JP4984531B2 - サーバ監視プログラム、中継装置、サーバ監視方法 - Google Patents
サーバ監視プログラム、中継装置、サーバ監視方法 Download PDFInfo
- Publication number
- JP4984531B2 JP4984531B2 JP2006001007A JP2006001007A JP4984531B2 JP 4984531 B2 JP4984531 B2 JP 4984531B2 JP 2006001007 A JP2006001007 A JP 2006001007A JP 2006001007 A JP2006001007 A JP 2006001007A JP 4984531 B2 JP4984531 B2 JP 4984531B2
- Authority
- JP
- Japan
- Prior art keywords
- server
- relay
- information
- unauthorized access
- monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0811—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Description
本発明は、不正アクセスによるサーバの異常の監視を行うサーバ監視プログラム、サーバ監視装置、サーバ監視方法に関するものである。
近年、個人情報漏洩による企業の信頼喪失の問題が注目されるとともに、個人情報保護法により、コンピュータにおける情報漏洩や不正アクセスの記録を残し、不正の痕跡を証明する監査証跡(コンピュータ・フォレンジック)とすることが要求されている。システム操作の証跡としては、「誰が」「いつ」「どのクライアントから」「何をしたか」という情報が必要であり、また記録された情報自体の改竄を防ぐことが求められる。
次に、従来の監査証跡取得技術について説明する。
従来の第1の監査証跡取得技術として、アプリケーションレベルでサーバに導入され、サーバの監視を行うものがある。例えば、クライアントからの操作の仲介を行い、登録されたユーザ、登録されたアプリケーション、登録されたコマンドのみを許可するものがある。また、登録されたファイル群を定期的に監視し、登録時と比較することにより、ファイルの改竄を検出するものがある。更に、ファイル操作イベントを監視することにより、リアルタイムでファイルの監視を行うものがある。
また、従来の第2の監査証跡取得技術として、カーネルレベルでサーバに導入され、サーバの監視を行うものがある。例えば、プロセスやユーザごとに必要最小限の操作権限を細かく設定し、判定し、記録するものがある。このサーバの管理者であっても特定の権限がなければ改竄は不可能である。また、アプリケーション毎に対応する必要がない。
従来の第3の監査証跡取得技術として、外部ネットワークとサーバの間に設置された中継装置により、サーバへのアクセスの監視を行うものがある。特許文献1に開示された技術は、個々の計算機への不正なアクセスによる情報の漏洩を未然に防止するために、中継するファイヤウォールで認証やアクセス拒絶などの判定と中継を行うものである。また、特許文献2に開示された技術は、端末装置へのアクセスは全て不正侵入検知代理サーバを介して行い、プロトコル違反、不正侵入コマンド、不正アクセス結果のログ確認により不正侵入検知を行うものである。また、特許文献3に開示された技術は、クライアントとサーバの間を中継接続装置で接続し、中継接続装置が通信手順(プロトコル)やポート番号でアクセス拒否を行い、各サーバのログを集約することで監査証跡とするものである。
しかしながら、システム内部のオペレータが情報を持ち出した場合や、不正アクセス者がセキュリティホールなどを利用してシステム管理アカウント情報(例えばroot権限のパスワード)などを取得した場合など、証跡を取得するサーバの管理者権限が漏洩した場合、次のような問題がある。
まず、不正侵入においてプロトコルやサービスに正常のものを使われると、正常時との区別ができない。また、サーバの管理者権限を持つユーザの不正アクセスは防止できない。例えば、ログが改竄されたり、不正アクセス監視部が改竄されたりすると、証跡にならない。また、中継時のログを取得するだけでは、不正アクセスの証跡を残せない場合がある。例えば、操作や結果を暗号化されると、何かを操作したことはログに残るが、どんな操作をしたのか、どんな情報が漏洩したのかなどを特定できない。
また、大規模なシステム(例えば、銀行などの金融業のシステムにおいてサーバの台数は数百〜数千台にも及ぶ)において、従来のカーネルレベルの不正アクセス防止と証跡の技術には、次のような問題がある。カーネル変更は、再起動が必要であり、サービスが動かなくなる可能性がある。また、数百〜数千のサーバに対するカーネル変更は、莫大な工数(コスト)を要求する。
本発明は上述した問題点を解決するためになされたものであり、サーバの管理者権限が漏洩した場合でも監査証跡の取得を行うことができるサーバ監視プログラム、サーバ監視装置、サーバ監視方法を提供することを目的とする。
上述した課題を解決するため、本発明は、クライアントとサーバの間に接続されたサーバ監視装置のコンピュータに実行させるサーバ監視プログラムであって、前記クライアントと前記サーバの間の中継を行い、該中継に関する情報を中継情報として管理する中継ステップと、前記サーバ監視装置と前記サーバとの通信に基づいて前記サーバが異常であるか否かを判断し、前記サーバが異常であると判断した場合、前記サーバに対する中継に対応する中継情報に含まれる情報をログに記録するサーバ状態監視ステップとをコンピュータに実行させるものである。
また、本発明に係るサーバ監視プログラムにおいて、前記サーバ状態監視ステップは、前記サーバの正常時の通知であるサーバ正常通知を、前記サーバ監視装置が受信できなかった場合、前記サーバが異常であると判断することを特徴とするものである。
また、本発明に係るサーバ監視プログラムにおいて、前記サーバ正常通知は、前記サーバから所定のタイミングで前記サーバ監視装置へ送信され、前記サーバ状態監視ステップは、所定の期間、前記サーバ監視装置が前記サーバ正常通知を受信できなかった場合、前記サーバが異常であると判断することを特徴とするものである。
また、本発明に係るサーバ監視プログラムにおいて、前記サーバ状態監視ステップは、前記サーバ監視装置が前記サーバが異常であることを示すサーバ異常通知を受信した場合、前記サーバが異常であると判断し、前記サーバ異常通知に含まれる情報を、中継情報と対応付けてログに記録することを特徴とするものである。
また、本発明に係るサーバ監視プログラムにおいて、前記サーバ状態監視ステップは、前記サーバが異常であると判断した場合、更に、前記サーバに対する中継を終了させることを特徴とするものである。
また、本発明に係るサーバ監視プログラムにおいて、前記中継ステップは、中継を行っている間だけ、該中継に関する中継情報を管理し、前記サーバ状態監視ステップは、前記サーバが異常であると判断した場合、前記サーバに対応する中継情報を抹消することにより、前記サーバに対する中継を終了させることを特徴とするものである。
また、本発明に係るサーバ監視プログラムにおいて、前記中継情報は、前記クライアントと前記サーバと前記サーバ監視装置のそれぞれのIPアドレスとポート番号を含むことを特徴とするものである。
また、本発明は、クライアントとサーバの間に接続されたサーバ監視装置であって、前記クライアントと前記サーバの間の中継を行い、該中継に関する情報を中継情報として管理する中継部と、前記サーバ監視装置と前記サーバとの通信に基づいて前記サーバが異常であるか否かを判断し、前記サーバが異常であると判断した場合、前記サーバに対する中継に対応する中継情報に含まれる情報をログに記録するサーバ状態監視部とを備えたものである。
また、本発明は、クライアントとサーバの間に接続されたサーバ監視装置を用いるサーバ監視方法であって、前記サーバ監視装置において、前記クライアントと前記サーバの間の中継を行い、該中継に関する情報を中継情報として管理する中継ステップと、前記サーバ監視装置において、前記サーバとの通信に基づいて前記サーバが異常であるか否かを判断し、前記サーバが異常であると判断した場合、前記サーバに対する中継に対応する中継情報に含まれる情報をログに記録するサーバ状態監視ステップとを実行するものである。
また、本発明に係るサーバ監視方法において、更に、前記中継ステップの後、前記サーバにおいて、前記サーバが異常であるか否かを判断し、前記サーバが異常であると判断した場合、該異常の情報を含む通知であるサーバ異常通知を前記サーバ監視装置へ送信するサーバ状態通知ステップを実行することを特徴とするものである。
また、本発明に係るサーバ監視方法において、前記サーバ状態通知ステップは、正常時、前記サーバが正常であることを表す通知であるサーバ正常通知を所定のタイミングで前記サーバ監視装置へ送信し、前記サーバ状態監視ステップは、前記サーバ状態通知ステップからの通知を監視し、所定の期間、前記サーバ状態通知ステップからのサーバ正常通知を受信できなかった場合、前記サーバが異常であると判断することを特徴とするものである。
また、本発明に係るサーバ監視方法において、前記サーバ状態監視ステップは、前記サーバ異常通知を受信した場合、前記サーバが異常であると判断し、前記サーバ異常通知に含まれる異常の情報をログに記録することを特徴とするものである。
また、本発明に係るサーバ監視方法において、前記サーバ状態監視ステップは、前記サーバが異常であると判断した場合、更に、前記サーバに対する中継を終了させることを特徴とするものである。
また、本発明に係るサーバ監視方法において、前記中継ステップは、中継を行っている間だけ、該中継に関する中継情報を管理し、前記サーバ状態監視ステップは、前記サーバが異常であると判断した場合、前記サーバに対応する中継情報を抹消することにより、前記サーバに対する中継を終了させることを特徴とするものである。
また、本発明に係るサーバ監視方法において、更に、前記中継ステップの後、前記サーバにおいて、前記サーバに対する不正アクセスを検知した場合、検知した不正アクセスの情報を不正アクセス情報として出力する不正アクセス監視ステップを実行し、前記サーバ状態通知ステップは、前記不正アクセス監視ステップの出力を取得し、前記不正アクセス監視ステップの出力に基づいて前記サーバが異常であるか否かを判断することを特徴とするものである。
また、本発明に係るサーバ監視方法において、前記不正アクセス監視ステップは、正常時、正常であることを表す正常情報を所定のタイミングで出力し、前記サーバ状態通知ステップは、所定の期間、前記不正アクセス監視ステップからの正常情報を取得できなかった場合、前記サーバが異常であると判断し、該異常の情報を含むサーバ異常通知を前記サーバ監視装置へ送信することを特徴とするものである。
また、本発明に係るサーバ監視方法において、不正アクセス監視ステップは、前記サーバに対する不正アクセスを検知した場合、不正アクセスに関する操作の情報と通信の情報を対応付け、その結果を不正アクセス情報とすることを特徴とするものである。
また、本発明に係るサーバ監視方法において、前記サーバ状態通知ステップは、前記不正アクセス監視ステップにより不正アクセス情報が出力された場合、前記サーバが異常であると判断し、該不正アクセス情報を含むサーバ異常通知を前記サーバ監視装置へ送信することを特徴とするものである。
また、本発明に係るサーバ監視方法において、前記サーバ状態通知ステップは、正常時、正常であることを表す正常情報を所定のタイミングで出力し、更に、前記サーバ状態通知ステップの後、前記サーバにおいて、前記サーバ状態通知ステップの出力を取得し、所定の期間、前記サーバ状態通知ステップからの正常情報を取得できなかった場合、前記サーバが異常であると判断し、該異常の情報をログに記録するサーバ状態通知監視ステップを実行することを特徴とするものである。
また、本発明に係るサーバ監視方法において、前記中継情報は、前記クライアントと前記サーバと前記サーバ監視装置のそれぞれのIPアドレスとポート番号を含むことを特徴とするものである。
本発明によれば、サーバの管理者権限が漏洩した場合でも監査証跡の取得を行うことができる。更に、導入によるサーバへの影響が小さい。
以下、本発明の実施の形態について図面を参照しつつ説明する。
まず、本実施の形態に係るアプリケーションシステムの構成について説明する。
図1は、本実施の形態に係るアプリケーションシステムの構成の一例を示すブロック図である。この監査証跡システムは、ユーザにサービスを提供するサーバアプリケーションが動作する複数のサーバマシン1、複数のクライアントマシン2、本発明のサーバ監視装置であり、複数のサーバマシン1と複数のクライアントマシン2の間の中継を行うアプリケーション中継装置(ATP:Audit Trail Proxy)3、クライアントマシン2とATP3とを接続するネットワーク4を備える。
ATP3は、中継部31、中継情報管理テーブル32、中継ログ33、サーバ状態監視部34を備える。次に、ATP3の各部について説明する。
中継部31は、中継情報管理テーブル32を参照して、クライアントマシン2とサーバマシン1の通信の中継を行い、操作や結果の記録を中継ログ33に記録する。図2は、本実施の形態に係る中継情報管理テーブルにおける中継情報の構成の一例を示す表である。この図に示すように、中継情報管理テーブルは、中継に必要な情報である中継情報として、アクセス元のクライアントマシン2のIPアドレスとポート番号を含むクライアント情報、アクセス先のサーバマシン1のIPアドレスとポート番号を含むサーバ情報、ATP2のローカルIPアドレスとポート番号を含むATP情報を持つ。これらの中継情報の組は、一つの中継ごとに用意され、中継が終了すると削除される。図3は、本実施の形態に係る中継ログのエントリの構成の一例を示す表である。この図に示すように、中継ログ33は、上述したクライアント情報、サーバ情報、ATP情報の他、時間、操作/結果情報を含む。これらの情報の組は、一つの操作や結果ごとにエントリとして記録される。サーバ状態監視部34は、サーバマシン1のサーバ状態通知部15から送信される情報を受信し、不正アクセスがあればその中継を終了するよう指示する中継終了指示を中継部31に出す。
サーバマシン1は、サーバアプリケーション11、サーバ運用情報12、サーバログ13、不正アクセス監視部14、サーバ状態通知部15を備える。次に、サーバマシン1の各部について説明する。
サーバアプリケーション11は、従来と同様であり、ユーザにサービスを提供するアプリケーションであり、例えば、HTTP(HyperText Transfer Protocol),FTP(File Transfer Protocol),TELNET,SSH(Secure SHell)などを用いたものである。サービス運用情報12は、従来と同様であり、サーバアプリケーション11が利用する情報であり、個人情報等、漏洩や改竄が許されない情報である。サーバログ13は、従来と同様であり、サーバアプリケーション11によりその利用状況が記録されるものである。不正アクセス監視部14は、従来の第1の監査証跡取得技術で用いられている、アプリケーションレベルの不正アクセス監視、不正アクセス防止、監査証跡取得のための仕組みである。また、不正アクセス監視部14は、サーバ状態通知部15の監視を行う。サーバ状態通知部15は、不正アクセス監視部14を監視し、不正アクセス監視部14による不正アクセスの監視結果をATP3のサーバ状態監視部34へ通知する。
クライアントマシン2は、サーバアプリケーション11を利用するためのクライアントアプリケーション21を備える。クライアントアプリケーション21は、中継部31を経由してサーバマシン1にアクセスし、サーバアプリケーション11を操作し、その結果を受け取る。
ネットワーク4は、インターネットでも閉域網でもLANでも良い。
次に、本実施の形態に係るアプリケーションシステムの通常時の動作について説明する。
図4は、本実施の形態に係るアプリケーションシステムの通常時の動作の一例を示すシーケンス図である。このシーケンス図において、上から下への流れは時間の流れを表し、縦のレーンは左から順に、クライアントアプリケーション21、中継部31、中継情報管理テーブル32、中継ログ33、サーバ監視部34、サーバアプリケーション11、サーバログ13、不正アクセス監視部14、サーバ状態通知部15の動作を表す。
まず、クライアントアプリケーション21がサーバアプリケーション11への接続要求を行うと(S21)、中継部31は、この接続要求を中継ログ33に記録し(S22)、中継情報を中継情報管理テーブル32に登録し(S23)、この接続要求をサーバアプリケーション11へ転送する(S24)。接続要求を受け取ったサーバアプリケーション11は、接続を開始し、動作の内容をサーバログ13に記録する(S25)。
また、クライアントアプリケーション21がサーバアプリケーション11への操作を行うと(S31)、中継部31は、この操作を中継ログ33に記録し(S32)、サーバアプリケーション11に転送する(S34)。操作を受け取ったサーバアプリケーション11は、操作を実行し、動作の内容をサーバログ13に記録し(S35)、操作の結果を中継部31に返答する(S36)。操作の結果を受け取った中継部31は、中継ログ33に記録し(S37)、操作の結果をクライアントアプリケーション21に転送する(S38)。この処理S31〜S38は、以後、操作の度に繰り返される。
また、クライアントアプリケーション21が接続終了要求を行うと(S41)、中継部31は、この接続終了要求を中継ログ33に記録し(S42)、接続終了要求をサーバアプリケーション11に転送し(S43)、中継情報を中継情報管理テーブル32から抹消する(S44)。接続終了要求を受け取ったサーバアプリケーション11は、接続を終了し、動作の内容をサーバログ13に記録し(S45)、このシーケンスを終了する。
次に、サーバ状態監視部34によるサーバ状態通知部15の監視の動作について説明する。
図5は、本実施の形態に係るサーバ状態監視部34によるサーバ状態通知部15の監視の動作の一例を示すシーケンス図である。まず、サーバ状態通知部15が起動すると、サーバ状態監視部34に対してTCP(Transmission Control Protocol)セッションを確立し、登録を行う(S51)。次に、サーバ状態通知部15は、自身が正常に動作していることを示すalive報告を、定期的にサーバ状態監視部34へ通知する(S52,S53,S54)。また、サーバ状態通知部15が正常に終了されるときは、正常終了をサーバ状態監視部34へ通知し(S55)、TCPセッションを終了する。また、サーバ状態監視部34は、このTCPセッション中に、TCPセッションが切断された場合や、一定期間、サーバ状態通知部15からのalive報告がなかった場合、サーバ状態通知部15が停止したと判断する。
次に、サーバ状態通知部15による不正アクセス監視部14の監視の動作について説明する。
図6は、本実施の形態に係るサーバ状態通知部15による不正アクセス監視部14の監視の動作の一例を示すシーケンス図である。サーバ状態監視部34によるサーバ状態通知部15の監視と同様に、不正アクセス監視部14はサーバ状態通知部15に登録され(S61)、TCPセッションを開始し、不正アクセス監視部14はサーバ状態通知部15へ定期的なalive報告(S62,S63,S64)を、正常にTCPセッションを終了する(S63)まで行う。サーバ状態通知部15は、不正アクセス監視部14とのTCPセッション中に、TCPセッションが切断された場合や、一定期間、不正アクセス監視部14からのalive報告がなかった場合、不正アクセス監視部14が停止したと判断する。
次に、不正アクセス監視部14によるサーバ状態通知部15の監視の動作について説明する。
図7は、本実施の形態に係る不正アクセス監視部14によるサーバ状態通知部15の監視の動作の一例を示すシーケンス図である。サーバ状態監視部34によるサーバ状態通知部15の監視と同様に、サーバ状態通知部15は不正アクセス監視部14に登録され(S71)、TCPセッションを開始し、サーバ状態通知部15は不正アクセス監視部14へ定期的なalive報告(S72,S73,S74)を、正常にTCPセッションを終了する(S73)まで行う。不正アクセス監視部14は、サーバ状態通知部15とのTCPセッション中に、TCPセッションが切断された場合や、一定期間、サーバ状態通知部15からのalive報告がなかった場合、サーバ状態通知部15が停止したと判断する。なお、この不正アクセス監視部14によるサーバ状態通知部15の監視は、行わない構成としても良い。
なお、図5〜図7におけるalive報告は、なりすましを防ぐためにワンタイムパスワードなどで暗号化されても良い。
次に、本実施の形態に係るアプリケーションシステムにおける不正アクセス時の動作について3つのケースについて説明する。
まず、第1のケースとして、クライアントアプリケーション21からの不正アクセスによりサーバログ13が改竄される(サーバログ13が削除される)場合の動作について説明する。
図8は、本実施の形態に係るアプリケーションシステムにおいて不正アクセスによりサーバログ13が改竄される場合の動作の一例を示すシーケンス図である。クライアントアプリケーション21が不正アクセスによる操作を行うと(S111)、この操作を中継ログ33に記録し(S112)、中継情報を中継情報管理テーブル32に登録し(S113)、この操作をサーバアプリケーション11へ転送する(S114)。操作を受け取ったサーバアプリケーション11は、この操作をサーバログ13に記録する(S115)。サーバアプリケーション11がこの操作を実行することにより、サーバログ13は削除される(S116)。
次に、サーバアプリケーション11は、通常時と同様、操作の結果を中継部31に返答する(S117)。操作の結果を受け取った中継部31は、操作の結果を中継ログに記録し(S118)、クライアントアプリケーション11に操作の結果を転送する(S119)。
一方で、不正アクセス監視部14は、サーバログ13の読み込み、変更、作成、削除、名前変更、属性変更などを監視している。ここで、不正アクセス監視部14は、サーバログ13に対する操作を検知する(例えば、dnotifyなどの技術を用いる)。また、不正アクセス監視部14は、サーバログ13に対する操作を検知した場合、操作を行ったプロセスIDを取得し(例えば、lsofなどの技術を用いる)、取得したプロセスIDの親へと辿ることにより(例えば、procファイルシステムなどの技術を用いる)、階層的なプロセスIDリストを取得する。また、不正アクセス監視部14は、取得した各々のプロセスIDが接続中の通信のアクセス元のIPアドレス、TCP/UDPポート番号を逐次調べ(例えば、netstatなどの技術を用いる)、ATP3との通信があるまで調べる。このようにして、不正アクセス監視部14は、操作のもととなった通信の情報を取得することにより、不正アクセスに関する操作と通信の対応付けを行い、一つの不正アクセス情報とする。
不正アクセス監視部14がサーバログ13の削除を検知すると(S121)、不正アクセス情報をサーバログ13に記録し(S122)、サーバ状態通知部15に通知する(S123)。ここでは、削除されたサーバログ13と同じサーバログ13へ不正アクセスに関する情報を記録しているが、別のサーバログへ不正アクセス情報を記録しても良い。
不正アクセス情報を受け取ったサーバ状態通知部15は、この不正アクセス情報をサーバ状態監視部34に通知する(S124)。図9は、本実施の形態に係るサーバ状態通知部15が通知する不正アクセス情報の一例を示す表である。サーバ状態通知部15がサーバ状態監視部34に通知する不正アクセス情報には、ATP3のIPアドレス、ATP3のTCP/UDPポート番号、サーバアプリケーション11のIPアドレス、サーバアプリケーション11のTCP/UDPポート番号、プロセスID、不正アクセス操作内容が含まれる。なお、上述したように、不正アクセス監視部14が不正アクセスに関する操作と通信の対応付けを行っているが、サーバ状態通知部15が行うようにしても良い。
不正アクセス情報を受け取ったサーバ状態監視部34は、この不正アクセス情報を中継ログ33に記録する(S125)。ここで、サーバ状態監視部34は、サーバ状態通知部15から通知された情報のうち、アクセス元のTCP/UDPポート番号が中継情報管理テーブル32のATP情報に存在するかどうかを調べる。もし存在すれば、その中継が不正アクセスを中継したことになり、対応するクライアントアプリケーション21が不正アクセスを行ったことになる。このとき、サーバ状態監視部34は、中継情報管理テーブル32から不正アクセスに対応するクライアント情報、サーバ情報、中継情報を取得し、サーバ状態通知部15から通知された不正アクセス情報からプロセスIDと不正アクセス操作内容を取得し、さらに時刻を取得し、これらの情報の組を中継ログ33に記録する。次に、サーバ状態監視部34は、対応する中継を終了するよう指示する中継終了指示を、中継部31に通知する(S126)。
中継終了指示を受け取った中継部31は、中継の終了をサーバアプリケーション11に通知し(S127)、対応する中継情報を中継情報管理テーブル32から抹消し(S128)、このシーケンスを終了する。以降、クライアントアプリケーション21からサーバアプリケーション11へ操作を送ろうとしても(S129)、中継情報管理テーブル32に中継情報がないため中継は拒絶される。このようにして、不正アクセスによりサーバログ13の改竄(サーバログ13の削除)が行われたとしても、この不正アクセスは新たなサーバログ13や中継ログ33に記録され、この記録が証跡となる。
なお、不正アクセス情報を受け取ったサーバ状態監視部34は、中継情報管理テーブル32の中継情報をサーバ状態通知部15に渡しても良い。サーバ状態通知部15または不正アクセス監視部14が、中継情報を用いて不正アクセスに対応する通信を探すことにより、不正アクセスに関する操作と通信との対応付けを迅速に行うことができる。
従来の第1の監査証跡取得技術においてサーバログ13が改竄された場合は、証跡が残らなかった。しかし、上述した第1のケースにおける動作によれば、サーバログ13に対する不正アクセスを不正アクセス監視部14が検知し、サーバログ13や中継ログ33に記録することにより、不正アクセスの証跡を確実に残すことができる。更に、中継部31による中継を終了させることにより、更なる不正アクセスを防止することができる。
次に、第2のケースとして、クライアントアプリケーション21からの不正アクセスにより不正アクセス監視部14が停止される場合の動作について説明する。
図10は、本実施の形態に係るアプリケーションシステムにおいて不正アクセスにより不正アクセス監視部14が不正停止される場合の動作の一例を示すシーケンス図である。図10において、図8と同一符号は図8に示された対象と同一又は相当処理を示しており、ここでの説明を省略する。処理S114でサーバアプリケーション11が受け取った操作を実行することにより、不正アクセス監視部14は不正停止される(S136)。次に、操作の結果について、第1のケースと同様の処理S117〜S119が行われる。
上述したように、通常時、不正アクセス監視部14はサーバ状態通知部15に対して定期的なalive報告を行っているが、不正アクセス監視部14の停止により、このalive報告は行われなくなる。サーバ状態通知部15は、不正アクセス監視部14からのalive報告が受信されない場合、不正アクセス監視部14の停止を検知し(S141)、その内容をサーバログ13に記録し(S142)、不正アクセスに関する情報を不正アクセス情報としてサーバ状態監視部34に通知する(S143)。ここでは、サーバログ13へ不正アクセスに関する情報を記録しているが、別のサーバログへ不正アクセスに関する情報を記録しても良い。
次に、サーバ状態監視部34は、不正アクセス監視部14の停止に関する情報を中継ログ33に記録し(S145)、監視対象としているサーバ状態通知部15の動作するサーバマシン1のIPアドレスに対する中継を全て終了するよう指示する中継終了指示を中継部31に通知する(S146)。以後、第1のケースと同様の処理S127〜S128が行われる。
第1のケースのように不正アクセス監視部14が不正アクセスを検知すると、上述したように不正アクセス監視部14が不正アクセスとプロセスIDの対応付けを行う。しかし、第2のケースのように不正アクセス監視部14が停止した場合、サーバ状態通知部15からサーバ状態監視部34へ通知する不正アクセス情報は、不正アクセス操作内容のみであり、どの中継が不正アクセスに対応するかを示す情報は含まれない。
不正アクセス監視部14が停止されると、その後、サーバマシン1に対する不正アクセスが行われてもサーバログ13には何も記録されない状態となる。この状態で更なる不正アクセスが行われ、その操作が暗号化されていたり、通常の操作と見分けが付かないように隠蔽されていたりすると、中継部31では不正アクセスの発見が極めて困難であった。
しかし、上述した第2のケースにおける動作によれば、不正アクセス監視部14の停止をサーバ状態通知部15が検知し、サーバログ13や中継ログ33に記録することにより、不正アクセスの証跡を確実に残すことができる。更に、中継部31による中継を終了させることにより、不正アクセス監視部14が動作していない状態における更なる不正アクセスを防止することができる。
次に、第3のケースとして、クライアントアプリケーション21からの不正アクセスによりサーバ状態通知部15が停止される場合の動作について説明する。
図11は、本実施の形態に係るアプリケーションシステムにおいて不正アクセスによりサーバ状態通知部15が停止される場合の動作の一例を示すシーケンス図である。図11において、図8と同一符号は図8に示された対象と同一又は相当処理を示しており、ここでの説明を省略する。処理S64でサーバアプリケーション11が受け取った操作を実行することにより、サーバ状態通知部15は停止される(S156)。次に、操作の結果について、第1のケースと同様の処理S117〜S119が行われる。
上述したように、通常時、サーバ状態通知部15は不正アクセス監視部14に対して定期的なalive報告を行っているが、サーバ状態通知部15の停止により、このalive報告は行われなくなる。不正アクセス監視部14は、サーバ状態通知部15からのalive報告が受信されない場合、サーバ状態通知部15の停止を検知し(S161)、その内容をサーバログ13に記録する(S162)。ここでは、サーバログ13へ不正アクセスに関する情報を記録しているが、別のサーバログへ不正アクセスに関する情報を記録しても良い。
更に、上述したように、通常時、サーバ状態通知部15はサーバ状態監視部34に対して定期的なalive報告を行っているが、サーバ状態通知部15の停止により、このalive報告は行われなくなる。サーバ状態監視部34は、サーバ状態通知部15からのalive報告が受信されない場合、サーバ状態通知部15の停止を検知する(S163)。
次に、サーバ状態監視部34は、サーバ状態通知部15の停止に関する情報を中継ログ33に記録し(S165)、監視対象としているサーバ状態通知部15の動作するサーバマシン1のIPアドレスに対する中継を全て終了するよう指示する中継終了指示を中継部31に通知する(S166)。以後、第1のケースと同様の処理S127〜S128が行われる。
サーバ状態通知部15が停止されると、その後、不正アクセス監視部14に対する不正アクセスが行われても、検知できない状態となる。この状態で更なる不正アクセスが行われ、その操作が暗号化されていたり、通常の操作と見分けが付かないように隠蔽されていたりすると、中継部31では不正アクセスの発見が極めて困難になる。
しかし、上述した第3のケースにおける動作によれば、サーバ状態通知部15の停止を不正アクセス監視部14やサーバ状態監視部34が検知し、サーバログ13や中継ログ33に記録することにより、不正アクセスの証跡を確実に残すことができる。更に、中継部31による中継を終了させることにより、サーバ状態通知部15が動作していない状態における更なる不正アクセスを防止することができる。
また、サーバログ13、不正アクセス監視部14、サーバ状態通知部15のうち、複数もしくは全てに対して同時に不正アクセスが行われた場合でも、サーバ状態通知部15の停止で中継を終了させることにより、更なる不正アクセスを防止することができる。
なお、ATP3が、予めクライアントマシン2のIPアドレスやクライアントマシン2のユーザの種類などを登録したアクセス許可テーブルを備え、中継部31が、アクセス許可テーブルを参照することにより、クライアントアプリケーション21からの中継の可否を判断するようにしても良い。
また、予め中継を禁ずる操作や結果の条件を登録した操作可否テーブルがATP3に備えられ、中継部31は、操作可否テーブルを参照することにより、条件に該当する操作や結果の中継を拒絶するようにしても良い。例えば、中継部31は、アクセスが禁止されているファイル名が操作に含まれている場合、その中継を拒絶する。また、例えば、中継部31は、個人情報データ列が結果に含まれている場合、その中継を拒絶する。
また、中継ログ33やサーバログ13は、ATP3内に集約しても良いし、ATP3やサーバマシン1とは異なるマシンに存在しても良い。また、クライアントアプリケーション21からの負荷分散のために、ATP3を複数設置しても良い。
また、本実施の形態では、サーバ状態通知部15が不正アクセス監視部14により検知された不正アクセス情報や不正アクセス監視部14の異常を、サーバ状態監視部34へ通知するとしたが、不正アクセス監視部14を用いずに、サーバ状態通知部15がサーバマシン1の異常を検知し、サーバログ13に記録すると共にサーバ状態監視部34へ通知する構成としても良い。
以上、詳述したように、本実施の形態によれば、不正アクセス監視部14の動作をサーバマシン1外のATP3が監視し、不正アクセス監視部14の停止や改竄が行われた場合に、ATP3が中継を遮断することにより、サーバログの改竄やサービス運用情報の漏洩を防止することができる。また、サーバマシン1上では、従来のアプリケーションレベルの不正アクセス監視部と同様の機能を用いており、従来のカーネルレベルの不正アクセス監視部に比べると、サーバへの影響が小さく、導入コストが大幅に削減できる。また、従来のアプリケーションレベルの不正アクセス監視部と異なり、サーバマシン1の管理者権限が漏洩した場合であっても、監査証跡の取得が可能となる。
また、本実施の形態に係るサーバ監視装置は、中継装置に容易に適用することができ、中継装置の性能をより高めることができる。ここで、中継装置には、例えばプロキシサーバ、ブリッジ、スイッチ、ルータ等が含まれ得る。
更に、サーバ監視装置を構成するコンピュータにおいて上述した各ステップを実行させるプログラムを、中継プログラムとして提供することができる。上述したプログラムは、コンピュータにより読取り可能な記録媒体に記憶させることによって、サーバ監視装置を構成するコンピュータに実行させることが可能となる。ここで、上記コンピュータにより読取り可能な記録媒体としては、ROMやRAM等のコンピュータに内部実装される内部記憶装置、CD−ROMやフレキシブルディスク、DVDディスク、光磁気ディスク、ICカード等の可搬型記憶媒体や、コンピュータプログラムを保持するデータベース、或いは、他のコンピュータ並びにそのデータベースや、更に回線上の伝送媒体をも含むものである。
なお、サーバ監視装置は、実施の形態におけるATPに対応する。また、サーバは、実施の形態におけるサーバマシンに対応する。また、クライアントは、実施の形態におけるクライアントマシンに対応する。また、中継ステップと中継部は、実施の形態における中継部、中継情報テーブルに対応する。また、サーバ状態監視ステップとサーバ状態監視部は、実施の形態におけるサーバ状態監視部と中継ログに対応する。また、サーバ状態通知ステップは、実施の形態におけるサーバ状態通知部に対応する。また、不正アクセス監視ステップとサーバ状態通知監視ステップは、実施の形態における不正アクセス監視部に対応する。また、サーバ正常通知、正常情報は、実施の形態におけるalive報告に対応する。
(付記1) クライアントとサーバの間に接続されたサーバ監視装置のコンピュータに実行させるサーバ監視プログラムであって、
前記クライアントと前記サーバの間の中継を行い、該中継に関する情報を中継情報として管理する中継ステップと、
前記サーバ監視装置と前記サーバとの通信に基づいて前記サーバが異常であるか否かを判断し、前記サーバが異常であると判断した場合、前記サーバに対する中継に対応する中継情報に含まれる情報をログに記録するサーバ状態監視ステップと
をコンピュータに実行させるサーバ監視プログラム。
(付記2) 付記1に記載のサーバ監視プログラムにおいて、
前記サーバ状態監視ステップは、前記サーバの正常時の通知であるサーバ正常通知を、前記サーバ監視装置が受信できなかった場合、前記サーバが異常であると判断することを特徴とするサーバ監視プログラム。
(付記3) 付記2に記載のサーバ監視プログラムにおいて、
前記サーバ正常通知は、前記サーバから所定のタイミングで前記サーバ監視装置へ送信され、
前記サーバ状態監視ステップは、所定の期間、前記サーバ監視装置が前記サーバ正常通知を受信できなかった場合、前記サーバが異常であると判断することを特徴とするサーバ監視プログラム。
(付記4) 付記1乃至付記3のいずれかに記載のサーバ監視プログラムにおいて、
前記サーバ状態監視ステップは、前記サーバ監視装置が前記サーバが異常であることを示すサーバ異常通知を受信した場合、前記サーバが異常であると判断し、前記サーバ異常通知に含まれる情報を、中継情報と対応付けてログに記録することを特徴とするサーバ監視プログラム。
(付記5) 付記1乃至付記4のいずれかに記載のサーバ監視プログラムにおいて、
前記サーバ状態監視ステップは、前記サーバが異常であると判断した場合、更に、前記サーバに対する中継を終了させることを特徴とするサーバ監視プログラム。
(付記6) 付記5に記載のサーバ監視プログラムにおいて、
前記中継ステップは、中継を行っている間だけ、該中継に関する中継情報を管理し、
前記サーバ状態監視ステップは、前記サーバが異常であると判断した場合、前記サーバに対応する中継情報を抹消することにより、前記サーバに対する中継を終了させることを特徴とするサーバ監視プログラム。
(付記7) 付記1乃至付記6のいずれかに記載のサーバ監視プログラムにおいて、
前記中継情報は、前記クライアントと前記サーバと前記サーバ監視装置のそれぞれのIPアドレスとポート番号を含むことを特徴とするサーバ監視プログラム。
(付記8) クライアントとサーバの間に接続されたサーバ監視装置であって、
前記クライアントと前記サーバの間の中継を行い、該中継に関する情報を中継情報として管理する中継部と、
前記サーバ監視装置と前記サーバとの通信に基づいて前記サーバが異常であるか否かを判断し、前記サーバが異常であると判断した場合、前記サーバに対する中継に対応する中継情報に含まれる情報をログに記録するサーバ状態監視部と
を備えるサーバ監視装置。
(付記9) クライアントとサーバの間に接続されたサーバ監視装置を用いるサーバ監視方法であって、
前記サーバ監視装置において、前記クライアントと前記サーバの間の中継を行い、該中継に関する情報を中継情報として管理する中継ステップと、
前記サーバ監視装置において、前記サーバとの通信に基づいて前記サーバが異常であるか否かを判断し、前記サーバが異常であると判断した場合、前記サーバに対する中継に対応する中継情報に含まれる情報をログに記録するサーバ状態監視ステップと
を実行するサーバ監視方法。
(付記10) 付記9に記載のサーバ監視方法において、
更に、前記中継ステップの後、
前記サーバにおいて、前記サーバが異常であるか否かを判断し、前記サーバが異常であると判断した場合、該異常の情報を含む通知であるサーバ異常通知を前記サーバ監視装置へ送信するサーバ状態通知ステップを実行することを特徴とするサーバ監視方法。
(付記11) 付記10に記載のサーバ監視方法において、
前記サーバ状態通知ステップは、正常時、前記サーバが正常であることを表す通知であるサーバ正常通知を所定のタイミングで前記サーバ監視装置へ送信し、
前記サーバ状態監視ステップは、前記サーバ状態通知ステップからの通知を監視し、所定の期間、前記サーバ状態通知ステップからのサーバ正常通知を受信できなかった場合、前記サーバが異常であると判断することを特徴とするサーバ監視方法。
(付記12) 付記10または付記11に記載のサーバ監視方法において、
前記サーバ状態監視ステップは、前記サーバ異常通知を受信した場合、前記サーバが異常であると判断し、前記サーバ異常通知に含まれる異常の情報をログに記録することを特徴とするサーバ監視方法。
(付記13) 付記9乃至付記12のいずれかに記載のサーバ監視方法において、
前記サーバ状態監視ステップは、前記サーバが異常であると判断した場合、更に、前記サーバに対する中継を終了させることを特徴とするサーバ監視方法。
(付記14) 付記13に記載のサーバ監視方法において、
前記中継ステップは、中継を行っている間だけ、該中継に関する中継情報を管理し、
前記サーバ状態監視ステップは、前記サーバが異常であると判断した場合、前記サーバに対応する中継情報を抹消することにより、前記サーバに対する中継を終了させることを特徴とするサーバ監視方法。
(付記15) 付記10乃至付記14のいずれかに記載のサーバ監視方法において、
更に、前記中継ステップの後、
前記サーバにおいて、前記サーバに対する不正アクセスを検知した場合、検知した不正アクセスの情報を不正アクセス情報として出力する不正アクセス監視ステップを実行し、
前記サーバ状態通知ステップは、前記不正アクセス監視ステップの出力を取得し、前記不正アクセス監視ステップの出力に基づいて前記サーバが異常であるか否かを判断することを特徴とするサーバ監視方法。
(付記16) 付記15に記載のサーバ監視方法において、
前記不正アクセス監視ステップは、正常時、正常であることを表す正常情報を所定のタイミングで出力し、
前記サーバ状態通知ステップは、所定の期間、前記不正アクセス監視ステップからの正常情報を取得できなかった場合、前記サーバが異常であると判断し、該異常の情報を含むサーバ異常通知を前記サーバ監視装置へ送信することを特徴とするサーバ監視方法。
(付記17) 付記15または付記16に記載のサーバ監視方法において、
不正アクセス監視ステップは、前記サーバに対する不正アクセスを検知した場合、不正アクセスに関する操作の情報と通信の情報を対応付け、その結果を不正アクセス情報とすることを特徴とするサーバ監視方法。
(付記18) 付記15乃至付記17のいずれかに記載のサーバ監視方法において、
前記サーバ状態通知ステップは、前記不正アクセス監視ステップにより不正アクセス情報が出力された場合、前記サーバが異常であると判断し、該不正アクセス情報を含むサーバ異常通知を前記サーバ監視装置へ送信することを特徴とするサーバ監視方法。
(付記19) 付記10乃至付記18のいずれかに記載のサーバ監視方法において、
前記サーバ状態通知ステップは、正常時、正常であることを表す正常情報を所定のタイミングで出力し、
更に、前記サーバ状態通知ステップの後、
前記サーバにおいて、前記サーバ状態通知ステップの出力を取得し、所定の期間、前記サーバ状態通知ステップからの正常情報を取得できなかった場合、前記サーバが異常であると判断し、該異常の情報をログに記録するサーバ状態通知監視ステップを実行することを特徴とするサーバ監視方法。
(付記20) 付記9乃至付記19のいずれかに記載のサーバ監視方法において、
前記中継情報は、前記クライアントと前記サーバと前記サーバ監視装置のそれぞれのIPアドレスとポート番号を含むことを特徴とするサーバ監視方法。
前記クライアントと前記サーバの間の中継を行い、該中継に関する情報を中継情報として管理する中継ステップと、
前記サーバ監視装置と前記サーバとの通信に基づいて前記サーバが異常であるか否かを判断し、前記サーバが異常であると判断した場合、前記サーバに対する中継に対応する中継情報に含まれる情報をログに記録するサーバ状態監視ステップと
をコンピュータに実行させるサーバ監視プログラム。
(付記2) 付記1に記載のサーバ監視プログラムにおいて、
前記サーバ状態監視ステップは、前記サーバの正常時の通知であるサーバ正常通知を、前記サーバ監視装置が受信できなかった場合、前記サーバが異常であると判断することを特徴とするサーバ監視プログラム。
(付記3) 付記2に記載のサーバ監視プログラムにおいて、
前記サーバ正常通知は、前記サーバから所定のタイミングで前記サーバ監視装置へ送信され、
前記サーバ状態監視ステップは、所定の期間、前記サーバ監視装置が前記サーバ正常通知を受信できなかった場合、前記サーバが異常であると判断することを特徴とするサーバ監視プログラム。
(付記4) 付記1乃至付記3のいずれかに記載のサーバ監視プログラムにおいて、
前記サーバ状態監視ステップは、前記サーバ監視装置が前記サーバが異常であることを示すサーバ異常通知を受信した場合、前記サーバが異常であると判断し、前記サーバ異常通知に含まれる情報を、中継情報と対応付けてログに記録することを特徴とするサーバ監視プログラム。
(付記5) 付記1乃至付記4のいずれかに記載のサーバ監視プログラムにおいて、
前記サーバ状態監視ステップは、前記サーバが異常であると判断した場合、更に、前記サーバに対する中継を終了させることを特徴とするサーバ監視プログラム。
(付記6) 付記5に記載のサーバ監視プログラムにおいて、
前記中継ステップは、中継を行っている間だけ、該中継に関する中継情報を管理し、
前記サーバ状態監視ステップは、前記サーバが異常であると判断した場合、前記サーバに対応する中継情報を抹消することにより、前記サーバに対する中継を終了させることを特徴とするサーバ監視プログラム。
(付記7) 付記1乃至付記6のいずれかに記載のサーバ監視プログラムにおいて、
前記中継情報は、前記クライアントと前記サーバと前記サーバ監視装置のそれぞれのIPアドレスとポート番号を含むことを特徴とするサーバ監視プログラム。
(付記8) クライアントとサーバの間に接続されたサーバ監視装置であって、
前記クライアントと前記サーバの間の中継を行い、該中継に関する情報を中継情報として管理する中継部と、
前記サーバ監視装置と前記サーバとの通信に基づいて前記サーバが異常であるか否かを判断し、前記サーバが異常であると判断した場合、前記サーバに対する中継に対応する中継情報に含まれる情報をログに記録するサーバ状態監視部と
を備えるサーバ監視装置。
(付記9) クライアントとサーバの間に接続されたサーバ監視装置を用いるサーバ監視方法であって、
前記サーバ監視装置において、前記クライアントと前記サーバの間の中継を行い、該中継に関する情報を中継情報として管理する中継ステップと、
前記サーバ監視装置において、前記サーバとの通信に基づいて前記サーバが異常であるか否かを判断し、前記サーバが異常であると判断した場合、前記サーバに対する中継に対応する中継情報に含まれる情報をログに記録するサーバ状態監視ステップと
を実行するサーバ監視方法。
(付記10) 付記9に記載のサーバ監視方法において、
更に、前記中継ステップの後、
前記サーバにおいて、前記サーバが異常であるか否かを判断し、前記サーバが異常であると判断した場合、該異常の情報を含む通知であるサーバ異常通知を前記サーバ監視装置へ送信するサーバ状態通知ステップを実行することを特徴とするサーバ監視方法。
(付記11) 付記10に記載のサーバ監視方法において、
前記サーバ状態通知ステップは、正常時、前記サーバが正常であることを表す通知であるサーバ正常通知を所定のタイミングで前記サーバ監視装置へ送信し、
前記サーバ状態監視ステップは、前記サーバ状態通知ステップからの通知を監視し、所定の期間、前記サーバ状態通知ステップからのサーバ正常通知を受信できなかった場合、前記サーバが異常であると判断することを特徴とするサーバ監視方法。
(付記12) 付記10または付記11に記載のサーバ監視方法において、
前記サーバ状態監視ステップは、前記サーバ異常通知を受信した場合、前記サーバが異常であると判断し、前記サーバ異常通知に含まれる異常の情報をログに記録することを特徴とするサーバ監視方法。
(付記13) 付記9乃至付記12のいずれかに記載のサーバ監視方法において、
前記サーバ状態監視ステップは、前記サーバが異常であると判断した場合、更に、前記サーバに対する中継を終了させることを特徴とするサーバ監視方法。
(付記14) 付記13に記載のサーバ監視方法において、
前記中継ステップは、中継を行っている間だけ、該中継に関する中継情報を管理し、
前記サーバ状態監視ステップは、前記サーバが異常であると判断した場合、前記サーバに対応する中継情報を抹消することにより、前記サーバに対する中継を終了させることを特徴とするサーバ監視方法。
(付記15) 付記10乃至付記14のいずれかに記載のサーバ監視方法において、
更に、前記中継ステップの後、
前記サーバにおいて、前記サーバに対する不正アクセスを検知した場合、検知した不正アクセスの情報を不正アクセス情報として出力する不正アクセス監視ステップを実行し、
前記サーバ状態通知ステップは、前記不正アクセス監視ステップの出力を取得し、前記不正アクセス監視ステップの出力に基づいて前記サーバが異常であるか否かを判断することを特徴とするサーバ監視方法。
(付記16) 付記15に記載のサーバ監視方法において、
前記不正アクセス監視ステップは、正常時、正常であることを表す正常情報を所定のタイミングで出力し、
前記サーバ状態通知ステップは、所定の期間、前記不正アクセス監視ステップからの正常情報を取得できなかった場合、前記サーバが異常であると判断し、該異常の情報を含むサーバ異常通知を前記サーバ監視装置へ送信することを特徴とするサーバ監視方法。
(付記17) 付記15または付記16に記載のサーバ監視方法において、
不正アクセス監視ステップは、前記サーバに対する不正アクセスを検知した場合、不正アクセスに関する操作の情報と通信の情報を対応付け、その結果を不正アクセス情報とすることを特徴とするサーバ監視方法。
(付記18) 付記15乃至付記17のいずれかに記載のサーバ監視方法において、
前記サーバ状態通知ステップは、前記不正アクセス監視ステップにより不正アクセス情報が出力された場合、前記サーバが異常であると判断し、該不正アクセス情報を含むサーバ異常通知を前記サーバ監視装置へ送信することを特徴とするサーバ監視方法。
(付記19) 付記10乃至付記18のいずれかに記載のサーバ監視方法において、
前記サーバ状態通知ステップは、正常時、正常であることを表す正常情報を所定のタイミングで出力し、
更に、前記サーバ状態通知ステップの後、
前記サーバにおいて、前記サーバ状態通知ステップの出力を取得し、所定の期間、前記サーバ状態通知ステップからの正常情報を取得できなかった場合、前記サーバが異常であると判断し、該異常の情報をログに記録するサーバ状態通知監視ステップを実行することを特徴とするサーバ監視方法。
(付記20) 付記9乃至付記19のいずれかに記載のサーバ監視方法において、
前記中継情報は、前記クライアントと前記サーバと前記サーバ監視装置のそれぞれのIPアドレスとポート番号を含むことを特徴とするサーバ監視方法。
1 サーバマシン、2 クライアントマシン、3 ATP、4 ネットワーク、11 サーバアプリケーション、12 サーバ運用情報、13 サーバログ、14 不正アクセス監視部、15 サーバ状態通知部、21 クライアントアプリケーション、31 中継部、32 中継情報管理テーブル、33 中継ログ、34 サーバ状態監視部。
Claims (9)
- クライアントとサーバの間に接続された中継装置のコンピュータに実行させるサーバ監視プログラムであって、
前記クライアントと前記サーバの間の中継に関する情報である中継情報を有するテーブルに基づいて、前記中継を行う中継ステップと、
前記サーバが、前記サーバへの不正な操作を検知し、前記操作を行ったプロセスのプロセスIDを取得し、取得した該プロセスIDに対して階層的に上のプロセスIDを含むプロセスIDリストを取得し、前記プロセスIDリスト内のプロセスIDのプロセスにより接続された通信のアクセス元を示す情報を調べ、該情報により示されたアクセス元が前記中継装置であることを検出した際に前記サーバが送信する、前記アクセス元を示す不正アクセス情報を該中継装置が受信した場合、前記テーブル内から前記アクセス元を含む中継情報を特定し、前記特定された中継情報を前記テーブルから抹消するステップと
をコンピュータに実行させるサーバ監視プログラム。 - 請求項1に記載のサーバ監視プログラムにおいて、
前記中継装置が、前記サーバの正常時の通知であるサーバ正常通知を受信できなかった場合、前記中継装置は、前記サーバが異常であると判断することを特徴とするサーバ監視プログラム。 - 請求項2に記載のサーバ監視プログラムにおいて、
前記サーバ正常通知は、前記サーバから所定のタイミングで前記中継装置へ送信され、
前記中継装置が、所定の期間、前記サーバ正常通知を受信できなかった場合、前記中継装置は、前記サーバが異常であると判断することを特徴とするサーバ監視プログラム。 - 請求項1乃至請求項3のいずれかに記載のサーバ監視プログラムにおいて、
前記中継装置が、前記サーバが異常であることを示すサーバ異常通知を受信した場合、前記中継装置は、前記サーバが異常であると判断し、前記サーバ異常通知に含まれる情報を、前記特定された中継情報と対応付けてログに記録することを特徴とするサーバ監視プログラム。 - 請求項1乃至請求項4のいずれかに記載のサーバ監視プログラムにおいて、
前記中継装置が、前記サーバが異常であると判断した場合、前記中継装置は、前記特定された中継情報を前記テーブルから抹消することにより前記中継を終了させることを特徴とするサーバ監視プログラム。 - クライアントとサーバの間に接続された中継装置であって、
前記クライアントと前記サーバの間の中継に関する情報である中継情報を有するテーブルに基づいて、前記中継を行う中継部と、
前記サーバが、前記サーバへの不正な操作を検知し、前記操作を行ったプロセスのプロセスIDを取得し、取得した該プロセスIDに対して階層的に上のプロセスIDを含むプロセスIDリストを取得し、前記プロセスIDリスト内のプロセスIDのプロセスにより接続された通信のアクセス元を示す情報を調べ、該情報により示されたアクセス元が前記中継装置であることを検出した際に前記サーバが送信する、前記アクセス元を示す不正アクセス情報を該中継装置が受信した場合、前記テーブル内から前記アクセス元を含む中継情報を特定し、前記特定された中継情報を前記テーブルから抹消するサーバ状態監視部と
を備える中継装置。 - クライアントとサーバの間に接続された中継装置を用いるサーバ監視方法であって、
前記中継装置が、前記クライアントと前記サーバの間の中継に関する情報である中継情報を有するテーブルに基づいて、前記中継を行う中継ステップと、
前記サーバが、前記サーバへの不正な操作を検知した場合、前記操作を行ったプロセスのプロセスIDを取得し、取得した該プロセスIDに対して階層的に上のプロセスIDを含むプロセスIDリストを取得し、前記プロセスIDリスト内のプロセスIDのプロセスにより接続された通信のアクセス元を示す情報を調べ、該情報により示されたアクセス元が前記中継装置であることを検出した際に、前記アクセス元を示す不正アクセス情報を送信するステップと、
前記中継装置が、前記不正アクセス情報を受信した場合、前記テーブル内から前記アクセス元を含む中継情報を特定し、前記特定された中継情報を前記テーブルから抹消するステップと
を実行するサーバ監視方法。 - 請求項7に記載のサーバ監視方法において、
前記サーバは、前記サーバが異常であるか否かを判断し、前記サーバが異常であると判断した場合、該異常の情報を含む通知であるサーバ異常通知を前記中継装置へ送信し、
前記中継装置は、前記サーバ異常通知を受信した場合、前記サーバが異常であると判断することを特徴とするサーバ監視方法。 - 請求項8に記載のサーバ監視方法において、
前記サーバは、正常時、正常であることを表す正常情報を所定のタイミングで出力し、
前記サーバは、所定の期間、前記正常情報を取得できなかった場合、前記サーバが異常であると判断し、該異常の情報を含む前記サーバ異常通知を前記中継装置へ送信することを特徴とするサーバ監視方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006001007A JP4984531B2 (ja) | 2006-01-06 | 2006-01-06 | サーバ監視プログラム、中継装置、サーバ監視方法 |
| US11/403,825 US20070162596A1 (en) | 2006-01-06 | 2006-04-14 | Server monitor program, server monitor device, and server monitor method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006001007A JP4984531B2 (ja) | 2006-01-06 | 2006-01-06 | サーバ監視プログラム、中継装置、サーバ監視方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007183773A JP2007183773A (ja) | 2007-07-19 |
| JP4984531B2 true JP4984531B2 (ja) | 2012-07-25 |
Family
ID=38234019
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006001007A Expired - Fee Related JP4984531B2 (ja) | 2006-01-06 | 2006-01-06 | サーバ監視プログラム、中継装置、サーバ監視方法 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20070162596A1 (ja) |
| JP (1) | JP4984531B2 (ja) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007293639A (ja) * | 2006-04-26 | 2007-11-08 | Yokogawa Electric Corp | アクセス制御方法、アクセス制御方法を用いた機器及びシステム |
| US8868607B2 (en) | 2009-09-18 | 2014-10-21 | American International Group, Inc. | Privileged user access monitoring in a computing environment |
| US8805925B2 (en) * | 2009-11-20 | 2014-08-12 | Nbrella, Inc. | Method and apparatus for maintaining high data integrity and for providing a secure audit for fraud prevention and detection |
| KR101271916B1 (ko) | 2011-11-08 | 2013-06-05 | 주식회사 포스코 | 엔지니어링 지식 기반 엔지니어링 산출물 관리 시스템 및 그 관리 방법 |
| CN104424094B (zh) * | 2013-08-26 | 2019-04-23 | 腾讯科技(深圳)有限公司 | 一种异常信息获取方法、装置及智能终端设备 |
| WO2016139932A1 (ja) * | 2015-03-03 | 2016-09-09 | 日本電気株式会社 | ログ解析システム、解析装置、解析方法、および解析用プログラムが記憶された記憶媒体 |
| CN107169368A (zh) * | 2017-04-13 | 2017-09-15 | 中州大学 | 一种保证信息安全的计算机系统 |
| US11151087B2 (en) * | 2017-12-12 | 2021-10-19 | Interset Software Inc. | Tracking file movement in a network environment |
| CA3027218A1 (en) | 2017-12-12 | 2019-06-12 | Interset Software, Inc. | Systems and methods for file fingerprinting |
| US11301496B2 (en) * | 2018-12-26 | 2022-04-12 | Imperva, Inc. | Using access logs for network entities type classification |
Family Cites Families (38)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5025491A (en) * | 1988-06-23 | 1991-06-18 | The Mitre Corporation | Dynamic address binding in communication networks |
| JPH0779233A (ja) * | 1993-06-29 | 1995-03-20 | Synoptics Commun Inc | トポロジを確定する装置及びトポロジ情報を通信する方法及び装置 |
| US5812639A (en) * | 1994-12-05 | 1998-09-22 | Bell Atlantic Network Services, Inc. | Message communication via common signaling channel |
| US5774668A (en) * | 1995-06-07 | 1998-06-30 | Microsoft Corporation | System for on-line service in which gateway computer uses service map which includes loading condition of servers broadcasted by application servers for load balancing |
| US5793972A (en) * | 1996-05-03 | 1998-08-11 | Westminster International Computers Inc. | System and method providing an interactive response to direct mail by creating personalized web page based on URL provided on mail piece |
| US6006268A (en) * | 1997-07-31 | 1999-12-21 | Cisco Technology, Inc. | Method and apparatus for reducing overhead on a proxied connection |
| US7103511B2 (en) * | 1998-10-14 | 2006-09-05 | Statsignal Ipc, Llc | Wireless communication networks for providing remote monitoring of devices |
| US6219706B1 (en) * | 1998-10-16 | 2001-04-17 | Cisco Technology, Inc. | Access control for networks |
| US6405318B1 (en) * | 1999-03-12 | 2002-06-11 | Psionic Software, Inc. | Intrusion detection system |
| US6748540B1 (en) * | 1999-06-17 | 2004-06-08 | International Business Machines Corporation | Method and apparatus for detection and notification of unauthorized access attempts in a distributed data processing system |
| US6704873B1 (en) * | 1999-07-30 | 2004-03-09 | Accenture Llp | Secure gateway interconnection in an e-commerce based environment |
| US6363489B1 (en) * | 1999-11-29 | 2002-03-26 | Forescout Technologies Inc. | Method for automatic intrusion detection and deflection in a network |
| US20020116485A1 (en) * | 2001-02-21 | 2002-08-22 | Equipe Communications Corporation | Out-of-band network management channels |
| US7007301B2 (en) * | 2000-06-12 | 2006-02-28 | Hewlett-Packard Development Company, L.P. | Computer architecture for an intrusion detection system |
| US7213077B2 (en) * | 2000-07-21 | 2007-05-01 | Hughes Network Systems, Inc. | Method and system for providing buffer management in a performance enhancing proxy architecture |
| US7165120B1 (en) * | 2000-10-11 | 2007-01-16 | Sun Microsystems, Inc. | Server node with interated networking capabilities |
| JP2002152281A (ja) * | 2000-11-09 | 2002-05-24 | Mitsubishi Electric Corp | 中継装置および通信システム |
| US6928082B2 (en) * | 2001-03-28 | 2005-08-09 | Innomedia Pte Ltd | System and method for determining a connectionless communication path for communicating audio data through an address and port translation device |
| FI112426B (fi) * | 2001-03-23 | 2003-11-28 | Nixu Oy | Välityspalvelin sisältöpalvelua varten |
| US20030187977A1 (en) * | 2001-07-24 | 2003-10-02 | At&T Corp. | System and method for monitoring a network |
| JP2003114876A (ja) * | 2001-10-04 | 2003-04-18 | Hitachi Kokusai Electric Inc | ネットワーク監視システム |
| US7398389B2 (en) * | 2001-12-20 | 2008-07-08 | Coretrace Corporation | Kernel-based network security infrastructure |
| JP4033692B2 (ja) * | 2002-03-08 | 2008-01-16 | 富士通株式会社 | ファイアウォールのセキュリティ管理方法及びその管理プログラム |
| US20030217148A1 (en) * | 2002-05-16 | 2003-11-20 | Mullen Glen H. | Method and apparatus for LAN authentication on switch |
| US7058796B2 (en) * | 2002-05-20 | 2006-06-06 | Airdefense, Inc. | Method and system for actively defending a wireless LAN against attacks |
| US8463617B2 (en) * | 2002-06-03 | 2013-06-11 | Hewlett-Packard Development Company, L.P. | Network subscriber usage recording system |
| US7523503B2 (en) * | 2003-01-21 | 2009-04-21 | Hewlett-Packard Development Company, L.P. | Method for protecting security of network intrusion detection sensors |
| JP2005085158A (ja) * | 2003-09-10 | 2005-03-31 | Toshiba Corp | 不正アクセス検出装置およびコンピュータネットワーク上に於ける異常データ検出方法 |
| US20050076236A1 (en) * | 2003-10-03 | 2005-04-07 | Bryan Stephenson | Method and system for responding to network intrusions |
| US20050188222A1 (en) * | 2004-02-24 | 2005-08-25 | Covelight Systems, Inc. | Methods, systems and computer program products for monitoring user login activity for a server application |
| US7373524B2 (en) * | 2004-02-24 | 2008-05-13 | Covelight Systems, Inc. | Methods, systems and computer program products for monitoring user behavior for a server application |
| US20050187934A1 (en) * | 2004-02-24 | 2005-08-25 | Covelight Systems, Inc. | Methods, systems and computer program products for geography and time monitoring of a server application user |
| US20050198099A1 (en) * | 2004-02-24 | 2005-09-08 | Covelight Systems, Inc. | Methods, systems and computer program products for monitoring protocol responses for a server application |
| US20050188221A1 (en) * | 2004-02-24 | 2005-08-25 | Covelight Systems, Inc. | Methods, systems and computer program products for monitoring a server application |
| US20050188080A1 (en) * | 2004-02-24 | 2005-08-25 | Covelight Systems, Inc. | Methods, systems and computer program products for monitoring user access for a server application |
| US20050188079A1 (en) * | 2004-02-24 | 2005-08-25 | Covelight Systems, Inc. | Methods, systems and computer program products for monitoring usage of a server application |
| JP4351949B2 (ja) * | 2004-04-23 | 2009-10-28 | 三菱電機株式会社 | 不正侵入防止システム |
| US7657923B2 (en) * | 2004-07-23 | 2010-02-02 | Microsoft Corporation | Framework for a security system |
-
2006
- 2006-01-06 JP JP2006001007A patent/JP4984531B2/ja not_active Expired - Fee Related
- 2006-04-14 US US11/403,825 patent/US20070162596A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| US20070162596A1 (en) | 2007-07-12 |
| JP2007183773A (ja) | 2007-07-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4984531B2 (ja) | サーバ監視プログラム、中継装置、サーバ監視方法 | |
| JP4327698B2 (ja) | ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム | |
| US8219496B2 (en) | Method of and apparatus for ascertaining the status of a data processing environment | |
| US8375425B2 (en) | Password expiration based on vulnerability detection | |
| US20070294209A1 (en) | Communication network application activity monitoring and control | |
| CN101438255A (zh) | 基于应用层消息检查的网络和应用攻击保护 | |
| JP2009539271A (ja) | コンピュータ・ネットワーク侵入検出のシステムおよび方法 | |
| US7930745B2 (en) | Network security system and method | |
| JP6524789B2 (ja) | ネットワーク監視方法、ネットワーク監視プログラム及びネットワーク監視装置 | |
| Kim et al. | DSS for computer security incident response applying CBR and collaborative response | |
| US20140156812A1 (en) | Customized configuration settings for a network appliance | |
| US20210409446A1 (en) | Leveraging network security scanning to obtain enhanced information regarding an attack chain involving a decoy file | |
| Valeur | Real-time intrusion detection alert correlation | |
| JP2006094258A (ja) | 端末装置、そのポリシー強制方法およびそのプログラム | |
| KR20020075319A (ko) | 지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템 | |
| JP2003258795A (ja) | コンピュータ集合体運用方法及びその実施システム並びにその処理プログラム | |
| JP2008141352A (ja) | ネットワークセキュリティシステム | |
| Hunteman | Automated information system (AIS) alarm system | |
| JP2005156473A (ja) | ネットワークを用いた分析システム | |
| JP4203250B2 (ja) | アクセス管理方法、アクセス管理サーバ、アクセス端末、アクセス管理プログラム及び記録媒体 | |
| Helmer | Intelligent multi-agent system for intrusion detection and countermeasures | |
| US20230283639A1 (en) | Stream processing of telemetry for a network topology | |
| US20230239325A1 (en) | Software security agent updates via microcode | |
| US20230239270A1 (en) | Synthetic audit events in workload segmentation | |
| JP2003218949A (ja) | ネットワークの不正利用の監視方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080424 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100401 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110315 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110516 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111129 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120127 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120403 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120416 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150511 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |