JP4047770B2 - Monitoring / operation system, method and program for protecting web servers from homepage tampering attacks - Google Patents

Monitoring / operation system, method and program for protecting web servers from homepage tampering attacks Download PDF

Info

Publication number
JP4047770B2
JP4047770B2 JP2003174438A JP2003174438A JP4047770B2 JP 4047770 B2 JP4047770 B2 JP 4047770B2 JP 2003174438 A JP2003174438 A JP 2003174438A JP 2003174438 A JP2003174438 A JP 2003174438A JP 4047770 B2 JP4047770 B2 JP 4047770B2
Authority
JP
Japan
Prior art keywords
web
web content
content
browser terminal
web browser
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003174438A
Other languages
Japanese (ja)
Other versions
JP2005011061A (en
Inventor
亜紀子 谷口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Fielding Ltd
Original Assignee
NEC Fielding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Fielding Ltd filed Critical NEC Fielding Ltd
Priority to JP2003174438A priority Critical patent/JP4047770B2/en
Publication of JP2005011061A publication Critical patent/JP2005011061A/en
Application granted granted Critical
Publication of JP4047770B2 publication Critical patent/JP4047770B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
本発明は、ホームページ改ざん攻撃からWebサーバを守る監視/運用システム,方法およびプログラムに関し、特に改ざんされにくいWebサーバの運用を行うためにホームページの改ざんを事前に防御するホームページ改ざん攻撃からWebサーバを守る監視/運用システム,方法およびプログラムに関する。
【0002】
【従来の技術】
インターネットの爆発的な普及に伴い、ホームページを持つ企業や学校、個人が急増している。
【0003】
従来のホームページ改ざん監視機能は、改ざんされた後の検査による監視であり、公開しているホームページデータと監視用データベースとの差分で「不正な更新(改ざん)」を検出している。ホームページの改ざん発生時には、ホームページの閲覧サービスを停止する。
【0004】
また、運用面においては、ホームページデータの退避、改ざん時の復元、正当なホームページデータの更新に伴う監視データベースの更新等を人手により行っている。
【0005】
従来のホームページ改ざん監視方式の一例が、特許文献1に記載されている。特許文献1では、ウェブページの基準時に係るコンテンツファイルのハッシュ値を算出して記憶手段に記憶し、ウェブページの検査時に係るコンテンツファイルのハッシュ値を算出して記憶手段から読み出した基準時のハッシュ値と比較し、両者の差異を検証することで改ざんを監視している。
【0006】
【特許文献1】
特開2001−265217号公報
【0007】
【発明が解決しようとする課題】
しかしながら、上述した従来の技術には、以下のような問題点がある。
【0008】
すなわち、従来の監視方法は「改ざん後」の検出であり、全て事後処理となってしまっており、事前の防御がなされていないことである。
【0009】
また、改ざん発生時にホームページの閲覧サービスが停止され、ホームページ閲覧サービスの継続性が保たれないことである。
【0010】
また、ホームページデータの退避、改ざん時の復元、正当なホームページデータの更新に伴う監視データベースの更新等を人手により行っているので、これらの作業時における人為ミスに起因する誤動作・誤検出が発生することである。
【0011】
本発明の目的は、上記の問題点を解決したホームページ改ざん攻撃からWebサーバを守る監視/運用システム,方法およびプログラムを提供することにある。
【0012】
【課題を解決するための手段】
本願第1の発明のホームページ改ざん攻撃からWebサーバを守る監視/運用システムは、WebサーバにアクセスしてWebコンテンツの閲覧を行うWeb閲覧者端末と、攻撃パターンを登録する攻撃パターンテーブルとWebコンテンツに対するアクセス制限を設定するアクセス制限テーブルを有し、前記Web閲覧者端末に対してWebコンテンツの閲覧サービスを行い、前記Web閲覧者端末が送信してきたコマンドパターンが前記攻撃パターンと一致する場合には前記Web閲覧者端末とのアクセスを切断して前記Web閲覧者端末を拒否リストに登録し、前記Web閲覧者端末が送信してきたコマンドパターンが前記攻撃パターンと一致せず且つ前記アクセス制限テーブルに設定されるアクセス制限の範囲内の場合には前記Web閲覧者端末を許可リストに登録してWebコンテンツをミラーWebコンテンツにコピーし、前記Web閲覧者端末が送信してきたコマンドパターンが前記攻撃パターンと一致せず且つ前記アクセス制限テーブルに設定されるアクセス制限の範囲外の場合にはWebコンテンツのハッシュ値の検証結果が正常であれば改ざんはされていないと判断してWebコンテンツをミラーWebコンテンツにコピーし検証結果が正常でなければ改ざんされていると判断して改ざん発覚時の処理を行うWebサーバと、前記Webサーバを管理する管理者端末と、を備える。
【0013】
本願第2の発明のホームページ改ざん攻撃からWebサーバを守る監視/運用システムは、第1の発明において前記Webサーバは、アクセスしてきた前記Web閲覧者端末が前記拒否リストに登録されている場合には接続を拒否する手段を有する。
【0014】
本願第3の発明のホームページ改ざん攻撃からWebサーバを守る監視/運用システムは、第1の発明において前記Webサーバは、前記Webコンテンツの改ざん発覚時にWeb閲覧者端末がアクセスするWebコンテンツを前記ミラーWebコンテンツへ切り替える手段と、Web閲覧者端末からの前記ミラーWebコンテンツへのアクセスを前記アクセス制限テーブルに設定されるアクセス制限の範囲内に制限する手段と、前記ミラーWebコンテンツから前記Webコンテンツへコピーして前記Webコンテンツの復旧を行う手段と、を有する。
【0015】
本願第4の発明のホームページ改ざん攻撃からWebサーバを守る監視/運用システムは、第1の発明において前記管理者端末は、前記Webコンテンツを更新する手段を有し、前記Webサーバは、前記管理者端末からの前記Webコンテンツに対する更新を前記アクセス制限テーブルに設定されるアクセス制限の範囲内に制限する手段と、前記Webコンテンツが前記管理者端末により更新されたときに前記WebコンテンツをミラーWebコンテンツにコピーすると共にバックアップファイルに退避する手段を有する。
【0016】
本願第5の発明のホームページ改ざん攻撃からWebサーバを守る監視/運用方法は、Web閲覧者端末とWebサーバと管理者端末とを備えるシステムのホームページ改ざん攻撃からWebサーバを守る監視/運用方法であって、前記Webサーバは、前記Web閲覧者端末に対してWebコンテンツの閲覧サービスを行い、前記Web閲覧者端末は、前記Webサーバにアクセスして前記Webコンテンツの閲覧を行い、前記Webサーバは、前記Web閲覧者端末が送信してきたコマンドパターンが攻撃パターン記憶部に登録されている攻撃パターンと一致する場合には、前記Web閲覧者端末とのアクセスを切断して前記Web閲覧者端末を拒否リストに登録し、前記Web閲覧者端末が送信してきたコマンドパターンが攻撃パターン記憶部に登録されている攻撃パターンと一致せず且つアクセス制限テーブルに設定されるアクセス制限の範囲内の場合には、前記Web閲覧者端末を許可リストに登録してWebコンテンツをミラーWebコンテンツにコピーし、前記Web閲覧者端末が送信してきたコマンドパターンが攻撃パターン記憶部に登録されている攻撃パターンと一致せず且つアクセス制限テーブルに設定されるアクセス制限の範囲外の場合には、前記Webコンテンツのハッシュ値を算出してハッシュ値記憶部に格納されているハッシュ値と比較し、比較結果が一致すれば改ざんはされていないと判断してWebコンテンツをミラーWebコンテンツにコピーし、比較結果が不一致であれば改ざんされていると判断して改ざん発覚時の処理を行う、ことを特徴とする。
【0017】
本願第6の発明のホームページ改ざん攻撃からWebサーバを守る監視/運用方法は、第5の発明において前記Webサーバは、アクセスしてきた前記Web閲覧者端末が前記拒否リストに登録されている場合には、前記Web閲覧者端末との接続を拒否する、ことを特徴とする。
【0018】
本願第7の発明のホームページ改ざん攻撃からWebサーバを守る監視/運用方法は、第5の発明において前記改ざん発覚時に、前記Webサーバは、前記Web閲覧者端末がアクセスするWebコンテンツを前記ミラーWebコンテンツへ切り替え、前記Web閲覧者端末からの前記ミラーWebコンテンツへのアクセスをアクセス制限テーブルに設定されるアクセス制限の範囲内に制限し、前記ミラーWebコンテンツから前記Webコンテンツへコピーして前記Webコンテンツの復旧を行い、前記Webコンテンツの改ざん検出を前記管理者端末に通知する、ことを特徴とする。
【0019】
本願第8の発明のホームページ改ざん攻撃からWebサーバを守る監視/運用方法は、第5の発明において前記管理者端末は、前記Webコンテンツの更新を行い、前記Webサーバは、前記管理者端末からの前記Webコンテンツに対する更新をアクセス制限テーブルに設定されるアクセス制限の範囲内に制限し、前記Webコンテンツが前記管理者端末により更新されたときに前記WebコンテンツをミラーWebコンテンツにコピーすると共にバックアップファイルに退避する、ことを特徴とする。
【0020】
本願第9の発明のホームページ改ざん攻撃からWebサーバを守る監視/運用プログラムは、Web閲覧者端末とWebサーバと管理者端末とを備えるシステムのホームページ改ざん攻撃からWebサーバを守る監視/運用プログラムであって、コンピュータに、前記Webサーバが、前記Web閲覧者端末に対してWebコンテンツの閲覧サービスを行う機能、前記Web閲覧者端末が、前記Webサーバにアクセスして前記Webコンテンツの閲覧を行う機能、前記Webサーバが、前記Web閲覧者端末が送信してきたコマンドパターンが攻撃パターン記憶部に登録されている攻撃パターンと一致する場合には、前記Web閲覧者端末とのアクセスを切断して前記Web閲覧者端末を拒否リストに登録する機能、前記Web閲覧者端末が送信してきたコマンドパターンが攻撃パターン記憶部に登録されている攻撃パターンと一致せず且つアクセス制限テーブルに設定されるアクセス制限の範囲内の場合には、前記Web閲覧者端末を許可リストに登録してWebコンテンツをミラーWebコンテンツにコピーする機能、前記Web閲覧者端末が送信してきたコマンドパターンが攻撃パターン記憶部に登録されている攻撃パターンと一致せず且つアクセス制限テーブルに設定されるアクセス制限の範囲外の場合には、前記Webコンテンツのハッシュ値を算出してハッシュ値記憶部に格納されているハッシュ値と比較する機能、比較結果が一致すれば改ざんはされていないと判断してWebコンテンツをミラーWebコンテンツにコピーする機能、比較結果が不一致であれば改ざんされていると判断して改ざん発覚時の処理を行う機能、を実現させる。
【0021】
本願第10の発明のホームページ改ざん攻撃からWebサーバを守る監視/運用プログラムは、第9の発明において前記Webサーバが、アクセスしてきた前記Web閲覧者端末が前記拒否リストに登録されている場合には前記Web閲覧者端末との接続を拒否する機能、を実現させる。
【0022】
本願第11の発明のホームページ改ざん攻撃からWebサーバを守る監視/運用プログラムは、第9の発明において前記Webサーバが、前記Webコンテンツの改ざん発覚時に前記Web閲覧者端末がアクセスするWebコンテンツを前記ミラーWebコンテンツへ切り替える機能、前記Web閲覧者端末からの前記ミラーWebコンテンツへのアクセスをアクセス制限テーブルに設定されるアクセス制限の範囲内に制限する機能、前記ミラーWebコンテンツから前記Webコンテンツへコピーして前記Webコンテンツの復旧を行う機能、前記Webコンテンツの改ざん検出を前記管理者端末に通知する機能、を実現させる。
【0023】
本願第12の発明のホームページ改ざん攻撃からWebサーバを守る監視/運用プログラムは、第9の発明において前記管理者端末が、前記Webコンテンツの更新を行う機能、前記Webサーバが、前記管理者端末からの前記Webコンテンツに対する更新をアクセス制限テーブルに設定されるアクセス制限の範囲内に制限する機能、前記Webコンテンツが前記管理者端末により更新されたときに前記WebコンテンツをミラーWebコンテンツにコピーすると共にバックアップファイルに退避する機能、を実現させる。
【0024】
【発明の実施の形態】
最初に、本発明の特徴を説明する。
【0025】
本発明のホームページ改ざん攻撃からWebサーバを守る監視/運用システム,方法およびプログラムは、ホームページが改ざんされる前に出来る限りの防御を行い、改ざん発生時においても閲覧サービスを継続し、運用面においてはホームページ領域のミラーリング機能により人手による退避および改ざん時の復元がほとんど不要となることを特徴としている。
【0026】
本発明の特徴をより詳細に説明する。
【0027】
Web(ウェブ)閲覧者がWebサーバに送信したコマンドパターンが登録済攻撃パターンと一致する場合、Webサーバはアクセスを切断してWeb閲覧者を拒否リストに登録し、Webコンテンツのハッシュ値の検証結果が正常であれば改ざんはされていないと判断しWebコンテンツデータをミラーWebコンテンツにコピー(ミラーリング)して終了し、検証結果が正常でなければ改ざんされていると判断して改ざん発覚時の処理を行う。
【0028】
Web閲覧者がWebサーバに送信したコマンドパターンが登録済攻撃パターンと一致しなく且つアクセス制限テーブルの範囲内の場合、WebサーバはWeb閲覧者を許可リストに登録しWebコンテンツデータをミラーWebコンテンツにコピー(ミラーリング)して終了する。
【0029】
Web閲覧者がWebサーバに送信したコマンドパターンが登録済攻撃パターンと一致しなく且つアクセス制限テーブルの範囲外の場合、WebサーバはWebコンテンツのハッシュ値の検証結果が正常であれば改ざんはされていないと判断しWebコンテンツデータをミラーWebコンテンツにコピー(ミラーリング)して終了し、検証結果が正常でなければ改ざんされていると判断して改ざん発覚時の処理を行う。
【0030】
拒否リストに登録されると、次回からWebサーバに対するアクセスが拒否される。
【0031】
許可リストに登録されると、次回からWebサーバに対して、許可リストに登録されていないものより広範囲のアクセスができる。
【0032】
改ざん発覚時の処理では、WebサーバはWeb閲覧者がアクセスするホームページ領域をミラーWebコンテンツへ切り替え緊急時アクセスで定義する範囲内のアクセスのみを許可してホームページを閲覧可能し、ミラーWebコンテンツからWebコンテンツへデータをコピーし復旧作業を行う。復旧作業実施中でもサービスは継続される。
【0033】
次に、本発明の実施の形態の構成について、図面を参照して詳細に説明する。図1は、本発明の全体構成図である。
図2は、Webサーバ10の構成図である。
図3は、Webサーバソフト102の構成図である。
図4は、改ざん検査エンジン103の構成図である。
図5は、アクセスリストDB1033の構成図である。
図9は、シグネチャパターンの例を示す図である。
図10は、アクセス制限テーブルの例を示す図である。
図13は、ハッシュの例を示す図である。
【0034】
本発明の実施の形態は、図1に示す通り、Webサーバ10と、管理サーバ20と、管理者端末30と、Web閲覧者端末40と、ネットワーク100と、を備えており、Webサーバ10とWeb閲覧者端末40はネットワーク100を介して接続している。尚、図1では1つのWeb閲覧者端末40を図示しているが、Web閲覧者端末の個数に制約は無い。不特定多数のユーザは各自が使用するWeb閲覧者端末からネットワーク100を介してWebサーバ10にアクセスする。また、図1では1つの管理者端末30を図示しているが、管理サーバ20に接続される管理者端末の個数に制約は無い。
【0035】
Webサーバ10は、プログラム制御で動作するサーバ等の情報処理装置で、Web閲覧者端末40に対してWebコンテンツの閲覧等のサービスを提供する。Webサーバ10は、図2に示す通り、アクセス制御部101と、Webサーバソフト102と、改ざん検査エンジン103と、を備え、各種のログ(Web閲覧者端末40のアクセスログ等)を採取する機能を有している。
【0036】
アクセス制御部101は、改ざん検査エンジン103の指示により、Web閲覧者端末40のアクセスを制御する。アクセス制御部101は、Web閲覧者端末40とのセッションを切断した時点で、Web閲覧者端末40のIPアドレスを許可リスト10332あるいは拒否リスト10333に登録する。
【0037】
Webサーバソフト102は、図3に示す通り、Webコンテンツ1021が含まれた構成を示している。Webサーバソフト102は、例えばIIS(Internet Information Services)やApache等である。
【0038】
Webコンテンツ1021には、HTMLファイル(index.html)や画像ファイルなどが含まれる。
【0039】
改ざん検査エンジン103は、図4に示す通り、ミラーWebコンテンツ1031と、監視DB(データベース)1032と、アクセスリストDB1033と、シグネチャパターンDB1034と、を備えている。改ざん検査エンジン103は、セッションが切断された時点で、Webコンテンツ1021のハッシュ値を算出し、算出したWebコンテンツ1021のハッシュ値と監視DB1032が保持する確定されたWebコンテンツのハッシュ値との比較を行い、改ざんの事実を判定する。ハッシュ方法は、図13に示す通り、MD5(message digest algorithm 5)などに代表される一方向ハッシュ関数による値を用いる。図13の例では、ある時点において./image2.gifファイルが改ざんされたことを表している。
【0040】
ミラーWebコンテンツ1031は、Webコンテンツ1021に対するWeb閲覧者端末40の行為が正当な場合のみ、セッションの切断後にWebコンテンツ1021のデータがコピーされる(以下、ミラーリングと称す)。ミラーWebコンテンツ1031は、Webコンテンツ1021の改ざん検出時に切り替え用コンテンツとしてサービスの提供に使用され、Web閲覧の継続性を保つ。
【0041】
監視DB1032は、Webコンテンツ監視用の情報を保持する記憶装置である。監視DB1032には、確定されたWebコンテンツのハッシュ値を保持する。確定されたWebコンテンツのハッシュ値は、改ざん検査エンジン103が算出したWebコンテンツ1021のハッシュ値と比較され、改ざんの事実判定に使用される。
【0042】
アクセスリストDB1033は、Webコンテンツに対するアクセス制御用の情報を保持する記憶装置である。アクセスリストDB1033は、図5に示すように、管理者用IPアドレスリスト10331と、許可リスト10332と、拒否リスト10333と、アクセス制限テーブル10334と、を含む。
【0043】
管理者用IPアドレスリスト10331は、Webコンテンツ1021へ対する全てのアクセスが可能である管理者端末のIPアドレスが登録される。管理者用IPアドレスリスト10331に登録されている管理者端末はWebコンテンツ1021の更新/保守等を行うことができる。
【0044】
許可リスト10332は、以前の閲覧時に正当な行為を行ったWeb閲覧者端末40のIPアドレスが登録されろ。
【0045】
拒否リスト10333は、以前の閲覧時に不正な行為を行ったWeb閲覧者端末40のIPアドレスが登録される。
【0046】
アクセス制限テーブル10334は、図10に示すように、Webコンテンツ1021に格納されているファイル毎の実行可能なアクセス制限を設定してあるテーブルである。
【0047】
図10を参照すると、[ファイル名]項は、規定のディレクトリからの相対パスで記述されており、アクセス制限の対象となるディレクトリやファイル名が登録される。
【0048】
[管理者アクセス]項は、管理者用IPアドレスリスト10331に登録されたIPアドレスからの通信時に許可できるアクセスを登録する。この例の場合は、全てのディレクトリ/ファイルに対して全ての操作が可能となる。
【0049】
[システムアクセス]項は、Webサーバソフト102がディレクトリ/ファイルに対して行えるアクセスを登録してある。この例の場合、システムは、HTMLファイル(index.html)やイメージファイル(*.gif)に対しては読み取りのみで、CGI(counter.pl , mailform.pl)に対しては実行、データファイル(counter.dat)に対しては更新も許可されている。この項を設定することにより、未知なる不正プログラムが万が一サーバ上に常駐しても、許可されていないファイルに対しては更新(=改ざん)が出来ない事を意味する。
【0050】
[一般アクセス]項は、拒否リスト10333や許可リスト10332に登録されていないWeb閲覧者端末40に対するアクセスを登録してある。この例では、HTMLファイル(index.html)やイメージファイル(*.gif)に対する読み取りと、一部のCGI(mailform.pl)の実行のみ可能である。
【0051】
[許可閲覧者アクセス]項は、許可リスト10332に登録されているWeb閲覧者端末40にのみ許されるアクセスを登録してある。この例では、[一般アクセス]に許可されているアクセス及び信頼されたユーザにのみ実行可能なCGI(usertouroku.pl)の実行を許可している。
【0052】
[緊急時アクセス]項は、緊急時(ミラーWebコンテンツにて運用している時、Webコンテンツの更新/保守時等)に管理者端末30以外のアクセスに対する制限を登録する。この例の場合は、HTMLファイル(index.html)やイメージファイル(*.gif)の読み取りのみしか許可されていないために、Webサーバソフト102からのCGI(common gateway interface)も実行が不可能となる。この事により、参照系の動作しか許可されていないために、サービス継続中であってもデータの整合性が保てることになる。
【0053】
シグネチャパターンDB1034は、明らかに攻撃と判断出来るコマンドパターン(シグネチャパターン、攻撃パターン)が予め登録されている記憶装置である。新たなシグネチャパターンは、管理者端末30から管理サーバ20を介してシグネチャパターンDB1034に登録される。シグネチャパターンDB1034の例を図9に示す。Web閲覧者端末40からのコマンドをシグネチャパターンDB1034に登録されているシグネチャパターン(コマンドパターン)と比較することで、Web閲覧者端末40が攻撃を仕掛けているか否かを判定する。
【0054】
管理サーバ20は、プログラム制御で動作するサーバ等の情報処理装置で、Webサーバ10の管理等を行う。管理サーバ20には、管理者端末30が接続される。
【0055】
管理者端末30は、プログラム制御で動作するパーソナルコンピュータ等の情報処理装置で、管理者が管理サーバ20を介してWebサーバ10の管理等を行うために使用される。管理者端末30は、Webサーバ10の各ログ情報や改ざん検査エンジン103が発信する情報の一元管理を行う。Webサーバ10においてWebコンテンツ1021の改ざんが検出されミラーWebコンテンツ1031へ移行した場合に、管理者端末30は改ざん検査エンジン103から管理サーバ20を介してアラーム通知を受信する。また、管理者端末30は、Webコンテンツ1021の更新/保守等を行う機能を有する。
【0056】
Web閲覧者端末40は、プログラム制御で動作するパーソナルコンピュータ等の情報処理装置で、Webサーバ10にアクセスしてWebコンテンツの表示等を行う。ユーザがWebサーバ10にアクセスしてWebコンテンツの閲覧等を行うために使用される。
【0057】
ネットワーク100は、Webサーバ10とWeb閲覧者端末40とをつなぐインターネット等の通信網である。
【0058】
次に、本発明の実施の形態の動作について、図1〜図11を参照して詳細に説明する。
図6は、本発明の動作のフローチャートを示す図(その1)である。
図7は、本発明の動作のフローチャートを示す図(その2)である。
図8は、本発明の動作のフローチャートを示す図(その3)である。
図11は、正規のWeb閲覧者のアクセス例を示す図である。
図12は、正規とは考えられないWeb閲覧者のアクセス例を示す図である。
【0059】
図6〜図8を参照すると、先ず、ステップS1において、Web閲覧者端末40がWebサーバ10のホームページへアクセスする。
【0060】
ステップS2において、アクセス制御部101は検査フラグをOFFにする。
【0061】
ステップS3において、アクセス制御部101はアクセスしてきたWeb閲覧者端末40が拒否リスト10333に登録されているかどうかを確認し、Web閲覧者端末40が使用しているIPアドレスが拒否リスト10333に登録されているならばステップS4に進み、登録されていない場合にはステップS5に進む。
【0062】
ステップS4において、アクセス制御部101がWebの閲覧を自動的に拒否し、セッションを切断して処理を終了させる。
【0063】
ステップS5において、Web閲覧者端末40がWebコンテンツ1021を閲覧する。
【0064】
ステップS6において、改ざん検査エンジン103がパケットを収集してWeb閲覧者端末40のコマンドパターンを監視し、シグネチャパターンDB1034に登録されているシグネチャパターン(例えば図9に示すシグネチャパターン)が実行されているかどうかを確認し、シグネチャパターンDB1034に登録されているシグネチャパターンが実行されているならばステップS7に進み、実行されていなければステップS10に進む。
【0065】
ステップS7において、アクセス制御部101はセッションを切断する。
【0066】
ステップS8において、アクセス制御部101はWeb閲覧者端末40が使用しているIPアドレスを拒否リスト10333に登録する。
【0067】
ステップS9において、改ざん検査エンジン103がWebコンテンツ1021のハッシュ値を算出し、監視DB1032に格納されている正常なWebコンテンツ1021のハッシュ値と比較し、比較結果が一致していれば改ざんされていないと判断してステップS17に進み、比較結果が不一致ならば改ざんされていると判断してステップS18に進む。
【0068】
ステップS10において、改ざん検査エンジン103はWeb閲覧者端末40がアクセス制限テーブル10334に示すアクセス制限通りのコマンドを実行しているかを監視し、アクセス制限通りのコマンドを実行していれば(例えば図10に示すアクセス通りに行っている図11の場合)ステップS13に進み、アクセス制限通りのコマンドを実行していなければ(例えば図10に示すアクセス通りに行っていない図12の場合)ステップS11に進む。
【0069】
ステップS11において、アクセス制御部101がWeb閲覧者端末40に対してアクセス抑制を行う。
【0070】
ステップS12において、検査フラグをONにする。
【0071】
ステップS13において、アクセス制御部101はセッションが切断されているかを調べ、セッションが切断されている場合にはステップS14に進み、切断されていなければステップS5に戻る。
【0072】
ステップS14において、検査フラグがONであるかを確認し、ONであればステップS16に進み、ONでなければステップS15に進む。
【0073】
ステップS15において、アクセス制御部101は、Web閲覧者端末40は正当な閲覧者として、Web閲覧者端末40が使用しているIPアドレスを許可リスト10332に登録し、ステップS17に進む。
【0074】
ステップS16において、改ざん検査エンジン103がWebコンテンツ1021のハッシュ値を算出し、監視DB1032に格納されている正常なWebコンテンツ1021のハッシュ値と比較し、比較結果が一致していれば改ざんされていないと判断して(この場合、Web閲覧者端末40は正当な閲覧者とは考えられないので許可リスト10332への登録は行われず、拒否リスト10333への登録も行われない)ステップS17に進み、比較結果が不一致ならば改ざんされていると判断してステップS18に進む。
【0075】
ステップS17において、Webコンテンツ1021のデータをミラーWebコンテンツ1031へコピーを行い、終了する。
【0076】
以下のステップS18〜ステップS25は、改ざん発覚時の処理である。
【0077】
ステップS18において、アクセス制御部101は、改ざんが発覚したので、即時に、Web閲覧者端末40がアクセスするホームページ領域をミラーWebコンテンツ1031へ切り替え、ホームページを閲覧可能にする。
【0078】
ステップS19において、切り替え後、改ざん検査エンジン103はWeb閲覧者端末40に対してアクセス制限テーブル10334に示す[緊急時アクセス]項のアクセスのみを許可する。参照系コマンドのみ実行可能にすることで、ミラーWebコンテンツ1031のデータ整合性が保たれる。
【0079】
ステップS20において、コマンドの限定を行った後、自動的にミラーWebコンテンツ1031からWebコンテンツ1021へデータをコピーし復旧作業を行う。なお、復旧作業実施中でも、次のような動作によりサービスは継続される。
【0080】
ステップS21において、Web閲覧者端末40がWebサーバ10のホームページへアクセスする。
【0081】
ステップS22において、アクセス制御部101はアクセスしてきたWeb閲覧者端末40が拒否リスト10333に登録されているかどうかを確認し、Web閲覧者端末40が使用しているIPアドレスが拒否リスト10333に登録されているならばステップS23に進み、登録されていない場合にはステップS24に進む。
【0082】
ステップS23において、アクセス制御部101がWebの閲覧を自動的に拒否し、セッションを切断して処理を終了させる。
【0083】
ステップS24において、Web閲覧者端末40はミラーWebコンテンツ1031を閲覧する。このとき、アクセス制限テーブルに示す[緊急時のアクセス]項に登録されたコマンドのみを使用してミラーWebコンテンツ1031を制限されたコマンドの範囲で閲覧が可能である。復旧作業終了後は、再びWebコンテンツ1021へ切り替え、通常の動作へ復帰する。
【0084】
ステップS25において、アクセス制御部101はセッションが切断されているかを調べ、セッションが切断されていなければステップS24に戻り、セッションが切断されている場合には終了する。
【0085】
次に、Webコンテンツ1021の更新/保守時の処理について説明する。
【0086】
管理者端末30によるWebコンテンツ1021の更新/保守時に、Webサーバ10は管理者用IPアドレスリスト10331に登録された管理者端末であるかを確認し、登録されている管理者端末であればアクセス制限テーブル10334の[管理者アクセス]に示される制限に従ってWebコンテンツ1021に対するアクセスを許可する。本例では、管理者端末30のIPアドレスが管理者用IPアドレスリスト10331に登録されており且つ図11に示すようにアクセス制限テーブル10334の[管理者アクセス]には”全て”と定義されているので、管理者端末30によるWebコンテンツ1021へのアクセスは全て許可されて、Webコンテンツ1021の更新/保守等が可能である。
【0087】
Webコンテンツ1021の更新時は、Web閲覧者端末40へのサービスとして、図11に示す[緊急時のアクセス]項に登録されているコマンドのみ使用してホームページ(ミラーWebコンテンツ1031)を閲覧可能とし、閲覧サービスを継続させながらWebコンテンツ1021の更新を行う。管理者端末30からのデータはすべて正しいと判断し、変更があると自動的にWebコンテンツ1021を更新する。Webコンテンツ1021の更新が終了すると、Webコンテンツ1021のデータをミラーWebコンテンツ1031へコピーすると共にバックアップファイル(図示せず)へ退避する。改ざん検査エンジン103はWebコンテンツ1021のハッシュ値を算出し、監視DB1032に保持されている確定されたWebコンテンツのハッシュ値を更新する。その後、ミラーWebコンテンツ1031からWebコンテンツ1021へ切り替えて、通常の動作へ復帰する。
【0088】
Webコンテンツ1021の保守時は、Web閲覧者端末40へのサービスとして、図11に示す[緊急時のアクセス]項に登録されているコマンドのみ使用してホームページ(ミラーWebコンテンツ1031)を閲覧可能とし、閲覧サービスを継続させながらWebコンテンツ1021の保守(例えばWebコンテンツ1021のハードウェアエラー発生に伴う処置等)を行う。Web閲覧者端末40は参照系のコマンドしか使用できないのでデータの整合性は保たれる。バックアップファイル(図示せず)からWebコンテンツ1021へコピーしてWebコンテンツ1021の保守が終了すると、Webコンテンツ1021のデータをミラーWebコンテンツ1031へコピーする。改ざん検査エンジン103はWebコンテンツ1021のハッシュ値を算出し、監視DB1032に保持されている確定されたWebコンテンツのハッシュ値を更新した後、ミラーWebコンテンツ1031からWebコンテンツ1021へ切り替えて、通常の動作へ復帰する。
【0089】
上述した本発明の実施の形態では、Web閲覧者端末が送信してきたコマンドパターンがシグネチャパターンと一致せず且つアクセス制限テーブルに設定されるアクセス制限の範囲外の場合でWebコンテンツのハッシュ値の検証結果が正常でない場合に、許可リストにも拒否リストにも登録していないが、本発明の他の実施の形態として、この場合に、拒否リストに登録するようにしてもよい。これにより、攻撃に対する事前防御がより一層高まることになる。
【0090】
本発明による上述した実施の形態において、ホームページ改ざん攻撃からWebサーバを守る監視/運用システムの処理動作を実行するためのプログラム等を、データとしてコンピュータの磁気ディスクや光ディスク等の記録媒体(図示せず)に記録するようにし、記録されたデータを読み出してホームページ改ざん攻撃からWebサーバを守る監視/運用システムを動作させるために用いる。このように、本発明によるホームページ改ざん攻撃からWebサーバを守る監視/運用システムを動作させるデータを記録媒体に記録させ、この記録媒体をインストールすることによりホームページ改ざん攻撃からWebサーバを守る監視/運用システムの機能が実現できるようになる。
【0091】
【発明の効果】
第1の効果は、事前に防御することにより、改ざんされにくいWebサーバを運用することができることである。
【0092】
その理由は、拒否リストに登録されているWeb閲覧者からのアクセスを拒否し、また、シグネチャパターンの実行を検出すると直ちにアクセスを切断するようにしたからである。
【0093】
第2の効果は、改ざん発生時にサービスを継続することができることである。
【0094】
その理由は、Webコンテンツのミラーリングを行い、改ざん発生時に自動的にミラーWebコンテンツに切り替え、ミラーWebコンテンツによる閲覧を行うようにしたからである。
【0095】
第3の効果は、Web閲覧者自身の評価によりWebページの差別化を図ることができることである。
【0096】
その理由は、許可リストに登録されているWeb閲覧者からのアクセスに対して、アクセス制限テーブルの[許可閲覧者アクセス]項に示すアクセスを許可するようにし、一般のWeb閲覧者よりも優遇するようにしたからである。
【図面の簡単な説明】
【図1】本発明の全体構成図
【図2】Webサーバの構成図
【図3】Webサーバソフトの構成図
【図4】改ざん検査エンジンの構成図
【図5】アクセスリストDBの構成図
【図6】本発明の動作のフローチャートを示す図(その1)
【図7】本発明の動作のフローチャートを示す図(その2)
【図8】本発明の動作のフローチャートを示す図(その3)
【図9】シグネチャパターンの例を示す図
【図10】アクセス制限テーブルの例を示す図
【図11】正規のWeb閲覧者のアクセス例を示す図
【図12】正規とは考えられないWeb閲覧者のアクセス例を示す図
【図13】ハッシュの例を示す図
【符号の説明】
10 Webサーバ
20 管理サーバ
30 管理者端末
40 Web閲覧者端末
100 ネットワーク
101 アクセス制御部
102 Webサーバソフト
103 改ざん検査エンジン
1021 Webコンテンツ
1031 ミラーWebコンテンツ
1032 監視DB
1033 アクセスリストDB
1034 シグネチャパターンDB
10331 管理者用IPアドレスリスト
10332 許可リスト
10333 拒否リスト
10334 アクセス制限テーブル[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a monitoring / operation system, method, and program for protecting a Web server from a homepage alteration attack, and in particular, to protect the Web server from a homepage alteration attack that protects the homepage from being altered in advance in order to operate the Web server that is not easily altered. The present invention relates to a monitoring / operation system, a method, and a program.
[0002]
[Prior art]
With the explosive spread of the Internet, companies, schools, and individuals with homepages are rapidly increasing.
[0003]
The conventional homepage falsification monitoring function is monitoring by inspection after falsification, and detects “illegal update (falsification)” by the difference between the publicly available homepage data and the monitoring database. When homepage tampering occurs, the homepage browsing service is stopped.
[0004]
In terms of operation, the homepage data is saved, restored at the time of falsification, and the monitoring database is updated by updating the legitimate homepage data.
[0005]
An example of a conventional homepage alteration monitoring method is described in Patent Document 1. In Patent Document 1, a hash value of a content file related to a reference time of a web page is calculated and stored in a storage unit, and a hash value of a content file related to a web page inspection is calculated and read from the storage unit. Tampering is monitored by comparing the value and verifying the difference between the two.
[0006]
[Patent Document 1]
JP 2001-265217 A
[0007]
[Problems to be solved by the invention]
However, the conventional techniques described above have the following problems.
[0008]
In other words, the conventional monitoring method is “after tampering” detection, and all the post-processing is performed, and the advance protection is not performed.
[0009]
Also, the homepage browsing service is stopped when tampering occurs, and the continuity of the homepage browsing service is not maintained.
[0010]
Also, since the homepage data is saved, restored at the time of falsification, and the monitoring database is updated manually due to the update of legitimate homepage data, malfunctions and false detections due to human error during these operations occur. That is.
[0011]
An object of the present invention is to provide a monitoring / operation system, method, and program for protecting a Web server from a homepage tampering attack that solves the above problems.
[0012]
[Means for Solving the Problems]
A monitoring / operation system for protecting a Web server from a homepage alteration attack according to the first invention of the present application is directed to a Web browser terminal for browsing a Web content by accessing the Web server, an attack pattern table for registering an attack pattern, and a Web content Having an access restriction table for setting access restrictions, providing a web content browsing service to the web browser terminal, and when the command pattern transmitted by the web browser terminal matches the attack pattern, The access to the web browser terminal is disconnected and the web browser terminal is registered in the rejection list, and the command pattern transmitted by the web browser terminal does not match the attack pattern and is set in the access restriction table. If the access limit is within the range of Access restriction set by registering the browser terminal in the permission list, copying the web content to the mirror web content, and the command pattern transmitted by the web browser terminal does not match the attack pattern and set in the access restriction table If the verification result of the hash value of the Web content is normal when it is out of the range, it is determined that the content has not been tampered with, and the Web content is copied to the mirror Web content. A Web server that performs processing upon detection of tampering and an administrator terminal that manages the Web server.
[0013]
The monitoring / operation system for protecting a Web server from a homepage alteration attack according to the second aspect of the present invention is the Web server according to the first aspect, wherein the Web browser terminal accessed is registered in the rejection list. A means for rejecting the connection;
[0014]
According to a third aspect of the present invention, there is provided a monitoring / operation system for protecting a Web server from a homepage alteration attack. In the first invention, the Web server uses the mirror Web to access Web content accessed by a Web browser terminal when the Web content is detected as being altered. Means for switching to content, means for restricting access to the mirror web content from a web browser terminal within an access restriction range set in the access restriction table, and copying from the mirror web content to the web content And means for recovering the Web content.
[0015]
According to a fourth aspect of the present invention, there is provided a monitoring / operation system for protecting a Web server from a homepage tampering attack. In the first invention, the administrator terminal has means for updating the Web content, and the Web server includes the administrator. Means for restricting updates to the web content from a terminal within an access restriction range set in the access restriction table; and when the web content is updated by the administrator terminal, the web content is converted to a mirror web content. Means for copying and saving to a backup file.
[0016]
The monitoring / operation method for protecting a Web server from a homepage alteration attack of the fifth invention of the present application is a monitoring / operation method for protecting a Web server from a homepage alteration attack of a system including a Web browser terminal, a Web server, and an administrator terminal. The web server performs a web content browsing service to the web browser terminal, the web browser terminal accesses the web server to browse the web content, and the web server When the command pattern transmitted by the web browser terminal matches the attack pattern registered in the attack pattern storage unit, the access to the web browser terminal is cut off and the web browser terminal is rejected. The command pattern registered by the Web browser terminal is the attack pattern If the attack pattern does not match with the attack pattern registered in the storage unit and is within the access restriction range set in the access restriction table, the web browser terminal is registered in the permission list and the web content is changed to the mirror web content. If the command pattern copied and transmitted by the web browser terminal does not match the attack pattern registered in the attack pattern storage unit and is outside the access restriction range set in the access restriction table, the web pattern The hash value of the content is calculated and compared with the hash value stored in the hash value storage unit. If the comparison results match, it is determined that the content has not been tampered with, and the Web content is copied to the mirror Web content. If they do not match, it is judged that the file has been tampered with, and the processing at the time of tampering detection is performed. To.
[0017]
According to a sixth aspect of the present invention, there is provided a monitoring / operation method for protecting a Web server from a homepage alteration attack. In the fifth invention, the Web server is configured such that when the accessed Web browser terminal is registered in the rejection list. The connection with the Web browser terminal is rejected.
[0018]
According to a seventh aspect of the present invention, in the monitoring / operation method for protecting a Web server from a homepage alteration attack, when the falsification is detected in the fifth invention, the Web server converts the Web content accessed by the Web browser terminal to the mirror Web content. The access to the mirror web content from the web browser terminal is restricted within an access restriction range set in an access restriction table, and the mirror web content is copied to the web content and copied to the web content. Recovery is performed, and detection of alteration of the Web content is notified to the administrator terminal.
[0019]
According to an eighth aspect of the present invention, there is provided a monitoring / operation method for protecting a Web server from a homepage alteration attack. In the fifth aspect, the administrator terminal updates the Web content, and the Web server is connected to the administrator terminal. Updates to the web content are restricted within the access restriction range set in the access restriction table, and when the web content is updated by the administrator terminal, the web content is copied to the mirror web content and used as a backup file. It is characterized by evacuating.
[0020]
The monitoring / operation program for protecting a Web server from a homepage alteration attack according to the ninth aspect of the present invention is a monitoring / operation program for protecting a Web server from a homepage alteration attack of a system including a Web browser terminal, a Web server, and an administrator terminal. A function in which the Web server performs a Web content browsing service to the Web browser terminal, and a function in which the Web browser terminal accesses the Web server to browse the Web content. When the command pattern transmitted from the web browser terminal matches the attack pattern registered in the attack pattern storage unit, the web server disconnects access to the web browser terminal and performs the web browsing. Function for registering a user terminal in a rejection list, the Web browser terminal When the transmitted command pattern does not match the attack pattern registered in the attack pattern storage unit and is within the access restriction range set in the access restriction table, the web browser terminal is registered in the permission list. A function for copying Web contents to mirror Web contents, and a command pattern transmitted from the Web browser terminal does not match the attack pattern registered in the attack pattern storage unit and the access restriction set in the access restriction table When the content is out of the range, the hash value of the Web content is calculated and compared with the hash value stored in the hash value storage unit. If the comparison result matches, it is determined that the content has not been altered. Function to copy to the mirror Web content, if the comparison results do not match, It is determined to be N in function to perform the processing at the time of falsification discovered, to realize.
[0021]
The monitoring / operation program for protecting a Web server from a homepage alteration attack according to the tenth invention of the present application is such that, in the ninth invention, the Web browser terminal accessed by the Web server is registered in the rejection list. A function of refusing connection with the Web browser terminal;
[0022]
According to an eleventh aspect of the present invention, there is provided a monitoring / operation program for protecting a Web server from a homepage tampering attack according to the ninth aspect, wherein the Web server accesses the Web content accessed by the Web browser terminal when the Web content is detected as being altered. A function for switching to Web content, a function for restricting access to the mirror Web content from the Web browser terminal within an access restriction range set in an access restriction table, and copying from the mirror Web content to the Web content A function of restoring the Web content and a function of notifying the administrator terminal of detection of alteration of the Web content are realized.
[0023]
A monitoring / operation program for protecting a Web server from a homepage alteration attack according to a twelfth aspect of the present invention is the function of the administrator terminal to update the Web content in the ninth invention, and the Web server from the administrator terminal. A function of restricting updates to the web content within the access restriction range set in the access restriction table, and copying and backing up the web content to the mirror web content when the web content is updated by the administrator terminal Implement the function to save to a file.
[0024]
DETAILED DESCRIPTION OF THE INVENTION
First, the features of the present invention will be described.
[0025]
The monitoring / operation system, method and program for protecting a Web server from a homepage tampering attack according to the present invention provides as much protection as possible before the homepage is tampered with, and continues the browsing service even when tampering occurs. It is characterized by almost no need for manual evacuation and restoration by tampering with the mirroring function of the homepage area.
[0026]
The features of the present invention will be described in more detail.
[0027]
When the command pattern transmitted to the web server by the web (web) viewer matches the registered attack pattern, the web server disconnects the access and registers the web viewer in the rejection list, and the verification result of the hash value of the web content If it is normal, it is determined that the content has not been tampered with, and the Web content data is copied (mirrored) to the mirror Web content, and the processing is terminated. I do.
[0028]
When the command pattern transmitted to the web server by the web browser does not match the registered attack pattern and is within the access restriction table, the web server registers the web viewer in the permission list and converts the web content data to the mirror web content. Copy (mirror) and finish.
[0029]
If the command pattern sent by the web browser to the web server does not match the registered attack pattern and is outside the range of the access restriction table, the web server has been altered if the verification result of the hash value of the web content is normal. If it is determined that there is no verification, the Web content data is copied (mirrored) to the mirror Web content and the process ends. If the verification result is not normal, it is determined that the content has been falsified and processing is performed.
[0030]
When registered in the rejection list, access to the Web server is denied from the next time.
[0031]
Once registered in the permission list, the Web server can be accessed in a wider range from the next time than those not registered in the permission list.
[0032]
In the processing when tampering is detected, the Web server switches the home page area accessed by the Web viewer to mirror Web content, allows access only within the range defined by emergency access, and can browse the home page. Copy data to content and perform recovery work. The service will continue even during the recovery work.
[0033]
Next, the configuration of the embodiment of the present invention will be described in detail with reference to the drawings. FIG. 1 is an overall configuration diagram of the present invention.
FIG. 2 is a configuration diagram of the Web server 10.
FIG. 3 is a configuration diagram of the Web server software 102.
FIG. 4 is a configuration diagram of the falsification inspection engine 103.
FIG. 5 is a configuration diagram of the access list DB 1033.
FIG. 9 is a diagram illustrating an example of a signature pattern.
FIG. 10 is a diagram illustrating an example of an access restriction table.
FIG. 13 is a diagram illustrating an example of a hash.
[0034]
As shown in FIG. 1, the embodiment of the present invention includes a Web server 10, a management server 20, an administrator terminal 30, a Web browser terminal 40, and a network 100. The web browser terminal 40 is connected via the network 100. In FIG. 1, one web browser terminal 40 is illustrated, but the number of web browser terminals is not limited. An unspecified number of users access the Web server 10 via the network 100 from the Web browser terminal used by each user. In addition, although one administrator terminal 30 is illustrated in FIG. 1, the number of administrator terminals connected to the management server 20 is not limited.
[0035]
The web server 10 is an information processing apparatus such as a server that operates under program control, and provides a web browsing service to the web browser terminal 40. As shown in FIG. 2, the Web server 10 includes an access control unit 101, Web server software 102, and a falsification inspection engine 103, and collects various logs (such as an access log of the Web browser terminal 40). have.
[0036]
The access control unit 101 controls access of the web browser terminal 40 according to an instruction from the falsification inspection engine 103. When the session with the web browser terminal 40 is disconnected, the access control unit 101 registers the IP address of the web browser terminal 40 in the allow list 10332 or the deny list 10333.
[0037]
The Web server software 102 has a configuration including Web content 1021 as shown in FIG. The Web server software 102 is, for example, IIS (Internet Information Services) or Apache.
[0038]
The Web content 1021 includes an HTML file (index.html), an image file, and the like.
[0039]
As shown in FIG. 4, the falsification inspection engine 103 includes a mirror Web content 1031, a monitoring DB (database) 1032, an access list DB 1033, and a signature pattern DB 1034. The tampering inspection engine 103 calculates the hash value of the Web content 1021 when the session is disconnected, and compares the calculated hash value of the Web content 1021 with the hash value of the confirmed Web content held in the monitoring DB 1032. And determine the fact of tampering. As shown in FIG. 13, the hash method uses a value based on a one-way hash function typified by MD5 (message digest algorithm 5). The example of FIG. 13 indicates that the ./image2.gif file has been tampered with at a certain point in time.
[0040]
In the mirror Web content 1031, the data of the Web content 1021 is copied after the session is disconnected only when the Web browser terminal 40 acts on the Web content 1021 is valid (hereinafter referred to as mirroring). The mirror Web content 1031 is used for providing a service as a switching content when alteration of the Web content 1021 is detected, and maintains Web browsing continuity.
[0041]
The monitoring DB 1032 is a storage device that holds information for Web content monitoring. The monitoring DB 1032 holds the hash value of the confirmed Web content. The determined hash value of the Web content is compared with the hash value of the Web content 1021 calculated by the falsification inspection engine 103, and used for determining the fact of falsification.
[0042]
The access list DB 1033 is a storage device that holds information for controlling access to Web content. As shown in FIG. 5, the access list DB 1033 includes an administrator IP address list 10331, an allow list 10332, a deny list 10333, and an access restriction table 10334.
[0043]
The administrator IP address list 10331 is registered with the IP addresses of administrator terminals that can access all of the Web content 1021. The administrator terminal registered in the administrator IP address list 10331 can update / maintain the Web content 1021.
[0044]
In the permission list 10332, the IP address of the Web browser terminal 40 that has performed a legitimate action during previous browsing is registered.
[0045]
In the refusal list 10333, the IP address of the Web browser terminal 40 that has performed an illegal act during previous browsing is registered.
[0046]
The access restriction table 10334 is a table in which executable access restrictions for each file stored in the Web content 1021 are set as shown in FIG.
[0047]
Referring to FIG. 10, the [file name] item is described by a relative path from a specified directory, and a directory or file name subject to access restriction is registered.
[0048]
The [Administrator Access] section registers an access that can be permitted at the time of communication from an IP address registered in the administrator IP address list 10331. In this example, all operations can be performed on all directories / files.
[0049]
In the [System Access] section, the access that the Web server software 102 can make to the directory / file is registered. In this example, the system only reads HTML files (index.html) and image files (* .gif), executes CGI (counter.pl, mailform.pl), and executes data files ( counter.dat) is also allowed to update. By setting this item, it means that even if an unknown malicious program resides on the server, it is not possible to update (= falsify) an unauthorized file.
[0050]
In the [general access] section, access to the Web browser terminal 40 that is not registered in the deny list 10333 or the permission list 10332 is registered. In this example, only reading of an HTML file (index.html) or an image file (* .gif) and execution of a part of CGI (mailform.pl) are possible.
[0051]
In the “permitted browser access” section, access permitted only to the web browser terminal 40 registered in the permission list 10332 is registered. In this example, access permitted for [general access] and execution of CGI (usertouroku.pl) that can be executed only by trusted users are permitted.
[0052]
The [Emergency Access] section registers restrictions on access other than the administrator terminal 30 in an emergency (when operating with mirror Web content, when updating / maintaining Web content, etc.). In the case of this example, only reading of an HTML file (index.html) or an image file (* .gif) is permitted, so that it is impossible to execute CGI (common gateway interface) from the Web server software 102. Become. As a result, since only the operation of the reference system is permitted, data consistency can be maintained even during service continuation.
[0053]
The signature pattern DB 1034 is a storage device in which command patterns (signature patterns, attack patterns) that can be clearly determined as attacks are registered in advance. The new signature pattern is registered in the signature pattern DB 1034 from the administrator terminal 30 via the management server 20. An example of the signature pattern DB 1034 is shown in FIG. By comparing the command from the web browser terminal 40 with the signature pattern (command pattern) registered in the signature pattern DB 1034, it is determined whether or not the web browser terminal 40 is attacking.
[0054]
The management server 20 is an information processing apparatus such as a server that operates under program control, and manages the Web server 10. An administrator terminal 30 is connected to the management server 20.
[0055]
The administrator terminal 30 is an information processing apparatus such as a personal computer that operates under program control, and is used by the administrator to manage the Web server 10 via the management server 20. The administrator terminal 30 performs unified management of each log information of the Web server 10 and information transmitted from the falsification inspection engine 103. When the web server 102 detects that the web content 1021 has been tampered with and shifts to the mirror web content 1031, the administrator terminal 30 receives an alarm notification from the tampering inspection engine 103 via the management server 20. Further, the administrator terminal 30 has a function of updating / maintaining the Web content 1021.
[0056]
The web browser terminal 40 is an information processing apparatus such as a personal computer that operates under program control, and accesses the web server 10 to display web content. It is used for a user to access the Web server 10 and browse Web contents.
[0057]
The network 100 is a communication network such as the Internet that connects the Web server 10 and the Web browser terminal 40.
[0058]
Next, the operation of the embodiment of the present invention will be described in detail with reference to FIGS.
FIG. 6 is a diagram (part 1) illustrating a flowchart of the operation of the present invention.
FIG. 7 is a diagram (part 2) illustrating a flowchart of the operation of the present invention.
FIG. 8 is a diagram (part 3) illustrating the flowchart of the operation of the present invention.
FIG. 11 is a diagram illustrating an example of access by a legitimate Web browser.
FIG. 12 is a diagram illustrating an example of an access by a web viewer who is not considered to be regular.
[0059]
6 to 8, first, in step S <b> 1, the web browser terminal 40 accesses the home page of the web server 10.
[0060]
In step S2, the access control unit 101 turns off the inspection flag.
[0061]
In step S <b> 3, the access control unit 101 confirms whether the accessed web browser terminal 40 is registered in the deny list 10333, and the IP address used by the web browser terminal 40 is registered in the deny list 10333. If YES in step S4, the flow advances to step S4. If not registered, the flow advances to step S5.
[0062]
In step S4, the access control unit 101 automatically refuses web browsing, disconnects the session, and ends the process.
[0063]
In step S5, the web browser terminal 40 browses the web content 1021.
[0064]
In step S6, the falsification inspection engine 103 collects the packets, monitors the command pattern of the Web browser terminal 40, and whether the signature pattern registered in the signature pattern DB 1034 (for example, the signature pattern shown in FIG. 9) is executed. If the signature pattern registered in the signature pattern DB 1034 is executed, the process proceeds to step S7. If not executed, the process proceeds to step S10.
[0065]
In step S7, the access control unit 101 disconnects the session.
[0066]
In step S <b> 8, the access control unit 101 registers the IP address used by the web browser terminal 40 in the deny list 10333.
[0067]
In step S9, the falsification inspection engine 103 calculates the hash value of the Web content 1021, compares it with the hash value of the normal Web content 1021 stored in the monitoring DB 1032, and if the comparison result matches, it has not been falsified. The process proceeds to step S17, and if the comparison result does not match, it is determined that tampering has occurred, and the process proceeds to step S18.
[0068]
In step S10, the falsification inspection engine 103 monitors whether the Web browser terminal 40 is executing a command according to the access restriction shown in the access restriction table 10334, and if the command is executed according to the access restriction (for example, FIG. 10). In the case of FIG. 11 that is performed according to the access shown in FIG. 11), the process proceeds to step S13, and if the command according to the access restriction is not executed (for example, in the case of FIG. 12 that is not performed according to the access illustrated in FIG. 10), the process proceeds to step S11. .
[0069]
In step S <b> 11, the access control unit 101 controls access to the web browser terminal 40.
[0070]
In step S12, the inspection flag is turned ON.
[0071]
In step S13, the access control unit 101 checks whether the session is disconnected. If the session is disconnected, the process proceeds to step S14. If not disconnected, the process returns to step S5.
[0072]
In step S14, it is confirmed whether the inspection flag is ON. If it is ON, the process proceeds to step S16, and if not, the process proceeds to step S15.
[0073]
In step S15, the access control unit 101 registers the IP address used by the web browser terminal 40 in the permission list 10332, assuming that the web browser terminal 40 is a valid browser, and proceeds to step S17.
[0074]
In step S16, the falsification inspection engine 103 calculates the hash value of the Web content 1021, compares it with the hash value of the normal Web content 1021 stored in the monitoring DB 1032, and if the comparison result matches, it has not been falsified. (In this case, since the Web browser terminal 40 is not considered a valid viewer, registration in the permission list 10332 is not performed, and registration in the rejection list 10333 is not performed), the process proceeds to step S17. If the comparison result does not match, it is determined that the image has been tampered with and the process proceeds to step S18.
[0075]
In step S17, the data of the Web content 1021 is copied to the mirror Web content 1031 and the process ends.
[0076]
The following steps S18 to S25 are processes when tampering is detected.
[0077]
In step S18, since the tampering is detected, the access control unit 101 immediately switches the homepage area accessed by the web browser terminal 40 to the mirror web content 1031 so that the homepage can be browsed.
[0078]
In step S <b> 19, after switching, the falsification inspection engine 103 permits only the access in the “Emergency access” section shown in the access restriction table 10334 to the Web browser terminal 40. By making only the reference system command executable, the data consistency of the mirror Web content 1031 is maintained.
[0079]
In step S20, after the command is limited, data is automatically copied from the mirror web content 1031 to the web content 1021, and a recovery operation is performed. Even during the recovery work, the service is continued by the following operation.
[0080]
In step S <b> 21, the web browser terminal 40 accesses the home page of the web server 10.
[0081]
In step S22, the access control unit 101 confirms whether or not the web browser terminal 40 that has accessed is registered in the deny list 10333, and the IP address used by the web browser terminal 40 is registered in the deny list 10333. If YES in step S23, the flow advances to step S23. If not registered, the flow advances to step S24.
[0082]
In step S23, the access control unit 101 automatically refuses web browsing, disconnects the session, and ends the process.
[0083]
In step S24, the web browser terminal 40 browses the mirror web content 1031. At this time, the mirror Web content 1031 can be browsed within the restricted command range using only the commands registered in the [Emergency access] section shown in the access restriction table. After the restoration work is completed, the content is switched again to the Web content 1021 and returns to the normal operation.
[0084]
In step S25, the access control unit 101 checks whether the session is disconnected. If the session is not disconnected, the process returns to step S24, and ends if the session is disconnected.
[0085]
Next, processing during update / maintenance of the Web content 1021 will be described.
[0086]
When the Web content 1021 is updated / maintained by the administrator terminal 30, the Web server 10 checks whether the administrator terminal is registered in the administrator IP address list 10331, and if it is a registered administrator terminal, the access is made. Access to the Web content 1021 is permitted in accordance with the restrictions shown in [Administrator access] of the restriction table 10334. In this example, the IP address of the administrator terminal 30 is registered in the administrator IP address list 10331, and as shown in FIG. 11, “all” is defined in [Administrator access] of the access restriction table 10334. Therefore, all access to the Web content 1021 by the administrator terminal 30 is permitted, and the Web content 1021 can be updated / maintained.
[0087]
When the Web content 1021 is updated, the homepage (mirror Web content 1031) can be browsed by using only the command registered in the [Emergency access] section shown in FIG. 11 as a service to the Web browser terminal 40. The Web content 1021 is updated while continuing the browsing service. It is determined that all data from the administrator terminal 30 is correct, and the web content 1021 is automatically updated when there is a change. When the update of the Web content 1021 is completed, the data of the Web content 1021 is copied to the mirror Web content 1031 and saved to a backup file (not shown). The tampering inspection engine 103 calculates the hash value of the Web content 1021 and updates the determined hash value of the Web content held in the monitoring DB 1032. Thereafter, the mirror Web content 1031 is switched to the Web content 1021, and the normal operation is restored.
[0088]
During maintenance of the Web content 1021, as a service to the Web browser terminal 40, the homepage (mirror Web content 1031) can be browsed using only the command registered in the [Emergency access] section shown in FIG. The Web content 1021 is maintained while the browsing service is continued (for example, a measure associated with the occurrence of a hardware error in the Web content 1021). Since the Web browser terminal 40 can use only reference commands, data consistency is maintained. When copying from a backup file (not shown) to the Web content 1021 and maintenance of the Web content 1021 is completed, the data of the Web content 1021 is copied to the mirror Web content 1031. The tampering inspection engine 103 calculates the hash value of the Web content 1021, updates the hash value of the confirmed Web content held in the monitoring DB 1032, and then switches from the mirror Web content 1031 to the Web content 1021 to perform normal operation. Return to.
[0089]
In the above-described embodiment of the present invention, the hash value of the Web content is verified when the command pattern transmitted from the Web browser terminal does not match the signature pattern and is outside the access restriction range set in the access restriction table. If the result is not normal, it is not registered in the allow list or the deny list, but in this case, it may be registered in the deny list as another embodiment of the present invention. This further increases the pre-defense against attacks.
[0090]
In the above-described embodiment according to the present invention, a program for executing a processing operation of a monitoring / operation system that protects a Web server from a homepage tampering attack is recorded as a recording medium (not shown) such as a computer magnetic disk or optical disk. ), And the recorded data is read out and used to operate a monitoring / operation system that protects the Web server from homepage tampering attacks. As described above, data for operating the monitoring / operation system for protecting the Web server from the homepage alteration attack according to the present invention is recorded on the recording medium, and the monitoring / operation system for protecting the Web server from the homepage alteration attack by installing this recording medium. The function can be realized.
[0091]
【The invention's effect】
The first effect is that a Web server that is not easily tampered with can be operated by protecting in advance.
[0092]
The reason is that the access from the Web browser registered in the rejection list is rejected, and the access is disconnected as soon as the execution of the signature pattern is detected.
[0093]
The second effect is that the service can be continued when tampering occurs.
[0094]
The reason is that the Web content is mirrored and automatically switched to the mirror Web content when tampering occurs and browsed by the mirror Web content.
[0095]
The third effect is that web pages can be differentiated by the web browser's own evaluation.
[0096]
The reason is that the access shown in the [Permitted Browser Access] section of the access restriction table is permitted for the access from the web browser registered in the permission list, which is more preferential than the general web viewer. It was because it did so.
[Brief description of the drawings]
FIG. 1 is an overall configuration diagram of the present invention.
FIG. 2 is a configuration diagram of a Web server.
FIG. 3 is a configuration diagram of Web server software.
FIG. 4 is a block diagram of a tamper inspection engine.
FIG. 5 is a configuration diagram of an access list DB.
FIG. 6 is a diagram showing a flowchart of the operation of the present invention (part 1);
FIG. 7 is a diagram showing a flowchart of the operation of the present invention (part 2);
FIG. 8 is a diagram showing a flowchart of the operation of the present invention (part 3);
FIG. 9 is a diagram showing an example of a signature pattern
FIG. 10 is a diagram showing an example of an access restriction table
FIG. 11 is a diagram showing an example of access by an authorized Web browser
FIG. 12 is a diagram showing an example of access by a web viewer who is not considered to be regular
FIG. 13 is a diagram showing an example of a hash
[Explanation of symbols]
10 Web server
20 Management server
30 Administrator terminal
40 Web browser terminal
100 network
101 Access control unit
102 Web server software
103 Tamper inspection engine
1021 Web content
1031 Mirror Web content
1032 Monitoring DB
1033 Access list DB
1034 Signature pattern DB
10331 IP address list for administrators
10332 Allow list
10333 Denial list
10334 Access restriction table

Claims (12)

WebサーバにアクセスしてWebコンテンツの閲覧を行うWeb閲覧者端末と、
攻撃パターンを登録する攻撃パターンテーブルとWebコンテンツに対するアクセス制限を設定するアクセス制限テーブルを有し、前記Web閲覧者端末に対してWebコンテンツの閲覧サービスを行い、前記Web閲覧者端末が送信してきたコマンドパターンが前記攻撃パターンと一致する場合には前記Web閲覧者端末とのアクセスを切断して前記Web閲覧者端末を拒否リストに登録し、前記Web閲覧者端末が送信してきたコマンドパターンが前記攻撃パターンと一致せず且つ前記アクセス制限テーブルに設定されるアクセス制限の範囲内の場合には前記Web閲覧者端末を許可リストに登録してWebコンテンツをミラーWebコンテンツにコピーし、前記Web閲覧者端末が送信してきたコマンドパターンが前記攻撃パターンと一致せず且つ前記アクセス制限テーブルに設定されるアクセス制限の範囲外の場合にはWebコンテンツのハッシュ値の検証結果が正常であれば改ざんはされていないと判断してWebコンテンツをミラーWebコンテンツにコピーし検証結果が正常でなければ改ざんされていると判断して改ざん発覚時の処理を行うWebサーバと、
前記Webサーバを管理する管理者端末と、
を備えるホームページ改ざん攻撃からWebサーバを守る監視/運用システム。A web browser terminal for accessing web servers and browsing web content;
A command having an attack pattern table for registering an attack pattern and an access restriction table for setting an access restriction for Web content, a Web content browsing service for the Web browser terminal, and a command transmitted by the Web browser terminal When the pattern matches the attack pattern, the access to the web browser terminal is disconnected, the web browser terminal is registered in the rejection list, and the command pattern transmitted by the web browser terminal is the attack pattern. And the web browser terminal is registered in the permission list, the web content is copied to the mirror web content, and the web browser terminal The transmitted command pattern is the attack pattern If it does not match and is outside the access restriction range set in the access restriction table, if the verification result of the hash value of the web content is normal, it is determined that the content has not been altered and the web content is copied to the mirror web content If the verification result is not normal, it is determined that the file has been tampered with, and a Web server that performs processing upon detection of tampering;
An administrator terminal for managing the Web server;
A monitoring / operation system that protects Web servers from website tampering attacks. 前記Webサーバは、
アクセスしてきた前記Web閲覧者端末が前記拒否リストに登録されている場合には接続を拒否する手段を有する、
ことを特徴とする請求項1記載のホームページ改ざん攻撃からWebサーバを守る監視/運用システム。The web server
A means for rejecting the connection when the accessed web browser terminal is registered in the rejection list;
The monitoring / operation system for protecting a Web server from a homepage alteration attack according to claim 1. 前記Webサーバは、
前記Webコンテンツの改ざん発覚時にWeb閲覧者端末がアクセスするWebコンテンツを前記ミラーWebコンテンツへ切り替える手段と、
Web閲覧者端末からの前記ミラーWebコンテンツへのアクセスを前記アクセス制限テーブルに設定されるアクセス制限の範囲内に制限する手段と、
前記ミラーWebコンテンツから前記Webコンテンツへコピーして前記Webコンテンツの復旧を行う手段と、
を有することを特徴とする請求項1記載のホームページ改ざん攻撃からWebサーバを守る監視/運用システム。The web server
Means for switching the web content accessed by the web browser terminal when the alteration of the web content is detected to the mirror web content;
Means for restricting access to the mirror web content from a web browser terminal within an access restriction range set in the access restriction table;
Means for copying the mirror web content to the web content and restoring the web content;
The monitoring / operation system for protecting a Web server from a homepage tampering attack according to claim 1. 前記管理者端末は、
前記Webコンテンツを更新する手段を有し、
前記Webサーバは、
前記管理者端末からの前記Webコンテンツに対する更新を前記アクセス制限テーブルに設定されるアクセス制限の範囲内に制限する手段と、
前記Webコンテンツが前記管理者端末により更新されたときに前記WebコンテンツをミラーWebコンテンツにコピーすると共にバックアップファイルに退避する手段を有する、
ことを特徴とする請求項1記載のホームページ改ざん攻撃からWebサーバを守る監視/運用システム。The administrator terminal is
Means for updating the web content;
The web server
Means for restricting updates to the Web content from the administrator terminal within an access restriction range set in the access restriction table;
Means for copying the web content to a mirror web content and saving it to a backup file when the web content is updated by the administrator terminal;
The monitoring / operation system for protecting a Web server from a homepage alteration attack according to claim 1. Web閲覧者端末とWebサーバと管理者端末とを備えるシステムのホームページ改ざん攻撃からWebサーバを守る監視/運用方法であって、
前記Webサーバは、
前記Web閲覧者端末に対してWebコンテンツの閲覧サービスを行い、
前記Web閲覧者端末は、
前記Webサーバにアクセスして前記Webコンテンツの閲覧を行い、
前記Webサーバは、
前記Web閲覧者端末が送信してきたコマンドパターンが攻撃パターン記憶部に登録されている攻撃パターンと一致する場合には、
前記Web閲覧者端末とのアクセスを切断して前記Web閲覧者端末を拒否リストに登録し、
前記Web閲覧者端末が送信してきたコマンドパターンが攻撃パターン記憶部に登録されている攻撃パターンと一致せず且つアクセス制限テーブルに設定されるアクセス制限の範囲内の場合には、
前記Web閲覧者端末を許可リストに登録してWebコンテンツをミラーWebコンテンツにコピーし、
前記Web閲覧者端末が送信してきたコマンドパターンが攻撃パターン記憶部に登録されている攻撃パターンと一致せず且つアクセス制限テーブルに設定されるアクセス制限の範囲外の場合には、
前記Webコンテンツのハッシュ値を算出してハッシュ値記憶部に格納されているハッシュ値と比較し、
比較結果が一致すれば改ざんはされていないと判断してWebコンテンツをミラーWebコンテンツにコピーし、
比較結果が不一致であれば改ざんされていると判断して改ざん発覚時の処理を行う、
ことを特徴とするホームページ改ざん攻撃からWebサーバを守る監視/運用方法。A monitoring / operation method for protecting a Web server from a homepage tampering attack of a system including a Web browser terminal, a Web server, and an administrator terminal,
The web server
Web content browsing service for the Web browser terminal,
The web browser terminal
Browse the web content by accessing the web server,
The web server
When the command pattern transmitted by the Web browser terminal matches the attack pattern registered in the attack pattern storage unit,
Cutting off access to the web browser terminal and registering the web browser terminal in the rejection list;
If the command pattern transmitted by the Web browser terminal does not match the attack pattern registered in the attack pattern storage unit and is within the access restriction range set in the access restriction table,
Register the web browser terminal in the permission list, copy the web content to the mirror web content,
When the command pattern transmitted by the Web browser terminal does not match the attack pattern registered in the attack pattern storage unit and is outside the access restriction range set in the access restriction table,
Calculating the hash value of the Web content and comparing it with the hash value stored in the hash value storage unit;
If the comparison results match, it is determined that the content has not been tampered with, and the web content is copied to the mirror web content.
If the comparison result does not match, it is determined that the file has been tampered with, and processing at the time of tampering detection is performed.
A monitoring / operation method for protecting a Web server from a homepage alteration attack characterized by the above. 前記Webサーバは、
アクセスしてきた前記Web閲覧者端末が前記拒否リストに登録されている場合には、
前記Web閲覧者端末との接続を拒否する、
ことを特徴とする請求項5記載のホームページ改ざん攻撃からWebサーバを守る監視/運用方法。The web server
When the accessed web browser terminal is registered in the rejection list,
Rejecting the connection with the Web browser terminal;
The monitoring / operation method for protecting a Web server from a homepage alteration attack according to claim 5. 前記改ざん発覚時に、
前記Webサーバは、
前記Web閲覧者端末がアクセスするWebコンテンツを前記ミラーWebコンテンツへ切り替え、
前記Web閲覧者端末からの前記ミラーWebコンテンツへのアクセスをアクセス制限テーブルに設定されるアクセス制限の範囲内に制限し、
前記ミラーWebコンテンツから前記Webコンテンツへコピーして前記Webコンテンツの復旧を行い、
前記Webコンテンツの改ざん検出を前記管理者端末に通知する、
ことを特徴とする請求項5記載のホームページ改ざん攻撃からWebサーバを守る監視/運用方法。Upon detection of the alteration,
The web server
Switching the web content accessed by the web browser terminal to the mirror web content,
Restricting access to the mirror web content from the web browser terminal within the range of access restrictions set in the access restriction table;
Copy the mirror web content to the web content and restore the web content,
Notifying the administrator terminal of detection of alteration of the Web content;
The monitoring / operation method for protecting a Web server from a homepage alteration attack according to claim 5. 前記管理者端末は、
前記Webコンテンツの更新を行い、
前記Webサーバは、
前記管理者端末からの前記Webコンテンツに対する更新をアクセス制限テーブルに設定されるアクセス制限の範囲内に制限し、
前記Webコンテンツが前記管理者端末により更新されたときに前記WebコンテンツをミラーWebコンテンツにコピーすると共にバックアップファイルに退避する、
ことを特徴とする請求項5記載のホームページ改ざん攻撃からWebサーバを守る監視/運用方法。The administrator terminal is
Update the web content,
The web server
Limiting the update to the Web content from the administrator terminal within the range of access restrictions set in the access restriction table;
When the web content is updated by the administrator terminal, the web content is copied to a mirror web content and saved to a backup file;
The monitoring / operation method for protecting a Web server from a homepage alteration attack according to claim 5. Web閲覧者端末とWebサーバと管理者端末とを備えるシステムのホームページ改ざん攻撃からWebサーバを守る監視/運用プログラムであって、
コンピュータに、
前記Webサーバが、
前記Web閲覧者端末に対してWebコンテンツの閲覧サービスを行う機能、
前記Web閲覧者端末が、
前記Webサーバにアクセスして前記Webコンテンツの閲覧を行う機能、
前記Webサーバが、
前記Web閲覧者端末が送信してきたコマンドパターンが攻撃パターン記憶部に登録されている攻撃パターンと一致する場合には、
前記Web閲覧者端末とのアクセスを切断して前記Web閲覧者端末を拒否リストに登録する機能、
前記Web閲覧者端末が送信してきたコマンドパターンが攻撃パターン記憶部に登録されている攻撃パターンと一致せず且つアクセス制限テーブルに設定されるアクセス制限の範囲内の場合には、
前記Web閲覧者端末を許可リストに登録してWebコンテンツをミラーWebコンテンツにコピーする機能、
前記Web閲覧者端末が送信してきたコマンドパターンが攻撃パターン記憶部に登録されている攻撃パターンと一致せず且つアクセス制限テーブルに設定されるアクセス制限の範囲外の場合には、
前記Webコンテンツのハッシュ値を算出してハッシュ値記憶部に格納されているハッシュ値と比較する機能、
比較結果が一致すれば改ざんはされていないと判断してWebコンテンツをミラーWebコンテンツにコピーする機能、
比較結果が不一致であれば改ざんされていると判断して改ざん発覚時の処理を行う機能、
を実現させるためのホームページ改ざん攻撃からWebサーバを守る監視/運用プログラム。A monitoring / operation program for protecting a Web server from a homepage tampering attack of a system including a Web browser terminal, a Web server, and an administrator terminal,
On the computer,
The web server is
A function of providing a web content browsing service to the web browser terminal;
The web browser terminal is
A function of accessing the web server and browsing the web content;
The web server is
When the command pattern transmitted by the Web browser terminal matches the attack pattern registered in the attack pattern storage unit,
A function of disconnecting access to the web browser terminal and registering the web browser terminal in a rejection list;
If the command pattern transmitted by the Web browser terminal does not match the attack pattern registered in the attack pattern storage unit and is within the access restriction range set in the access restriction table,
A function of registering the web browser terminal in an allow list and copying web content to mirror web content;
When the command pattern transmitted by the Web browser terminal does not match the attack pattern registered in the attack pattern storage unit and is outside the access restriction range set in the access restriction table,
A function of calculating a hash value of the Web content and comparing it with a hash value stored in a hash value storage unit;
If the comparison results match, it is determined that the content has not been tampered with, and the web content is copied to the mirror web content.
If the comparison result does not match, it is judged that the file has been tampered with,
Monitoring / operation program that protects Web servers from homepage tampering attacks. 前記Webサーバが、
アクセスしてきた前記Web閲覧者端末が前記拒否リストに登録されている場合には前記Web閲覧者端末との接続を拒否する機能、
を実現させるための請求項9記載のホームページ改ざん攻撃からWebサーバを守る監視/運用プログラム。The web server is
A function of rejecting connection with the web browser terminal when the web browser terminal that has been accessed is registered in the rejection list;
The monitoring / operation program which protects a Web server from the homepage alteration attack of Claim 9 for implement | achieving. 前記Webサーバが、
前記Webコンテンツの改ざん発覚時に前記Web閲覧者端末がアクセスするWebコンテンツを前記ミラーWebコンテンツへ切り替える機能、
前記Web閲覧者端末からの前記ミラーWebコンテンツへのアクセスをアクセス制限テーブルに設定されるアクセス制限の範囲内に制限する機能、
前記ミラーWebコンテンツから前記Webコンテンツへコピーして前記Webコンテンツの復旧を行う機能、
前記Webコンテンツの改ざん検出を前記管理者端末に通知する機能、
を実現させるための請求項9記載のホームページ改ざん攻撃からWebサーバを守る監視/運用プログラム。The web server is
A function of switching the web content accessed by the web browser terminal to the mirror web content when the alteration of the web content is detected;
A function of restricting access to the mirror web content from the web browser terminal within an access restriction range set in an access restriction table;
A function of copying the mirror web content to the web content and restoring the web content;
A function of notifying the administrator terminal of detection of alteration of the Web content;
The monitoring / operation program which protects a Web server from the homepage alteration attack of Claim 9 for implement | achieving. 前記管理者端末が、
前記Webコンテンツの更新を行う機能、
前記Webサーバが、
前記管理者端末からの前記Webコンテンツに対する更新をアクセス制限テーブルに設定されるアクセス制限の範囲内に制限する機能、
前記Webコンテンツが前記管理者端末により更新されたときに前記WebコンテンツをミラーWebコンテンツにコピーすると共にバックアップファイルに退避する機能、
を実現させるための請求項9記載のホームページ改ざん攻撃からWebサーバを守る監視/運用プログラム。The administrator terminal is
A function of updating the Web content;
The web server is
A function of restricting updates to the Web content from the administrator terminal within the range of access restrictions set in an access restriction table;
A function of copying the web content to a mirror web content and saving it to a backup file when the web content is updated by the administrator terminal;
The monitoring / operation program which protects a Web server from the homepage alteration attack of Claim 9 for implement | achieving.
JP2003174438A 2003-06-19 2003-06-19 Monitoring / operation system, method and program for protecting web servers from homepage tampering attacks Expired - Fee Related JP4047770B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003174438A JP4047770B2 (en) 2003-06-19 2003-06-19 Monitoring / operation system, method and program for protecting web servers from homepage tampering attacks

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003174438A JP4047770B2 (en) 2003-06-19 2003-06-19 Monitoring / operation system, method and program for protecting web servers from homepage tampering attacks

Publications (2)

Publication Number Publication Date
JP2005011061A JP2005011061A (en) 2005-01-13
JP4047770B2 true JP4047770B2 (en) 2008-02-13

Family

ID=34097919

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003174438A Expired - Fee Related JP4047770B2 (en) 2003-06-19 2003-06-19 Monitoring / operation system, method and program for protecting web servers from homepage tampering attacks

Country Status (1)

Country Link
JP (1) JP4047770B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8484237B2 (en) 2008-04-30 2013-07-09 Nec Corporation Terminal, web application operating method and program

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100622129B1 (en) 2005-04-14 2006-09-19 한국전자통신연구원 Dynamically changing web page defacement validation system and method
JP4189025B2 (en) * 2005-10-18 2008-12-03 パナソニック株式会社 Information processing apparatus and method
KR100683166B1 (en) * 2006-01-04 2007-02-15 주식회사 한마로 Protected method of webpage using a safe server or safe setop box
JP4881718B2 (en) * 2006-12-27 2012-02-22 Kddi株式会社 Web page alteration detection device, program, and recording medium
CN108595957B (en) * 2018-05-02 2023-04-14 腾讯科技(深圳)有限公司 Browser homepage tampering detection method, device and storage medium
JP6464544B1 (en) 2018-06-05 2019-02-06 デジタルア−ツ株式会社 Information processing apparatus, information processing method, information processing program, and information processing system
JP6562370B1 (en) * 2018-10-15 2019-08-21 デジタルア−ツ株式会社 Information processing apparatus, information processing method, information processing program, and information processing system
CN113162761B (en) * 2020-09-18 2022-02-18 广州锦行网络科技有限公司 Webshell monitoring system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8484237B2 (en) 2008-04-30 2013-07-09 Nec Corporation Terminal, web application operating method and program

Also Published As

Publication number Publication date
JP2005011061A (en) 2005-01-13

Similar Documents

Publication Publication Date Title
US6393420B1 (en) Securing Web server source documents and executables
US7035850B2 (en) Access control system
JP4939851B2 (en) Information processing terminal, secure device, and state processing method
JP4854000B2 (en) Confidential file protection method
US8060933B2 (en) Computer data protecting method
JP5430747B2 (en) Network contents tampering prevention equipment, method and system
JP4636607B2 (en) How to protect sensitive files in security application
AU2003224398A1 (en) Method for the automatic setting and updating of a security policy
JP2006251851A (en) Network connection control system, program for network connection object terminal and network connection control program
CN101877039A (en) Fault detection technology of server operating system
JP4047770B2 (en) Monitoring / operation system, method and program for protecting web servers from homepage tampering attacks
EP1430680B1 (en) Server with file verification
JP2004164226A (en) Information processor and program
JP4830576B2 (en) Information processing apparatus, data management method, program
JP4250618B2 (en) Farming fraud prevention method
JP2002123435A (en) Device and method for providing information
JP2004139292A (en) Policy diagnostic system of access control
WO2006021132A1 (en) Method for protecting the computer data
WO2019235450A1 (en) Information processing device, information processing method, information processing program, and information processing system
JP2004038517A (en) Access control system and method, and program
KR100369414B1 (en) Recording unit of Troy Type Observer Program and Internet On-Line Inspection And Proof method By Troy Type Observer Program
JP2003114876A (en) Network monitoring system
JP2003099310A (en) Security system in network
US20020023226A1 (en) Falsification preventing apparatus, falsification preventing method and recording medium therefor
KR20060021934A (en) Backup system on distributed servers network

Legal Events

Date Code Title Description
RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20050307

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20070124

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20071004

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20071106

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20071122

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101130

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111130

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111130

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121130

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121130

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131130

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees