JP4020912B2 - 不正アクセス検知装置、不正アクセス検知プログラムおよび不正アクセス検知方法 - Google Patents
不正アクセス検知装置、不正アクセス検知プログラムおよび不正アクセス検知方法 Download PDFInfo
- Publication number
- JP4020912B2 JP4020912B2 JP2004508004A JP2004508004A JP4020912B2 JP 4020912 B2 JP4020912 B2 JP 4020912B2 JP 2004508004 A JP2004508004 A JP 2004508004A JP 2004508004 A JP2004508004 A JP 2004508004A JP 4020912 B2 JP4020912 B2 JP 4020912B2
- Authority
- JP
- Japan
- Prior art keywords
- unauthorized access
- transition
- event sequence
- attack
- unauthorized
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/08—Payment architectures
- G06Q20/10—Payment architectures specially adapted for electronic funds transfer [EFT] systems; specially adapted for home banking systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/03—Credit; Loans; Processing thereof
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Business, Economics & Management (AREA)
- Strategic Management (AREA)
- General Engineering & Computer Science (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Marketing (AREA)
- Technology Law (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
【技術分野】
この発明は、コンピュータネットワークを通じてサービスを提供するサーバに対して不正クライアントが不正行為に先立っておこなう一連の処理要求を不正アクセスとして検知する不正アクセス検知装置、不正アクセス検知プログラムおよび不正アクセス検知方法に関し、特に、精度良く不正アクセスを検知するとともに、攻撃の予兆を検知し、サーバが将来の攻撃に備えることを可能とする不正アクセス検知装置、不正アクセス検知プログラムおよび不正アクセス検知方法に関するものである。
【0002】
【背景技術】
近年のネットワーク技術の進展に伴って、インターネット上の分散システムであるワールドワイドウエブ(WWW)の利用が急速に拡大し、さまざまなサービスを提供するサーバも累増してきたが、かかるサーバの増加とともに不正アクセスも急増している。
【0003】
この急増する不正アクセスに対処するために、不正アクセスを検知する不正アクセス検知ツールが利用されている。この不正アクセス検知ツールは、クライアントからの不正な処理要求を検知する検知ルールを有し、この検知ルールとクライアントからの処理要求を照らし合わせることによって不正アクセスの判定をおこなっている。検知ルールの具体例としては、実際には存在しない非常に長いURLを用いたホームページアクセス要求、無意味で非常に長い文字列の照合処理要求、正しくないパスワードの入力などがある。
【0004】
【発明が解決しようとする課題】
しかしながら、従来の不正アクセス判定技術のように、個々の処理要求に対して不正アクセスの判定をおこなおうとすると、正当なアクセスか不当なアクセスかを判定できない場合が多く発生するという問題がある。たとえば、正しくないパスワードの入力に対しては、不正なアクセスの試みであるのか、正当な利用者の単なる誤入力であるのかの判定ができない。
【0005】
もし、この正しくないパスワード入力を全て不正アクセスとすると、正当なアクセスを不正アクセスと判定する誤検知が多く発生し、逆に、全て不正アクセスでないとすると、不正なアクセスを見逃し、実際に侵入攻撃がおこなわれるまで不正アクセスを検知することができないという問題がある。
【0006】
なお、サーバの負荷状態などの指標を監視して、その指標の値が正常値から逸脱した場合に不正アクセスがおこなわれたと判定する不正アクセス判定技術があるが、この不正アクセス判定技術には、指標の正常値を決めることが困難であるという問題がある。
【0007】
従って、この発明は、精度良く不正アクセスを検知するとともに、攻撃の予兆を検知し、サーバが将来の攻撃に備えることを可能とする不正アクセス検知装置、不正アクセス検知プログラムおよび不正アクセス検知方法を提供することを目的としている。
【0008】
【発明の開示】
上述した課題を解決し、目的を達成するため、本発明は、不正クライアントが、コンピュータネットワークを通じてサービスを提供するサーバに対する攻撃に先立って行う一連の処理要求と、該処理要求の遷移時間又は遷移確率の少なくともいずれかを不正アクセス事象列として記憶する不正アクセス事象列記憶手段と、クライアントの一連の処理要求を前記不正アクセス事象列記憶手段に記憶された不正アクセス事象列と照合し、該不正アクセス事象列における該一連の処理要求の遷移段階に基づき、該不正アクセス事象列に遷移時間を含む場合には攻撃発生までの時間、遷移確率を含む場合には攻撃発生確率を求める攻撃予測手段と、を備えたことを特徴とする。
【0009】
また、本発明は、クライアントの一連の処理要求を、不正クライアントがコンピュータネットワークを通じてサービスを提供するサーバに対する攻撃に先立って行う一連の処理要求と、該処理要求の遷移時間又は遷移確率の少なくともいずれかを不正アクセス事象列として記憶する不正アクセス事象列記憶手段に記憶された不正アクセス事象列と照合し、該不正アクセス事象列における該一連の処理要求の遷移段階に基づき、該不正アクセス事象列に遷移時間を含む場合には攻撃発生までの時間、遷移確率を含む場合には攻撃発生確 率を求める攻撃予測ステップをコンピュータに実行させることを特徴とする。
【0010】
また、本発明は、クライアントの一連の処理要求を、不正クライアントがコンピュータネットワークを通じてサービスを提供するサーバに対する攻撃に先立って行う一連の処理要求と、該処理要求の遷移時間又は遷移確率の少なくともいずれかを不正アクセス事象列として記憶する不正アクセス事象列記憶手段に記憶された不正アクセス事象列と照合し、該不正アクセス事象列における該一連の処理要求の遷移段階に基づき、該不正アクセス事象列に遷移時間を含む場合には攻撃発生までの時間、遷移確率を含む場合には攻撃発生確率を求める攻撃予測ステップをコンピュータが実行することを特徴とする。
【0011】
かかる発明によれば、不正クライアントが、コンピュータネットワークを通じてサービスを提供するサーバに対する攻撃に先立って行う一連の処理要求と、該処理要求の遷移時間又は遷移確率の少なくともいずれかを不正アクセス事象列として記憶し、クライアントの一連の処理要求を不正アクセス事象列と照合し、不正アクセス事象列における一連の処理要求の遷移段階に基づき、不正アクセス事象列に遷移時間を含む場合には攻撃発生までの時間、遷移確率を含む場合には攻撃発生確率を求めることとしたので、精度良く不正アクセスを検知するとともに、攻撃の予兆を検知し、サーバが将来の攻撃に備えることを可能とすることができる。
【0012】
【発明を実施するための最良の形態】
以下、添付図面を参照して、この発明に係る不正アクセス検知装置、不正アクセス検知プログラムおよび不正アクセス検知方法の好適な実施の形態を詳細に説明する。なお、以下に示す実施の形態1では、この発明に係る不正アクセス検知装置をサーバに組み込んだ場合について説明し、実施の形態2では、この発明に係る不正アクセス検知装置をネットワークに組み込んだ場合について説明する。
【0013】
実施の形態1.
まず、本実施の形態1に係るサーバについて説明する。第1図は、本実施の形態1に係るサーバの構成を示す機能ブロック図である。同図に示すように、このサーバ100は、サーバ処理部110と、アクセスログ120と、不正アクセス検知部130とを有し、インターネットを介してクライアント10〜30にサービスを提供するコンピュータである。なお、ここでは説明の便宜上、3台のクライアント10〜30のみを示したが、このサーバ100は、任意の台数のクライアントからアクセスされる。
【0014】
サーバ処理部110は、クライアント10〜30からの処理要求に応答してサービスを提供する処理部であり、処理要求が正当か否かの判定を不正アクセス検知部130に依頼し、処理要求が不正と判定された場合には、サービスの提供をおこなわない。
【0015】
アクセスログ120は、クライアント10〜30からの処理要求を記録したデータであり、処理要求が正当な処理要求か不正な処理要求かにかかわらず、全ての処理要求とその処理結果を記録する。
【0016】
不正アクセス検知部130は、サーバ100に対する不正アクセスを検知する処理部であり、不正クライアント判定部131と、不正アクセスイベント判定部132と、イベントシーケンス判定部133と、イベントシーケンス作成部134と、不正クライアントデータベース135と、検知ルール136と、検知ログ137と、検知イベントマスタテーブル138と、不正アクセスイベントシーケンスデータベース139とを有する。
【0017】
不正クライアント判定部131は、サーバ100へアクセスするクライアント10〜30を不正クライアントデータベース135に登録されている不正クライアントと照合することによって不正アクセスを検知する処理部である。
【0018】
不正アクセスイベント判定部132は、クライアント10〜30からサーバ100への個々の処理要求を検知ルール136に登録されている不正な処理要求と照合することによって不正アクセスを検知する処理部である。
【0019】
イベントシーケンス判定部133は、クライアント10〜30からサーバ100への一連の処理要求を不正アクセスイベントシーケンスデータベース139に登録されている不正アクセスイベントシーケンスと照合することによって不正アクセスを検知する処理部である。このイベントシーケンス判定部133は、個々の処理要求単体で不正を判定するのではなく、クライアント10〜30からの一連の処理要求を時系列に照合することによって不正アクセスを検知するとともに、攻撃の予兆を検知する。また、検知した攻撃の予兆に基づいて、攻撃予報を発報する。なお、不正アクセスイベントシーケンスデータベース139に登録されている不正アクセスイベントシーケンスの詳細については後述する。
【0020】
イベントシーケンス作成部134は、アクセスログ120および不正アクセスを記録した検知ログ137から不正アクセスイベントシーケンスを生成し、生成された不正アクセスイベントシーケンスから不正アクセスイベントシーケンスデータベース139に登録する不正アクセスイベントシーケンスを、検知イベントマスタテーブル138を用いて選択する処理部である。なお、このイベントシーケンス作成部134の詳細についても後述する。
【0021】
不正クライアントデータベース135は、過去に不正アクセスをおこなった不正クライアントを登録したデータベースである。この不正クライアントデータベース135には、IPアドレス、クライアント名、この不正クライアントデータベース135への登録日、サーバ100への最終アクセス日が不正クライアントごとに記録される。サーバ100への最終アクセス日は、一定期間アクセスのない不正クライアントをこの不正クライアントデータベース135から削除する場合に使用される。
【0022】
第2図は、不正クライアントデータベース135の一例を示す図である。同図は、IPアドレスが1.2.3.4であるクライアントが2001/1/1に不正クライアントとして登録され、この不正クライアントのサーバ100への最終アクセス日が2001/1/10であることを示している。また、IPアドレスが111.222.111.222であってクライアント名がa.b.c.or.jpであるクライアントが、2000/11/13に不正クライアントとして登録され、この不正クライアントのサーバ100への最終アクセス日が2001/1/12であることを示し、IPアドレスが100.200.255.255であってクライアント名がaaa.bbb.ccc.ne.jpであるクライアントが、2000/7/18に不正クライアントとして登録され、この不正クライアントのサーバ100への最終アクセス要求日が2000/11/13であることを示している。
【0023】
検知ルール136は、不正な処理要求を登録したデータベースである。この検知ルール136は、処理要求単位に不正アクセスを登録したものであり、単一の処理要求だけに基づいた不正アクセスの判定に用いられる。一方、複数の処理要求に基づいた不正アクセスの判定には、不正アクセスイベントシーケンスデータベース139が用いられる。
【0024】
検知ログ137は、不正クライアント判定部131、不正アクセスイベント判定部132またはイベントシーケンス判定部133が不正アクセスを検知した場合に、その不正アクセスについて記録したデータであり、不正アクセスイベントシーケンスデータベース139を作成するためのデータとなる。
【0025】
第3図は、検知ログ137の一例を示す図である。同図に示すように、この検知ログ137には、各不正アクセスについて、一連番号であるID、不正アクセスの発生日、不正処理要求の種別を示すイベント名、ソースポート名、ターゲットポート名、不正クライアントのIPアドレスを示す発信元、アクセスされたサーバ100のIPアドレスを示す送信先が記録されている。たとえば、一連番号175006の不正アクセスは、19-Sep-00に発生し、不正処理要求の種別はSNMP_Communityであり、ソースポート名は923であり、ターゲットポート名はSNMPであり、不正クライアントのIPアドレスは192.168.35.166であり、アクセスされたサーバ100のIPアドレスは192.168.35.161であることを示している。
【0026】
検知イベントマスタテーブル138は、不正アクセスイベントシーケンスを構成する個々のイベントを登録したテーブルであり、イベントシーケンス作成部134が不正アクセスイベントシーケンスデータベース139を作成するために使用する。ここで、イベントとは、クライアント10〜30からの単一の処理要求または複数の処理要求を集約した複合処理要求である。なお、この検知イベントマスタテーブル138の詳細は後述する。
【0027】
不正アクセスイベントシーケンスデータベース139は、不正アクセスイベントシーケンスを登録したデータベースであり、この不正アクセスイベントシーケンスデータベース139を利用して不正アクセスを検知することにより、より精度良く不正アクセスを検知するとともに、攻撃予兆を検知し、将来の攻撃に備えることができる。
【0028】
ここで、不正アクセスイベントシーケンスについて説明する。第4図は、不正アクセスイベントシーケンスの概念を説明するための説明図である。同図は、攻撃Xに至る手順として、A、B、CおよびDの4つのイベントを経ていることを示している。
【0029】
同図において、矢印はイベントの遷移を示しており、矢印に付加された確率および時間は、過去の事例に基づくイベント間の遷移確率および時間間隔を示している。たとえば、イベントAからイベントBへの遷移確率はp1であり、時間間隔はt1であることを示している。ここで、時間間隔t1は、過去の事例の平均時間間隔、最小時間間隔、最大時間間隔から構成される。
【0030】
一方、イベントAから「イベントB以外」のイベントへの遷移は、イベントAから「not」への矢印で示し、その遷移確率はp5であることを示している。この場合、p1+p5は1となる。また、イベントAから「イベントB以外」のイベントへの遷移は不正アクセスではなく、その時間間隔は意味を持たないため、遷移確率のみを示している。ここで、イベントBからイベントCへの遷移確率p2は、イベントBに先立ってイベントAが発生した場合の遷移確率である。したがって、この遷移確率p2は、単にイベントBからイベントCへの遷移確率ではないことに注意する必要がある。
【0031】
このように、不正アクセスイベントシーケンスは、攻撃に至るまでに発生するイベントの条件付き状態遷移の確率モデルとして構築される。たとえば、ポートスキャン、ルート権限の取得、不正プログラムの導入による踏み台の設置および攻撃指令によるUDPFloodの送出という順番でイベントが発生し、その後、DDoS(Distributed Denial of Service)攻撃が発生したという事例が過去にあった場合、この一連のイベントの遷移が不正アクセスイベントシーケンスとなる。
【0032】
次に、不正アクセスイベントシーケンスを用いた不正アクセス検知について説明する。不正アクセス検知は、複数の不正アクセスイベントシーケンスを融合した予兆検知ルールを用いておこなわれる。
【0033】
第5図は、予兆検知ルールの構造の一例を示す図である。同図に示すように、この予兆検知ルールは、複数の不正アクセスイベントシーケンスを共通するイベントについて融合し、木の形としたものである。たとえば、A→B→Dの部分は、3つの不正アクセスイベントシーケンスA→B→D→A→攻撃Y、A→B→D→E→G→攻撃ZおよびA→B→D→F→C→攻撃Mを融合したものである。この予兆検知ルールを用いる不正アクセス検知では、個々の不正アクセスイベントシーケンスを独立したルールとして用いる不正アクセス検知では不可能な、複数の不正アクセスイベントシーケンスにまたがった不正アクセス検知をおこなうことが可能となる。
【0034】
また、この不正アクセス検知では、新たに発生するイベントを監視し、予兆検知ルールとの照合をおこなうことで現段階が将来の攻撃に至るどの段階にあるかを検知し、その段階の先にある各遷移の遷移確率および遷移時間を用いて攻撃が発生するまでの時間と攻撃が発生する確率を予測することができる。たとえば、イベントFが発生した段階で、攻撃Mが発生する時間はt12+t13後であり、その確率はp12×p13であると予測することができる。
【0035】
また、この予兆検知ルールとの照合では、発生するイベントが予兆検知ルールの3つのイベントと照合した場合に、攻撃の予兆と判断することとしているが、この判断基準としては、攻撃までに残されたイベント数、攻撃までの時間間隔、攻撃までの遷移確率、予測される攻撃の重要度、およびこれらの組み合わせを用いることもできる。
【0036】
次に、本実施の形態1に係るサーバ100の不正アクセス検知動作について説明する。第6図は、本実施の形態1に係るサーバ100の不正アクセス検知動作を示すフローチャートである。なお、ここではユーザがクライアント10からサーバ100へのアクセスを要求する場合について説明するが、他のクライアント20および30からアクセスを要求する場合も同様な動作となる。
【0037】
同図に示すように、クライアント10からユーザがサーバ100へのアクセスを要求すると(ステップS601)、サーバ処理部110がこのアクセス要求を受け付け(ステップS602)、不正アクセス検知部130にアクセスが正当か否かの判定を依頼する。依頼を受けた不正アクセス検知部130は、このアクセスを要求したクライアント10が不正クライアントとして不正クライアントデータベース135に登録されているか否かを調べ(ステップS603)、不正クライアントとして登録されていない場合には、サーバ処理部110がクライアント10に対してアクセスを許可し(ステップS604)、アクセス許可を受けたクライアント10が一連の処理要求を順にサーバ100に送信する(ステップS605〜ステップS606)。
【0038】
そして、サーバ処理部110が各処理要求を受け付け(ステップS607)、不正アクセス検知部130に不正な処理要求か否かの判定を依頼する。依頼を受けた不正アクセス検知部130は、各処理要求が不正アクセスイベントとして検知ルール136に登録されているか否かを調べ(ステップS608)、不正アクセスイベントとして登録されていない場合には、このクライアント10からのこれまでの処理要求に基づくイベントシーケンスと不正アクセスイベントシーケンスデータベース139に登録された不正アクセスイベントシーケンスとの照合をおこなう(ステップS609)。照合の結果、不正アクセスイベントシーケンスと一致しない場合には、正当な処理要求としてサーバ処理部110が処理を実行し(ステップS610)、アクセスログ120に記録し(ステップS614)、処理結果をクライアント10に送付する(ステップS615)。
【0039】
これに対して、不正アクセスイベントシーケンスと一致した場合には、このクライアント10を攻撃者と判断し、このクライアント10のIPアドレス、攻撃までの予測時間(最小値、平均値、最大値)、攻撃の種類、攻撃が発生する確率、予測される攻撃の重要度などの情報を攻撃予報として発報する(ステップS611)。また、このクライアント10を不正クライアントとして不正クライアントデータベース135に登録し(ステップS612)、検知ログに記録し(ステップS613)、処理結果を「不正アクセス」としてステップS614に進む。
【0040】
一方、不正アクセスイベントと判定した場合は(ステップS608の肯定)、処理結果を「不正アクセス」としてステップS612に進み、また、不正クライアントと判定した場合は(ステップS603の肯定)、処理結果を「不正アクセス」としてステップS613に進む。
【0041】
そして、処理結果を受け取ったクライアント10は、受け取った処理結果をユーザに提示する(ステップS616)。
【0042】
次に、第1図に示したイベントシーケンス作成部134の処理について説明する。第7図は、第1図に示したイベントシーケンス作成部134の処理手順を示すフローチャートである。同図に示すように、このイベントシーケンス作成部134は、アクセスログ120および検知ログ137を読み込み(ステップS701)、検知ログ137に登録された各不正アクセスに対して、クライアントからの一連の処理要求を不正アクセスイベントシーケンスとして抽出する(ステップS702)。なお、この不正アクセスイベントシーケンス抽出の対象とするアクセスログ120は、特定の攻撃と関連がある部分だけに限ることとする。具体的には、検知したい攻撃の発生に先立った一定期間(たとえば1日分)とする。ただし、サーバ100が攻撃で動作不能になるような攻撃については、できるだけ早く攻撃を検知できるようにするために、期間を長くとることとする。
【0043】
そして、抽出した不正アクセスイベントシーケンスに対して検知イベントマスタテーブル138を用いて重み付けをおこなう(ステップS703)。この検知イベントマスタテーブル138は、個々のイベントの重要性をあらかじめ重みとして定義したテーブルであり、これらの重みの算術演算によって不正アクセスイベントシーケンスの重み付けをおこなう。
【0044】
第8図は、検知イベントマスタテーブル138の一例を示す図である。同図に示すように、この検知イベントマスタテーブル138は、イベントの一連番号を示すイベント番号と、イベントの名前を示すイベント名と、イベントの重みを定義した重要度をイベントごとに管理したテーブルである。たとえば、イベント番号1のArpという名前のイベントは、重みが10と定義されていることを示し、イベント番号2のBackOrificeという名前のイベントは、重みが7と定義されていることを示す。
【0045】
そして、重み付けの結果に基づいて不正アクセスイベントシーケンスを選択し(ステップS704)、予兆検知ルールとして不正アクセスイベントシーケンスデータベース139に登録する(ステップS705)。この不正アクセスイベントシーケンスの選択は、重みの大きな不正アクセスイベントシーケンスを専門家に提示し、専門家の指定のもとにおこなう。専門家の指定を受けることによって、より確実な不正アクセスイベントシーケンスの選択が可能となる。
【0046】
上述したように、本実施の形態1では、検知ルール136を用いて単一の処理要求から不正アクセスを検知するだけでなく、イベントシーケンス判定部133が不正アクセスイベントシーケンスデータベース139を用いて複数の処理要求から不正アクセスを検知することとしたので、より精度良く不正アクセスを検知するとともに、攻撃の予兆を検知し、将来の攻撃に備えることができる。
【0047】
なお、本実施の形態1では、サーバ100に対する過去の不正アクセスに基づいて不正クライアントデータベース135および不正アクセスイベントシーケンスデータベース139を構築したが、これらのデータベースは、サーバ100とは独立したデータベースとして利用することができる。したがって、これらのデータベースを、複数のサーバに対する不正アクセスに基づいて構築し、また複数のサーバで共通に用いることができる。
【0048】
実施の形態2.
ところで、上記実施の形態1では、不正アクセス検知装置をサーバ100に組み込んだ場合について説明したが、本発明はこれに限定されるものではなく、コンピュータネットワークに組み込むことによって、コンピュータネットワークに接続された複数のサーバを対象として不正アクセスを検知することができる。そこで、本実施の形態2では、本発明をコンピュータネットワークに組み込んだ場合について説明する。
【0049】
第9図は、本実施の形態2に係る不正アクセス検知システムのシステム構成を示すブロック図である。同図に示すように、この不正アクセス検知システムは、ルータ40と、サーバ50〜70と、不正アクセス検知装置80と、これらの装置を接続するLAN90とからなり、クライアント10〜30からのインターネットを介したサーバ50〜70に対する不正アクセスを検知する。なお、ここでは、説明の便宜上、3台のクライアント10〜30と3台のサーバ50〜70のみを示したが、クライアントとサーバの台数は任意の数とすることができる。また、第1図に示した各部と同様の役割を果たす機能部については同一符号を付すこととしてその詳細な説明を省略する。
【0050】
ルータ40は、コンピュータネットワーク同士を相互に接続する装置であり、ここでは、インターネットとLAN90を接続している。このルータ40は、不正アクセス検知装置80と連携して、不正クライアントからの処理要求に相当するパケットを遮断することができる。
【0051】
サーバ50〜70は、インターネットを介してクライアント10〜30にサービスを提供するコンピュータであり、アクセスログ51〜71と、不正アクセス検知装置80と連携して不正アクセスに対処する不正アクセス対処部52〜72を有する。
【0052】
不正アクセス検知装置80は、LAN90上を流れているトラフィックを監視し、サーバ50〜70に対する不正アクセスを検知する装置であり、不正クライアント判定部81と、不正アクセスイベント判定部82と、イベントシーケンス判定部83と、不正クライアントデータベース135と、検知ルール136と、検知ログ137と、不正アクセスイベントシーケンスデータベース139と、LANインタフェース部84と、対策指示部85とを有する。
【0053】
不正クライアント判定部81、不正アクセスイベント判定部82およびイベントシーケンス判定部83は、それぞれ不正クライアント判定部131、不正アクセスイベント判定部132およびイベントシーケンス判定部133と同様の役割を果たす処理部であるが、不正アクセスを検知した場合には、サーバ処理部110のかわりに、対策指示部85に対策を依頼する。
【0054】
LANインタフェース部84は、LAN90上を流れているパケットを取り込み、不正クライアント判定部81に不正アクセスの検知を依頼する処理部である。また、このLANインタフェース部84は、対策指示部85の指示に基づいて、ルータ40およびサーバ50〜70に対して不正アクセスに対処するための指示を送信する。
【0055】
対策指示部85は、不正クライアント判定部81、不正アクセスイベント判定部82およびイベントシーケンス判定部83が不正アクセスを検出した場合に、ルータ40およびサーバ50〜70に対してこの不正アクセスへの対策を指示する処理部である。
【0056】
上述したように、本実施の形態2では、LANインタフェース部84がLAN90上を流れているパケットを取り込み、不正クライアント判定部81、不正アクセスイベント判定部82およびイベントシーケンス判定部83がこのパケットから不正アクセスを検知し、不正アクセスが検知された場合に、対策指示部85がルータ40およびサーバ50〜70に対してその対策を指示することとしたので、サーバ50〜70に対する不正アクセスを精度良く検知するとともに、攻撃の予兆を検知し、ルータ40およびサーバ50〜70が将来の攻撃に備えることを可能としている。
【0057】
【発明の効果】
以上説明したように、本発明によれば、不正クライアントが不正行為に先立ってサーバに対しておこなう一連の処理要求を不正アクセス事象列として記憶し、クライアントの一連の処理要求が不正アクセス事象列と照合した場合にこれらの処理要求を不正アクセスと判定することとしたので、精度良く不正アクセスを検知するとともに、攻撃の予兆を検知し、サーバが将来の攻撃に備えることを可能とすることができるという効果を奏する。
【図面の簡単な説明】
【図1】 第1図は、本実施の形態1に係るサーバの構成を示す機能ブロック図である。
【図2】 第2図は、不正クライアントデータベースの一例を示す図である。
【図3】 第3図は、検知ログの一例を示す図である。
【図4】 第4図は、不正アクセスイベントシーケンスの概念を説明するための説明図である。
【図5】 第5図は、予兆検知ルールの構造の一例を示す図である。
【図6】 第6図は、本実施の形態1に係るサーバの不正アクセス検知動作を示すフローチャートである。
【図7】 第7図は、第1図に示したイベントシーケンス作成部の処理手順を示すフローチャートである。
【図8】 第8図は、検知イベントマスタテーブルの一例を示す図である。
【図9】 第9図は、本実施の形態2に係る不正アクセス検知システムのシステム構成を示すブロック図である。
Claims (5)
- 不正クライアントが、コンピュータネットワークを通じてサービスを提供するサーバに対する攻撃に先立って行う一連の処理要求と、該処理要求の遷移時間又は遷移確率の少なくともいずれかを不正アクセス事象列として記憶する不正アクセス事象列記憶手段と、
クライアントの一連の処理要求を前記不正アクセス事象列記憶手段に記憶された不正アクセス事象列と照合し、該不正アクセス事象列における該一連の処理要求の遷移段階に基づき、該不正アクセス事象列に遷移時間を含む場合には攻撃発生までの時間、遷移確率を含む場合には攻撃発生確率を求める攻撃予測手段と、
を備えたことを特徴とする不正アクセス検知装置。 - 前記攻撃予測手段は、前記不正アクセス事象列記憶手段に記憶された該不正アクセス事象列に、該不正アクセス事象列における該一連の処理要求の遷移段階の先にある各遷移の遷移時間を含む場合には該遷移時間に基づき攻撃発生までの時間を求め、遷移確率を含む場合には該遷移確率に基づき攻撃発生確率を求める
ことを特徴とする請求項1記載の不正アクセス検知装置。 - 前記不正アクセス事象列記憶手段に記憶する一連の処理要求の遷移時間には最小遷移時間、平均遷移時間、最大遷移時間の少なくともいずれかを含み、
前記攻撃予測手段は、前記不正アクセス事象列記憶手段に記憶された該不正アクセス事象列に、該不正アクセス事象列における該一連の処理要求の遷移段階の先にある各遷移の最小遷移時間を含む場合には該最小遷移時間に基づく攻撃発生までの最小時間、平均遷移時間を含む場合には該平均遷移時間に基づく攻撃発生までの平均時間、最大遷移時間を含む場合には該最大遷移時間に基づく攻撃発生までの最大時間を求める
ことを特徴とする請求項1記載の不正アクセス検知装置。 - クライアントの一連の処理要求を、不正クライアントがコンピュータネットワークを通じてサービスを提供するサーバに対する攻撃に先立って行う一連の処理要求と、該処理要求の遷移時間又は遷移確率の少なくともいずれかを不正アクセス事象列として記憶する不正アクセス事象列記憶手段に記憶された不正アクセス事象列と照合し、該不正アクセス事象列における該一連の処理要求の遷移段階に基づき、該不正アクセス事象列に遷移時間を含む場合には攻撃発生までの時間、遷移確率を含む場合には攻撃発生確率を求める攻撃予測ステップ
をコンピュータに実行させることを特徴とする不正アクセス検知プログラム。 - クライアントの一連の処理要求を、不正クライアントがコンピュータネットワークを通じてサービスを提供するサーバに対する攻撃に先立って行う一連の処理要求と、該処理要求の遷移時間又は遷移確率の少なくともいずれかを不正アクセス事象列として記憶する不正アクセス事象列記憶手段に記憶された不正アクセス事象列と照合し、該不正アクセス事象列における該一連の処理要求の遷移段階に基づき、該不正アクセス事象列に遷移時間を含む場合には攻撃発生までの時間、遷移確率を含む場合には攻撃発生確率を求める攻撃予測ステップ
をコンピュータが実行することを特徴とする不正アクセス検知方法。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2002/005148 WO2003100619A1 (fr) | 2002-05-28 | 2002-05-28 | Dispositif, programme et procede de detection d'acces non autorise |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2003100619A1 JPWO2003100619A1 (ja) | 2005-09-29 |
JP4020912B2 true JP4020912B2 (ja) | 2007-12-12 |
Family
ID=29561086
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004508004A Expired - Fee Related JP4020912B2 (ja) | 2002-05-28 | 2002-05-28 | 不正アクセス検知装置、不正アクセス検知プログラムおよび不正アクセス検知方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US8166553B2 (ja) |
JP (1) | JP4020912B2 (ja) |
WO (1) | WO2003100619A1 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9853994B2 (en) | 2013-01-21 | 2017-12-26 | Mitsubishi Electric Corporation | Attack analysis system, cooperation apparatus, attack analysis cooperation method, and program |
US10282542B2 (en) | 2013-10-24 | 2019-05-07 | Mitsubishi Electric Corporation | Information processing apparatus, information processing method, and computer readable medium |
Families Citing this family (31)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7533370B2 (en) * | 2003-10-28 | 2009-05-12 | Exent Technologies, Ltd. | Security features in on-line and off-line delivery of applications |
TWI234974B (en) * | 2003-12-22 | 2005-06-21 | Inst Information Industry | Methodology of predicting distributed denial of service based on gray theory |
JP4371905B2 (ja) * | 2004-05-27 | 2009-11-25 | 富士通株式会社 | 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置 |
US7665133B2 (en) | 2004-06-12 | 2010-02-16 | Toshbia Tec Kabushiki Kaisha | System and method for monitoring processing in a document processing peripheral |
JP2006139691A (ja) * | 2004-11-15 | 2006-06-01 | Nippon Telegr & Teleph Corp <Ntt> | 不正アクセス管理支援装置および不正アクセス特定方法 |
JP4514134B2 (ja) * | 2005-01-24 | 2010-07-28 | 株式会社コナミデジタルエンタテインメント | ネットワークシステム、サーバ装置、不正利用検出方法、ならびに、プログラム |
JP4190508B2 (ja) * | 2005-02-23 | 2008-12-03 | 日本電信電話株式会社 | ネットワーク制御システムおよびネットワーク制御方法 |
JP2006350654A (ja) * | 2005-06-15 | 2006-12-28 | Yaskawa Information Systems Co Ltd | サーバ計算機 |
JP2007172131A (ja) * | 2005-12-20 | 2007-07-05 | Nec Fielding Ltd | 障害予測システム、障害予測方法、障害予測プログラム |
US20070192835A1 (en) * | 2006-02-14 | 2007-08-16 | Kyocera Mita Corporation | Communication device, communication system, and storage medium for storing program for communication device |
US20080065685A1 (en) * | 2006-08-04 | 2008-03-13 | Metacarta, Inc. | Systems and methods for presenting results of geographic text searches |
JP2008047067A (ja) * | 2006-08-21 | 2008-02-28 | Ricoh Co Ltd | カプセル化文書管理装置、カプセル化文書管理方法及びカプセル化文書管理プログラム |
US9183377B1 (en) * | 2008-06-18 | 2015-11-10 | Symantec Corporation | Unauthorized account monitoring system and method |
US8612372B2 (en) * | 2008-08-29 | 2013-12-17 | International Business Machines Corporation | Detection rule-generating facility |
JP2010092203A (ja) * | 2008-10-07 | 2010-04-22 | Nec Corp | 異常検出装置および異常検出方法 |
CN102082780B (zh) * | 2009-11-30 | 2014-03-05 | 国际商业机器公司 | 安全验证的方法和装置 |
US8793789B2 (en) * | 2010-07-22 | 2014-07-29 | Bank Of America Corporation | Insider threat correlation tool |
US8800034B2 (en) | 2010-01-26 | 2014-08-05 | Bank Of America Corporation | Insider threat correlation tool |
US9774616B2 (en) * | 2012-06-26 | 2017-09-26 | Oppleo Security, Inc. | Threat evaluation system and method |
US9477835B2 (en) * | 2013-10-08 | 2016-10-25 | Crowdstrike, Inc. | Event model for correlating system component states |
US9852232B2 (en) * | 2013-11-08 | 2017-12-26 | International Business Machines Corporation | Automating event trees using analytics |
US10257213B2 (en) | 2014-03-19 | 2019-04-09 | Nippon Telegraph And Telephone Corporation | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program |
EP3172691A4 (en) * | 2014-07-21 | 2018-04-11 | Hewlett-Packard Enterprise Development LP | Security indicator linkage determination |
US9542570B2 (en) * | 2014-11-10 | 2017-01-10 | Successfactors, Inc. | Permission control |
EP3258409B1 (en) * | 2015-03-18 | 2019-07-17 | Nippon Telegraph and Telephone Corporation | Device for detecting terminal infected by malware, system for detecting terminal infected by malware, method for detecting terminal infected by malware, and program for detecting terminal infected by malware |
US10972500B2 (en) | 2015-06-05 | 2021-04-06 | Nippon Telegraph And Telephone Corporation | Detection system, detection apparatus, detection method, and detection program |
JP6105797B1 (ja) * | 2016-08-08 | 2017-03-29 | 株式会社ラック | 情報処理装置、情報処理方法及びプログラム |
US10621341B2 (en) | 2017-10-30 | 2020-04-14 | Bank Of America Corporation | Cross platform user event record aggregation system |
US10721246B2 (en) | 2017-10-30 | 2020-07-21 | Bank Of America Corporation | System for across rail silo system integration and logic repository |
US10728256B2 (en) | 2017-10-30 | 2020-07-28 | Bank Of America Corporation | Cross channel authentication elevation via logic repository |
JP7095506B2 (ja) * | 2018-09-05 | 2022-07-05 | 日本電信電話株式会社 | 推定方法、推定装置および推定プログラム |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6202158B1 (en) * | 1997-04-11 | 2001-03-13 | Hitachi, Ltd. | Detection method of illegal access to computer system |
JP3483782B2 (ja) * | 1998-10-15 | 2004-01-06 | 株式会社エヌ・ティ・ティ・データ | 電子データの追跡システム及びデータ中継装置 |
JP3618245B2 (ja) * | 1999-03-09 | 2005-02-09 | 株式会社日立製作所 | ネットワーク監視システム |
US6681331B1 (en) * | 1999-05-11 | 2004-01-20 | Cylant, Inc. | Dynamic software system intrusion detection |
AU2001262958A1 (en) * | 2000-04-28 | 2001-11-12 | Internet Security Systems, Inc. | Method and system for managing computer security information |
JP2002015136A (ja) * | 2000-04-28 | 2002-01-18 | Fuji Ginkou:Kk | 金融取引方法及び金融取引システム |
US20030051026A1 (en) * | 2001-01-19 | 2003-03-13 | Carter Ernst B. | Network surveillance and security system |
US7603709B2 (en) * | 2001-05-03 | 2009-10-13 | Computer Associates Think, Inc. | Method and apparatus for predicting and preventing attacks in communications networks |
US7162741B2 (en) * | 2001-07-30 | 2007-01-09 | The Trustees Of Columbia University In The City Of New York | System and methods for intrusion detection with dynamic window sizes |
US20030221123A1 (en) * | 2002-02-26 | 2003-11-27 | Beavers John B. | System and method for managing alert indications in an enterprise |
-
2002
- 2002-05-28 WO PCT/JP2002/005148 patent/WO2003100619A1/ja active Application Filing
- 2002-05-28 JP JP2004508004A patent/JP4020912B2/ja not_active Expired - Fee Related
-
2004
- 2004-10-26 US US10/972,436 patent/US8166553B2/en not_active Expired - Fee Related
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9853994B2 (en) | 2013-01-21 | 2017-12-26 | Mitsubishi Electric Corporation | Attack analysis system, cooperation apparatus, attack analysis cooperation method, and program |
US10282542B2 (en) | 2013-10-24 | 2019-05-07 | Mitsubishi Electric Corporation | Information processing apparatus, information processing method, and computer readable medium |
Also Published As
Publication number | Publication date |
---|---|
US20050086538A1 (en) | 2005-04-21 |
JPWO2003100619A1 (ja) | 2005-09-29 |
US8166553B2 (en) | 2012-04-24 |
WO2003100619A1 (fr) | 2003-12-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4020912B2 (ja) | 不正アクセス検知装置、不正アクセス検知プログラムおよび不正アクセス検知方法 | |
JP3448254B2 (ja) | アクセス・チェーン追跡システム、ネットワーク・システム、方法、及び記録媒体 | |
US7568232B2 (en) | Malicious access-detecting apparatus, malicious access-detecting method, malicious access-detecting program, and distributed denial-of-service attack-detecting apparatus | |
KR101010302B1 (ko) | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 | |
JP4364901B2 (ja) | アタックデータベース構造 | |
US6880087B1 (en) | Binary state machine system and method for REGEX processing of a data stream in an intrusion detection system | |
McHugh | Intrusion and intrusion detection | |
Kayacik et al. | Selecting features for intrusion detection: A feature relevance analysis on KDD 99 intrusion detection datasets | |
CN111212053B (zh) | 一种面向工控蜜罐的同源攻击分析方法 | |
US20200358803A1 (en) | Composing and applying security monitoring rules to a target environment | |
US20080209566A1 (en) | Method and System For Network Vulnerability Assessment | |
US20060272008A1 (en) | Method and security system for indentifying and blocking web attacks by enforcing read-only parameters | |
WO2015138519A1 (en) | Method and system for detecting algorithm-generated domains | |
CN112714093A (zh) | 一种账号异常检测方法、装置、系统及存储介质 | |
Sabri et al. | Identifying false alarm rates for intrusion detection system with data mining | |
CN114363091A (zh) | 一种基于apisix实现平台应用统一登录的方法及系统 | |
CN111917760B (zh) | 一种基于标识解析的网络协同制造跨域融合信任管控方法 | |
Alosefer et al. | Predicting client-side attacks via behaviour analysis using honeypot data | |
JP2010250607A (ja) | 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム | |
Alampalayam et al. | Predictive security model using data mining | |
CN114760083A (zh) | 一种攻击检测文件的发布方法、装置及存储介质 | |
Peleh et al. | Intelligent detection of DDoS attacks in SDN networks | |
Udiyono et al. | Botnet Detection Using DNS and HTTP Traffic Analysis | |
CN115550076B (zh) | 一种使用域日志进行认证的方法和系统 | |
CN116418587B (zh) | 一种数据跨域交换行为审计追踪方法和数据跨域交换系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070501 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070625 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070918 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070925 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101005 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101005 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111005 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111005 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121005 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121005 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131005 Year of fee payment: 6 |
|
LAPS | Cancellation because of no payment of annual fees |