JP5507647B2 - Access control apparatus, access control method, and access control program - Google Patents
Access control apparatus, access control method, and access control program Download PDFInfo
- Publication number
- JP5507647B2 JP5507647B2 JP2012244430A JP2012244430A JP5507647B2 JP 5507647 B2 JP5507647 B2 JP 5507647B2 JP 2012244430 A JP2012244430 A JP 2012244430A JP 2012244430 A JP2012244430 A JP 2012244430A JP 5507647 B2 JP5507647 B2 JP 5507647B2
- Authority
- JP
- Japan
- Prior art keywords
- black list
- access control
- weighting
- score
- blacklist
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、ブラックリストを用いてアクセスを制御するアクセス制御装置、アクセス制御方法、およびアクセス制御プログラムに関する。 The present invention relates to an access control apparatus, an access control method, and an access control program that control access using a black list.
ネットワークには、様々な脅威が潜んでおり、ネットワーク管理においては、セキュリティ対策が必須となっている。セキュリティ対策として、一般に公開されているブラックリストを装置に読み込ませ、当該ブラックリストに基づいてアクセスコントロールを行う手法がある。 Various threats lurk in the network, and security measures are indispensable for network management. As a security measure, there is a method in which a publicly available blacklist is read by a device and access control is performed based on the blacklist.
また、特許文献1には、端末によるWebページのアクセス履歴に基づくアクセス許可/禁止判定を行い、端末に即したアクセス許可/禁止リストの設定を行うアクセス規制システムが記載されている。
しかしながら、公開されているブラックリストには膨大な数が存在する。このため、ルータなどの通信機器に膨大な数のブラックリストを全て読み込ませ、これらのブラックリストを用いてアクセスコントロールしようとすることは、通信機器側に多大な処理能力が必要となり、現実的ではない。また、管理対象のネットワークからブラックリストの対象への通信の有無や頻度は様々であることから、対処しなければならないブラックリストの優先順位も異なるため、単に公開されているブラックリストをそのまま利用するだけでは、効果的な対策ができているとはいえない。 However, there are a huge number of public blacklists. For this reason, reading all of a huge number of blacklists into a communication device such as a router and trying to control access using these blacklists requires a large amount of processing power on the communication device side. Absent. In addition, since the presence and frequency of communication from the managed network to the target of the blacklist vary, the priority of the blacklist that must be dealt with is different, so the publicly available blacklist is used as it is. However, it cannot be said that effective countermeasures have been made.
本発明は上記事情に鑑みてなされたものであり、本発明の目的は、通信機器の処理能力を増強することなく、管理対象のネットワークに応じた効果的なブラックリストを生成するアクセス制御装置、アクセス制御方法、およびアクセス制御プログラムを提供することにある。 The present invention has been made in view of the above circumstances, and an object of the present invention is to provide an access control device that generates an effective black list according to a network to be managed without increasing the processing capability of a communication device, An access control method and an access control program are provided.
上記目的を達成するため、本発明は、アクセス制御装置であって、公開されている第1のブラックリストを取得するブラックリスト取得手段と、管理対象ネットワークの通信ログを収集する通信ログ収集手段と、前記収集した通信ログに基づいて、前記第1のブラックリストの各登録対象に重み付けを設定する重み付け手段と、前記重み付けが高い順に所定の数の前記第1のブラックリストの登録対象を用いて、第2のブラックリストを生成するアクセス制御手段と、を備え、前記第1のブラックリストには、各登録対象の脅威の程度を示すスコアが設定され、前記重み付け手段は、前記第1のブラックリストの各登録対象に、前記スコアを前記重み付けに加味したスコア重み付けを設定し、前記アクセス制御手段は、前記スコア重み付けが高い順に所定の数の前記第1のブラックリストの登録対象を用いて、第2のブラックリストを生成する。 In order to achieve the above object, the present invention provides an access control apparatus, a blacklist acquisition unit that acquires a first public blacklist, and a communication log collection unit that collects a communication log of a managed network. , Based on the collected communication logs, weighting means for setting a weight for each registration target of the first black list, and using a predetermined number of registration targets for the first black list in descending order of the weight and access control means for generating a second black list, wherein the the first black list, the score indicating the degree of threat each registered is set, the weighting means, the first black For each registration target of the list, a score weight is set by adding the score to the weight, and the access control means Using the registration target of the first blacklist predetermined number to have the order, and generates a second blacklist.
本発明は、コンピュータが行うアクセス制御方法であって、公開されている第1のブラックリストを取得するブラックリスト取得ステップと、管理対象ネットワークの通信ログを収集する通信ログ収集ステップと、前記収集した通信ログに基づいて、前記第1のブラックリストの各登録対象に重み付けを設定する重み付けステップと、前記重み付けが高い順に所定の数の前記第1のブラックリストの登録対象を用いて、第2のブラックリストを生成するアクセス制御ステップと、を行い、前記第1のブラックリストには、各登録対象の脅威の程度を示すスコアが設定され、前記重み付けステップは、前記第1のブラックリストの各登録対象に、前記スコアを前記重み付けに加味したスコア重み付けを設定し、前記アクセス制御ステップは、前記スコア重み付けが高い順に所定の数の前記第1のブラックリストの登録対象を用いて、第2のブラックリストを生成する。 The present invention is an access control method performed by a computer, wherein a blacklist acquisition step of acquiring a first public blacklist, a communication log collection step of collecting a communication log of a managed network, and the collected Based on the communication log, a weighting step for setting a weight for each registration target of the first black list, and a predetermined number of the first black list registration targets in descending order of the weight, There rows and access control step of generating a blacklist, and wherein the first black list sets the score indicating the degree of threat each registered, the weighting step, each of the first blacklist The registration target is set with a score weighting in which the score is added to the weighting, and the access control step includes: Using the registration target of the first blacklist predetermined number in scores weighted descending order, to generate a second blacklist.
本発明は、コンピュータが実行するアクセス制御プログラムであって、前記コンピュータに、公開されている第1のブラックリストを取得するブラックリスト取得ステップと、管理対象ネットワークの通信ログを収集する通信ログ収集ステップと、前記収集した通信ログに基づいて、前記第1のブラックリストの各登録対象に重み付けを設定する重み付けステップと、前記重み付けが高い順に所定の数の前記第1のブラックリストの登録対象を用いて、第2のブラックリストを生成するアクセス制御ステップと、を実行させ、前記第1のブラックリストには、各登録対象の脅威の程度を示すスコアが設定され、前記重み付けステップは、前記第1のブラックリストの各登録対象に、前記スコアを前記重み付けに加味したスコア重み付けを設定し、前記アクセス制御ステップは、前記スコア重み付けが高い順に所定の数の前記第1のブラックリストの登録対象を用いて、第2のブラックリストを生成する。 The present invention relates to an access control program executed by a computer, a blacklist acquisition step of acquiring a first blacklist disclosed to the computer, and a communication log collection step of collecting a communication log of a managed network And a weighting step for setting a weight for each registration target of the first black list based on the collected communication log, and using a predetermined number of registration targets for the first black list in descending order of the weight. Te, an access control step of generating a second black list, then the execution, the first blacklist, the score indicating the degree of threat each registered is set, the weighting step, the first Set a score weighting that takes the score into account for each of the blacklist's blacklists , The access control step, using the registration target of the first blacklist predetermined number sequentially the score weighting is high, to generate a second blacklist.
本発明によれば、通信機器の処理能力を増強することなく、管理対象のネットワークに応じた効果的なブラックリストを生成するアクセス制御装置、アクセス制御方法、およびアクセス制御プログラムを提供することができる。 According to the present invention, it is possible to provide an access control device, an access control method, and an access control program that generate an effective blacklist corresponding to a network to be managed without increasing the processing capability of a communication device. .
以下、本発明の実施形態について説明する。 Hereinafter, embodiments of the present invention will be described.
<第1の実施形態>
図1は、本発明の第1の実施形態に係るアクセス制御システムの全体構成を示す図である。本実施形態では、アクセス制御装置1がアクセス制御を行う管理対象ネットワークとして、キャリアグレードのネットワーク(NW−A)2に接続されたユーザネットワーク(NW−B)3とする。しかしながら、管理対象のネットワークは、ユーザネットワーク3に限定されるものではなく、通信事業者が管理・運営するキャリアグレードのネットワーク2であってもよい。
<First Embodiment>
FIG. 1 is a diagram showing an overall configuration of an access control system according to the first embodiment of the present invention. In this embodiment, a user network (NW-B) 3 connected to a carrier grade network (NW-A) 2 is assumed as a management target network to which the
アクセス制御装置1は、管理対象ネットワークの通信ログを用いて、ネットワーク上に公開されている多数のブラックリスト5を絞り込み、管理対象ネットワーク用のブラックリストを生成して、管理対象ネットワークのアクセス制御を行うものである。図示するアクセス制御装置1は、通信ログ収集部11と、ブラックリスト取得部12と、重み付け部13と、アクセス制御部14とを備える。
The
通信ログ収集部11は、管理対象ネットワーク3の通信ログを収集し、通信ログ記憶部に蓄積する。ここでは、管理対象ネットワーク3からキャリアグレードのネットワーク2を介して外部ネットワーク4(例えば、インターネット)へ接続する通信ログを、キャリアグレードのネットワーク2の境界ルータである各ルータ(通信機器)21〜25から収集するものとする。
The communication
図2は、通信ログ記憶部に記憶された通信ログの一例である。図示する例では、日時、送信元情報(送信元アドレス、通信種別など)、宛先情報(宛先アドレス、通信種別など)、サイズなどの通信データのヘッダ情報を記憶する。なお、通信ログ記憶部には、1パケットを1レコードとしてパケット単位で記憶してもよく、あるいは、1セッション(通信)を1レコードとしてセッション単位で記憶してもよい。 FIG. 2 is an example of a communication log stored in the communication log storage unit. In the illustrated example, header information of communication data such as date / time, transmission source information (transmission source address, communication type, etc.), destination information (destination address, communication type, etc.), and size is stored. The communication log storage unit may store one packet as one record in packet units, or may store one session (communication) as one record in session units.
ブラックリスト取得部12は、様々な外部システム(不図示)により提供される公開された多数のブラックリスト5を取得・収集し、ブラックリスト記憶部に記憶する。
The black
図3は、公開されたブラックリストの一例である。図示するブラックリストは、各ブラックリストに登録された各登録対象(例えば、マルウェアサイト、フィッシングサイトなど)毎に、アドレス、脅威の種別、脅威の程度を示すスコアなどが設定されている。なお、スコアは、例えば、公開されたブラックリストにあらかじめ設定されていてもよく、または、脅威の種別に応じてブラックリスト取得部が設定することとしてもよい。 FIG. 3 is an example of a published blacklist. In the illustrated black list, an address, a threat type, a score indicating the degree of threat, and the like are set for each registration target (for example, a malware site, a phishing site, etc.) registered in each black list. Note that the score may be set in advance in a public blacklist, or may be set by the blacklist acquisition unit according to the type of threat.
重み付け部13は、通信ログ記憶部に記憶された通信ログを解析して、ブラックリスト記憶部に登録された各登録対象へのアクセス数に応じて、各登録対象に重み付けを設定する。アクセス制御部14は、重み付け部13が設定した重み付けが高い順に所定の数の登録対象をブラックリストから抽出した新たなブラックリストを生成する。
The
上記説明したアクセス制御装置1には、例えば、CPUと、メモリと、HDD等の外部記憶装置と、入力装置と、出力装置とを備えた汎用的なコンピュータシステムを用いることができる。このコンピュータシステムにおいて、CPUがメモリ上にロードされたアクセス制御装置1用のプログラムを実行することにより、アクセス制御装置1の各機能が実現される。また、アクセス制御装置1用のプログラムは、ハードディスク、フレキシブルディスク、CD−ROM、MO、DVD−ROMなどのコンピュータ読取り可能な記録媒体に記憶することも、ネットワークを介して配信することもできる。
For the
次に、本実施形態の処理について説明する。 Next, the processing of this embodiment will be described.
図4は、本実施形態の処理を示すフローチャートである。なお、図4に示す処理を行う前に、ログ情報記憶部には、通信ログ収集部11が常時収集しているルータ21〜25の通信ログが蓄積され、ブラックリスト記憶部には、ブラックリスト取得部12が取得した公開されたブラックリストが記憶されているものとする。
FIG. 4 is a flowchart showing the processing of this embodiment. Before the processing shown in FIG. 4 is performed, the log information storage unit stores the communication logs of the
まず、アクセス制御装置1の重み付け部13は、アクセス制御を行う条件を受け付け、当該条件に合致する通信ログを通信ログ記憶部から抽出する(S11)。例えば、重み付け部13は、条件として、管理対象ネットワーク、使用する通信ログの期間、アクセス数のカウント方法(パケット単位、セッション単位)、更新タイミングなどを受け付ける。なお、使用する通信ログの期間は、短期間でも長期間でもよい。短期間(例えば、直近の一週間)の場合、ブラックリストのある登録対象に対するアクセスが急上昇している場合、今後さらに増える可能性の当該登録対象へのアクセスを効果的に遮断することができる。また、長期間(例えば、直近の一年間)の場合、恒常的にアクセスされているブラックリストの登録対象を検出することができる。
First, the
そして、重み付け部13は、条件に合致した通信ログを通信ログ記憶部から抽出する。ここでは、管理対象ネットワーク3からキャリアグレードのネットワーク2を介して外部ネットワーク4(例えば、インターネット)へ接続する通信ログを、条件で指定された期間分、抽出する。
Then, the
そして、重み付け部13は、抽出した通信ログを解析し、ブラックリスト記憶部のブラックリストに登録された登録対象毎に、当該登録対象を宛先とする、管理対象ネットワークからのアクセス数(通信ログ数)をカウントする。ここで、アクセス数のカウント方法は、S11で設定された条件のカウント方法に従うものとする。すなわち、カウント方法がパケット単位の場合は、各登録対象を宛先とするアクセス数をパケット単位でカウントし、カウント方法がセッション単位の場合は、当該登録対象を宛先とするアクセス数をセッション単位でカウントする。
Then, the
そして、重み付け部13は、カウントしたアクセス数(パケット数またはセッション数)に応じた重みを、ブラックリストの各登録対象に設定する(S12)。
Then, the
図5は、重み付け後のブラックリストの一例を示すものである。なお、重み付けは、アクセス数に応じて設定するものであって、アクセス数が大きい程、重み付けが大きくなるように設定する。アクセス数と重み付けとの関係は、線形であっても、非線形であってもよい。図5では、1番の登録対象の重み付けが「10」で、2番の登録対象の重み付けが「3」であるため、1番の登録対象へのアクセス数が2番の登録対象へのアクセス数より多いことを示している。 FIG. 5 shows an example of a weighted black list. The weighting is set according to the number of accesses, and the weighting is set so as to increase as the number of accesses increases. The relationship between the number of accesses and the weighting may be linear or non-linear. In FIG. 5, since the weight of the first registration target is “10” and the weight of the second registration target is “3”, the number of accesses to the first registration target is access to the second registration target. It is more than the number.
なお、図5に示す重み付け後のブラックリストでは、重み付けにスコアを加味したスコア重み付けを備える。図示するスコア重み付けは、スコアと重み付けとを乗算したものである。スコア重み付けを用いることで、スコアの高い(脅威の大きい)登録対象の優先順位を上げることができる。 Note that the weighted black list shown in FIG. 5 includes score weighting in which weight is added to the score. The score weighting shown is obtained by multiplying the score and the weighting. By using score weighting, it is possible to increase the priority of registration targets with high scores (high threats).
そして、アクセス制御装置1のアクセス制御部14は、重み付けまたはスコア重み付けのいずれかを用いて、ブラックリストの中から、所定の件数の登録対象を絞り込む(S13)。すなわち、重み付け(または、スコア重み付け)が高い順に所定の数の登録先をブラックリストから抽出し、抽出した登録対象の対象アドレスを含む絞り込み後のブラックリストを生成する。なお、抽出する所定の件数は、当該絞込み後のブラックリストを組み込むルータのスペック(性能、仕様など)に応じて決定する。
Then, the
そして、アクセス制御部14は、生成した絞込み後のブラックリストを、管理対象ネットワークとの通信を制御するルータに配信し、設定する(S14)。図1に示す例では、管理対象ネットワークであるユーザネットワーク3との境界ルータであるキャリアグレードのネットワーク2のルータ25と、外部ネットワーク4との境界ルータであるルータ21との両方に配信するものとする。しかしながら、ルータ25またはルータ21のいずれかのルータに配信することとしてもよい。
Then, the
そして、アクセス制御部14は、絞込み後のブラックリストを配信したルータ21、25に対して、管理対象ネットワークと当該絞込み後のブラックリストの各登録対象との通信を規制させるように設定する。例えば、管理対象ネットワークのいずれかの装置(送信元)から、ブラックリストのいずれかの登録対象(宛先)への通信を許可しない、または、ブラックリストのいずれかの登録対象(送信元)から管理対象ネットワークのいずれかの装置(宛先)への通信を許可しない、などの設定をすることが考えられる。
Then, the
また、アクセス制御部14は、S12で重み付けしたブラックリスト(図5)を、管理対象ネットワークの管理者にメールやWebページなどのネットワークを介して通知してもよく、また、郵送などにより通知してもよい。また、アクセス制御部14は、S12で重み付けしたブラックリスト(図5)を、管理対象ネットワークを利用する顧客、または、キャリアグレードのネットワーク2を使用する顧客に、フィルタリング情報として提供することとしてもよい。これにより、ネットワークの管理者またはネットワークを利用する顧客は、重み付けされたブラックリストを、それぞれの使用目的に応じて有効活用することができる。
Further, the
そして、重み付け部13は、S11で設定された更新タイミングか否かを判定する(S15)。更新タイミングは、S13で生成した絞込み後のブラックリストの更新のタイミングであって、所定の期間(例えば、1週間、一ヶ月など)毎に、S12からS14の処理を繰り返し行うものとする。重み付け部13は、更新タイミングに該当する場合、すなわち所定の期間が経過した場合(S15:YES)、S12に戻り、以降の処理を行う。これにより、現在の通信ログの状態に応じて、アクセス頻度の高いブラックリストを絞り込むことができる。
And the
なお、アクセス制御装置1は、図5に示す重み付け後のブラックリスト(第1の実施例)以外に、以下の2つの重み付け後のブラックリストを生成することとしてもよい。
Note that the
図6は、第2の実施例の重み付け後のブラックリストの一例である。第2の実施例の重み付け後のブラックリストは、図6(a)に示すように、管理対象ネットワーク内の送信元装置毎、ブラックリストに登録された登録対象へのアクセス数に基づいて重み付けを行うものである。 FIG. 6 is an example of a weighted black list according to the second embodiment. As shown in FIG. 6A, the weighted black list of the second embodiment is weighted on the basis of the number of accesses to the registration target registered in the black list for each transmission source device in the management target network. Is what you do.
図6(b)に示すブラックリストは、管理対象ネットワークの送信元装置のアドレス毎に、当該送信元装置がアクセスしたブラックリストの登録対象(宛先)と、脅威およびスコアと、重み付けと、スコア重み付けとを有する。重み付け部13は、通信ログの中で、管理対象ネットワーク内の送信元装置がブラックリストに登録されたいずれかの登録対象にアクセスした場合に、ブラックリストの登録対象(宛先)毎にアクセス数(パケット数またはセッション数)をカウントする。そして、重み付け部13は、送信元装置毎および登録対象毎にカウントしたアクセス数に応じた重みを、ブラックリストに設定する。
The black list illustrated in FIG. 6B includes, for each address of the transmission source device of the management target network, a black list registration target (destination) accessed by the transmission source device, a threat and a score, a weight, and a score weight. And have. When the transmission source device in the management target network accesses any registration target registered in the black list in the communication log, the
そして、重み付け部13は、登録対象毎に設定した重み付けの合計を、当該送信元装置の重み付けとして決定する。また、重み付け部13は、登録対象毎に設定した重み付けとスコアとを乗算したスコア重み付けの合計を、当該送信元装置の重み付けとして用いてもよい。
And the
図7は、第3の実施例の重み付け後のブラックリストの一例である。第3の実施例の重み付け後のブラックリストは、図7(a)に示すように、ブラックリストに登録された各登録対象へのアクセス数を、ブラックリストの登録対象毎および送信元装置毎にカウントし、当該アクセス数に基づいて重み付けを行うものである。 FIG. 7 is an example of the black list after weighting according to the third embodiment. As shown in FIG. 7 (a), the weighted black list of the third embodiment shows the number of accesses to each registration target registered in the black list for each black list registration target and each transmission source device. It counts and weights based on the number of accesses.
図7(b)に示す重み付け後のブラックリストは、ブラックリストの登録対象のアドレス毎に、脅威およびスコアと、当該登録対象にアクセスした管理対象ネットワークの送信元装置のアドレスと、重み付けと、スコア重み付けとを有する。重み付け部13は、通信ログの中で、管理対象ネットワーク内の送信元の機器がブラックリストに登録されたいずれかの登録対象にアクセスした場合に、ブラックリストの登録対象(宛先)毎および送信元装置毎にアクセス数(パケット数またはセッション数)をカウントする。そして、重み付け部13は、登録対象毎および送信元装置毎にカウントしたアクセス数に応じた重みを、ブラックリストに設定する。
The weighted black list shown in FIG. 7B includes a threat and a score, an address of a transmission source device of a management target network that has accessed the registration target, a weight, and a score for each black list registration target address. And weighting. When the transmission source device in the management target network accesses one of the registration targets registered in the black list in the communication log, the
そして、重み付け部13は、送信元装置毎に設定した重み付けの合計を、当該登録対象の重み付けとして決定する。また、重み付け部13は、送信元装置毎に設定した重み付けとスコアとを乗算したスコア重み付けの合計を、当該登録対象の重み付けとして用いてもよい。
And the
図5に示す重み付け後のブラックリスト(第1の実施例)の他に、図6および図7の重み付け後のブラックリスト(第2および第3実施例)を生成した場合、重み付け部13は、重み付けまたはスコア重み付けを用いて、これら3種類の重み付け後のブラックリストの中から、所定の件数の登録対象(図6の場合は、送信元装置)を絞り込む。すなわち、重み付けまたはスコア重み付けが高い順に所定の数の登録対象または送信元情報を抽出し、抽出した登録対象および送信元装置が混在する絞り込み後のブラックリストを生成する。なお、抽出する所定の件数は、ルータのスペックに応じて決定する。
In addition to the weighted black list shown in FIG. 5 (first embodiment), when the weighted black list shown in FIGS. 6 and 7 (second and third embodiments) is generated, the
そして、アクセス制御部14は、生成した混在する絞込み後のブラックリストを、管理対象ネットワークとの通信を制御するルータに配信し、設定する。そして、アクセス制御部14は、配信したルータに対して、管理対象ネットワークと当該絞込み後のブラックリストに設定されたブラックリストの各登録対象との通信、および絞り込み後のブラックリストに設定された送信元装置との通信を規制するように設定する。
Then, the
図6に示す重み付け後のブラックリストを生成することにより、ブラックリストの登録対象に高い頻度でアクセスしている管理対象ネットワークの装置を検出し、当該装置の通信を許可しないなどのアクセス制御を行うことで、管理対象ネットワーク全体のセキュリティを高めることができる。なお、アクセス制御部14は、図5および図7に示す重み付け後のブラックリストとは別に、図6に示す重み付け後のブラックリストのみで所定の数の送信元装置を絞り込んだ送信元ブラックリストを生成してもよい。すなわち、図6の重み付けまたはスコア重み付けが高い順に所定の数の送信元装置を抽出し、抽出した送信元情報のアドレスを含む送信元ブラックリストを生成し、ルータに配信して、当該装置の通信を規制してもよい。
By generating the weighted black list shown in FIG. 6, a device in the management target network that frequently accesses the black list registration target is detected, and access control such as not permitting communication of the device is performed. As a result, the security of the entire managed network can be increased. In addition to the weighted black list shown in FIG. 5 and FIG. 7, the
また、図7に示す重み付け後のブラックリストを生成することにより、管理対象ネットワーク内の多数の装置からアクセスされているブラックリストの登録対象を検出し、当該登録対象への通信を許可しないなどのアクセス制御を行うことで、管理対象ネットワーク全体のセキュリティを高めることができる。 Further, by generating the weighted black list shown in FIG. 7, the black list registration target accessed from a large number of devices in the management target network is detected, and communication to the registration target is not permitted. By performing access control, the security of the entire managed network can be increased.
以上説明した本実施形態では、管理対象ネットワークにおける通信ログを収集し、公開されたブラックリストに登録された各登録対象へのアクセス数に応じて重み付けを設定し、重み付けが高い順に所定の数の登録対象を抽出したブラックリストを生成する。これにより、本実施形態では、通信機器の処理能力を増強することなく、管理対象のネットワークに応じた効率的なブラックリストを生成することができる。すなわち、過去の通信ログからみて、頻繁にアクセスされる可能性が高いブラックリストに重み付けすることで、優先順位を上げ、優先順位の高いブラックリストに絞り込むことで、管理対象のネットワークにとって本当に必要なブラックリストを生成し、効率的なセキュリティ対策を実現することができる。 In the present embodiment described above, communication logs in the management target network are collected, a weight is set according to the number of accesses to each registration target registered in the public blacklist, and a predetermined number is set in descending order of weighting. Generate a blacklist from which to register. Thereby, in this embodiment, an efficient black list according to the network to be managed can be generated without increasing the processing capability of the communication device. That is, it is really necessary for the managed network by increasing the priority by weighting the black list that is likely to be accessed frequently from the past communication log, and by narrowing down to the black list with the higher priority. A black list can be generated to realize efficient security measures.
<第2の実施形態>
図8は、第2の実施形態のアクセス制御システムの全体構成を示す図である。図示するアクセス制御システムは、アクセス制御装置1Aが利用解析部15を備える点において、第1の実施形態のアクセス制御システム(図1参照)と異なり、その他については第1のアクセス制御システムと同様である。本実施形態のアクセス制御装置1Aは、各ルータ21〜25から収集した通信ログを用いて、管理対象ネットワークから外部ネットワーク4へアクセスする際の利用傾向(例えば、よく検索する単語(キーワード)や分野等)を解析し、当該利用傾向に該当するブラックリスト5の各登録対象に重み付けを行う。
<Second Embodiment>
FIG. 8 is a diagram illustrating an overall configuration of an access control system according to the second embodiment. The access control system shown in the figure is different from the access control system of the first embodiment (see FIG. 1) in that the
本実施形態では、アクセス制御装置1Aの通信ログ収集部11は、通信ログのヘッダ情報だけでなく、通信内容もあわせて通信ログ記憶部に記憶するものとする。そして、利用解析部15は、通信ログ記憶部に記憶された通信ログから管理対象ネットワークにおける利用傾向を解析する。利用傾向としては、例えば、高い回数(頻度)で検索している単語または当該単語の属する分野等を通信ログから解析し、抽出する。
In the present embodiment, the communication
そして、利用解析部15は、ブラックリストに登録された各登録対象毎に、当該登録対象のアドレスにアクセスし、アクセス先のWebサイト(Webページ)が利用傾向に該当する場合、当該登録対象に所定の利用傾向スコアを設定する。具体的には、ブラックリストの登録対象のWebサイトが、利用傾向として抽出した単語を含むか、あるいは当該単語の分野に属する場合、所定の利用傾向スコアを設定する。
Then, for each registration target registered in the blacklist, the
なお、利用傾向として、単語や分野以外にも、例えば「日本語のページ」には、一律に所定の利用傾向スコアを設定するなどして、優先順位を上げることとしてもよい。 As a usage trend, in addition to words and fields, for example, for a “Japanese page”, a predetermined usage trend score may be set uniformly to increase the priority.
図9は、本実施形態の重み付け後のブラックリストの一例を示すものである。図9に示す例では、利用解析部15は、利用傾向に該当するブラックリストの登録対象の利用傾向スコアには「3」を設定し、利用傾向の該当しないブラックリストの登録対象の利用傾向スコアには「1」を設定している。また、図9では、重み付けに利用傾向スコアを加味した第1の利用傾向重み付け(例えば、利用傾向スコア×重み付け)と、重み付けに利用傾向スコアおよびスコアを加味した第2の利用傾向重み付け(例えば、スコア×利用傾向スコア×重み付け)と、を備える。
FIG. 9 shows an example of the black list after weighting according to the present embodiment. In the example illustrated in FIG. 9, the
重み付け部13は、第1の実施形態と同様に、アクセス数(パケット数またはセッション数)に応じた重みを、ブラックリストの各登録対象に設定する。そして、アクセス制御部14は、図9に示すような重み付け後のブラックリストを参照し、第1の利用傾向重み付けまたは第2の利用傾向重み付けのいずれかを用いて、ブラックリストの中から、所定の件数の登録対象を絞り込む。そして、アクセス制御部14は、生成した絞込み後のブラックリストを、管理対象ネットワークとの通信を制御するルータに配信し、アクセス制御を行う。
As in the first embodiment, the
第2の実施形態では、通信ログから管理対象ネットワークの利用傾向を解析し、利用傾向に該当するブラックリストの登録対象に利用傾向スコアを設定し、ブラックリストの各登録対象に利用傾向スコアを加味した利用傾向重み付けを設定して、利用傾向重み付けが高い順に所定の数の登録対象を絞り込んだブラックリストを生成する。これにより、本実施形態では、管理対象ネットワークの利用傾向に合ったブラックリストの登録対象の重み付け(優先順位)を上げ、管理対象ネットワークにより適したブラックリストを生成することができる。 In the second embodiment, the usage trend of the management target network is analyzed from the communication log, the usage trend score is set for the blacklist registration target corresponding to the usage trend, and the usage trend score is added to each registration target of the blacklist. The usage trend weighting is set, and a black list is generated by narrowing down a predetermined number of registration targets in descending order of usage trend weighting. Thereby, in this embodiment, the blacklist registration target weight (priority order) that matches the usage trend of the management target network can be increased, and a blacklist more suitable for the management target network can be generated.
なお、本発明は上記実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。 In addition, this invention is not limited to the said embodiment, Many deformation | transformation are possible within the range of the summary.
1、1A:アクセス制御装置
11:通信ログ収集部
12:ブラックリスト取得部
13:重み付け部
14:アクセス制御部
15:利用解析部
2 :キャリアグレードのネットワーク
3 :ユーザネットワーク
4 :外部ネットワーク
5 :公開ブラックリスト
DESCRIPTION OF
Claims (9)
公開されている第1のブラックリストを取得するブラックリスト取得手段と、
管理対象ネットワークの通信ログを収集する通信ログ収集手段と、
前記収集した通信ログに基づいて、前記第1のブラックリストの各登録対象に重み付けを設定する重み付け手段と、
前記重み付けが高い順に所定の数の前記第1のブラックリストの登録対象を用いて、第2のブラックリストを生成するアクセス制御手段と、を備え、
前記第1のブラックリストには、各登録対象の脅威の程度を示すスコアが設定され、
前記重み付け手段は、前記第1のブラックリストの各登録対象に、前記スコアを前記重み付けに加味したスコア重み付けを設定し、
前記アクセス制御手段は、前記スコア重み付けが高い順に所定の数の前記第1のブラックリストの登録対象を用いて、第2のブラックリストを生成すること
を特徴とするアクセス制御装置。 An access control device comprising:
Black list acquisition means for acquiring a first black list that is made public;
A communication log collecting means for collecting communication logs of the managed network;
A weighting unit configured to set a weight to each registration target of the first black list based on the collected communication log;
Access control means for generating a second black list using a predetermined number of registration targets of the first black list in descending order of weighting ,
In the first black list, a score indicating the degree of threat to be registered is set.
The weighting means sets a score weighting that adds the score to the weighting for each registration target of the first blacklist,
The access control unit generates a second black list using a predetermined number of registration targets of the first black list in descending order of the score weighting .
前記重み付け手段は、前記収集した通信ログを解析して、前記第1のブラックリストに登録された各登録対象へのアクセス数に応じて前記第1のブラックリストの各登録対象に重み付けを設定すること
を特徴とするアクセス制御装置。 The access control device according to claim 1,
The weighting unit analyzes the collected communication log and sets a weight for each registration target of the first black list according to the number of accesses to each registration target registered in the first black list. An access control device characterized by the above.
前記アクセス数は、パケット数または通信数であること
を特徴とするアクセス制御装置。 The access control device according to claim 2 ,
The access control device is characterized in that the access number is a packet number or a communication number.
前記アクセス制御手段は、前記第2のブラックリストを通信機器に配信し、前記管理対象ネットワークと前記第2のブラックリストの各登録対象との通信を規制させること
を特徴とするアクセス制御装置。 The access control device according to any one of claims 1 to 3,
The access control unit distributes the second black list to a communication device and restricts communication between the management target network and each registration target of the second black list.
前記重み付け手段は、前記収集した通信ログを解析して、前記第1のブラックリストの各登録対象へのアクセス数を、前記管理対象ネットワークの送信元装置毎にカウントし、アクセス数に応じて各送信元装置に重み付けを設定し、
前記アクセス制御手段は、前記重み付けが高い順に所定の数の送信元機器を抽出した第3のブラックリストを生成すること
を特徴とするアクセス制御装置。 The access control device according to any one of claims 1 to 4 ,
The weighting unit analyzes the collected communication log, counts the number of accesses to each registration target of the first black list for each transmission source device of the management target network, Set the weight to the source device,
The access control unit generates a third black list in which a predetermined number of transmission source devices are extracted in descending order of the weighting.
前記アクセス制御手段は、前記第2のブラックリストを、前記管理対象ネットワークのユーザに通知すること
を特徴とするアクセス制御装置。 The access control device according to any one of claims 1 to 5 ,
The access control unit notifies the user of the management target network of the second black list.
前記通信ログから前記管理対象ネットワークの利用傾向を解析し、前記利用傾向に該当する前記第1のブラックリストの登録対象に所定の利用傾向スコアを設定する利用解析手段を、さらに備え、
前記重み付け手段は、前記第1のブラックリストの各登録対象に前記利用傾向スコアを前記重み付けに加味した利用傾向重み付けを設定し、
前記アクセス制御手段は、前記利用傾向重み付けが高い順に所定の数の登録対象を前記第1のブラックリストから抽出した第2のブラックリストを生成すること
を特徴とするアクセス制御装置。 The access control device according to any one of claims 1 to 6 ,
Usage analysis means for analyzing the usage trend of the managed network from the communication log, and setting a predetermined usage trend score for the registration target of the first blacklist corresponding to the usage trend;
The weighting means sets a usage trend weight that takes into account the usage trend score for each registration target of the first black list,
The access control unit generates a second black list in which a predetermined number of registration targets are extracted from the first black list in descending order of the usage tendency weighting.
公開されている第1のブラックリストを取得するブラックリスト取得ステップと、
管理対象ネットワークの通信ログを収集する通信ログ収集ステップと、
前記収集した通信ログに基づいて、前記第1のブラックリストの各登録対象に重み付けを設定する重み付けステップと、
前記重み付けが高い順に所定の数の前記第1のブラックリストの登録対象を用いて、第2のブラックリストを生成するアクセス制御ステップと、を行い、
前記第1のブラックリストには、各登録対象の脅威の程度を示すスコアが設定され、
前記重み付けステップは、前記第1のブラックリストの各登録対象に、前記スコアを前記重み付けに加味したスコア重み付けを設定し、
前記アクセス制御ステップは、前記スコア重み付けが高い順に所定の数の前記第1のブラックリストの登録対象を用いて、第2のブラックリストを生成すること
を特徴とするアクセス制御方法。 An access control method performed by a computer,
A blacklist acquisition step of acquiring a first blacklist that is made public;
A communication log collection step for collecting communication logs of the managed network;
A weighting step for setting a weight for each registration target of the first black list based on the collected communication log;
Said weighting using the registration target of the predetermined number in descending order first blacklist, have rows and the access control step, a generating a second black list,
In the first black list, a score indicating the degree of threat to be registered is set.
In the weighting step, for each registration target of the first black list, a score weight is set by adding the score to the weight,
The access control step generates the second black list by using a predetermined number of registration targets of the first black list in descending order of the score weighting .
前記コンピュータに、
公開されている第1のブラックリストを取得するブラックリスト取得ステップと、
管理対象ネットワークの通信ログを収集する通信ログ収集ステップと、
前記収集した通信ログに基づいて、前記第1のブラックリストの各登録対象に重み付けを設定する重み付けステップと、
前記重み付けが高い順に所定の数の前記第1のブラックリストの登録対象を用いて、第2のブラックリストを生成するアクセス制御ステップと、を実行させ、
前記第1のブラックリストには、各登録対象の脅威の程度を示すスコアが設定され、
前記重み付けステップは、前記第1のブラックリストの各登録対象に、前記スコアを前記重み付けに加味したスコア重み付けを設定し、
前記アクセス制御ステップは、前記スコア重み付けが高い順に所定の数の前記第1のブラックリストの登録対象を用いて、第2のブラックリストを生成すること
を特徴とするアクセス制御プログラム。 An access control program executed by a computer,
In the computer,
A blacklist acquisition step of acquiring a first blacklist that is made public;
A communication log collection step for collecting communication logs of the managed network;
A weighting step for setting a weight for each registration target of the first black list based on the collected communication log;
Said weighting using the registration target of the predetermined number in descending order first blacklist, the access control step of generating a second black list, to the execution,
In the first black list, a score indicating the degree of threat to be registered is set.
In the weighting step, for each registration target of the first black list, a score weight is set by adding the score to the weight,
The access control step generates a second black list by using a predetermined number of registration targets of the first black list in descending order of the score weighting.
An access control program characterized by
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012244430A JP5507647B2 (en) | 2012-11-06 | 2012-11-06 | Access control apparatus, access control method, and access control program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012244430A JP5507647B2 (en) | 2012-11-06 | 2012-11-06 | Access control apparatus, access control method, and access control program |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014056730A Division JP5719054B2 (en) | 2014-03-19 | 2014-03-19 | Access control apparatus, access control method, and access control program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014093027A JP2014093027A (en) | 2014-05-19 |
JP5507647B2 true JP5507647B2 (en) | 2014-05-28 |
Family
ID=50937035
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012244430A Active JP5507647B2 (en) | 2012-11-06 | 2012-11-06 | Access control apparatus, access control method, and access control program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5507647B2 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017045188A (en) * | 2015-08-25 | 2017-03-02 | 日本電信電話株式会社 | Communication record confirmation device, communication record confirmation system, communication record confirmation method, and communication record confirmation program |
JP6626039B2 (en) * | 2017-06-13 | 2019-12-25 | 日本電信電話株式会社 | Blacklist setting device, blacklist setting method, and blacklist setting program |
WO2020070916A1 (en) * | 2018-10-02 | 2020-04-09 | 日本電信電話株式会社 | Calculation device, calculation method, and calculation program |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7416487B2 (en) * | 2003-04-16 | 2008-08-26 | Sony Computer Entertainment Inc. | Communication device, game machine, and communication method |
JP2009038600A (en) * | 2007-08-01 | 2009-02-19 | Panasonic Corp | Information communication terminal device and information providing method |
JP5030895B2 (en) * | 2008-08-26 | 2012-09-19 | 株式会社エヌ・ティ・ティ・ドコモ | Access control system and access control method |
-
2012
- 2012-11-06 JP JP2012244430A patent/JP5507647B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2014093027A (en) | 2014-05-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Thomas et al. | Design and evaluation of a real-time url spam filtering service | |
Ho et al. | Detecting and characterizing lateral phishing at scale | |
US11882137B2 (en) | Network security blacklist derived from honeypot statistics | |
Dou et al. | A confidence-based filtering method for DDoS attack defense in cloud environment | |
US10574695B2 (en) | Gateway apparatus, detecting method of malicious domain and hacked host thereof, and non-transitory computer readable medium | |
US20140047543A1 (en) | Apparatus and method for detecting http botnet based on densities of web transactions | |
JP6030272B2 (en) | Website information extraction apparatus, system, website information extraction method, and website information extraction program | |
CN112019519B (en) | Method and device for detecting threat degree of network security information and electronic device | |
JPWO2016121348A1 (en) | Anti-malware device, anti-malware system, anti-malware method, and anti-malware program | |
CN110875907A (en) | Access request control method and device | |
JP5719054B2 (en) | Access control apparatus, access control method, and access control program | |
JP5507647B2 (en) | Access control apparatus, access control method, and access control program | |
JP2018073140A (en) | Network monitoring device, program and method | |
Antonakaki et al. | Exploiting abused trending topics to identify spam campaigns in Twitter | |
Elekar | Combination of data mining techniques for intrusion detection system | |
Soltanaghaei et al. | Detection of fast-flux botnets through DNS traffic analysis | |
US20210152573A1 (en) | Cyberattack information analysis program, cyberattack information analysis method, and information processing apparatus | |
US20160381052A1 (en) | Url selection method, url selection system, url selection device, and url selection program | |
RU2587424C1 (en) | Method of controlling applications | |
Li | An empirical analysis on threat intelligence: Data characteristics and real-world uses | |
JP2018022248A (en) | Log analysis system, log analysis method and log analysis device | |
Skrzewski | About the efficiency of malware monitoring via server-side honeypots | |
Gardiner et al. | On the reliability of network measurement techniques used for malware traffic analysis | |
Prathyusha et al. | Securing virtual machines from DDoS attacks using hash-based detection techniques | |
CN112953911B (en) | Network security analysis and disposal method and system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140218 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140319 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5507647 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |