JP4503260B2 - 不正アクセス監視システム - Google Patents
不正アクセス監視システム Download PDFInfo
- Publication number
- JP4503260B2 JP4503260B2 JP2003333421A JP2003333421A JP4503260B2 JP 4503260 B2 JP4503260 B2 JP 4503260B2 JP 2003333421 A JP2003333421 A JP 2003333421A JP 2003333421 A JP2003333421 A JP 2003333421A JP 4503260 B2 JP4503260 B2 JP 4503260B2
- Authority
- JP
- Japan
- Prior art keywords
- program
- computer
- unauthorized access
- card
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明はネットワークセキュリティに係わり、特にホスト監視型の不正アクセス監視システムに関する。
近年、ネットワークシステムにおいてコンピュータウイルスの不正侵入が大きな関心を集めている。不正侵入するコンピュータウイルスの対策として、既に知られているウイルス(プログラム)の特徴を登録しておき、コンピュータ内の各ファイルをチェックして登録されている特徴をもつプログラムを発見したら駆除するタイプのものが普及している。
また、システムを攻撃するハッカーがウイルス対策システムを解読してしまうと有効に機能しなくなってしまうので、ハッカーによる侵入があったか否かをチェックするシステム状態収拾モジュールがサイバーコンピュータ内にあって、一般操作と差異のない形式で非持続性監視を行い、経験のあるハッカーにもシステム状態収集モジュールの存在を発覚させず、ハッカーによるシステム解読の難度を増加したホストベース侵入検出システムが提案されている(特許文献1)
特開2002−73553号公報
しかし、既に知られているウイルスの特徴を登録しておき、侵入したコンピュータウイルスをチェックする方法では、登録されていないコンピュータウイルスには無防備であり、一旦侵入されると大きな被害を生じてしまう。
また、特許文献1の方法でも、一旦侵入されたときにはハッキング被害の拡大を防止できない。
また、特許文献1の方法でも、一旦侵入されたときにはハッキング被害の拡大を防止できない。
本発明は上記課題を解決しようとするものであり、ネットワークに接続された端末のメモリやファイルに対するサイバーアタックを監視し、被害を最小限にくい止めることを目的とする。
そのために本発明は、ネットワーク接続されたコンピュータ、或いはネットワーク接続されたコンピュータ群に対する監視コンピュータに常駐し、コンピュータのメモリ、ファイルを常時監視する不正アクセス監視モジュールと、ユーザ認証手段とを備えたシステムであって、不正アクセス監視モジュールにより登録値以上の処理を実行するプログラムが検出されたとき、ユーザ認証手段によりユーザ認証を行い、ユーザ認証が成立しないことを条件に、前記プログラムの動作を停止することを特徴とする。
また、本発明は、登録値以上の処理が行われたとき、さらに許可プログラムによるものか否か判断し、許可プログラムによるものでないときプログラムの動作を停止することを特徴とする。
また、本発明は、前記登録値は、単位時間当たりに行われる既存ファイルのリネーム数、削除数、変更数、或いは新規ファイルの作成数、または登録メールアドレスへの一斉メール送信数の登録値であることを特徴とする。
また、本発明は、前記認証手段は、不正アクセス監視モジュールが常駐するコンピュータに接続可能で、個人の認証キーを格納したICカードを含み、入力された個人識別情報とICカードに格納された認証キーに基づいてユーザ認証を行うことを特徴とする。
また、本発明は、前記認証をICカード内で行うことを特徴とする。
そのために本発明は、ネットワーク接続されたコンピュータ、或いはネットワーク接続されたコンピュータ群に対する監視コンピュータに常駐し、コンピュータのメモリ、ファイルを常時監視する不正アクセス監視モジュールと、ユーザ認証手段とを備えたシステムであって、不正アクセス監視モジュールにより登録値以上の処理を実行するプログラムが検出されたとき、ユーザ認証手段によりユーザ認証を行い、ユーザ認証が成立しないことを条件に、前記プログラムの動作を停止することを特徴とする。
また、本発明は、登録値以上の処理が行われたとき、さらに許可プログラムによるものか否か判断し、許可プログラムによるものでないときプログラムの動作を停止することを特徴とする。
また、本発明は、前記登録値は、単位時間当たりに行われる既存ファイルのリネーム数、削除数、変更数、或いは新規ファイルの作成数、または登録メールアドレスへの一斉メール送信数の登録値であることを特徴とする。
また、本発明は、前記認証手段は、不正アクセス監視モジュールが常駐するコンピュータに接続可能で、個人の認証キーを格納したICカードを含み、入力された個人識別情報とICカードに格納された認証キーに基づいてユーザ認証を行うことを特徴とする。
また、本発明は、前記認証をICカード内で行うことを特徴とする。
本発明は、ネットワークに接続された端末のメモリやファイルに対するサイバーアタックを監視し、不正侵入があっても被害を最小限にくい止めることが可能である。
以下、本発明の実施の形態について説明する。
本実施形態の不正監視システムは、ファイヤーウォールやネットワーク型不正アクセス監視プログラムがハッカーに破られた場合、あるいは内部侵入者による不正操作があった場合に、被害を最小限にくい止めようとするものである。すなわち、コンピュータのメモリやファイルを常時監視し、所定時間に所定量以上の既存ファイルのリネーム、削除、変更、新規ファイルの作成が行われたとき、或いは所定数以上の登録メールアドレスへの一斉メール送信が行われたときなど、通常プログラムとは異なる処理が行われた場合に、ハッキンクプログラムによるものと判断し、予め許可されたユーザによる命令であるか否か確認のためPIN(個人識別番号)入力を促し、正しいPINが入力された場合は不正アクセスではないものと結論して動作を続け、誤ったPINが入力された場合には、全ファイルの変更を禁止(停止)する。
本実施形態の不正監視システムは、ファイヤーウォールやネットワーク型不正アクセス監視プログラムがハッカーに破られた場合、あるいは内部侵入者による不正操作があった場合に、被害を最小限にくい止めようとするものである。すなわち、コンピュータのメモリやファイルを常時監視し、所定時間に所定量以上の既存ファイルのリネーム、削除、変更、新規ファイルの作成が行われたとき、或いは所定数以上の登録メールアドレスへの一斉メール送信が行われたときなど、通常プログラムとは異なる処理が行われた場合に、ハッキンクプログラムによるものと判断し、予め許可されたユーザによる命令であるか否か確認のためPIN(個人識別番号)入力を促し、正しいPINが入力された場合は不正アクセスではないものと結論して動作を続け、誤ったPINが入力された場合には、全ファイルの変更を禁止(停止)する。
図1は本実施形態の不正監視システムを説明する概念図である。
コンピュータ1はインターネット網等のネットワーク3に接続されており、後述する常駐型の不正アクセス監視プログラムが搭載されている。コンピュータ1にはICカード2が接続可能で、ICカードにはコンピュータ1を使用するユーザの認証キーが格納されている。なお、ここでは不正アクセス監視プログラムをネットワーク接続されたコンピュータ毎に常駐させる場合について説明するが、ネットワーク接続されたコンピュータ群に対する監視コンピュータに常駐させるようにしてもよい。
コンピュータ1はインターネット網等のネットワーク3に接続されており、後述する常駐型の不正アクセス監視プログラムが搭載されている。コンピュータ1にはICカード2が接続可能で、ICカードにはコンピュータ1を使用するユーザの認証キーが格納されている。なお、ここでは不正アクセス監視プログラムをネットワーク接続されたコンピュータ毎に常駐させる場合について説明するが、ネットワーク接続されたコンピュータ群に対する監視コンピュータに常駐させるようにしてもよい。
まず、ユーザは、ネットワークコンピュータ1の起動時にICカード2を使用して認証を受ける。この認証はICカード2をコンピュータ1に接続して認証プログラムを起動させ、PIN入力することにより行われる。なお、認証処理は認証キーが外部に漏れないようにICカード内で行うことが望ましい。これは、不正アクセスを行うコンピュータウイルスは、ICカード内のPINを知ることができないからである。
次いで、ユーザレベルに応じてICカードに格納されている不正アクセス監視プログラムの可変項目に対応した登録値をプログラムに設定する。例えば、1秒間に20個以上のファイルに対する変更、削除、リネーム、新規ファイルの作成は不正、30件以上の一斉メール送信は不正とするなどの設定を行う。もちろん、この設定値は可変であり、コンピュータ毎、あるいはICカード毎に登録可能であり、こうすることによりコンピュータ毎あるいはユーザ(ICカード)毎にアクセスコントロールが可能である。そして、設定値以上の処理を行うプログラムが検出されると一旦その動作を停止させる。
なお、コンピュータとICカードとは1対1の対応でなくてもよく、例えばネットワーク上の1つ以上のセキュリティ管理者がコンピュータに不正プログラムが検出されたときに認証を求めるようにしてもよい。さらにセキュリティ管理者の不正を防止するために設定した人数のセキュリティ管理者の認証を求めるようにしてもよい。
また、上記説明ではユーザ認証をICカードを利用して行うようにしたが、ICカードを用いないユーザ認証も可能である。例えば、パスワード入力を求めるプログラムによる認証でもよく、或いは認証を求めるプログラムが表示した文字列や数値、色などの入力をユーザに求めるようにしてもよい。
図2は設定値以上の処理を検出する方法を説明するために模式的に示した概念図である。
プログラム10はコンピュータ内にあって処理を行うプログラムであり、例えば、ファイル作成、ファイル削除、ファイルのリネーム、或いはメール送信などの処理を行うものとする。これらの処理を行う場合にはOS13が管理するディレクトリ12にアクセスして該当する処理を行うプログラムを取得し、次いでメモリやファイルを概念的に示したメモリ/ファイル15にアクセスしてファイル作成、ファイル削除、ファイルのリネーム、或いはメール送信等が行われる。なお、10はAPI(アプリケーションインタフェース)を示している。そこで、本実施形態では、プログラム10がファイル作成等のためにディレクトリ12にアクセスするときに、情報収集モジュール11でこれを一旦横取りして1秒間に何回ディレクトリにアクセスしたかを監視し、所定回数以上であれば不正アクセスであると判断する。
プログラム10はコンピュータ内にあって処理を行うプログラムであり、例えば、ファイル作成、ファイル削除、ファイルのリネーム、或いはメール送信などの処理を行うものとする。これらの処理を行う場合にはOS13が管理するディレクトリ12にアクセスして該当する処理を行うプログラムを取得し、次いでメモリやファイルを概念的に示したメモリ/ファイル15にアクセスしてファイル作成、ファイル削除、ファイルのリネーム、或いはメール送信等が行われる。なお、10はAPI(アプリケーションインタフェース)を示している。そこで、本実施形態では、プログラム10がファイル作成等のためにディレクトリ12にアクセスするときに、情報収集モジュール11でこれを一旦横取りして1秒間に何回ディレクトリにアクセスしたかを監視し、所定回数以上であれば不正アクセスであると判断する。
こうして、設定値以上の処理が行われた場合、認証ユーザによるものなのかを判断する。この判断は、ユーザに対してPIN入力を促し、ICカードに格納された認証キーにより入力されたPINが正しいか否かにより行う。認証の結果正しいPINが入力されたと判断した場合には動作を再開し、不正アクセスであると判断した場合は、コンピュータの一切の変更を禁止すると共に、ビープ音、画面表示、システム管理端末への通知(メールや画面)等による警告を出す。なお、ユーザ認証はICカード内で行うことが望ましく、さらにバイオメトリクス情報を併用しても良い。
不正監視プログラムによる不正アクセスの監視は、コンピュータのログオフまで継続する。また、ICカードが非接触型である場合、ユーザがICカードとともに離席した場合には、登録値(1秒間20個、一斉メール送信30件等)をリセットし、最も難しいレベルのデフォルト値に戻すか、あるいはファイル作成、ファイル削除、ファイルのリネーム、或いはメール送信等一切許可しないようにしてもよい。
なお、不正アクセスか否かを判断する場合、設定値以上の処理が類似動作を行う許可プログラムやアプリケーションによるものか否かのチェックを加えるようにしてもよい。許可プログラムやアプリケーションは予めシステム登録しておき、登録したものに該当するか否かの照合により容易に判断することができる。このように監視動作に類似した動作を行うプログラムは予めシステム登録しておくことで、システム(監視対象の限定)やユーザ(PIN入力)に負担をかけないようにすることができる。
図3は不正監視処理フローの例を説明する図である。なお、この処理フローではプログラムの動作停止があった場合に、許可プログラムか否かの判断も加えるようにした例を示している。
不正アクセスの監視を行い、不正動作の検出が行われると(ステップS1、S2)、プログラムの動作を停止する(ステップS3)。次いで、不正動作が許可プログラムが原因なのか否かチェックする(ステップS4)。許可プログラムはシステム登録しておくことで、容易にチェックすることができる。許可プログラムが原因でない場合には、PIN入力を求め(ステップS5)、正規のPIN入力か否かを判断し(ステップS6)、正規のPINでない場合には不正アクセスを警告する(ステップS7)。ステップS4で許可プログラムが原因の場合、ステップS6で正規のPINである場合には、動作を再開し(ステップS8)、ステップS1に戻って不正アクセスの監視を行う。
不正アクセスの監視を行い、不正動作の検出が行われると(ステップS1、S2)、プログラムの動作を停止する(ステップS3)。次いで、不正動作が許可プログラムが原因なのか否かチェックする(ステップS4)。許可プログラムはシステム登録しておくことで、容易にチェックすることができる。許可プログラムが原因でない場合には、PIN入力を求め(ステップS5)、正規のPIN入力か否かを判断し(ステップS6)、正規のPINでない場合には不正アクセスを警告する(ステップS7)。ステップS4で許可プログラムが原因の場合、ステップS6で正規のPINである場合には、動作を再開し(ステップS8)、ステップS1に戻って不正アクセスの監視を行う。
以上のように本発明によれば、ネットワークに接続された端末のメモリやファイルに対するサイバーアタックを監視し、不正侵入があっても被害を最小限にくい止めることが可能であり、産業上の利用価値は大きい。
1…コンピュータ、2…ICカード、3…ネットワーク、10…プログラム、11…情報収集モジュール、12…ディレクトリ、13…OS、14…API、15…メモリ/ファイル。
Claims (1)
- ネットワーク接続されたコンピュータ、或いはネットワーク接続されたコンピュータ群に対する監視コンピュータに常駐し、コンピュータのメモリ、ファイルを常時監視する不正アクセス監視モジュールと、
前記コンピュータの起動時に使用するICカード内に個人の認証キーが格納されたユーザ認証手段とを備えたシステムであって、
前記不正アクセス監視モジュールにより、OSが管理するディレクトリへのアクセスを監視し、ディレクトリへのアクセス回数が所定回数以上である複数の機能を有するプログラムが検出されたとき、ユーザ認証手段によりICカード内でユーザ認証を行い、ユーザ認証が成立しないことを条件に前記プログラムの動作を停止することを特徴とする不正アクセス監視システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003333421A JP4503260B2 (ja) | 2003-09-25 | 2003-09-25 | 不正アクセス監視システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003333421A JP4503260B2 (ja) | 2003-09-25 | 2003-09-25 | 不正アクセス監視システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005100124A JP2005100124A (ja) | 2005-04-14 |
| JP4503260B2 true JP4503260B2 (ja) | 2010-07-14 |
Family
ID=34461429
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003333421A Expired - Fee Related JP4503260B2 (ja) | 2003-09-25 | 2003-09-25 | 不正アクセス監視システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4503260B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100897849B1 (ko) | 2007-09-07 | 2009-05-15 | 한국전자통신연구원 | 비정상 프로세스 탐지 방법 및 장치 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1093557A (ja) * | 1996-09-13 | 1998-04-10 | Toshiba Corp | 通信監査装置及び通信監査方法 |
| JP2003067210A (ja) * | 2001-08-22 | 2003-03-07 | Just Syst Corp | プログラム実行防止装置、プログラム実行防止方法、その方法をコンピュータに実行させるプログラムおよびそのプログラムを記録したコンピュータ読み取り可能な記録媒体 |
| JP2003162423A (ja) * | 2001-11-27 | 2003-06-06 | Nec Corp | 通信システム用のウイルス除去方法とそのプログラム及びこれらを用いた通信システム、サーバ |
| JP2003173315A (ja) * | 2001-12-05 | 2003-06-20 | Fumio Mizoguchi | 通信管理装置及び管理プログラム |
| JP2003233521A (ja) * | 2002-02-13 | 2003-08-22 | Hitachi Ltd | ファイル保護システム |
| JP2003241989A (ja) * | 2002-02-15 | 2003-08-29 | Toshiba Corp | コンピュータウイルス発生検出装置、方法、およびプログラム |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4207292B2 (ja) * | 1999-03-03 | 2009-01-14 | 沖電気工業株式会社 | 端末装置のアクセス制限システム及びicカード |
| JP2001202336A (ja) * | 2000-01-20 | 2001-07-27 | Nippon Telegr & Teleph Corp <Ntt> | 本人認証方法およびこの方法を実施する装置 |
-
2003
- 2003-09-25 JP JP2003333421A patent/JP4503260B2/ja not_active Expired - Fee Related
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1093557A (ja) * | 1996-09-13 | 1998-04-10 | Toshiba Corp | 通信監査装置及び通信監査方法 |
| JP2003067210A (ja) * | 2001-08-22 | 2003-03-07 | Just Syst Corp | プログラム実行防止装置、プログラム実行防止方法、その方法をコンピュータに実行させるプログラムおよびそのプログラムを記録したコンピュータ読み取り可能な記録媒体 |
| JP2003162423A (ja) * | 2001-11-27 | 2003-06-06 | Nec Corp | 通信システム用のウイルス除去方法とそのプログラム及びこれらを用いた通信システム、サーバ |
| JP2003173315A (ja) * | 2001-12-05 | 2003-06-20 | Fumio Mizoguchi | 通信管理装置及び管理プログラム |
| JP2003233521A (ja) * | 2002-02-13 | 2003-08-22 | Hitachi Ltd | ファイル保護システム |
| JP2003241989A (ja) * | 2002-02-15 | 2003-08-29 | Toshiba Corp | コンピュータウイルス発生検出装置、方法、およびプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005100124A (ja) | 2005-04-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109583193B (zh) | 目标攻击的云检测、调查以及消除的系统和方法 | |
| US20240037253A1 (en) | Secure computing system | |
| US10162975B2 (en) | Secure computing system | |
| US7818800B1 (en) | Method, system, and computer program product for blocking malicious program behaviors | |
| US20060101128A1 (en) | System for preventing keystroke logging software from accessing or identifying keystrokes | |
| US9118666B2 (en) | Computing device integrity verification | |
| US9767280B2 (en) | Information processing apparatus, method of controlling the same, information processing system, and information processing method | |
| EP2998901B1 (en) | Unauthorized-access detection system and unauthorized-access detection method | |
| KR101744631B1 (ko) | 네트워크 보안 시스템 및 보안 방법 | |
| JP2014509421A (ja) | Usbホストシステムの拡張usbプロトコルスタックのためのセキュリティ手段 | |
| US10033761B2 (en) | System and method for monitoring falsification of content after detection of unauthorized access | |
| KR100788256B1 (ko) | 네트워크를 이용한 웹서버 위변조 모니터링 시스템 및모니터링 방법 | |
| JP2010026662A (ja) | 情報漏洩防止システム | |
| CN112653714A (zh) | 一种访问控制方法、装置、设备及可读存储介质 | |
| KR101228896B1 (ko) | 도메인의 신뢰 ip 주소를 이용한 업데이트 서버 접속 장치 및 방법 | |
| US8453242B2 (en) | System and method for scanning handles | |
| US10320829B1 (en) | Comprehensive modeling and mitigation of security risk vulnerabilities in an enterprise network | |
| WO2017068714A1 (ja) | 不正通信制御装置および方法 | |
| JP4503260B2 (ja) | 不正アクセス監視システム | |
| KR20070019896A (ko) | 유알엘과 중요정보 필터링을 통한 피싱방지 기법 및프로그램 | |
| US10313384B1 (en) | Mitigation of security risk vulnerabilities in an enterprise network | |
| JP6279348B2 (ja) | ウェブ中継サーバ装置、及びウェブページ閲覧システム | |
| KR101153115B1 (ko) | 해킹 툴을 탐지하는 방법, 서버 및 단말기 | |
| Viswanathan et al. | Dynamic monitoring of website content and alerting defacement using trusted platform module | |
| Venter et al. | Harmonising vulnerability categories |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060807 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090917 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090925 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091117 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20091211 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100309 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20100317 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100416 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100421 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4503260 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130430 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140430 Year of fee payment: 4 |
|
| LAPS | Cancellation because of no payment of annual fees |