうことが可能となる。
【0034】
また、この不正アクセス検知では、新たに発生するイベントを監視し、予兆検知ルールとの照合をおこなうことで現段階が将来の攻撃に至るどの段階にあるかを検知し、その段階の先にある各遷移の遷移確率および遷移時間を用いて攻撃が発生するまでの時間と攻撃が発生する確率を予測することができる。たとえば、イベントFが発生した段階で、攻撃Mが発生する時間はt12+t13後であり、その確率はp12×p13であると予測することができる。
【0035】
また、この予兆検知ルールとの照合では、発生するイベントが予兆検知ルールの3つのイベントと照合した場合に、攻撃の予兆と判断することとしているが、この判断基準としては、攻撃までに残されたイベント数、攻撃までの時間間隔、攻撃までの遷移確率、予測される攻撃の重要度、およびこれらの組み合わせを用いることもできる。
【0036】
次に、本実施の形態1に係るサーバ100の不正アクセス検知動作について説明する。第6図は、本実施の形態1に係るサーバ100の不正アクセス検知動作を示すフローチャートである。なお、ここではユーザがクライアント10からサーバ100へのアクセスを要求する場合について説明するが、他のクライアント20および30からアクセスを要求する場合も同様な動作となる。
【0037】
同図に示すように、クライアント10からユーザがサーバ100へのアクセスを要求すると(ステップS601)、サーバ処理部110がこのアクセス要求を受け付け(ステップS602)、不正アクセス検知部130にアクセスが正当か否かの判定を依頼する。依頼を受けた不正アクセス検知部130は、このアクセスを要求したクライアント10が不正クライアントとして不正クライアントデータベース135に登録されているか否かを調べ(ステップS603)、不正クライアントとして登録されていない場合には、サーバ処理部110がクライアント10に対してアクセスを許可し(ステップS604)、アクセス許可を受けたクライアント10が一連の処理要求を順にサーバ100に送信する(ステップS605〜ステップS606)。
【0038】
そして、サーバ処理部110が各処理要求を受け付け(ステップS607)、不正アクセス検知部130に不正な処理要求か否かの判定を依頼する。依頼を受けた不正アクセス検知部130は、各処理要求が不正アクセスイベントとして検知ルール136に登録されているか否かを調べ(ステップS608)、不正アクセスイベントとして登録されていない場合には、このクライアント10からのこれまでの処理要求に基づくイベントシーケンスと不正アクセスイベントシーケンスデータベース139に登録された不正アクセスイベントシーケンスとの照合をおこなう(ステップS609)。照合の結果、不正アクセスイベントシーケンスと一致しない場合には、正当な処理要求としてサーバ処理部110が処理を実行し(ステップS610)、アクセスログ120に記録し(ステップS614)、処理結果をクライアント10に送付する(ステップS615)。
【0039】
これに対して、不正アクセスイベントシーケンスと一致した場合には、このクライアント10を攻撃者と判断し、このクライアント10のIPアドレス、攻撃までの予測時間(最小値、平均値、最大値)、攻撃の種類、攻撃が発生する確率、予測される攻撃の重要度などの情報を攻撃予報として発報する(ステップS611)。また、このクライアント10を不正クライアントとして不正クライアントデータベース135に登録し(ステップS612)、検知ログに記録し(ステップS613)、処理結果を「不正アクセス」としてステップS614に進む。
【0040】
一方、不正アクセスイベントと判定した場合は(ステップS608の肯定)、処理結果を「不正アクセス」としてステップS612に進み、また、不正クライアントと判定した場合は(ステップS603の肯定)、処理結果を「不正アクセス」としてステップS613に進む。
【0041】
そして、処理結果を受け取ったクライアント10は、受け取った処理結果をユーザに提示する(ステップS616)。
【0042】
次に、第1図に示したイベントシーケンス作成部134の処理について説明する。第7図は、第1図に示したイベントシーケンス作成部134の処理手順を示すフローチャートである。同図に示すように、このイベントシーケンス作成部134は、アクセスログ120および検知ログ137を読み込み(ステップS701)、検知ログ137に登録された各不正アクセスに対して、クライアントからの一連の処理要求を不正アクセスイベントシーケンスとして抽出する(ステップS702)。なお、この不正アクセスイベントシーケンス抽出の対象とするアクセスログ120は、特定の攻撃と関連がある部分だけに限ることとする。具体的には、検知したい攻撃の発生に先立った一定期間(たとえば1日分)とする。ただし、サーバ100が攻撃で動作不能になるような攻撃については、できるだけ早く攻撃を検知できるようにするために、期間を長くとることとする。
【0043】
そして、抽出した不正アクセスイベントシーケンスに対して検知イベントマスタテーブル138を用いて重み付けをおこなう(ステップS703)。この検知イベントマスタテーブル138は、個々のイベントの重要性をあらかじめ重みとして定義したテーブルであり、これらの重みの算術演算によって不正アクセスイベントシーケンスの重み付けをおこなう。
【0044】
第8図は、検知イベントマスタテーブル138の一例を示す図である。同図に示すように、この検知イベントマスタテーブル138は、イベントの一連番号を示すイベント番号と、イベントの名前を示すイベント名と、イベントの重みを定義した重要度をイベントごとに管理したテーブルである。たとえば、イベント番号1のArpという名前のイベントは、重みが10と定義されていることを示し、イベント番号2のBackOrificeという名前のイベントは、重みが7と定義されていることを示す。
【0045】
そして、重み付けの結果に基づいて不正アクセスイベントシーケンスを選択し(ステップS704)、予兆検知ルールとして不正アクセスイベントシーケンスデータベース139に登録する(ステップS705)。この不正アクセスイベントシーケンスの選択は、重みの大きな不正アクセスイベントシーケンスを専門家に提示し、専門家の指定のもとにおこなう。専門家の指定を受けることによって、より確実な不正アクセスイベントシーケンスの選択が可能となる。
【0046】
上述したように、本実施の形態1では、検知ルール136を用いて単一の処理要求から不正アクセスを検知するだけでなく、イベントシーケンス判定部133が不正アクセスイベントシーケンスデータベース139を用いて複数の処理要求から不正アクセスを検知することとしたので、より精度良く不正アクセスを検知するとともに、攻撃の予兆を検知し、将来の攻撃に備えることができる。
【0047】
なお、本実施の形態1では、サーバ100に対する過去の不正アクセスに基づいて不正クライアントデータベース135および不正アクセスイベントシーケンスデータベース139を構築したが、これらのデータベースは、サーバ100とは独立したデータベースとして利用することができる。したがって、これらのデータベースを、複数のサーバに対する不正アクセスに基づいて構築し、また複数のサーバで共通に用いることができる。
【0048】
実施の形態2.
ところで、上記実施の形態1では、不正アクセス検知装置をサーバ100に組み込んだ場合について説明したが、本発明はこれに限定されるものではなく、コンピュータネットワークに組み込むことによって、コンピュータネットワークに接続された複数のサーバを対象として不正アクセスを検知することができる。そこで、本実施の形態2では、本発明をコンピュータネットワークに組み込んだ場合について説明する。
【0049】
第9図は、本実施の形態2に係る不正アクセス検知システムのシステム構成を示すブロック図である。同図に示すように、この不正アクセス検知システムは、ルータ40と、サーバ50〜70と、不正アクセス検知装置80と、これらの装置を接続するLAN90とからなり、クライアント10〜30からのインターネットを介したサーバ50〜70に対する不正アクセスを検知する。なお、ここでは、説明の便宜上、3台のクライアント10〜30と3台のサーバ50〜70のみを示したが、クライアントとサーバの台数は任意の数とすることができる。また、第1図に示した各部と同様の役割を果たす機能部については同一符号を付すこととしてその詳細な説明を省略する。
【0050】
ルータ40は、コンピュータネットワーク同士を相互に接続する装置であり、ここでは、インターネットとLAN90を接続している。このルータ40は、不正アクセス検知装置80と連携して、不正クライアントからの処理要求に相当するパケットを遮断することができる。
【0051】
サーバ50〜70は、インターネットを介してクライアント10〜30にサービスを提供するコンピュータであり、アクセスログ51〜71と、不正アクセス検知装置80と連携して不正アクセスに対処する不正アクセス対処部52〜72を有する。
【0052】
不正アクセス検知装置80は、LAN90上を流れているトラフィックを監視し、サーバ50〜70に対する不正アクセスを検知する装置であり、不正クライアント判定部81と、不正アクセスイベント判定部82と、イベントシーケンス判定部83と、不正クライアントデータベース135と、検知ルール136と、検知ログ137と、不正アクセスイベントシーケンスデータベース139と、LANインタフェース部84と、対策指示部85とを有する。
【0053】
不正クライアント判定部81、不正アクセスイベント判定部82およびイベントシーケンス判定部83は、それぞれ不正クライアント判定部131、不正アクセスイベント判定部132およびイベントシーケンス判定部133と同様の役割を果たす処理部であるが、不正アクセスを検知した場合には、サーバ処理部110のかわりに、対策指示部85に対策を依頼する。
【0054】
LANインタフェース部84は、LAN90上を流れているパケットを取り込み、不正クライアント判定部81に不正アクセスの検知を依頼する処理部である。また、このLANインタフェース部84は、対策指示部85の指示に基づいて、ルータ40およびサーバ50〜70に対して不正アクセスに対処するための指示を送信する。
【0055】
対策指示部85は、不正クライアント判定部81、不正アクセスイベント判定部82およびイベントシーケンス判定部83が不正アクセスを検出した場合に、ルータ40およびサーバ50〜70に対してこの不正アクセスへの対策を指示する処理部である。
【0056】
上述したように、本実施の形態2では、LANインタフェース部84がLAN90上を流れているパケットを取り込み、不正クライアント判定部81、不正アクセスイベント判定部82およびイベントシーケンス判定部83がこのパケットから不正アクセスを検知し、不正アクセスが検知された場合に、対策指示部85がルータ40およびサーバ50〜70に対してその対策を指示することとしたので、サーバ50〜70に対する不正アクセスを精度良く検知するとともに、攻撃の予兆を検知し、ルータ40およびサーバ50〜70が将来の攻撃に備えることを可能としている。
【0057】
【発明の効果】
以上説明したように、本発明によれば、不正クライアントが不正行為に先立ってサーバに対しておこなう一連の処理要求を不正アクセス事象列として記憶し、クライアントの一連の処理要求が不正アクセス事象列と照合した場合にこれらの処理要求を不正アクセスと判定することとしたので、精度良く不正アクセスを検知するとともに、攻撃の予兆を検知し、サーバが将来の攻撃に備えることを可能とすることができるという効果を奏する。
【図面の簡単な説明】
【図1】 第1図は、本実施の形態1に係るサーバの構成を示す機能ブロック図である。
【図2】 第2図は、不正クライアントデータベースの一例を示す図である。
【図3】 第3図は、検知ログの一例を示す図である。
【図4】 第4図は、不正アクセスイベントシーケンスの概念を説明するための説明図である。
【図5】 第5図は、予兆検知ルールの構造の一例を示す図である。
【図6】 第6図は、本実施の形態1に係るサーバの不正アクセス検知動作を示すフローチャートである。
【図7】 第7図は、第1図に示したイベントシーケンス作成部の処理手順を示すフローチャートである。
【図8】 第8図は、検知イベントマスタテーブルの一例を示す図である。
【図9】 第9図は、本実施の形態2に係る不正アクセス検知システムのシステム構成を示すブロック図である。

Claims (5)

  1. 正クライアントが、コンピュータネットワークを通じてサービスを提供するサーバに対する攻撃に先立ってう一連の処理要求と、該処理要求の遷移時間又は遷移確率の少なくともいずれかを不正アクセス事象列として記憶する不正アクセス事象列記憶手段と、
    クライアントの一連の処理要求を前記不正アクセス事象列記憶手段に記憶された不正アクセス事象列と照合し、該不正アクセス事象列における該一連の処理要求の遷移段階に基づき、該不正アクセス事象列に遷移時間を含む場合には攻撃発生までの時間、遷移確率を含む場合には攻撃発生確率を求める攻撃予測手段と、
    を備えたことを特徴とする不正アクセス検知装置。
  2. 前記攻撃予測手段は、前記不正アクセス事象列記憶手段に記憶された該不正アクセス事象列に、該不正アクセス事象列における該一連の処理要求の遷移段階の先にある各遷移の遷移時間を含む場合には該遷移時間に基づき攻撃発生までの時間を求め、遷移確率を含む場合には該遷移確率に基づき攻撃発生確率を求める
    ことを特徴とする請求項1記載の不正アクセス検知装置。
  3. 前記不正アクセス事象列記憶手段に記憶する一連の処理要求の遷移時間には最小遷移時間、平均遷移時間、最大遷移時間の少なくともいずれかを含み、
    前記攻撃予測手段は、前記不正アクセス事象列記憶手段に記憶された該不正アクセス事象列に、該不正アクセス事象列における該一連の処理要求の遷移段階の先にある各遷移の最小遷移時間を含む場合には該最小遷移時間に基づく攻撃発生までの最小時間、平均遷移時間を含む場合には該平均遷移時間に基づく攻撃発生までの平均時間、最大遷移時間を含む場合には該最大遷移時間に基づく攻撃発生までの最大時間を求める
    ことを特徴とする請求項1記載の不正アクセス検知装置。
  4. ライアントの一連の処理要求を、不正クライアントがコンピュータネットワークを通じてサービスを提供するサーバに対する攻撃に先立って行う一連の処理要求と、該処理要求の遷移時間又は遷移確率の少なくともいずれかを不正アクセス事象列として記憶する不正アクセス事象列記憶手段に記憶された不正アクセス事象列と照合し、該不正アクセス事象列における該一連の処理要求の遷移段階に基づき、該不正アクセス事象列に遷移時間を含む場合には攻撃発生までの時間、遷移確率を含む場合には攻撃発生確率を求める攻撃予測ステップ
    をコンピュータ実行させることを特徴とする不正アクセス検知プログラム。
  5. ライアントの一連の処理要求を、不正クライアントがコンピュータネットワークを通じてサービスを提供するサーバに対する攻撃に先立って行う一連の処理要求と、該処理要求の遷移時間又は遷移確率の少なくともいずれかを不正アクセス事象列として記憶する不正アクセス事象列記憶手段に記憶された不正アクセス事象列と照合し、該不正アクセス事象列における該一連の処理要求の遷移段階に基づき、該不正アクセス事象列に遷移時間を含む場合には攻撃発生までの時間、遷移確率を含む場合には攻撃発生確率を求める攻撃予測ステップ
    コンピュータが実行することを特徴とする不正アクセス検知方法。
JP2004508004A 2002-05-28 2002-05-28 不正アクセス検知装置、不正アクセス検知プログラムおよび不正アクセス検知方法 Expired - Fee Related JP4020912B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2002/005148 WO2003100619A1 (fr) 2002-05-28 2002-05-28 Dispositif, programme et procede de detection d'acces non autorise

Publications (2)

Publication Number Publication Date
JPWO2003100619A1 JPWO2003100619A1 (ja) 2005-09-29
JP4020912B2 true JP4020912B2 (ja) 2007-12-12

Family

ID=29561086

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004508004A Expired - Fee Related JP4020912B2 (ja) 2002-05-28 2002-05-28 不正アクセス検知装置、不正アクセス検知プログラムおよび不正アクセス検知方法

Country Status (3)

Country Link
US (1) US8166553B2 (ja)
JP (1) JP4020912B2 (ja)
WO (1) WO2003100619A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9853994B2 (en) 2013-01-21 2017-12-26 Mitsubishi Electric Corporation Attack analysis system, cooperation apparatus, attack analysis cooperation method, and program
US10282542B2 (en) 2013-10-24 2019-05-07 Mitsubishi Electric Corporation Information processing apparatus, information processing method, and computer readable medium

Families Citing this family (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7533370B2 (en) * 2003-10-28 2009-05-12 Exent Technologies, Ltd. Security features in on-line and off-line delivery of applications
TWI234974B (en) * 2003-12-22 2005-06-21 Inst Information Industry Methodology of predicting distributed denial of service based on gray theory
JP4371905B2 (ja) * 2004-05-27 2009-11-25 富士通株式会社 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置
US7665133B2 (en) 2004-06-12 2010-02-16 Toshbia Tec Kabushiki Kaisha System and method for monitoring processing in a document processing peripheral
JP2006139691A (ja) * 2004-11-15 2006-06-01 Nippon Telegr & Teleph Corp <Ntt> 不正アクセス管理支援装置および不正アクセス特定方法
JP4514134B2 (ja) * 2005-01-24 2010-07-28 株式会社コナミデジタルエンタテインメント ネットワークシステム、サーバ装置、不正利用検出方法、ならびに、プログラム
JP4190508B2 (ja) * 2005-02-23 2008-12-03 日本電信電話株式会社 ネットワーク制御システムおよびネットワーク制御方法
JP2006350654A (ja) * 2005-06-15 2006-12-28 Yaskawa Information Systems Co Ltd サーバ計算機
JP2007172131A (ja) * 2005-12-20 2007-07-05 Nec Fielding Ltd 障害予測システム、障害予測方法、障害予測プログラム
US20070192835A1 (en) * 2006-02-14 2007-08-16 Kyocera Mita Corporation Communication device, communication system, and storage medium for storing program for communication device
US20080065685A1 (en) * 2006-08-04 2008-03-13 Metacarta, Inc. Systems and methods for presenting results of geographic text searches
JP2008047067A (ja) * 2006-08-21 2008-02-28 Ricoh Co Ltd カプセル化文書管理装置、カプセル化文書管理方法及びカプセル化文書管理プログラム
US9183377B1 (en) * 2008-06-18 2015-11-10 Symantec Corporation Unauthorized account monitoring system and method
US8612372B2 (en) * 2008-08-29 2013-12-17 International Business Machines Corporation Detection rule-generating facility
JP2010092203A (ja) * 2008-10-07 2010-04-22 Nec Corp 異常検出装置および異常検出方法
CN102082780B (zh) * 2009-11-30 2014-03-05 国际商业机器公司 安全验证的方法和装置
US8793789B2 (en) * 2010-07-22 2014-07-29 Bank Of America Corporation Insider threat correlation tool
US8800034B2 (en) 2010-01-26 2014-08-05 Bank Of America Corporation Insider threat correlation tool
US9774616B2 (en) * 2012-06-26 2017-09-26 Oppleo Security, Inc. Threat evaluation system and method
US9477835B2 (en) * 2013-10-08 2016-10-25 Crowdstrike, Inc. Event model for correlating system component states
US9852232B2 (en) * 2013-11-08 2017-12-26 International Business Machines Corporation Automating event trees using analytics
US10257213B2 (en) 2014-03-19 2019-04-09 Nippon Telegraph And Telephone Corporation Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program
EP3172691A4 (en) * 2014-07-21 2018-04-11 Hewlett-Packard Enterprise Development LP Security indicator linkage determination
US9542570B2 (en) * 2014-11-10 2017-01-10 Successfactors, Inc. Permission control
EP3258409B1 (en) * 2015-03-18 2019-07-17 Nippon Telegraph and Telephone Corporation Device for detecting terminal infected by malware, system for detecting terminal infected by malware, method for detecting terminal infected by malware, and program for detecting terminal infected by malware
US10972500B2 (en) 2015-06-05 2021-04-06 Nippon Telegraph And Telephone Corporation Detection system, detection apparatus, detection method, and detection program
JP6105797B1 (ja) * 2016-08-08 2017-03-29 株式会社ラック 情報処理装置、情報処理方法及びプログラム
US10621341B2 (en) 2017-10-30 2020-04-14 Bank Of America Corporation Cross platform user event record aggregation system
US10721246B2 (en) 2017-10-30 2020-07-21 Bank Of America Corporation System for across rail silo system integration and logic repository
US10728256B2 (en) 2017-10-30 2020-07-28 Bank Of America Corporation Cross channel authentication elevation via logic repository
JP7095506B2 (ja) * 2018-09-05 2022-07-05 日本電信電話株式会社 推定方法、推定装置および推定プログラム

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6202158B1 (en) * 1997-04-11 2001-03-13 Hitachi, Ltd. Detection method of illegal access to computer system
JP3483782B2 (ja) * 1998-10-15 2004-01-06 株式会社エヌ・ティ・ティ・データ 電子データの追跡システム及びデータ中継装置
JP3618245B2 (ja) * 1999-03-09 2005-02-09 株式会社日立製作所 ネットワーク監視システム
US6681331B1 (en) * 1999-05-11 2004-01-20 Cylant, Inc. Dynamic software system intrusion detection
AU2001262958A1 (en) * 2000-04-28 2001-11-12 Internet Security Systems, Inc. Method and system for managing computer security information
JP2002015136A (ja) * 2000-04-28 2002-01-18 Fuji Ginkou:Kk 金融取引方法及び金融取引システム
US20030051026A1 (en) * 2001-01-19 2003-03-13 Carter Ernst B. Network surveillance and security system
US7603709B2 (en) * 2001-05-03 2009-10-13 Computer Associates Think, Inc. Method and apparatus for predicting and preventing attacks in communications networks
US7162741B2 (en) * 2001-07-30 2007-01-09 The Trustees Of Columbia University In The City Of New York System and methods for intrusion detection with dynamic window sizes
US20030221123A1 (en) * 2002-02-26 2003-11-27 Beavers John B. System and method for managing alert indications in an enterprise

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9853994B2 (en) 2013-01-21 2017-12-26 Mitsubishi Electric Corporation Attack analysis system, cooperation apparatus, attack analysis cooperation method, and program
US10282542B2 (en) 2013-10-24 2019-05-07 Mitsubishi Electric Corporation Information processing apparatus, information processing method, and computer readable medium

Also Published As

Publication number Publication date
US20050086538A1 (en) 2005-04-21
JPWO2003100619A1 (ja) 2005-09-29
US8166553B2 (en) 2012-04-24
WO2003100619A1 (fr) 2003-12-04

Similar Documents

Publication Publication Date Title
JP4020912B2 (ja) 不正アクセス検知装置、不正アクセス検知プログラムおよび不正アクセス検知方法
JP3448254B2 (ja) アクセス・チェーン追跡システム、ネットワーク・システム、方法、及び記録媒体
US7568232B2 (en) Malicious access-detecting apparatus, malicious access-detecting method, malicious access-detecting program, and distributed denial-of-service attack-detecting apparatus
KR101010302B1 (ko) Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법
JP4364901B2 (ja) アタックデータベース構造
US6880087B1 (en) Binary state machine system and method for REGEX processing of a data stream in an intrusion detection system
McHugh Intrusion and intrusion detection
Kayacik et al. Selecting features for intrusion detection: A feature relevance analysis on KDD 99 intrusion detection datasets
CN111212053B (zh) 一种面向工控蜜罐的同源攻击分析方法
US20200358803A1 (en) Composing and applying security monitoring rules to a target environment
US20080209566A1 (en) Method and System For Network Vulnerability Assessment
US20060272008A1 (en) Method and security system for indentifying and blocking web attacks by enforcing read-only parameters
WO2015138519A1 (en) Method and system for detecting algorithm-generated domains
CN112714093A (zh) 一种账号异常检测方法、装置、系统及存储介质
Sabri et al. Identifying false alarm rates for intrusion detection system with data mining
CN114363091A (zh) 一种基于apisix实现平台应用统一登录的方法及系统
CN111917760B (zh) 一种基于标识解析的网络协同制造跨域融合信任管控方法
Alosefer et al. Predicting client-side attacks via behaviour analysis using honeypot data
JP2010250607A (ja) 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム
Alampalayam et al. Predictive security model using data mining
CN114760083A (zh) 一种攻击检测文件的发布方法、装置及存储介质
Peleh et al. Intelligent detection of DDoS attacks in SDN networks
Udiyono et al. Botnet Detection Using DNS and HTTP Traffic Analysis
CN115550076B (zh) 一种使用域日志进行认证的方法和系统
CN116418587B (zh) 一种数据跨域交换行为审计追踪方法和数据跨域交换系统

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070501

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070625

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070918

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070925

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101005

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101005

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111005

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111005

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121005

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121005

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131005

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees