JP5393286B2 - アクセス制御システム、アクセス制御装置及びアクセス制御方法 - Google Patents
アクセス制御システム、アクセス制御装置及びアクセス制御方法 Download PDFInfo
- Publication number
- JP5393286B2 JP5393286B2 JP2009147654A JP2009147654A JP5393286B2 JP 5393286 B2 JP5393286 B2 JP 5393286B2 JP 2009147654 A JP2009147654 A JP 2009147654A JP 2009147654 A JP2009147654 A JP 2009147654A JP 5393286 B2 JP5393286 B2 JP 5393286B2
- Authority
- JP
- Japan
- Prior art keywords
- access
- server
- difference
- master environment
- master
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
まず、図1を用いて、実施例1に係るアクセス制御システムの概要を説明する。図1は、実施例1に係るアクセス制御システムの概要を説明するための図である。
次に、図2を用いて、実施例1に係るアクセス制御システムの構成を説明する。図2は、実施例1におけるネットワークモデルの一例を示すブロック図である。
次に、図3および図4を用いて、サーバ監視機能部の構成を説明する。図3は、サーバ監視機能部の構成を説明するためのブロック図であり、図4は、状態管理テーブルの一例を示す図である。
続いて、図5〜7を用いて、実施例1に係るアクセス制御システムの処理手順を説明する。図5は、従来のアクセス制御の処理手順例を説明するための図であり、図6は、実施例1に係るアクセス制御システムにおけるデータフローを示す図であり、図7は、実施例1に係るアクセス制御システムによる処理手順(アクセス制御)を示すシーケンス図である。
図5に示すように、従来方式におけるサーバ監視機能部は、ユーザ端末33からアクセスを受け付けると(ステップS501)、当該アクセスをWebサーバ34に転送し(ステップS502)、Webサーバ34からユーザ端末33に対するリプライを受け付けると(ステップS503)、当該リプライをユーザ端末33に転送する(ステップS504)。
続いて、図6を用いて、実施例1に係るアクセス制御システムにおけるデータフローを説明する。図6に示すように、実施例1におけるサーバ監視機能部14において、イベント管理部23が、アクセススケジューラ20に対して、アクセスを受け付けてよいWebサーバのアクセス転送順序を記述した通知101を送信する。これによって、アクセススケジューラ20では、アクセス受付時にアクセスを転送可能なWebサーバが特定可能になる。
図7に示すように、実施例1に係るアクセス制御システムにおいて、ユーザ端末33からのアクセスに対するサーバ監視機能部の処理(ステップS701〜S706)は、図5に示した従来方式(ステップS501〜S506)と略同一である。
上記してきたように、実施例1に係るアクセス制御システムは、URL(Uniform Resource Locator)やURI(Uniform Resource Identifier)などの統一資源識別子、或いはIP(Internet Protocol)アドレスやMAC(Media Access Control)アドレス等を共有する複数のWebサーバを設置する。なお、Webサーバとしては、囮Webサーバ、ユーザWebサーバもしくはこれらの組合せを収容することが可能である。
上記の実施例1では、アクセス前後でWebサーバの内容に差分が確認された場合に限定してマスタ上書きを行う場合を例示したが、本発明はこれに限定されるものではなく、アクセス前後でWebサーバの内容に差分が確認されるか否かに関係なく、いずれの場合でもWebサーバの内容をマスタとなる状態で上書きすることとしてもよい。
また、本発明では、不正なアクセスと見做すアクセス内容をブラックリストとして記憶しておき、差分が確認された場合に、当該差分のアクセス内容とブラックリストとを照合し、差分の内容がブラックリストに該当する場合には、差分が確認されたサーバのディレクトリ構成をマスタ環境で上書き更新し、差分の内容がブラックリストに該当しない場合には、マスタ環境に差分を反映する更新を行い、該更新後のマスタ環境で他のWebサーバのディレクトリ構成を上書き更新するようにしてもよい。
前述したように、図8に示すサーバ監視機能部では、マスタ状態管理部27によって保存されたマスタ環境に差分を反映する更新を行う場合について説明したが、複数のWebサーバで差分が個別に確認された場合には、一方の差分をマスタ環境に反映する更新が実行されている最中に他方の差分を反映する更新アクセスがマスタに行われ、データ更新が競合するおそれがある。
頼された処理を実行できない旨を通知する画面を表示するメッセージをユーザへ送信するよう指示し、ログ管理部28には、差分となる情報は追記しない。
また、本発明では、正当なアクセスと見做すアクセス内容をホワイトリストとして記憶しておき、差分が確認された場合に、当該差分の内容とホワイトリストとを照合し、差分の内容がホワイトリストに該当する場合には、マスタ環境に差分を反映する更新を行い、該更新後のマスタ環境で他のサーバのディレクトリ構成を上書き更新し、差分の内容がホワイトリストに該当しない場合には、差分が確認されたサーバのディレクトリ構成をマスタ環境で上書き更新するようにしてもよい。
上記の実施例1及び2では、Webサーバのディレクトリ構成をアクセス前のディレクトリ構成、すなわちマスタ環境に戻す手法として、サーバ監視機能部のマスタ状態管理部27によって保存されるマスタとなる状態でWebサーバのディレクトリ構成を上書き更新する場合を例示したが、本発明はこれに限定されるものではない。
上記の実施例1及び2では、イベント管理部23をサーバ監視機能部内に内在させ、サーバ監視機能部配下に存在する複数のWebサーバを用いてユーザ端末からのアクセスを並列処理を可能とするアクセス制御システムを例示した。
なお、上記の実施例1及び2では、イベント管理部23は、アクセススケジューラ20、差分抽出部21やリフレッシュ部22の集中管理装置の位置付けとなっている。例えば、特願2009−043210号公報に記載されている監視装置には、差分抽出部やリフレッシュ部が含まれる可能性がある。
上記の実施例1及び2では、外部アクセスをWebサーバに転送するアクセスの転送順序を決定する場合にサーバ識別子を昇順または降順にソートしたものを転送順序として決定する場合を例示したが、本発明はこれに限定されるものではなく、アクセス待機状態「1」にあるWebサーバを対象にするのであれば、任意のWebサーバに任意の転送順序を付与できる。
2 ネットワーク
3 ネットワーク
4 ネットワーク
5 ネットワーク
6 データ中継装置
7 データ中継装置
8 データ中継装置
9 データ中継装置
10 ユーザWebサーバ
11 ユーザWebサーバ
12 ユーザWebサーバ
13 ユーザWebサーバ
14 サーバ監視機能部
15 サーバ監視機能部
16 囮Webサーバ
17 囮Webサーバ
18 攻撃者端末
19 マルウェア配布サーバ
20 アクセススケジューラ
21 差分抽出部
22 リフレッシュ部
23 イベント管理部
24 アクセス管理部
25 イベント通知部
26 状態管理テーブル
27 マスタ状態管理部
28 ログ管理部
Claims (8)
- 統一資源識別子またはアドレスを共有する複数の囮サーバに対する外部ネットワークからのアクセスを制御するアクセス制御システムであって、
前記複数の囮サーバが前記外部ネットワークからのアクセスを待機するアクセス待機状態にある場合に保有させる前記複数の囮サーバに共通のディレクトリ構成をマスタ環境として記憶するマスタ環境記憶手段と、
前記外部ネットワークからのアクセスを前記複数の囮サーバのうちいずれかの囮サーバへ転送する転送手段と、
前記マスタ環境を保有し、前記アクセス待機状態にある囮サーバが、前記アクセスを受け付けた後、前記囮サーバによる前記アクセスの発信元へのレスポンスを受け付けた場合に、不正なアクセスを受けた可能性のある当該囮サーバが保有するディレクトリ構成と前記マスタ環境記憶手段によって記憶されたマスタ環境との間の差分を確認する差分確認手段と、
前記差分確認手段による差分の確認結果に基づき、当該確認が行われた囮サーバのディレクトリ構成を前記マスタ環境記憶手段によって記憶されたマスタ環境で上書き更新する更新手段と、
前記転送手段に対して、前記マスタ環境を保有し、前記アクセス待機状態にある囮サーバを前記アクセスの転送先として指定するアクセス制御手段と
を備えることを特徴とするアクセス制御システム。 - 不正なアクセスと見做すアクセス内容をブラックリストとして記憶するブラックリスト記憶手段と、
前記差分確認手段によって前記差分が確認された場合に、当該差分の内容と、前記ブラックリスト記憶手段によって記憶されたブラックリストとを照合する照合手段とをさらに有し、
前記更新手段は、
前記照合手段によって前記差分の内容が前記ブラックリストに該当すると判定された場合には、前記差分が確認された囮サーバのディレクトリ構成を前記マスタ環境記憶手段によって記憶されたマスタ環境で上書き更新し、前記差分の内容が前記ブラックリストに該当しないと判定された場合には、前記マスタ環境記憶手段によって記憶されたマスタ環境に前記差分を反映する更新を行い、該更新後のマスタ環境で他の囮サーバのディレクトリ構成を上書き更新することを特徴とする請求項1に記載のアクセス制御システム。 - 正当なアクセスと見做すアクセス内容をホワイトリストとして記憶するホワイトリスト記憶手段と、
前記差分確認手段によって前記差分が確認された場合に、当該差分の内容と、前記ホワイトリスト記憶手段によって記憶されたホワイトリストとを照合する照合手段とをさらに有し、
前記更新手段は、
前記照合手段によって前記差分の内容が前記ホワイトリストに該当すると判定された場合には、前記マスタ環境記憶手段によって記憶されたマスタ環境に前記差分を反映する更新を行い、該更新後のマスタ環境で他の囮サーバのディレクトリ構成を上書き更新し、前記差分の内容が前記ホワイトリストに該当しないと判定された場合には、前記差分が確認された囮サーバのディレクトリ構成を前記マスタ環境記憶手段によって記憶されたマスタ環境で上書き更新することを特徴とする請求項1に記載のアクセス制御システム。 - 前記更新手段は、前記差分確認手段によって前記差分が確認された場合、或いは前記差分が確認されなかった場合のいずれの場合でも、当該確認が行われた囮サーバのディレクトリ構成を前記マスタ環境記憶手段によって記憶されたマスタ環境で上書き更新することを特徴とする請求項1に記載のアクセス制御システム。
- 前記更新手段は、
前記差分確認手段による差分の確認が行われた囮サーバに対して、前記マスタ環境記憶手段によって記憶されたマスタ環境で当該囮サーバのディレクトリ構成を上書き更新するように指示し、
前記複数の囮サーバは、
前記アクセスの送信元端末にサービスを提供するソフトウェアをディレクトリツリー内の制限された部分で動作させるとともに当該制限された部分以外に前記マスタ環境を保存し、
前記更新手段によるマスタ環境の上書き更新指示に応答して、保存したマスタ環境を前記制限された部分に展開する展開手段を有することを特徴とする請求項1〜4のいずれか一つに記載のアクセス制御システム。 - 前記更新手段によって前記マスタ環境に前記差分を反映する更新が実行されている場合に、当該更新以外のマスタへの更新アクセスであって当該差分の反映先のディレクトリを変更対象とする更新アクセスを禁止するマスタ変更アクセス禁止手段をさらに有することを特徴とする請求項2または3に記載のアクセス制御システム。
- 統一資源識別子またはアドレスを共有する複数の囮サーバに対する外部ネットワークからのアクセスを制御するアクセス制御装置であって、
前記複数の囮サーバが前記外部ネットワークからのアクセスを待機するアクセス待機状態にある場合に保有させる前記複数の囮サーバに共通のディレクトリ構成をマスタ環境として記憶するマスタ環境記憶手段と、
前記外部ネットワークからのアクセスを前記複数の囮サーバのうちいずれかの囮サーバへ転送する転送手段と、
前記マスタ環境を保有し、前記アクセス待機状態にある囮サーバが、前記アクセスを受け付けた後、前記囮サーバによる前記アクセスの発信元へのレスポンスを受け付けた場合に、不正なアクセスを受けた可能性のある当該囮サーバが保有するディレクトリ構成と前記マスタ環境記憶手段によって記憶されたマスタ環境との間の差分を確認する差分確認手段と、
前記差分確認手段による差分の確認結果に基づき、当該確認が行われた囮サーバのディレクトリ構成を前記マスタ環境記憶手段によって記憶されたマスタ環境で上書き更新する更新手段と、
前記転送手段に対して、前記マスタ環境を保有し、前記アクセス待機状態にある囮サーバを前記アクセスの転送先として指定するアクセス制御手段と
を有することを特徴とするアクセス制御装置。 - 統一資源識別子またはアドレスを共有する複数の囮サーバに対する外部ネットワークからのアクセスを制御するアクセス制御システムに適用するアクセス制御方法であって、
前記外部ネットワークからのアクセスを前記複数の囮サーバのうちいずれかの囮サーバへ転送する転送工程と、
前記複数の囮サーバに共通のマスタ環境を保有し、アクセス待機状態にある囮サーバが、前記アクセスを受け付けた後、前記囮サーバによる前記アクセスの発信元へのレスポンスを受け付けた場合に、不正なアクセスを受けた可能性のある当該囮サーバが保有するディレクトリ構成と、前記複数の囮サーバが前記アクセス待機状態にある場合に保有させるディレクトリ構成をマスタ環境として記憶するマスタ環境記憶手段によって記憶されたマスタ環境との間の差分を確認する差分確認工程と、
前記差分確認工程による差分の確認結果に基づき、当該確認が行われた囮サーバのディレクトリ構成を前記マスタ環境記憶手段によって記憶されたマスタ環境で上書き更新する更新工程と、
前記転送工程に対して、前記マスタ環境を保有し、前記アクセス待機状態にある囮サーバを前記アクセスの転送先として指定するアクセス制御工程と
を含んだことを特徴とするアクセス制御方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009147654A JP5393286B2 (ja) | 2009-06-22 | 2009-06-22 | アクセス制御システム、アクセス制御装置及びアクセス制御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009147654A JP5393286B2 (ja) | 2009-06-22 | 2009-06-22 | アクセス制御システム、アクセス制御装置及びアクセス制御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011003132A JP2011003132A (ja) | 2011-01-06 |
JP5393286B2 true JP5393286B2 (ja) | 2014-01-22 |
Family
ID=43561017
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009147654A Active JP5393286B2 (ja) | 2009-06-22 | 2009-06-22 | アクセス制御システム、アクセス制御装置及びアクセス制御方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5393286B2 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6352140B2 (ja) * | 2013-10-22 | 2018-07-04 | キヤノン電子株式会社 | ウェブシステム、サーバ切替装置、サーバ切替方法およびプログラム |
CN115168908B (zh) * | 2022-09-05 | 2022-12-06 | 深圳市科力锐科技有限公司 | 文件保护方法、装置、设备及存储介质 |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002140259A (ja) * | 2000-08-21 | 2002-05-17 | Network Doc:Kk | 改ざん防止装置及びその方法並びに記録媒体 |
JP2003099310A (ja) * | 2001-09-21 | 2003-04-04 | Hitachi Plant Eng & Constr Co Ltd | ネットワークにおけるセキュリティシステム |
JP2003248596A (ja) * | 2002-02-26 | 2003-09-05 | Hitachi Ltd | 多重計算機システムにおける処理の引継方法 |
JP3860576B2 (ja) * | 2004-01-15 | 2006-12-20 | 松下電器産業株式会社 | コンテンツ改竄検出装置 |
US20060143709A1 (en) * | 2004-12-27 | 2006-06-29 | Raytheon Company | Network intrusion prevention |
EP1872222A1 (en) * | 2005-04-18 | 2008-01-02 | The Trustees of Columbia University in the City of New York | Systems and methods for detecting and inhibiting attacks using honeypots |
JP4669487B2 (ja) * | 2007-03-02 | 2011-04-13 | 株式会社日立製作所 | 情報処理システムの運用管理装置および運用管理方法 |
JP2008242915A (ja) * | 2007-03-28 | 2008-10-09 | Hitachi Ltd | 攻撃検出方法及び監査装置 |
JP4938576B2 (ja) * | 2007-07-24 | 2012-05-23 | 日本電信電話株式会社 | 情報収集システムおよび情報収集方法 |
JP2009075940A (ja) * | 2007-09-21 | 2009-04-09 | Lac Co Ltd | ログ分析装置およびプログラム |
-
2009
- 2009-06-22 JP JP2009147654A patent/JP5393286B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2011003132A (ja) | 2011-01-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6080910B2 (ja) | 悪意のあるソフトウェアに対するネットワーク・レベル保護をするシステム及び方法 | |
Geer | Malicious bots threaten network security | |
US8261355B2 (en) | Topology-aware attack mitigation | |
US7539857B2 (en) | Cooperative processing and escalation in a multi-node application-layer security system and method | |
US7428590B2 (en) | Systems and methods for reflecting messages associated with a target protocol within a network | |
CN101496025B (zh) | 用于向移动设备提供网络安全的系统和方法 | |
US7664822B2 (en) | Systems and methods for authentication of target protocol screen names | |
US7958549B2 (en) | Attack defending system and attack defending method | |
US9398037B1 (en) | Detecting and processing suspicious network communications | |
US7707401B2 (en) | Systems and methods for a protocol gateway | |
JP4777461B2 (ja) | ネットワークセキュリティ監視装置ならびにネットワークセキュリティ監視システム | |
CN106027463B (zh) | 一种数据传输的方法 | |
US20060156032A1 (en) | Network-based patching machine | |
WO2003030001A1 (en) | Anti-virus policy enforcement system and method | |
JP2010198386A (ja) | 不正アクセス監視システムおよび不正アクセス監視方法 | |
CN106027466B (zh) | 一种身份证云认证系统及读卡系统 | |
US20110023088A1 (en) | Flow-based dynamic access control system and method | |
JP2001313640A (ja) | 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体 | |
JP5393286B2 (ja) | アクセス制御システム、アクセス制御装置及びアクセス制御方法 | |
JP2006501527A (ja) | ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃の確認と防御のための方法、データキャリア、コンピュータシステム、およびコンピュータプログラム | |
KR101156008B1 (ko) | 네트워크 트래픽 분석을 통한 시그니쳐 기반 봇넷 탐지 시스템 및 그 방법 | |
JP2007079815A (ja) | 自己免疫型防御システム | |
JP4710889B2 (ja) | 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策装置、及び攻撃パケット対策プログラム | |
JP3739772B2 (ja) | ネットワークシステム | |
AU2018304187B2 (en) | Systems and methods for mitigating and/or preventing distributed denial-of-service attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20110520 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20110520 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110922 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130306 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130326 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130523 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130611 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130809 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130903 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130925 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131015 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131015 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5393286 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |