JP4256107B2 - データサーバへの不正侵入対処方法、及びプログラム - Google Patents

データサーバへの不正侵入対処方法、及びプログラム Download PDF

Info

Publication number
JP4256107B2
JP4256107B2 JP2002061800A JP2002061800A JP4256107B2 JP 4256107 B2 JP4256107 B2 JP 4256107B2 JP 2002061800 A JP2002061800 A JP 2002061800A JP 2002061800 A JP2002061800 A JP 2002061800A JP 4256107 B2 JP4256107 B2 JP 4256107B2
Authority
JP
Japan
Prior art keywords
operating system
computer
data
data server
response
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2002061800A
Other languages
English (en)
Other versions
JP2003263413A (ja
Inventor
泰士 捧
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2002061800A priority Critical patent/JP4256107B2/ja
Priority to US10/265,406 priority patent/US7328452B2/en
Publication of JP2003263413A publication Critical patent/JP2003263413A/ja
Application granted granted Critical
Publication of JP4256107B2 publication Critical patent/JP4256107B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)
  • Computer And Data Communications (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、データサーバ装置で用いられる技術に関し、特に、データサーバ装置への不正侵入に対処する技術に関する。
【0002】
【従来の技術及び発明が解決しようとする課題】
近年、ネットワークに接続されているデータサーバへの不正なアクセスが行なわれてそのシステムが乗っ取られたりそのサーバの保持しているデータの改ざんが行なわれたりする事件が多発している。
【0003】
従来、データサーバの管理者がこのような不正侵入の事実を認識するのはそのサーバの利用者からの連絡による場合が多く、管理者がその事実を認識するまでに長い時間が経過してしまう結果、長時間に渡る不正侵入をされてしまうことが少なくなかった。
【0004】
また、不正侵入によって乗っ取りやデータ改ざんがされてしまったデータサーバは直ちにネットワークから切り離すことが一般に要求されるが、とりわけサーバの管理者権限が乗っ取られてしまったような場合には、サーバのハードウェアとネットワークとを物理的に接続している通信ケーブル等を外すなどの作業が求められる。そのため、このような事態に常時対処するためにはそのサーバのハードウェアの傍に人が常駐することが必要となることさえあった。
【0005】
また、このような状況に対処するために、データサーバとネットワークとを接続するルータ等の中継装置の電源を遠隔操作によって断とする手法も考えられる。しかしながら、この中継装置が他の計算機システムと共用されている場合、この手法には電源断の影響が他の計算機システムにまで及んでしまっていた。
【0006】
また、乗っ取りやデータ改ざんがされてしまったデータサーバを復旧させる際に乗っ取りや改ざんの痕跡を示す情報をそのサーバから取得することは、同様の手口による再度の不正侵入を防止するために有益である。しかしながら、このような痕跡情報が例えば乗っ取られたサーバのメインメモリ上に残されている場合には、サーバが乗っ取られてしまっているためにメインメモリ上の痕跡情報の参照が難しく、また、サーバを再起動させて復旧させるとメインメモリ上に残されている痕跡情報が消失してしまうため、そのメインメモリ上の痕跡情報の取得は困難であった。
【0007】
以上の問題を鑑み、データサーバへの不正侵入が発生した場合の対処を人手を介さずに行なえるようにすることが本発明が解決しようとする課題である。
【0008】
【課題を解決するための手段】
図1は本発明の第一の原理構成を示す図である。
同図において、コンピュータ1は、制御プログラムを実行することで各構成要素を制御するCPUと、ROMやRAM及び磁気記憶装置などからなり、CPUに各構成要素を制御させる制御プログラムの記憶やCPUが制御プログラムを実行する際のワークエリアあるいは各種データの記憶領域として使用される記憶部と、ユーザによる操作に対応する各種のデータが取得される入力部と、ディスプレイなどに各種のデータを提示してユーザに通知する出力部と、ネットワークに接続するためのインタフェース機能を提供するI/F部とを備える標準的な構成を有するコンピュータである。
【0009】
第一OS2はコンピュータ1で実行されることによってコンピュータ1の有する基本機能の管理を行なうホストオペレーティングシステムである。
第二OS3は第一のオペレーティングシステムによる管理の下でコンピュータ1で実行されるゲストオペレーティングシステムである。
【0010】
データサーバ4は、通信ネットワーク上、例えばインターネット上でデータの公開を行なうものであり、第二OS3の管理の下でアプリケーションプログラムをコンピュータ1で実行することによってコンピュータ1で構築されるものである。
【0011】
不正侵入対処プログラム5は本発明に係るものであり、第一OS2の管理の下でコンピュータ1で実行させることにより、アクセス処理5−1、判定処理5−2、及びデータ取得処理5−3をコンピュータ1に行なわせる。
【0012】
アクセス処理5−1はデータサーバ4へのアクセスを行なう処理である。
判定処理5−2は、アクセス処理5−1の実行によって行なわれたアクセスに対するデータサーバ4からの応答が正常であるか異常であるかの判定を行なう処理である。
【0013】
データ取得処理5−3は、判定処理5−2の実行によってデータサーバ4からの応答が異常であると判定されたときに、第二OS3によって管理されているメモリに格納されているデータの取得を行なう処理である。
【0014】
上述したように、不正侵入対処プログラム5は第一OS2の管理の下でコンピュータ1で実行させる。一方、テータサーバ4を構築するアプリケーションプログラムは第一OS2の管理の下で実行されている第二OS3の管理の下で実行させている。従って、例えデータサーバ4が不正侵入されてしまったとしても、前述した痕跡情報が残されている可能性のある、第二OS3によって管理されているメモリに格納されているデータは、第一OS2の管理の下で行なわれるデータ取得処理5−3によって取得することができるのである。以上のように、図1に示した本発明の第一の構成によれば、第二OS3によって管理されているメモリ上に残されている痕跡情報の取得が可能となる。
【0015】
なお、上述した本発明の第一の原理構成において、データサーバ4へのアクセスを前記通信ネットワークを介して行なう処理をアクセス処理5−1として実行し、アクセスに対してデータサーバ4から通信ネットワークを介して送られてくる応答が正常であるか異常であるかの判定を行なう処理を判定処理5−2として実行することができる。
【0016】
こうすることにより、データサーバ4がデータを公開するサービスを提供している通信ネットワーク側からみたときのデータサーバ4の挙動の監視が行なわれるので、そのサービスの提供が正しく行なわれているかをより適切に監視することができる。
【0017】
また、前述した本発明の第一の原理構成において、データサーバ4へのアクセスに対する応答が取得されなかったときには、そのアクセスに対するデータサーバ4からの応答が異常であるとの判定を下す処理を判定処理5−2として実行することができる。
【0018】
データサーバ4へのアクセスに対する応答が取得されなかったときは、そのアクセスがデータサーバ4で受け付けられなかったと推定され、これはすなわちデータサーバ4に対する乗っ取り等の不正侵入が発生したと考えられる。従って、こうすることにより、このような不正侵入における痕跡情報が残されている可能性のある第二OS3によって管理されているメモリに格納されているデータの取得が可能となる。
【0019】
また、前述した本発明の第一の原理構成において、データサーバ4へのアクセスに対する応答が、予め想定されている応答と異なるものであったときにそのアクセスに対するデータサーバ4からの応答が異常であるとの判定を判定処理5−2として実行することができる。
【0020】
データサーバ4へのアクセスに対する応答が予め想定されているものと異なるものであったときには、データサーバ4に対する改ざん等の不正侵入が発生したと考えられる。従って、こうすることにより、このような不正侵入における痕跡情報が残されている可能性のある第二OS3によって管理されているメモリに格納されているデータの取得が可能となる。
【0021】
また、前述した本発明の第一の原理構成において、第一OS2の管理の下で不正侵入対処プログラム5を実行させることにより、判定処理5−2の実行の結果、データサーバ4へのアクセスに対する応答が異常であると判定したときに、データサーバ4をコンピュータ1で構築するアプリケーションプログラムの実行を管理している第二OS3の実行を強制終了させる処理を更にコンピュータ1に行なわせるようにすることができる。
【0022】
データサーバ4に対する不正侵入が発生してもその影響は第二OS3までであり第一OS2には及ばないので不正侵入対処プログラム5の実行によって第二OS3の実行を強制終了させることは可能である。従って、こうすることにより、不正侵入されたデータサーバ4の動作を人手を介することなく停止させることが可能となる。
【0023】
なお、このとき、第一OS2の管理の下で不正侵入対処プログラム5を実行させることにより、第二OS3の実行を強制終了させた後に、第一OS2による管理の下で第二OS3を改めて実行させると共に、第二OS3による管理の下で前述したアプリケーションプログラムを改めて実行させてデータサーバ4をコンピュータ1で再構築させる処理を更にコンピュータ1に行なわせるようにすることもできる。
【0024】
こうすることにより、強制的に停止させたデータサーバ4がコンピュータ1で再構築されるので、データサーバ4への不正侵入に起因する通信ネットワークへのデータ公開のサービスの中断時間が短縮される。また、不正侵入対処プログラム5と第二OS3とはいずれもコンピュータ1で実行されている第一OS2の管理の下で実行されるので、データサーバ4の復旧は迅速である。
【0025】
また、このとき、第一OS2の管理の下で不正侵入対処プログラム5を実行させることにより、コンピュータ1で再構築されたデータサーバ4へのアクセスに対する応答が異常であると判定したときに、第二OS3によって管理されているメモリに格納されているデータに加えて、データサーバ4の動作の履歴を取得する処理を更にコンピュータ1に行なわせるようにすることもできる。
【0026】
こうすることにより、データサーバ4への不正侵入が繰り返されたときに、データサーバ4の履歴を示す情報が痕跡情報の残されている可能性のある情報として取得され、犯人の特定や侵入の手口の解析などがより容易に行なえるようになる。
【0027】
また、前述した本発明の第一の原理構成において、第一OS2の管理の下で不正侵入対処プログラム5を実行させることにより、データサーバ4へのアクセスに対する応答が異常であると判定したときに、異常の発生を示す情報を所定の連絡先に宛てて送信する処理を更にコンピュータ1に行なわせるようにすることができる。
【0028】
こうすることにより、コンピュータ1の傍に管理者が不在であっても、データサーバ4で異常が発生した事実をその連絡先の管理者が直ちに把握することができるようになる。
【0029】
なお、このとき、異常の発生を示す情報を送信する処理は、第二OS3によって管理されているメモリに格納されているデータの取得を行なう処理によって取得されたデータを該異常の発生を示す情報に添付して送信する処理としてコンピュータ1に行なわせるようにすることもできる。
【0030】
こうすることにより、コンピュータ1から遠隔の地にいる管理者が痕跡情報の解析を行なうことができるようになる。
また、ここで、異常の発生を示す情報を送信する処理は、該異常の発生を示す情報を所定の連絡先に宛てて送信すると共に、該連絡先のうち予め選択されている一部の連絡先に宛てて送信する該異常の発生を示す情報には、第二OS3によって管理されているメモリに格納されているデータの取得を行なう処理によって取得されたデータを添付して送信する処理としてコンピュータ1に行なわせるようにすることもできる。
【0031】
こうすることにより、痕跡情報の解析を行なうスキルを有する管理者にのみ上述のデータを提示することができるようになるので、セキュリティ上重要な情報である痕跡情報の漏洩のおそれが軽減される。
【0032】
図2は本発明の第二の原理構成を示す図である。なお、同図において、図1に示したものと同一の名称が付されている構成要素には同一の符号を付している。
図2において、コンピュータ1、第一OS2、第二OS3、及びデータサーバ4は図1に示したものと同様のものであるが、コンピュータ1は通信ネットワーク6を介して行なわれるデータの授受を管理するインタフェースを複数有しており、そのうちのひとつは第一OS2によって管理されており、その他のうちのひとつは第二OS3によって管理されている。なお、通信ネットワーク6は例えばインターネットである。
【0033】
不正侵入対処プログラム5は本発明に係るものであり、第一OS2の管理の下でコンピュータ1で実行させることにより、アクセス処理5−1、判定処理5−2、及び強制終了処理5−4をコンピュータ1に行なわせる。
【0034】
アクセス処理5−1は、データサーバ4へのアクセスを通信ネットワーク6を介して行なう。
判定処理5−2は、アクセス処理5−1の実行によってなされたアクセスに対してデータサーバ4から通信ネットワーク6を介して送られてくる応答が正常であるか異常であるかの判定を行なう。
【0035】
強制処理5−4は、判定処理5−2の実行によってデータサーバ4からの応答が異常であると判定されたときに、データサーバ4をコンピュータ1で構築するアプリケーションプログラムの実行を管理している第二OS3の実行を強制終了させる。
【0036】
上述したように、不正侵入対処プログラム5は第一OS2の管理の下でコンピュータ1で実行させる。一方、テータサーバ4を構築するアプリケーションプログラムは第一OS2の管理の下で実行されている第二OS3の管理の下で実行させている。従って、例えデータサーバ4が不正侵入されてしまったとしても、その影響は第二OS3までであり第一OS2には及ばないので不正侵入対処プログラム5の実行によって第二OS3の実行を強制終了させることは可能である。従って、こうすることにより、不正侵入されたデータサーバ4の動作を人手を介することなく停止させることが可能となる。しかも、不正侵入対処プログラム5と第二OS3とはいずれもコンピュータ1で実行されている第一OS2の管理の下で実行されているので、強制終了は迅速に行なうことができる。
【0037】
また、図1及び図2に示したコンピュータ1で上述した不正侵入対処プログラム5を実行させることによってコンピュータ1が行なう不正侵入対処方法によっても前述した課題は解決される。更に、上述した不正侵入対処プログラムを実行させた図1及び図2に示したコンピュータ1によって構成される不正侵入対処装置によっても前述した課題は解決される。
【0038】
【発明の実施の形態】
以下、本発明の実施の形態を図面に基づいて説明する。なお、ここでは、WWW(World Wide Web)システムを使用してインターネット上にWeb文書データを公開するWebサーバ装置において本発明を実施する形態について説明する。
【0039】
図3は本発明を実施するWebサーバ装置のハードウェア構成を示している。同図に示すWebサーバ装置は、CPU11、RAM12、ROM13、HDD14、入力部15、出力部16、NWインタフェースA17、NWインタフェースB18がバス19を介して相互に接続されて構成されており、CPU11による管理の下で相互にデータ授受を行なうことができる。
【0040】
CPU(Central Processing Unit )11はこのWebサーバ装置(以下、「本装置」という)10全体の動作制御を司る中央処理装置である。
RAM(Random Access Memory)12は、各種制御プログラムをCPU11が実行するときにワークメモリとして使用され、また各種のデータの一時的な格納領域として必要に応じて用いられるメインメモリとしても使用されるメモリである。
【0041】
ROM(Read Only Memory)13は、CPU11によって実行される基本制御プログラムが予め格納されているメモリであり、本装置10の起動時にCPU11がこの基本制御プログラムを実行することによって本装置10全体の動作の基本的な制御がCPU11によって行なわれる。
【0042】
HDD(Hard Disk Drive )14は、本装置10の有する基本機能の管理を行なうためのホストOS(Operating System)プログラム、ホストOSの管理の下で実行され、ホストOSと同様の機能管理を行なうゲストOS、ゲストOSの管理の下で実行されてWebサーバ機能を提供するWebサーバプログラム、ホストOSの管理の下で実行され、Webサーバプログラムによって提供されるWebサーバ機能の動作を監視して不正侵入を監視し、不正侵入が検出されたときには所定の対処措置を講じる不正侵入対処プログラム、Webサーバプログラムの実行によってインターネット上に公開されるWeb文書データが格納されているWeb文書データファイル、Webサーバプログラムの実行時に不正侵入が発見されたときにその不正侵入に関する情報を本装置10の管理者へ送付するときの送付先を示すデータが格納されている連絡先ファイル等が記憶されているハードディスク装置である。
【0043】
入力部15は外部からの入力を受け取ってその入力の内容をCPU11に渡すものであり、例えばキーボードやマウスなどといった本装置10を操作する操作者からの指示を受け取る入力装置、あるいはFD(Flexible Disk)、CD−ROM(Compact Disc-ROM)、DVD−ROM(Digital Versatile Disc-ROM)、MO(Magneto-Optics)ディスクなどといった可搬型の記録媒体の読出装置を備えて構成される。
【0044】
出力部16はCPU11からの指示に応じた出力を行なうものであり、例えば各種データを表示するCRT(Cathode Ray Tube)やLCD(Liquid Crystal Display)からなるディスプレイ装置や各種データを印刷するプリンタ装置などである。
【0045】
NW(ネットワーク)インタフェースA17及びNWインタフェースB18は本装置10をLAN(Local Area Network)に接続して本装置10と外部機器との間でのデータ授受を行なう際の通信管理を行なうものであり、本装置10は2つのNWインタフェースを有している。
【0046】
本装置は以上の各構成要素を備えて構成される。
なお、図3に示す本装置10は標準的なコンピュータにNWインタフェースを2つ設けることでも構成することができる。
【0047】
次に図4について説明する。同図は、本装置10の機能構成を示している。同図において、図3に示されているものと同じ構成要素には同一の符号を付している。
【0048】
図4に示すように、本装置10はNWインタフェースA17からハブ(集線装置)A50及びルータA70を介してインターネット90に接続されており、更にNWインタフェースB18からハブB60及びルータB80を介してもインターネット90に接続されている。つまり、本装置10は異なる通信回線を経由してインターネット90と接続されている。
【0049】
本装置10を起動させてROM13に格納されている基本制御プログラムの実行がCPU11によって開始されると、まずホストOSプログラムがCPU11によってHDD14から読み出されてホストOS20の実行が開始される。
【0050】
続いてCPU11は、ゲストOSプログラムをHDD14から読み出してゲストOS_A30の実行を開始する。ここで、ここで、本装置10が有している2つのNWインタフェースのうち、NWインタフェースA17はホストOS20が管理するが、NWインタフェースB18はゲストOS_A30の管理下に置かれる。
【0051】
更に、CPU11はWebサーバプログラム及びWeb文書データをHDD14から読み出し、 読み出されたWebサーバプログラムをゲストOS_A30の管理下で実行することによって、読み出されたWeb文書データa32をインターネット90上に公開するためのWebサーバa31を構築する。
【0052】
ここで、CPU11は、不正侵入対処プログラム21をHDD14から読み出し、ホストOS20の管理下で実行を開始する。不正侵入対処プログラム21を実行することによって、CPU11は比較監視部21−1、復旧処理部21−2、及び連絡処理部21−3として機能する。
【0053】
比較監視部21−1は、Webサーバa31によってインターネット90上に公開されているWeb文書データa32と、HDD14に記憶されているWeb文書データa32と同一内容であるマスタWeb文書データ22との比較処理を行なって不正侵入の発生の有無を監視する。
【0054】
復旧処理部21−2は、不正侵入によって異常な挙動をしているWebサーバa31から痕跡情報を収集すると共に、ホストOS20の管理下でゲストOS_B40を実行させ、更にゲストOS_B40の管理下でWebサーバプログラムを実行させてWeb文書データa32と同一であるWeb文書データb42をインターネット90上に公開するためのWebサーバb41の構築の処理を行なう。
【0055】
連絡処理部21−3は、不正侵入の発生を示す情報、及び復旧処理部21−2によって取得された痕跡情報を、連絡先ファイルに示されている連絡先に送付する。
【0056】
以下、不正侵入対処プログラム21の実行によってCPU11によって行なわれる不正侵入対処処理の内容について説明する。図5は、この不正侵入対処処理の処理内容を示すフローチャートである。
【0057】
図5において、S101からS104にかけての処理は比較監視部21−1として行なわれるものであり、S105の処理は復旧処理部21−2として、またS106の処理は連絡処理部21−3としてそれぞれ行なわれるものである。
【0058】
まず、S101では、処理の進行を所定時間だけウェイト(一時停止)させる。このウェイトの時間については、短くすると本装置10によるWebサーバ機能の動作監視の頻度が多くなるが、それだけ本装置10への処理負担も増加するため、両者のバランスを考慮して設定する。
【0059】
S102では、ゲストOS_A30の管理下で構築されているWebサーバa31へのインターネット90を介してのアクセスがNWインタフェースA17、ハブA50、及びルータA70を経由して行なわれ、Webサーバa31によってハブB60、ルータB80を介してインターネット90上に公開されているWeb文書データa32がNWインタフェースA17より取得される。なお、このWebサーバa31へのアクセスは、ID(IDentification)やパスワードをインターネット90を介してWebサーバa31へ送付して行なうものであってもよい。
【0060】
S103では、前ステップの処理によってWeb文書データa32の取得が行なえたか否かが判定され、この判定結果がYesならばS104に進む。一方、S103の判定処理がNoならば、Webサーバa31に対して乗っ取り等の不正侵入が行なわれたものとみなされ、S105に処理が進む。
【0061】
S104では、マスタWeb文書データ22と直前に行なわれたS102の処理によってWeb文書データa32とのデータ内容の比較が行なわれ、この両者に相違がないかどうかが判定される。そして、この判定結果がYes、すなわち両データのデータ内容が一致しているのであればS101へ処理が戻って本装置10によるWebサーバ機能の監視が繰り返される。一方、このS104の判定結果がNo、すなわち両データのデータ内容に異なる部分が存在するのであれば、Webサーバa31に対して改ざん等の不正侵入が行なわれたものとみなされ、S105に処理が進む。
【0062】
このS104の処理を図6から図9に示されているデータ例を用いて更に説明する。
図6はWeb文書データファイルの例を示している。このWeb文書データファイルは「index.html」なる名称が付されており、このファイルにはデータサイズは「91」バイトであり、ファイルの更新日時は「2002.01.25 11:29:00」であることが属性として示されている。また、同図に示されているWeb文書データファイル「index.html」のデータ内容は図7に示されており、このデータファイルにはHTML(HyperText Markup Language )で記述されたWeb文書データが格納されている。
【0063】
この図6及び図7に示されたWeb文書データファイルの改ざん例が図8及び図9に示されている。図8に示されているWeb文書データファイルについての属性情報ではファイルの更新日時が「2002.02.09 00:11:11」とされており図6に示されているものと異なっている。また、図9に示されている図8のWeb文書データファイル「index.html」のデータ内容は、その第4行目が「Goodbye!」となっていて図7に示されているデータ内容と異なっている。
【0064】
S104の処理では、図6及び図8のようなWeb文書データファイルについての属性情報の比較を行なうと共に、図7及び図9のようなWeb文書データファイルのデータ内容の比較をも行ない、これらの全てが一致している場合にのみ両者は一致しているとの判定を下す、すなわちS104の判定結果をNoとするようにする。
【0065】
図5の説明を進める。S105では乗っ取り改ざん対応処理が行なわれ、続くS106では乗っ取り改ざん連絡処理が行なわれる。その後はS101へ処理が戻って本装置10によるWebサーバ機能の監視が繰り返される。乗っ取り改ざん対応処理及び乗っ取り改ざん連絡処理の詳細は次に説明する。
【0066】
以降、S101からの処理が繰り返され、Webサーバa31の動作の監視がインターネット90を介して定期的に行なわれる。
以上までの処理が不正侵入対処処理である。
【0067】
次に、図5におけるS105の処理である乗っ取り改ざん対応処理について説明する。図10は乗っ取り改ざん対応処理の処理内容を示すフローチャートである。
【0068】
まず、S201では、Webサーバa31を機能させていたゲストOS_A30のプロセスダンプがRAM12から取得され、更に、Webサーバa31及びゲストOS_A30の動作履歴が記録されているログデータファイル等、そのゲストOS_A30において使用していた各種データファイルのコピーが取得され、これらのデータがHDD14に一旦記憶される。
【0069】
ゲストOS_A30はホストOS20上で実行されているプロセスのひとつに過ぎないので、ホストOS20の管理の下で実行されている乗っ取り改ざん対応処理の実行によって、前述した痕跡情報となり得るゲストOS_A30のプロセスダンプをRAM12から取得することができる。また、このとき併せて取得されるゲストOS_A30において使用していた各種データファイルのコピーも痕跡情報のひとつである。この他、ホストOS20より観察されるゲストOS_A30の実行環境を示す情報なども痕跡情報として取得するようにしてもよい。
【0070】
このように、本装置10は、Webサーバa31を提供するゲストOS_A30と不正侵入対処処理とがホストOS20上で並行して実行されているので、Webサーバa31に対する不正侵入についての痕跡情報をメインメモリであるRAM12から容易に取得することができる。
【0071】
S202では、ゲストOS_A30を強制終了させる処理が行なわれる。
S203では、ゲストOSプログラムがHDD14から読み出されてゲストOS_B40の実行が開始され、更にゲストOS_B40の管理下でWebサーバプログラム及びWeb文書データがHDD14から読み出されてWebサーバプログラムが実行され、Web文書データa32と同一であるWeb文書データb42をインターネット90上に公開するWebサーバb41が構築される。ここで、Webサーバb41及びゲストOS_B40の動作履歴が記録されるログデータファイルへの記録の際には、Webサーバa31及びゲストOS_A30について記録された動作履歴の内容よりも更に詳細な内容を記録するように設定しておくと、再度の不正侵入がなされたときに前よりも詳細な痕跡情報が取得されるので、不正侵入の抜本的な対策を行なうときに有益である。
【0072】
以上までの処理を終えた後には乗っ取り改ざん対応処理が終了し、処理は図5へと戻る。なお、この後に行なわれる図5のS102以降の処理では、Web文書データb42をインターネット90を介して取得する処理を試みることによるWebサーバb41についての動作の監視が行なわれる。また、この後に行なわれる、処理の進行を所定時間だけウェイト(一時停止)させるS101の処理において、それまでに設定されていた所定時間を短くするようにしてもよい。こうすることにより、Webサーバb41についてなされる不正侵入の監視の間隔がWebサーバa31についてなされていたものよりも短くなり、再度の不正侵入の発生に対する痕跡情報の取得やWebサーバ機能の復旧がより迅速に行なえるようになり、有益である。
【0073】
次に、図5におけるS106の処理である乗っ取り改ざん連絡処理について説明する。図11は乗っ取り改ざん連絡処理の処理内容を示すフローチャートである。
【0074】
まず、S301では、連絡先等設定ファイル23が参照され、そこに示されている連絡先アドレスを宛先とする電子メールが作成される。この電子メールの本文には、本装置10で提供されているWebサーバ機能に異常が発生した旨、及びその異常の具体的な内容、例えば、Web文書データa32がインターネット90を介して取得できなかったこと(すなわち図5のS103の判定処理の結果がNoであったこと)や、取得されたWeb文書データa32がマスタWeb文書データ22と異なるものであったこと(すなわち図5のS104の判定結果がYesであったこと)などが記載される。
【0075】
S302では、連絡先等設定ファイル23において調査用資料送信フラグが「1」に設定されている項目が存在するか否かが判定される。そして、この判定結果がYesのときにのみS303の処理が行なわれ、この判定結果がNoのときはS304に処理が進む。
【0076】
S303では、前述した図10の乗っ取り改ざん対応処理におけるS201の処理によって取得された痕跡情報に対して周知のデータ可逆圧縮処理が施されて得られたデータファイルが、調査用資料送信フラグが「1」である項目に示されている連絡先アドレスを宛先に設定した電子メールに添付される。
【0077】
連絡先等設定ファイル23のデータ例を図12に示す。同図に示す連絡先等設定ファイル23では、電子メールの宛先を示す2つの連絡先アドレスの各々に調査用資料送信フラグとが対応付けられている。ここで、上の行の連絡先アドレスに対応する調査用資料送信フラグは「1」に設定されており、この連絡先アドレスを宛先とする電子メールには痕跡情報が添付される。一方、下の行の連絡先アドレスに対応する調査用資料送信フラグは「0」に設定されており、この連絡先アドレスを宛先とする電子メールには痕跡情報が添付されない。このように、本装置10は、調査用資料送信フラグの設定により、セキュリティ上重要な情報である痕跡情報を提供する提供先を例えばその痕跡情報を解析することのできるだけのスキルを有している管理者のみ等に制限することができ、有益である。
【0078】
S304では、作成された電子メールがNWインタフェースA17からハブA50及びルータA70を介してインターネット90へ送出される。
S305では、連絡先等設定ファイル23に定義されている全ての連絡先アドレスについて電子メールを送信したか否かが判定され、この判定結果がYesならばこの乗っ取り改ざん連絡処理が終了し、処理は図5へと戻る。一方、この判定結果がNoならばS301へと処理が戻り、電子メールが未送信である連絡先アドレスを宛先とする電子メールの作成及び送信の処理が行なわれる。
【0079】
以上までの処理が乗っ取り改ざん連絡処理である。
本装置10のCPU11により上述した図5、図10、及び図11からなる不正侵入対処処理がホストOS20の管理の下で行なわれることによって、Webサーバa31に対する乗っ取りや改ざんなどの不正侵入の監視、不正侵入によって残された痕跡情報の取得、Webサーバ機能の復旧といった各作業が、人手を介さずに行なわれる。
【0080】
また、このような処理をコンピュータに行なわせる不正侵入対処プログラム21をコンピュータで読み取り可能な記録媒体に記録させ、そのプログラムを記録媒体からコンピュータに読み出させて実行させることによって本発明をコンピュータで実施することも可能である。
【0081】
記録させた制御プログラムをコンピュータで読み取ることの可能な記録媒体の例を図13に示す。同図に示すように、記録媒体としては、例えば、コンピュータ1001に内蔵若しくは外付けの付属装置として備えられるRAM若しくはROM又はハードディスク装置などのメモリ1002、あるいはフレキシブルディスク、MO(光磁気ディスク)、CD−ROM、DVD−ROMなどといった可搬型記録媒体1003等が利用できる。また、記録媒体は通信回線1004を介してコンピュータ1001と接続される、プログラムサーバ1005として機能するコンピュータが備えている記憶装置1006であってもよい。この場合には、制御プログラムを表現するデータ信号で搬送波を変調して得られる伝送信号を、プログラムサーバ1005から伝送媒体である通信回線1004を通じて伝送するようにし、コンピュータ1001では受信した伝送信号を復調して制御プログラムを再生することで当該制御プログラムを実行できるようになる。
【0082】
その他、本発明は、上述した実施形態に限定されることなく、種々の改良・変更が可能である。
例えば、ホストOS20の管理下でゲストOS_A30及びゲストOS_B40を動作させる代わりに、ホストOS20の管理下で本装置10に相当するハードフェア環境を仮想的に構築するエミュレーションプログラムを動作させ、構築された仮想環境の下でゲストOS及び不正侵入対処プログラムを実行させるようにすることも可能である。
【0083】
また、ホストOS20で管理が行なえるのであれば、ホストOS20と同一のOSをゲストOSとして採用する構成とすることもできる。
また、本実施の形態では、ゲストOS_A30やゲストOS_B40がメインメモリとして活用しているメモリは、Webサーバ装置10についてのメインメモリを利用するようにしていたが、ホストOS20上で起動されるゲストOS_A30やゲストOS_B40がWebサーバ装置10のメインメモリ以外のメモリ(あるいはメモリ領域)を使用する構成とすることもできる。なお、この構成において図10に示す乗っ取り改ざん対応処理を実行するときは、ホストOS20がゲストOS_A30を強制的に終了させるS202の処理の前に実行されるS201のゲスト_OSA30のプロセスダンプの取得処理において、Webサーバ装置10についてのメインメモリに格納されているデータを、ゲストOS_A30がメインメモリとして使用しているメモリ(あるいはメモリ領域)に格納されているデータと共に取得するようにし、これらのデータを纏めてHDD14に記憶させるようにするとよい。
【0084】
(付記1) コンピュータで実行されている第一のオペレーティングシステムによる管理の下で第二のオペレーティングシステムを実行させ、
前記コンピュータで実行させることによって通信ネットワーク上でデータの公開を行なうデータサーバが該コンピュータで構築されるアプリケーションプログラムを前記第二のオペレーティングシステムによる管理の下で実行させ、
前記アプリケーションプログラムの実行によって構築された前記データサーバへのアクセスを前記第一のオペレーティングシステムによる管理の下で行ない、
前記アクセスに対する前記データサーバからの応答が正常であるか異常であるかの判定を前記第一のオペレーティングシステムによる管理の下で行ない、
前記応答が異常であると判定したときに、前記第二のオペレーティングシステムによって管理されているメモリに格納されているデータの取得を前記第一のオペレーティングシステムの管理の下で行なう、
ことを特徴とするコンピュータへの不正侵入対処方法。
(付記2) 前記データサーバへのアクセスは、前記通信ネットワークを介して行ない、
前記判定は、前記アクセスに対して前記データサーバから前記通信ネットワークを介して送られてくる応答が正常であるか異常であるかの判定を行なう、
ことを特徴とする付記1に記載の不正侵入対処方法。
(付記3) コンピュータで実行されている第一のオペレーティングシステムによる管理の下で第二のオペレーティングシステムを実行させ、
前記コンピュータで実行させることによって通信ネットワーク上でデータの公開を行なうデータサーバが該コンピュータで構築されるアプリケーションプログラムを前記第二のオペレーティングシステムによる管理の下で実行させ、
前記アプリケーションプログラムの実行によって構築された前記データサーバへのアクセスを前記第一のオペレーティングシステムによる管理の下で前記通信ネットワークを介して行ない、
前記アクセスに対して前記データサーバから前記通信ネットワークを介して送られてくる応答が正常であるか異常であるかの判定を前記第一のオペレーティングシステムによる管理の下で行ない、
前記応答が異常であると判定したときに、前記アプリケーションプログラムの実行を管理している前記第二のオペレーティングシステムの実行を前記第一のオペレーティングシステムの管理の下で強制終了させる、
ことを特徴とするコンピュータへの不正侵入対処方法。
(付記4) 通信ネットワーク上でデータの公開を行なうデータサーバであって、コンピュータで実行される第一のオペレーティングシステムによる管理の下で実行される第二のオペレーティングシステムによる管理の下でアプリケーションプログラムを実行させることによって該コンピュータで構築される該データサーバに対する不正侵入に対処する処理を該コンピュータに行なわせる不正侵入対処プログラムであって、
前記第一のオペレーティングシステムによる管理の下で実行され、
前記アプリケーションプログラムの実行によって構築された前記データサーバへのアクセスを行なう処理と、
前記アクセスに対する前記データサーバからの応答が正常であるか異常であるかの判定を行なう処理と、
前記応答が異常であると判定したときに、前記第二のオペレーティングシステムによって管理されているメモリに格納されているデータの取得を行なう処理と、
を該コンピュータに行なわせる不正侵入対処プログラム。
(付記5) 前記アクセスを行なう処理は、前記データサーバへのアクセスを前記通信ネットワークを介して行なう処理を前記コンピュータに行なわせ、
前記判定を行なう処理は、前記アクセスに対して前記データサーバから前記通信ネットワークを介して送られてくる応答が正常であるか異常であるかの判定を行なう処理を前記コンピュータに行なわせる、
ことを特徴とする付記4に記載の不正侵入対処プログラム。
(付記6) 前記判定を行なう処理は、前記データサーバへのアクセスに対する応答が取得されなかったときには、前記アクセスに対する該データサーバからの応答が異常であるとの判定を下す処理をコンピュータに行なわせる付記4に記載の不正侵入対処プログラム。
(付記7) 前記判定を行なう処理は、前記データサーバへのアクセスに対する応答が、予め想定されている応答と異なるものであったときに前記アクセスに対する該データサーバからの応答が異常であるとの判定を下す処理をコンピュータに行なわせることを特徴とする付記4に記載の不正侵入対処プログラム。
(付記8) 前記応答が異常であると判定したときに、前記アプリケーションプログラムの実行を管理している前記第二のオペレーティングシステムの実行を強制終了させる処理を更に前記コンピュータに行なわせることを特徴とする付記4に記載の不正侵入対処プログラム。
(付記9) 前記第二のオペレーティングシステムの実行を強制終了させた後に、前記第一のオペレーティングシステムによる管理の下で前記第二のオペレーティングシステムを改めて実行させると共に、該第二のオペレーティングシステムによる管理の下で前記アプリケーションプログラムを改めて実行させて前記データサーバを前記コンピュータで再構築させる処理を更に該コンピュータに行なわせることを特徴とする付記8に記載の不正侵入対処プログラム。
(付記10) 前記コンピュータで再構築されたデータサーバへのアクセスに対する応答が異常であると判定したときに、前記第二のオペレーティングシステムによって管理されているメモリに格納されているデータに加えて、該データサーバの動作の履歴を取得する処理を更に該コンピュータに行なわせることを特徴とする付記9に記載の不正侵入対処プログラム。
(付記11) 前記応答が異常であると判定したときに、該異常の発生を示す情報を所定の連絡先に宛てて送信する処理を更に前記コンピュータに行なわせることを特徴とする付記4に記載の不正侵入対処プログラム。
(付記12) 前記異常の発生を示す情報を送信する処理は、前記データの取得を行なう処理によって取得されたデータを該異常の発生を示す情報に添付して送信する処理を前記コンピュータに行なわせることを特徴とする付記11に記載の不正侵入対処プログラム。
(付記13) 前記異常の発生を示す情報を送信する処理は、前記異常の発生を示す情報を所定の連絡先に宛てて送信すると共に、前記連絡先のうち予め選択されている一部の連絡先に宛てて送信する前記異常の発生を示す情報には前記データの取得を行なう処理によって取得されたデータを添付して送信する処理を前記コンピュータに行なわせることを特徴とする付記11に記載の不正侵入対処プログラム。
(付記14) 通信ネットワーク上でデータの公開を行なうデータサーバであって、コンピュータで実行される第一のオペレーティングシステムによる管理の下で実行される第二のオペレーティングシステムによる管理の下でアプリケーションプログラムを実行させることによって該コンピュータで構築される該データサーバに対する不正侵入に対処する処理を該コンピュータに行なわせる不正侵入対処プログラムであって、
前記第一のオペレーティングシステムによる管理の下で実行され、
前記データサーバへのアクセスを前記通信ネットワークを介して行なう処理と、
前記アクセスに対して前記データサーバから前記通信ネットワークを介して送られてくる応答が正常であるか異常であるかの判定を行なう処理と、
前記応答が異常であると判定したときに、前記アプリケーションプログラムの実行を管理している前記第二のオペレーティングシステムの実行を強制終了させる処理と、
を該コンピュータに行なわせる不正侵入対処プログラム。
(付記15) 通信ネットワーク上でデータの公開を行なうデータサーバであって、コンピュータで実行される第一のオペレーティングシステムによる管理の下で実行される第二のオペレーティングシステムによる管理の下でアプリケーションプログラムを実行させることによって該コンピュータで構築される該データサーバに対する不正侵入に対処する不正侵入対処装置であって、
前記アプリケーションプログラムの実行によって構築された前記データサーバへのアクセスを前記第一のオペレーティングシステムによる管理の下で行なうアクセス手段と、
前記アクセスに対する前記データサーバからの応答が正常であるか異常であるかの判定を前記第一のオペレーティングシステムによる管理の下で行なう判定手段と、
前記応答が異常であると判定したときに、前記第二のオペレーティングシステムによって管理されているメモリに格納されているデータの取得を前記第一のオペレーティングシステムによる管理の下で行なうデータ取得手段と、
を有することを特徴とする不正侵入対処装置。
(付記16) 通信ネットワーク上でデータの公開を行なうデータサーバであって、コンピュータで実行される第一のオペレーティングシステムによる管理の下で実行される第二のオペレーティングシステムによる管理の下でアプリケーションプログラムを実行させることによって該コンピュータで構築される該データサーバに対する不正侵入に対処する不正侵入対処装置であって、
前記コンピュータは、前記通信ネットワークを介して行なわれるデータの授受を管理するインタフェースを複数有し、
前記アプリケーションプログラムの実行によって構築された前記データサーバへのアクセスを前記第一のオペレーティングシステムによる管理の下で前記通信ネットワークを介して行なうアクセス手段と、
前記アクセスに対して前記データサーバから前記通信ネットワークを介して送られてくる応答が正常であるか異常であるかの判定を前記第一のオペレーティングシステムによる管理の下で行なう判定手段と、
前記応答が異常であると判定したときに、前記アプリケーションプログラムの実行を管理している前記第二のオペレーティングシステムの実行を前記第一のオペレーティングシステムによる管理の下で強制終了させる強制終了手段と、
を有することを特徴とする不正侵入対処装置。
(付記17) 通信ネットワーク上でデータの公開を行なうデータサーバであって、コンピュータで実行される第一のオペレーティングシステムによる管理の下で実行される第二のオペレーティングシステムによる管理の下でアプリケーションプログラムを実行させることによって該コンピュータで構築される該データサーバに対する不正侵入に対処する処理を該コンピュータに行なわせる不正侵入対処プログラムを記録した記録媒体であって、
前記第一のオペレーティングシステムによる管理の下で該コンピュータで実行させることにより、
前記アプリケーションプログラムの実行によって構築された前記データサーバへのアクセスを行なう処理と、
前記アクセスに対する前記データサーバからの応答が正常であるか異常であるかの判定を行なう処理と、
前記応答が異常であると判定したときに、前記第二のオペレーティングシステムによって管理されているメモリに格納されているデータの取得を行なう処理と、
を該コンピュータに行なわせることを特徴とする不正侵入対処プログラムを記録した記録媒体。
(付記18) 通信ネットワーク上でデータの公開を行なうデータサーバであって、コンピュータで実行される第一のオペレーティングシステムによる管理の下で実行される第二のオペレーティングシステムによる管理の下でアプリケーションプログラムを実行させることによって該コンピュータで構築される該データサーバに対する不正侵入に対処する処理を該コンピュータに行なわせる不正侵入対処プログラムを記録した記録媒体であって、
前記第一のオペレーティングシステムによる管理の下で該コンピュータで実行させることにより、
前記データサーバへのアクセスを前記通信ネットワークを介して行なう処理と、
前記アクセスに対して前記データサーバから前記通信ネットワークを介して送られてくる応答が正常であるか異常であるかの判定を行なう処理と、
前記応答が異常であると判定したときに、前記アプリケーションプログラムの実行を管理している前記第二のオペレーティングシステムの実行を強制終了させる処理と、
を該コンピュータに行なわせることを特徴とする不正侵入対処プログラムを記録した記録媒体。
(付記19) 通信ネットワーク上でデータの公開を行なうデータサーバであって、コンピュータで実行される第一のオペレーティングシステムによる管理の下で実行される第二のオペレーティングシステムによる管理の下でアプリケーションプログラムを実行させることによって該コンピュータで構築される該データサーバに対する不正侵入に対処する処理を該コンピュータに行なわせる不正侵入対処プログラムを表現しており、搬送波に具現化されているコンピュータ・データ・シグナルであって、
前記第一のオペレーティングシステムによる管理の下で該コンピュータで実行させることにより、
前記アプリケーションプログラムの実行によって構築された前記データサーバへのアクセスを行なう処理と、
前記アクセスに対する前記データサーバからの応答が正常であるか異常であるかの判定を行なう処理と、
前記応答が異常であると判定したときに、前記第二のオペレーティングシステムによって管理されているメモリに格納されているデータの取得を行なう処理と、
を該コンピュータに行なわせることを特徴とする不正侵入対処プログラムを表現しているコンピュータ・データ・シグナル。
(付記20) 通信ネットワーク上でデータの公開を行なうデータサーバであって、コンピュータで実行される第一のオペレーティングシステムによる管理の下で実行される第二のオペレーティングシステムによる管理の下でアプリケーションプログラムを実行させることによって該コンピュータで構築される該データサーバに対する不正侵入に対処する処理を該コンピュータに行なわせる不正侵入対処プログラムを表現しており、搬送波に具現化されているコンピュータ・データ・シグナルであって、
前記第一のオペレーティングシステムによる管理の下で該コンピュータで実行させることにより、
前記データサーバへのアクセスを前記通信ネットワークを介して行なう処理と、
前記アクセスに対して前記データサーバから前記通信ネットワークを介して送られてくる応答が正常であるか異常であるかの判定を行なう処理と、
前記応答が異常であると判定したときに、前記アプリケーションプログラムの実行を管理している前記第二のオペレーティングシステムの実行を強制終了させる処理と、
を該コンピュータに行なわせることを特徴とする不正侵入対処プログラムを表現しているコンピュータ・データ・シグナル。
【0085】
【発明の効果】
以上詳細に説明したように、本発明によれば、データサーバが構築されるコンピュータに残されている、データサーバへの不正侵入の痕跡を示す情報の取得が人手を介することなく行なえるようになり、あるいは、不正侵入されたデータサーバの動作を、人手を介することなく迅速に停止させることができるようになるという効果を奏する。
【図面の簡単な説明】
【図1】本発明の第一の原理構成を示す図である。
【図2】本発明の第二の原理構成を示す図である。
【図3】本発明を実施するWebサーバ装置のハードウェア構成を示す図である。
【図4】本発明を実施するWebサーバ装置の機能構成を示す図である。
【図5】不正侵入対処処理の処理内容を示すフローチャートである。
【図6】Web文書データファイルの例を示す図である。
【図7】図6に示されているデータファイルの内容を示す図である。
【図8】改ざんされたWeb文書データファイルの例を示す図である。
【図9】図8に示されているデータファイルの内容を示す図である。
【図10】乗っ取り改ざん対応処理の処理内容を示すフローチャートである。
【図11】乗っ取り改ざん連絡処理の処理内容を示すフローチャートである。
【図12】連絡先等設定ファイルのデータ例を示す図である。
【図13】コンピュータで読み取ることの可能な記録媒体の例を示す図である。
【符号の説明】
1 コンピュータ
2 第一OS
3 第二OS
4 データサーバ
5 不正侵入対処プログラム
5−1 アクセス処理
5−2 判定処理
5−3 データ取得処理
5−4 強制終了処理
6 通信ネットワーク
10 Webサーバ装置
11 CPU
12 RAM
13 ROM
14 HDD
15 入力部
16 出力部
17 NWインタフェースA
18 NWインタフェースB
19 バス
20 ホストOS
21 不正侵入対処プログラム
21−1 比較監視部
21−2 復旧処理部
21−3 連絡処理部
22 マスタWeb文書データ
23 連絡先等設定ファイル
30 ゲストOS_A
31 Webサーバa
32 Web文書データa
40 ゲストOS_B
41 Webサーバb
42 Web文書データb
50 ハブA
60 ハブB
70 ルータA
80 ルータB
90 インターネット
1001 コンピュータ
1002 メモリ
1003 可搬型記録媒体
1004 通信回線
1005 プログラムサーバ
1006 記憶装置

Claims (8)

  1. コンピュータにおいて実行される該コンピュータの不正侵入対処方法において、
    前記コンピュータは、
    前記コンピュータで実行されている第一のオペレーティングシステム管理で第二のオペレーティングシステムを実行し、該第二のオペレーティングシステムよる管理下で通信ネットワーク上でのデータの公開を行なうデータサーバを構築するアプリケーションプログラムを実行し、
    前記第一のオペレーティングシステムの管理下にある比較監視部により、前記アプリケーションプログラムにより構築された前記データサーバアクセスして該アクセスに対するデータサーバからの応答を受信し、該受信した応答が正常であるか異常であるかの判定行ない、
    前記比較監視部が前記応答異常であると判定した場合には、前記第一のオペレーティングシステムの管理下にある復旧処理部により、前記第二のオペレーティングシステム管理下にあるメモリに格納されているデータ取得する
    ことを特徴とするコンピュータへの不正侵入対処方法。
  2. コンピュータにおいて実行される該コンピュータの不正侵入対処方法において、
    前記コンピュータは、
    前記コンピュータで実行されている第一のオペレーティングシステム管理で第二のオペレーティングシステムを実行し、該第二のオペレーティングシステムよる管理下で通信ネットワーク上でのデータの公開を行なうデータサーバを構築するアプリケーションプログラムを実行し、
    前記第一のオペレーティングシステムの管理下にある比較監視部により、前記アプリケーションプログラムにより構築された前記データサーバ前記通信ネットワークを介してアクセスして該アクセスに対する該データサーバからの応答を受信し、該受信した応答が正常であるか異常であるかの判定行ない、
    前記比較監視部が前記応答異常であると判定した場合には、前記第一のオペレーティングシステムの管理下にある復旧処理部により、前記アプリケーションプログラムの実行を管理している前記第二のオペレーティングシステムの実行強制終了させる、
    ことを特徴とするコンピュータへの不正侵入対処方法。
  3. コンピュータに不正侵入対処方法を実行させるためのプログラムであって、該コンピュータに、
    前記コンピュータで実行されている第一のオペレーティングシステムの管理下で実行されている第二のオペレーティングシステムの管理下で実行されるアプリケーションプログラムにより構築されるデータサーバであって、通信ネットワーク上でデータの公開を行なっている該データサーバアクセスして該アクセスに対するデータサーバからの応答を受信し、該受信した応答が正常であるか異常であるかの判定を行なう比較監視部として動作させる処理と、
    前記応答異常であると判定した場合に、前記第二のオペレーティングシステム管理下にあるメモリに格納されているデータ取得する復旧処理部として動作させる処理と、
    実行させることを特徴とする不正侵入対処プログラム。
  4. 前記比較監視部として動作させる処理は、更に、前記比較監視部による前記データサーバへのアクセスを前記通信ネットワークを介して行なう処理を前記コンピュータに行なわせことを特徴とする請求項3に記載の不正侵入対処プログラム。
  5. コンピュータに不正侵入対処方法を実行させるためのプログラムであって、該コンピュータに、
    前記コンピュータで実行されている第一のオペレーティングシステムの管理下で実行されている第二のオペレーティングシステムの管理下で実行されるアプリケーションプログラムにより構築されるデータサーバであって、通信ネットワーク上でデータの公開を行なっている該データサーバへ該通信ネットワークを介してアクセスして該アクセスに対する該データサーバからの応答を受信し、該受信した応答が正常であるか異常であるかの判定を行なう比較監視部として動作させる処理と、
    前記応答異常であると判定した場合に、前記アプリケーションプログラムの実行を管理している前記第二のオペレーティングシステムの実行を強制終了させる復旧処理部として動作させる処理と、
    実行させることを特徴とする不正侵入対処プログラム。
  6. 前記復旧処理部として動作させる処理は、更に、前記応答が異常であると判定した場合に、前記アプリケーションプログラムの実行を管理している前記第二のオペレーティングシステムの実行を強制終了させた後に前記第一のオペレーティングシステムによる管理下で該第二のオペレーティングシステムを改めて実行させると共に、該第二のオペレーティングシステムによる管理下で前記アプリケーションプログラムを改めて実行させて前記データサーバを前記コンピュータで再構築させることを特徴とする請求項3又は5に記載の不正侵入対処プログラム。
  7. 前記復旧処理部として動作させる処理は、更に、前記再構築されたデータサーバへのアクセスに対する応答が異常であると前記比較監視部が判定したときには、前記第二のオペレーティングシステムの管理下にあるメモリに格納されている前記データに加えて、該データサーバの動作の履歴を取得することを特徴とする請求項6に記載の不正侵入対処プログラム。
  8. 前記比較監視部として動作させる処理は、更に、前記第一のオペレーティングシステムによる管理下で実行されている前記第二のオペレーティングシステムの管理下で実行されるアプリケーションプログラムにより構築されるデータサーバであって、通信ネットワーク上でデータの公開を行なっている該データサーバへ該通信ネットワークを介してアクセスし、該アクセスに対する該データサーバからの応答を受信しなかった場合は、前記応答が異常であると判定することを特徴とする請求項3又は5に記載の不正侵入対処プログラム。
JP2002061800A 2002-03-07 2002-03-07 データサーバへの不正侵入対処方法、及びプログラム Expired - Fee Related JP4256107B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2002061800A JP4256107B2 (ja) 2002-03-07 2002-03-07 データサーバへの不正侵入対処方法、及びプログラム
US10/265,406 US7328452B2 (en) 2002-03-07 2002-10-07 Method and device for coping with illegal accesses to a data server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002061800A JP4256107B2 (ja) 2002-03-07 2002-03-07 データサーバへの不正侵入対処方法、及びプログラム

Publications (2)

Publication Number Publication Date
JP2003263413A JP2003263413A (ja) 2003-09-19
JP4256107B2 true JP4256107B2 (ja) 2009-04-22

Family

ID=29195899

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002061800A Expired - Fee Related JP4256107B2 (ja) 2002-03-07 2002-03-07 データサーバへの不正侵入対処方法、及びプログラム

Country Status (2)

Country Link
US (1) US7328452B2 (ja)
JP (1) JP4256107B2 (ja)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4567293B2 (ja) * 2003-01-21 2010-10-20 株式会社日立製作所 ファイルサーバ
JP2005352908A (ja) 2004-06-11 2005-12-22 Ntt Docomo Inc 移動通信端末及びデータアクセス制御方法
US7409719B2 (en) 2004-12-21 2008-08-05 Microsoft Corporation Computer security management, such as in a virtual machine or hardened operating system
US7765374B2 (en) * 2007-01-25 2010-07-27 Microsoft Corporation Protecting operating-system resources
US8380987B2 (en) 2007-01-25 2013-02-19 Microsoft Corporation Protection agents and privilege modes
JP4782042B2 (ja) * 2007-02-21 2011-09-28 富士通株式会社 電子計算機及びソフトウェアによるユーザインタフェースの実現方法
US8209684B2 (en) * 2007-07-20 2012-06-26 Eg Innovations Pte. Ltd. Monitoring system for virtual application environments
US8707330B2 (en) * 2012-04-27 2014-04-22 Telefonaktiebolaget L M Ericsson (Publ) Method and system for controlled communication between applications
US10152596B2 (en) * 2016-01-19 2018-12-11 International Business Machines Corporation Detecting anomalous events through runtime verification of software execution using a behavioral model
JP7014456B2 (ja) * 2020-04-28 2022-02-01 Necプラットフォームズ株式会社 不正判定システム、不正判定方法及びプログラム

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6167494A (en) * 1998-04-28 2000-12-26 International Business Machine Corporation Method and system for recovering from operating system failure
GB2367656A (en) * 2000-10-06 2002-04-10 Hewlett Packard Co Self-repairing operating system for computer entities
EP1195679A1 (en) * 2000-10-06 2002-04-10 Hewlett-Packard Company, A Delaware Corporation Performing operating system recovery from external back-up media in a headless computer entity
KR100389206B1 (ko) * 2001-04-25 2003-06-27 주식회사 성진씨앤씨 컴퓨터 운영 시스템 보호 방법 및 장치
US7024581B1 (en) * 2002-10-09 2006-04-04 Xpoint Technologies, Inc. Data processing recovery system and method spanning multiple operating system
US6915420B2 (en) * 2003-01-06 2005-07-05 John Alan Hensley Method for creating and protecting a back-up operating system within existing storage that is not hidden during operation
US7340638B2 (en) * 2003-01-30 2008-03-04 Microsoft Corporation Operating system update and boot failure recovery

Also Published As

Publication number Publication date
US20030172288A1 (en) 2003-09-11
JP2003263413A (ja) 2003-09-19
US7328452B2 (en) 2008-02-05

Similar Documents

Publication Publication Date Title
US10235524B2 (en) Methods and apparatus for identifying and removing malicious applications
US9507936B2 (en) Systems, methods, apparatuses, and computer program products for forensic monitoring
US8006241B2 (en) Automatic software installation and cleanup
JP3351318B2 (ja) 計算機システムの監視方法
US7805630B2 (en) Detection and mitigation of disk failures
JP5144488B2 (ja) 情報処理システムおよびプログラム
US10652255B2 (en) Forensic analysis
CN101918922A (zh) 用于计算机网络中的自动数据异常修正的系统和方法
JP4256107B2 (ja) データサーバへの不正侵入対処方法、及びプログラム
WO2006137657A1 (en) Method for intercepting malicious code in computer system and system therefor
US20070061891A1 (en) Environment information transmission method, service controlling system, and computer product
JP2009217637A (ja) セキュリティ状況表示装置、セキュリティ状況表示方法、およびコンピュータプログラム
KR101233934B1 (ko) 지능형 통합 보안 관리 시스템 및 방법
JP2008129685A (ja) 作業内容記録システムおよびその方法、ならびにそのプログラム
CN115577369B (zh) 源代码泄露行为检测方法、装置、电子设备及存储介质
US20050010812A1 (en) Computer system software "black box" capture device
JP2005149267A (ja) 証拠画面保存プログラム、証拠画面保存方法及び証拠画面保存システム
CN100353277C (zh) 一种利用代理技术实现计算机病毒防治的方法
CA2504336A1 (en) Method and apparatus for building an autonomic controller system
JP6998002B1 (ja) 脆弱性診断装置
JP4812716B2 (ja) 管理装置、管理方法、管理システム、プログラム及び記憶媒体
CN114726603B (zh) 一种邮件检测方法及装置
JP4271612B2 (ja) 障害検出システム及び方法
JP2009116617A (ja) 操作監視システム
CN118467283A (zh) 一种数据监管方法及装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050224

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080219

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080701

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080814

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090127

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090129

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120206

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4256107

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130206

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130206

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140206

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees