JP4334605B2 - 不正アクセス防止装置および不正アクセス防止プログラム - Google Patents

不正アクセス防止装置および不正アクセス防止プログラム Download PDF

Info

Publication number
JP4334605B2
JP4334605B2 JP2008256261A JP2008256261A JP4334605B2 JP 4334605 B2 JP4334605 B2 JP 4334605B2 JP 2008256261 A JP2008256261 A JP 2008256261A JP 2008256261 A JP2008256261 A JP 2008256261A JP 4334605 B2 JP4334605 B2 JP 4334605B2
Authority
JP
Japan
Prior art keywords
delay time
password
crack degree
password crack
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008256261A
Other languages
English (en)
Other versions
JP2009048648A (ja
Inventor
正道 楯岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Digital Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Solutions Corp filed Critical Toshiba Corp
Priority to JP2008256261A priority Critical patent/JP4334605B2/ja
Publication of JP2009048648A publication Critical patent/JP2009048648A/ja
Application granted granted Critical
Publication of JP4334605B2 publication Critical patent/JP4334605B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Information Transfer Between Computers (AREA)

Description

本発明は、不特定多数あるいは特定多数のクライアント端末とサーバ装置からなるネットワークシステムにおいて、サーバ装置への不正アクセスの防止を行うための不正アクセス防止装置に関する。
近年のネットワークの利用の拡大にともない、悪意の第三者によるサーバ装置やネットワーク内への不正アクセスが増加している。悪意の第三者がパスワードとして辞書に記載の全ての用語等の多種多様な単語を片端から入力し、サーバ装置やネットワーク内への不正アクセスを試みることをパスワードクラックと呼ぶ。この攻撃により、ネットワーク内の情報使用の権限を不正利用される事件が多発している。このため、サーバ装置に対してパスワードクラック攻撃がなされた際に、それを排除し、サーバ装置の信頼性を素早く回復する必要がある。
従来、不特定多数あるいは特定多数のクライアント端末とサーバ装置からなるネットワークシステムにおいて、パスワードクラック攻撃を排除する方法としては、誤ったパスワードを連続して入力した回数などに基づきシステムの不正利用を検出し、不正利用が検出されたときに、当該ユーザに関する登録情報を自動的に削除する方法がある(特許文献1参照。)。
また、誤ったパスワードを連続して入力した回数などに基づきシステムの不正利用を検出し、不正利用が検出されたときに、当該アクセスが利用するプロトコルを自動的に使用不可とする方法がある(特許文献2参照。)。
特開平10−340254号公報 特開2004−164415号公報
しかしながら、誤ったパスワードの連続入力などにより当該ユーザに関する登録情報を自動的に削除する場合、悪意の第三者によるパスワードクラック攻撃のために不正利用として検出される状態になった場合には正当なユーザの登録情報が削除される。これにより正当なユーザがサーバ装置を使用できなくなってしまうという問題がある。
更に、誤ったパスワードの連続入力などにより使用されるプロトコルを自動的に使用不可能にする場合においても、悪意の第三者によるパスワードクラック攻撃のために不正利用として検出される状態になった場合には当該プロトコルが使用不可能となる。これにより正当なユーザが当該プロトコルを用いてサーバ装置を使用できなくなってしまうという問題がある。
また、いずれの場合においても、正当なユーザが再度サーバ装置を使用できるようにするためには、管理者による当該ユーザの登録情報の復元などの当該プロトコルを再度使用許可する為の復旧作業が必要となり、管理者の手間がかかるという問題がある。
さらに、これら従来の方法は、いずれも認証が必要なサーバ装置のサービス毎に、上記パスワードクラック攻撃を排除する仕組みを実装する必要があり、既存のサーバ装置にパスワードクラック攻撃を排除する能力を付加する場合、当該サーバ装置上で動作するサービス毎に、上記パスワードクラック攻撃を排除する仕組みを追加する為の手間を必要とするという問題もあった。
本発明は上記の問題点に鑑みてなされたものであり、正当なユーザによるサーバ装置の利用を妨げること無く、パスワードクラック攻撃を排除する事ができる不正アクセス防止装置および不正アクセス防止プログラムを提供することを特徴とする目的とする。
上記問題点を解決する為、本発明の第1の特徴は、ネットワークにおいてクライアント端末とサーバ装置の間に配置される不正アクセス防止装置に関する。即ち本発明の第1の特徴に係る不正アクセス防止装置は、サーバ装置より前記クライアント端末に対する認証結果を受信し、前記認証結果を解析して認証成功の通知又は認証失敗の通知、および前記クライアント端末を特定するクライアント識別情報を検出するパケット解析手段と、パスワードクラックの試みがなされている可能性を示す値であるパスワードクラック度を算出する為の連続して認証失敗した回数の計数値を前記クライアント識別情報毎に格納するパスワードクラック度記憶手段と、認証失敗の通知を基に前記パスワードクラック度記憶手段内の前記計数値を加算し前記パスワードクラック度とするパスワードクラック度算出手段と、パスワードクラック度算出手段より取得した前記パスワードクラック度を基に、前記クライアント端末へ対し前記認証結果の通知を送信する際の遅延時間を算出する遅延時間算出手段と、算出された前記遅延時間が経過するまで前記認証結果の通知を保留する保留手段とを備え、クライアント識別情報は、前記サーバ装置での認証に利用するユーザID情報を含み、パスワードクラック度記憶手段は、前記ユーザID情報として機密の高い情報を扱うユーザのIDには遅延時間が長くなるように設定された重み係数を更に格納し、遅延時間算出手段は、パスワードクラック度及び前記重み係数を基に前記遅延時間を算出し、遅延時間は前記パスワードクラック度の増加に伴い指数関数的に増加するように算出される
ここで、パスワードクラック度記憶手段は、前記クライアント識別情報として前記クライアント端末のネットワークアドレスの範囲毎に遅延時間算出の係数となる重み係数を格納しても良い。
本発明の第2の特徴は、ネットワークにおいてクライアント端末とサーバ装置の間に配置される不正アクセス防止プログラムに関する。即ち本発明の第2の特徴に係る不正アクセス防止プログラムは、サーバ装置より前記クライアント端末に対する認証結果を受信し、前記認証結果を解析して認証成功の通知又は認証失敗の通知、および前記クライアント端末を特定するクライアント識別情報を検出するパケット解析手段と、パスワードクラックの試みがなされている可能性を示す値であるパスワードクラック度を算出する為の連続して認証失敗した回数の計数値を前記クライアント識別情報毎に格納するパスワードクラック度記憶手段と、認証失敗の通知を基に前記パスワードクラック度記憶手段内の前記計数値を加算し前記パスワードクラック度とするパスワードクラック度算出手段と、パスワードクラック度算出手段より取得した前記パスワードクラック度を基に、前記クライアント端末へ対し前記認証結果の通知を送信する際の遅延時間を算出する遅延時間算出手段と、算出された前記遅延時間が経過するまで前記認証結果の通知を保留する保留手段とを、コンピュータに機能させ、クライアント識別情報は、前記サーバ装置での認証に利用するユーザID情報を含み、パスワードクラック度記憶手段は、前記ユーザID情報として機密の高い情報を扱うユーザのIDには遅延時間が長くなるように設定された重み係数を更に格納し、遅延時間算出手段は、前記パスワードクラック度及び前記重み係数を基に前記遅延時間を算出し、前記遅延時間は前記パスワードクラック度の増加に伴い指数関数的に増加するように算出される。
ここで、パスワードクラック度記憶手段は、前記クライアント識別情報として前記クライアント端末のネットワークアドレスの範囲毎に遅延時間算出の係数となる重み係数を格納しても良い。
本発明の不正アクセス防止装置および不正アクセス防止プログラムによると、正当なユーザのサーバ装置の利用を妨げること無く、パスワードクラック攻撃を排除する事ができる。
パスワードクラック攻撃の排除に伴う正当なユーザによるサーバ装置の利用停止から、管理者が復旧処理を行うための手間を不要にすることができる。
既存のサーバ装置にパスワードクラック攻撃を排除する能力を付加する場合、当該サーバ装置上で動作するサービス毎に、パスワードクラック攻撃を排除する機構を追加するなどの手間をかけずに、パスワードクラック攻撃を排除する能力を追加することができる。
次に、図面を参照して、本発明の実施の形態を説明する。以下の図面の記載において、同一又は類似の部分には同一又は類似の符号を付している。ただし、図面は模式的なものであることに留意すべきである。
<第1の実施の形態>
(不正アクセス防止装置)
本発明の実施の形態に係る不正アクセス防止装置100は図1に示すように、複数のネットワーク外クライアント端末13a、13b、13cおよび複数のネットワーク内クライアント端末14a、14b、14cとルータ11を介して接続されている。更に複数のネットワーク内サーバ装置15a、15b、15cと接続されている。不正アクセス防止装置100はこれらのクライアント端末側およびサーバ装置側装置間のパケット転送を行っている。ネットワーク外クライアント端末はルータ11に、インターネット12等を介して接続されている。
不正アクセス防止装置100は、パスワードクラック度記憶部3、遅延時間算出部4、パケット転送部5、クライアント側インタフェース7、サーバ側インタフェース8及びパスワードクラック度処理部9等を備えている。
パケット転送部5は、クライアントとサーバ装置の間の通信に関わるパケットを転送する機能を持つ。パケット転送部5は保留部6を備える。保留部6は保留手段であり、遅延時間算出部4によって算出された遅延時間が経過するまで認証結果の通知を保留する。
パスワードクラック度処理部9は、パスワードクラックの試みがなされている可能性を示すパスワードクラック度を算出する為の変数、係数および所定データ等を取得し、遅延時間算出部4に出力する機能を持つ。パスワードクラック度処理部9はパケット解析部1およびパスワードクラック度算出部2を備えている。
パケット解析部1は、パケット解析手段であり、サーバ装置よりクライアント端末に対する認証結果を受信し、認証結果を解析して認証成功の通知又は認証失敗の通知、およびクライアント端末を特定するクライアント識別情報を検出する。パケット解析部1は、認証失敗検出部1a、認証成功検出部1bおよびクライアント識別情報抽出部1c等を備えている。認証失敗検出部1aは、サーバ装置15a〜15cでの認証処理が失敗したことを検出する。認証成功検出部1bは、サーバ装置15a〜15cでの認証処理が成功したことを検出する。クライアント識別情報抽出部1cは、送受信されるパケットよりクライアント識別情報を抽出する。
クライアント側から送信されるパケットは、一例として図2(a)のように、サーバ識別情報、クライアント識別情報、要求リソース識別情報、ユーザIDおよびパスワード等より構成される。サーバ識別情報は図1のサーバ装置15a〜15cのIPアドレス(192.168.1.200〜192.168.1.202)などである。クライアント識別情報は図1のクライアント端末13a〜14cのIPアドレス(10.0.0.1〜192.168.0.33)などである。要求リソース識別情報はサーバのURL等である。ユーザIDはサーバアクセスの際の認証処理に使用される予め各ユーザに割り当てられているIDである。パスワードはサーバアクセスの際の認証処理に使用される予め各ユーザが設定しているパスワードである。サーバ側から送信されるパケットは、一例として図2(b)のように、クライアント識別情報、サーバ識別情報および認証結果等から構成される。認証結果はアクセス要求を受けたサーバ装置15a〜15cが要求元クライアント端末へ対し、アクセスの許可、不許可を伝達する為のデータである。
パスワードクラック度算出部2は、パスワードクラック度算出手段であり、認証成功の通知及び認証失敗の通知を基にパスワードクラック度記憶手段内の係数を更新する。又、パケット解析部1より取得する送信されたパケットが示す認証失敗若しくは成功情報、クライアント識別情報、サーバ識別情報等と、パスワードクラック度記憶部3が保持するパスワードクラック度を算出する為の変数、係数および所定データ等を取得する。
パスワードクラック度記憶部3は、パスワードクラック度記憶手段であり、パスワードクラックの試みがなされている可能性を示すパスワードクラック度を算出する為の係数を格納する。
遅延時間算出部4は、遅延時間算出手段であり、パスワードクラック度記憶部3より取得した係数を基に、クライアント端末へ対し認証結果の通知を送信する際の遅延時間を算出する。又、パケット転送部5の保留部6に対し、算出した遅延時間の間、パケットを保留する指示を出す。
クライアント側インタフェース7はクライアント端末13a〜14cとパケットを送受信する機能を持つ。サーバ側インタフェース8はサーバ装置15a〜15cとパケットを送受信する機能を持つ。
(不正アクセス防止方法)
以下、不正アクセス防止装置100の動作について図3のフローチャートを参照して説明する。尚、図1のパスワードクラック度記憶部3には、図4および図5のようなテーブルが格納されているものとする。
(a)先ずステップS101において、図1のパケット転送部5が何かのパケットを受信すると、ステップS102において、そのパケットがクライアント側からサーバ側へのものか、サーバ側からクライアント端末へのものかを判断する。クライアント側からサーバ側へのパケットである場合、図2(a)のサーバ識別情報が示すサーバ装置15a〜15cへ転送する(S109)。サーバ側からクライアント端末へのパケットである場合ステップS103に進み、認証結果通知のパケットであるか否かを判断する。認証結果通知のパケットでない場合、そのパケットはクライアント側へ転送する(S109)。認証結果通知のパケットである場合、ステップS104に進み、認証失敗検出部1aが認証結果が失敗であるかを検出し、認証成功検出部1bが認証結果が成功であるかを検出する。クライアント識別情報抽出部1cは、クライアント端末13a〜14cのIPアドレスを検出する。
(b)認証結果が失敗であった場合、ステップS106において、パスワードクラック度算出部2は、パスワードクラック度記憶部3より係数を取得する。第1の実施の形態では係数として図4のようなこれまで行ったクライアントIPアドレス毎の連続失敗回数の計数値を使用する。パスワードクラック度算出部2は、パスワードクラック度記憶部3に保持されたクライアントのIPアドレスに対応する計数値を加算する。すなわち、クライアントIPアドレスが「192.168.0.32」であった場合、対応する計数値を検索し、図4の場合「7」であったものを、「8」へと増加させる。パスワードクラック度算出部2は、増加後の計数値である8を、パスワードクラック度の値として出力する。
(c)ステップS107において、パスワードクラック度算出部2から、パスワードクラック度値として8を受信した遅延時間算出部4は、この8という値に基づき、遅延時間を算出する。パスワードクラック度が高いほど、長い遅延時間とすべきであることは勿論である。ここでは、パスワードクラック度をpとして、仮に、遅延時間算出式を2−1とすると、遅延時間は255秒となる。遅延時間を算出した遅延時間算出部4は、保留部6に、255秒という遅延時間を通知する。尚、上記では計算式を用いて計算しているが、図5のように予め遅延時間のテーブルを作成してパスワードクラック度記憶部3に格納しておき、それを参照して遅延時間を決定しても構わない。
(d)ステップS108においては、遅延時間255秒と保留部6は、サーバ側インタフェース8にて受信したサーバ装置15a〜15cからの認証失敗の通知を、指定された255秒間保留する。この255秒が経過したのちに、パケット転送部5はクライアント側インタフェース7を介して、認証失敗の通知を送信元のクライアント端末13a〜14cへと送出する。
この際、遅延時間の起点として、サーバ側インタフェース8が、サーバ装置15a〜15cからの認証失敗の通知を受信した時刻を用いる方法や、当該受信したサーバ装置15a〜15cからの認証失敗の通知よりも前に、当該クライアント端末13a〜14cへサーバ装置15a〜15cから認証失敗の通知が行なわれた時刻を用いる方法などが考えられるが、いずれにしてもその効果は同様である。
又、遅延時間の間に新たなパケットを受信した場合、遅延時間の終了まで保留部6で保留しても良いし、そのまま廃棄しても良い。
(e)尚、認証が成功していた場合、ステップS110にて、認証成功処理を行う。認証成功処理としては、例えば、図4の認証失敗回数を0に設定する。これにより、ステップS107の遅延時間は0となり、ステップS108にて保留部6は認証成功の通知を保留すること無く、送信元のクライアント端末13a〜14cに送信する(S109)。
上記によると、あるクライアント端末がパスワードクラック攻撃を行なっている場合、パスワードクラック度算出部2から出力されるパスワードクラック度は、加算され、遅延時間は、図5のように次第に延長されていく。これにより、悪意の第三者のクライアント端末が、辞書にある単語を片端から入力して試したり、考えられる全ての鍵をリストアップしてクラッキングを試みようとしても、パスワードが探り当てられる可能性を低くすることができる。例えば、図5の場合、失敗16回目で遅延時間は約18時間となり、一日に十数個のパスワードしか試行できないこととなる。
正当なユーザであっても、パスワードを打ち間違えることにより、2〜3回連続してパスワードを誤ることはあるが、一般的なユーザであれば、3回程度の誤りの後には、正しいパスワードが入力可能と思われる。よって、正しいパスワードを含む認証要求が送られると、速やかに認証成功の通知を受けることができ、以降のサーバ装置15a〜15c間のアクセスに支障がでることもない。
このように、本発明の第1の実施の形態によると、正当なユーザのサーバ装置の利用を妨げること無く、パスワードクラック攻撃を排除する事が可能なサーバ装置保護装置を実現することができ、パスワードクラック攻撃の排除に伴う正当なユーザのサーバ装置の利用停止から、管理者が復旧処理を行うための手間をなくすことができる。又、不正アクセス防止装置100を当該サーバ装置とクライアントの間に挿入するのみで上記の効果を得ることができるため、装置追加の際の手間が少なくて済む。
(変更例1)
尚、ステップS107の図4においては、認証失敗の回数のみを数えているが、ステップS110の認証成功処理において、認証成功の回数を図6のように保持することも可能である。この場合、図1の社内ネットワークのクライアント端末14a〜14cのように認証成功回数の多いIPアドレスであれば、遅延時間を少なめに設定したり、社外ネットワークのクライアント端末13a〜13cのように認証成功回数の少ないIPアドレスであれば、遅延時間を多めに設定したりすることができる。
(変更例2)
認証失敗回数および認証成功回数の累積値等を基にして、遅延時間の算出を行う際に、重み係数を使用しても良い。
この場合、図7に示すようになり図1と比較して、パスワードクラック度算出部2が重み係数取得部2aを、パスワードクラック部記憶部3aが図8の重み係数テーブルを更に備えるようにする。これによると、ステップS107の遅延時間算出部4の処理は、図1のIPアドレス192.168.0.31のクライアント端末14aの重み係数は1であるため上記の処理と変わらないが、IPアドレス192.168.0.32のクライアント端末14bの重み係数は10であるため、例えば4回認証に失敗すると(2−1)*重み係数となり、15*10=150で、150秒の遅延時間を算出することとなる。
この重み係数はクライアント端末毎に決定しても良いし、社内ネットワークのクライアント端末14a〜14cと社外ネットワークのクライアント端末13a〜13cを区別するなど端末の配置を鑑みて、図9に示すようにネットワークのアドレス範囲の単位で決定しても良い。
尚、重み係数はIPアドレス毎ではなく、ユーザID毎に設定することも可能である。この場合、図1と比較して図10に示すように、パケット解析部1はユーザID抽出部1dを、パスワードクラック度算出部2はユーザID重み係数取得部2bを、パスワードクラック度記憶部3bは図11のユーザID重み係数テーブルを更に備えるようにする。
ユーザID抽出部1dは、図2(a)の受信パケット毎にユーザIDを抽出し、図11のユーザID重み係数テーブルを参照して重み係数を設定する。図11の重み設定によると、ユーザID「ab00001」を用いてアクセスされた場合に比較して、ユーザID「ab00002」を用いてアクセスされた場合は、パスワードを誤った場合の遅延時間が10倍長くなる。このような構成を取ることにより、例えば、より機密度の高い情報を扱うユーザのユーザIDを用いてアクセスされた場合は、パスワードを誤った場合の遅延時間をより長くする事が可能となり、機密度の高い情報へのアクセスほど、より強固にパスワードクラック攻撃を排除する能力を付加することができる。
(変更例3)
重み付けの他、クライアント端末13a〜14cからサーバ装置15a〜15cへのアクセス要求の送信回数をカウントすることにより、クラッキングを検出することも可能である。この場合、図1と比較して図12に示すよう、パケット解析部1はアクセス要求抽出部1eを、パスワードクラック度算出部2はアクセス回数取得部2cを、パスワードクラック度記憶部3cは図13のクライアントIPアドレスアクセス回数テーブルを更に備えるようにする。
認証成功回数の多いクライアント端末13a〜14cからアクセスされた場合そのアクセスは正当なユーザによるものである可能性が高く、認証成功回数の少ない若しくは0であるクライアント端末13a〜14cからアクセスされた場合は、不正なユーザによるものである可能性が高いと判断することができる。
よって、認証成功回数の少ない若しくは0であるクライアント端末13a〜14cからアクセスされた場合は、認証成功回数の多いクライアント端末13a〜14cからアクセスされた場合と比較して、パスワードを誤った場合の遅延時間を長くする。
このように構成することにより、正当なユーザは遅延時間による不便を被ることがなく、スワードクラック攻撃を排除する能力を付加することができる。
<第2の実施の形態>
第1の実施の形態においてはクライアント端末13a〜14cからのアクセスの注目してクラッキング攻撃の検出を行っていたが、サーバ装置15a〜15cの動作やアクセスに注目することにより、クラッキング攻撃を発見することも可能である。
本発明の第2の実施の形態に係る不正アクセス防止装置200は図14に示すように、パスワードクラック度記憶部30およびパスワードクラック度処理部90を備え、パスワードクラック度処理部90はパケット解析部10とパスワードクラック度算出部20を備える。パケット解析部10は認証失敗検出部1a、認証成功検出部1bおよび送受信するパケットよりサーバIPアドレス等のサーバ識別情報を抽出するサーバ識別情報抽出部10aを備える。その他は図1の不正アクセス防止装置100と同様の構成を有するため説明を省略する。
以下、不正アクセス防止装置200の動作について図15を参照して説明する。
(a)ステップS201〜S203においては、図3のステップS101〜S103と同様にサーバ装置からクライアント端末への認証結果通知のパケットを検出する動作を行う。
(b)ステップS204において、認証失敗検出部1aが認証結果が失敗であるかを検出し、認証成功検出部1bが認証結果が成功であるかを検出する。サーバ識別情報抽出部10aは、サーバ装置15a〜15cのIPアドレスを検出する。認証結果が失敗であった場合、ステップS206において、パスワードクラック度算出部20は、パスワードクラック度記憶部30より係数を取得する。係数としては、例えばサーバIPアドレス毎の連続失敗回数の計数値を使用する。パスワードクラック度算出部20は、パスワードクラック度記憶部30に保持されたサーバのIPアドレスに対応する計数値を加算し、パスワードクラック度の値として出力する。
(c)ステップS207において、パスワードクラック度算出部20から、パスワードクラック度を受信した遅延時間算出部4は、遅延時間を算出する。ステップS208においては、保留部6は、サーバ側インタフェース8にて受信したサーバ装置15a〜15cからの認証失敗の通知を、指定された遅延時間の間保留する。この遅延時間経過後、パケット転送部5はクライアント側インタフェース7を介して、認証失敗の通知を送信元のクライアント端末13a〜14cへと送出する。
このように、サーバ装置15a〜15c毎に遅延時間を設定することにより、例えばクライアント端末14aからサーバ装置15aへの認証要求が連続して失敗している場合でも、クライアント端末14aからサーバ装置15b、15cへの認証要求においては影響を受けない為、正当なユーザへの影響を少なくすることが可能となる。又、サーバ装置15aへのアクセス遅延時間が通常と比べて長すぎるということは、サーバ装置15aがパスワードクラック攻撃を受けている可能性があるため、正当なクライアント端末をそのようなクラック攻撃から守ることが出来、更にこの異変に気づいたクライアント端末が、ネットワーク管理者に通報することも可能となる。
(変更例1)
サーバ装置15a〜15cにおいても、その重要度に応じて重みを設定することができる。
この場合、図14と比較して図16のように、パスワードクラック度算出部20が重み係数取得部20aを、パスワードクラック部記憶部30aが図17のサーバ重み係数テーブルを更に備えるようにする。これにより、ステップS207の遅延時間算出処理は、図14のサーバIPアドレス192.168.1.200のサーバ装置15aおよびサーバIPアドレス192.168.1.202のサーバ装置15cの重み係数は1であるため上記の処理と変わらないが、サーバIPアドレス192.168.1.201のサーバ装置15bの重み係数は10であるため、10倍の遅延時間を設定することとなる。
この重み係数は社内ネットワークのサーバ装置の配置を鑑みて、ネットワークのアドレス範囲の単位で決定しても良い。
このような構成を取ることにより、より機密度の高い情報が格納されているサーバ装置へアクセスされた場合は、パスワードを誤った場合の遅延時間をより長くすることが可能となり、機密度の高い情報へのアクセスほど、より強固にパスワードクラック攻撃を排除する能力を付加することができる。
(変更例2)
サーバ装置15a〜15cのサーバ識別情報として、IPアドレスではなくURLなどのリソースを用いて、そのリソースの重要度に応じて重みを設定することも可能である。
この場合、図14と比較して図18のように、パケット解析部10が要求リソース識別情報抽出部10bを、パスワードクラック度算出部20がリソース重み係数取得部20bを、パスワードクラック部記憶部30bが図19のリソース重み係数テーブルを更に備えるようにする。これにより、ステップS207の遅延時間算出処理は、リソース重み係数取得部20bが取得する図19のリソース重み係数テーブルを基に行われ、「http://abc.def.com/index.html」や「http://abc.def.com/title_logo.jpg」のリソースへのアクセスと比較して「http://abc.def.com/important.dat 」のリソースへのアクセスは、パスワードを誤った場合の遅延時間が10倍長くなるよう設定される。
このような構成を取ることにより、例えば、より機密度の高い情報を示すURLへアクセスされた場合は、パスワードを誤った場合の遅延時間をより長くすることが可能となり、機密度の高い情報へのアクセスほど、より強固にパスワードクラック攻撃を排除する能力を付加することができる。
(変更例3)
重み付けの他、サーバ装置15a〜15cのリソースへのアクセス回数をカウントすることにより、クラッキングを検出することも可能である。
この場合、図14と比較して図20のように、パケット解析部10がアクセス要求抽出部10cを、パスワードクラック度算出部20がリソースアクセス回数取得部20cを、パスワードクラック部記憶部30cが図21のリソースアクセス回数テーブルを更に備えるようにする。これにより、ステップS207の遅延時間算出処理は、リソースアクセス回数取得部20cが取得する図21のアクセス回数を基に算出される。例えば、図21に示す、アクセス回数が多い上段と下段の「http://abc.def.com/index.html」や「http://abc.def.com/title logo.jpg 」へのアクセスと比較して、中段のアクセス回数が少ない「http://abc.def.com/confidential/important.dat」へのアクセスに対しては、パスワードを誤った場合の遅延時間をより長くする。この他、アクセス回数値が0である場合や、アクセス回数値がリソースアクセス回数テーブルに格納されていない場合、アクセス回数として、1以下の値を遅延時間算出部4に渡すことで、遅延時間を長くする。
アクセス回数の少ない若しくは0であるURLは、通常はアクセスされることを想定していないリソースであり、機密度の高い情報が格納されている可能性がある。又、そのようなURLへのアクセスにおいてパスワードを誤るユーザは、不正なユーザの可能性が高いと判断できる。よって、アクセス回数の少ない若しくは0のURLへの接続は、アクセス回数の多いURLへの接続と比較して、パスワードを誤った場合の遅延時間を長くする。
このようにリソースのアクセス回数をカウントするよう構成することにより、正当なユーザが遅延時間による不便を被ることがなく、機密度の高い情報へのアクセスほど、より強固にパスワードクラック攻撃を排除する能力を付加することができる。
本発明の第1の実施の形態に係る不正アクセス防止装置の構造を示す構造図である。 送受信するパケットの構造を示すデータ構造図である。 不正アクセス防止装置のパケット転送動作を示すフローチャートである。 パスワードクラック度記憶部内の認証失敗テーブルを示す図である。 パスワードクラック度記憶部内の遅延時間テーブルを示す図である。 パスワードクラック度記憶部内の認証成功テーブルを示す図である。 本発明の第1の実施の形態の変更例に係る不正アクセス防止装置の構造を示す図である。 パスワードクラック度記憶部内の重み係数テーブルを示す図である。 パスワードクラック度記憶部内の重み係数テーブルを示す図である。 本発明の第1の実施の形態の変更例に係る不正アクセス防止装置の構造を示す図である。 パスワードクラック度記憶部内のユーザID重み係数テーブルを示す図である。 本発明の第1の実施の形態の変更例に係る不正アクセス防止装置の構造を示す図である。 パスワードクラック度記憶部内のクライアントのアクセス回数テーブルを示す図である。 本発明の第2の実施の形態に係る不正アクセス防止装置の構造を示す図である。 不正アクセス防止装置のパケット転送動作を示すフローチャートである。 本発明の第1の実施の形態の変更例に係る不正アクセス防止装置の構造を示す図である。 パスワードクラック度記憶部内のサーバ重み係数テーブルを示す図である。 本発明の第1の実施の形態の変更例に係る不正アクセス防止装置の構造を示す図である。 パスワードクラック度記憶部内のリソース重み係数テーブルを示す図である。 本発明の第1の実施の形態の変更例に係る不正アクセス防止装置の構造を示す図である。 パスワードクラック度記憶部内のリソースアクセス回数テーブルを示す図である。
符号の説明
1…パケット解析部
1a…認証失敗検出部
1b…認証成功検出部
1c…クライアント識別情報抽出部
1d…ユーザID抽出部
1e…アクセス要求抽出部
2…パスワードクラック度算出部
2a…重み係数取得部
2b…サーバID重み係数取得部
2c…アクセス回数取得部
3、3a、3b、3c…パスワードクラック度記憶部
4…遅延時間算出部
5…パケット転送部
6…保留部
7…クライアント側インタフェース
8…サーバ側インタフェース
9…パスワードクラック度処理部
10…パケット解析部
10a…サーバ識別情報抽出部
10b…要求リソース識別情報抽出部
10c…アクセス要求抽出部
11…ルータ
12…インターネット
13a、13b、13c、14a、14b、14c…クライアント端末
15a、15b、15c…サーバ装置
20…パスワードクラック度算出部
20a…サーバ重み係数取得部
20b…リソース重み係数取得部
20c…リソースアクセス回数取得部
30、30a、30b、30c…パスワードクラック度記憶部
90…パスワードクラック度処理部
100、200…不正アクセス防止装置

Claims (4)

  1. ネットワークにおいてクライアント端末とサーバ装置の間に配置される不正アクセス防止装置であって、
    前記サーバ装置より前記クライアント端末に対する認証結果を受信し、前記認証結果を解析して認証成功の通知又は認証失敗の通知、および前記クライアント端末を特定するクライアント識別情報を検出するパケット解析手段と、
    パスワードクラックの試みがなされている可能性を示す値であるパスワードクラック度を算出する為の連続して認証失敗した回数の計数値を前記クライアント識別情報毎に格納するパスワードクラック度記憶手段と、
    前記認証失敗の通知を基に前記パスワードクラック度記憶手段内の前記計数値を加算し前記パスワードクラック度とするパスワードクラック度算出手段と、
    前記パスワードクラック度算出手段より取得した前記パスワードクラック度を基に、前記クライアント端末へ対し前記認証結果の通知を送信する際の遅延時間を算出する遅延時間算出手段と、
    算出された前記遅延時間が経過するまで前記認証結果の通知を保留する保留手段
    とを備え、
    前記クライアント識別情報は、前記サーバ装置での認証に利用するユーザID情報を含み、
    前記パスワードクラック度記憶手段は、前記ユーザID情報として機密の高い情報を扱うユーザのIDには遅延時間が長くなるように設定された重み係数を更に格納し、
    前記遅延時間算出手段は、前記パスワードクラック度及び前記重み係数を基に前記遅延時間を算出し、前記遅延時間は前記パスワードクラック度の増加に伴い指数関数的に増加するように算出される
    ことを特徴とする不正アクセス防止装置。
  2. 前記パスワードクラック度記憶手段は、前記クライアント識別情報として前記クライアント端末のネットワークアドレスの範囲毎に遅延時間算出の係数となる重み係数を格納する
    ことを特徴とする請求項1に記載の不正アクセス防止装置。
  3. ネットワークにおいてクライアント端末とサーバ装置の間に配置される不正アクセス防止プログラムであって、
    前記サーバ装置より前記クライアント端末に対する認証結果を受信し、前記認証結果を解析して認証成功の通知又は認証失敗の通知、および前記クライアント端末を特定するクライアント識別情報を検出するパケット解析手段と、
    パスワードクラックの試みがなされている可能性を示す値であるパスワードクラック度を算出する為の連続して認証失敗した回数の計数値を前記クライアント識別情報毎に格納するパスワードクラック度記憶手段と、
    前記認証失敗の通知を基に前記パスワードクラック度記憶手段内の前記計数値を加算し前記パスワードクラック度とするパスワードクラック度算出手段と、
    前記パスワードクラック度算出手段より取得した前記パスワードクラック度を基に、前記クライアント端末へ対し前記認証結果の通知を送信する際の遅延時間を算出する遅延時間算出手段と、
    算出された前記遅延時間が経過するまで前記認証結果の通知を保留する保留手段
    とを、コンピュータに機能させ、
    前記クライアント識別情報は、前記サーバ装置での認証に利用するユーザID情報を含み、
    前記パスワードクラック度記憶手段は、前記ユーザID情報として機密の高い情報を扱うユーザのIDには遅延時間が長くなるように設定された重み係数を更に格納し、
    前記遅延時間算出手段は、前記パスワードクラック度及び前記重み係数を基に前記遅延時間を算出し、前記遅延時間は前記パスワードクラック度の増加に伴い指数関数的に増加するように算出される
    ことを特徴とする不正アクセス防止プログラム。
  4. 前記パスワードクラック度記憶手段は、前記クライアント識別情報として前記クライアント端末のネットワークアドレスの範囲毎に遅延時間算出の係数となる重み係数を格納する
    ことを特徴とする請求項3に記載の不正アクセス防止プログラム。
JP2008256261A 2008-10-01 2008-10-01 不正アクセス防止装置および不正アクセス防止プログラム Expired - Fee Related JP4334605B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008256261A JP4334605B2 (ja) 2008-10-01 2008-10-01 不正アクセス防止装置および不正アクセス防止プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008256261A JP4334605B2 (ja) 2008-10-01 2008-10-01 不正アクセス防止装置および不正アクセス防止プログラム

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2004333533A Division JP2006146433A (ja) 2004-11-17 2004-11-17 不正アクセス防止装置

Publications (2)

Publication Number Publication Date
JP2009048648A JP2009048648A (ja) 2009-03-05
JP4334605B2 true JP4334605B2 (ja) 2009-09-30

Family

ID=40500737

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008256261A Expired - Fee Related JP4334605B2 (ja) 2008-10-01 2008-10-01 不正アクセス防止装置および不正アクセス防止プログラム

Country Status (1)

Country Link
JP (1) JP4334605B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020126337A (ja) 2019-02-01 2020-08-20 パナソニックIpマネジメント株式会社 顔認証システム、顔認証機、顔認証方法および顔認証プログラム
CN114172723B (zh) * 2021-12-07 2023-07-18 北京天融信网络安全技术有限公司 一种暴力破解检测方法及装置

Also Published As

Publication number Publication date
JP2009048648A (ja) 2009-03-05

Similar Documents

Publication Publication Date Title
JP5382850B2 (ja) クライアントサイド攻撃対抗フィッシング検出
US9112828B2 (en) Method for defending against session hijacking attacks and firewall
US9843590B1 (en) Method and apparatus for causing a delay in processing requests for internet resources received from client devices
US10320848B2 (en) Smart lockout
WO2016006520A1 (ja) 検知装置、検知方法及び検知プログラム
JP2009527855A5 (ja)
US7032026B1 (en) Method and apparatus to facilitate individual and global lockouts to network applications
KR100745044B1 (ko) 피싱 사이트 접속 방지 장치 및 방법
WO2007015253A2 (en) Two-factor authentication employing a user's ip address
CN107347076B (zh) Ssrf漏洞的检测方法及装置
JP6564841B2 (ja) 照合サーバ、照合方法及びコンピュータプログラム
JP2014086822A (ja) 不正アクセス検出方法、ネットワーク監視装置及びプログラム
JP2017076185A (ja) ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラム
US11616774B2 (en) Methods and systems for detecting unauthorized access by sending a request to one or more peer contacts
JP2013122784A (ja) 情報処理方法、情報処理装置及びシステム
JP4334605B2 (ja) 不正アクセス防止装置および不正アクセス防止プログラム
US10757118B2 (en) Method of aiding the detection of infection of a terminal by malware
US20150256505A1 (en) Electronic mail monitoring
JP5336262B2 (ja) ユーザ認証システムおよびユーザ認証方法
JP2012159980A (ja) 識別情報の不正な取得を防止するためのサーバ
JP2006146433A (ja) 不正アクセス防止装置
JP2005328373A (ja) ネットワークセキュリティシステム
JP2013069016A (ja) 情報漏洩防止装置及び制限情報生成装置
JP4991406B2 (ja) 情報処理装置と情報処理方法とプログラム
JP2006252016A (ja) ユーザ認証システム、ユーザ認証サーバ、およびユーザ認証プログラム

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090602

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090623

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120703

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4334605

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130703

Year of fee payment: 4

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees