JP5791548B2 - アドレス抽出装置 - Google Patents
アドレス抽出装置 Download PDFInfo
- Publication number
- JP5791548B2 JP5791548B2 JP2012058303A JP2012058303A JP5791548B2 JP 5791548 B2 JP5791548 B2 JP 5791548B2 JP 2012058303 A JP2012058303 A JP 2012058303A JP 2012058303 A JP2012058303 A JP 2012058303A JP 5791548 B2 JP5791548 B2 JP 5791548B2
- Authority
- JP
- Japan
- Prior art keywords
- address
- url
- browser
- log
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Description
すなわち、アンチウイルスソフトウェアでの検知にはマルウェアに対応したパターンファイルが必要である。しかし、標的型攻撃を行うマルウェアは、従来のマルウェアと異なり攻撃対象が限定されているため、一般に知られにくく、すぐに存在を認識できない。従って、アンチウイルスソフトウェアベンダのパターンファイル作成が遅れることがある。そして、多くのアンチウイルスソフトウェアでは標的型攻撃で用いられるマルウェアの検知が遅れる可能性がある。
ブラウザが実装されている端末装置からアクセス先として通知されたアドレスにアクセスを行うプロキシサーバ装置がアクセスを行ったアドレスの内、所定のアドレスを抽出するアドレス抽出装置であって、
前記プロキシサーバ装置が行ったアクセス毎にアクセス先のアドレスが示されるプロキシログと、あらかじめ正当と定義されたアドレスが示される正当アドレス情報と、前記端末装置で前記ブラウザが実行されて前記端末装置から前記プロキシサーバ装置にアクセス先として通知したアドレスが示されるブラウザ実行アドレス情報と
を入力するアドレス入力部と、
前記アドレス入力部により入力されたプロキシログに示されるアドレスの内、前記正当アドレス情報と前記ブラウザ実行アドレス情報とのいずれにも示されていないアドレスを抽出するアドレス抽出部と
を備えることを特徴とする。
(不正WEBアクセス検知システムの周辺構成)
図1は、不正WEBアクセス検知システムの周辺構成の例を示す図である。
不正WEBアクセス検知システム100は、例えばマルウェアによってアクセスされたURL(Uniform Resource Locator)を抽出する。ここで、URLは例えばプロキシサーバ装置600(後述で説明)がアクセスを行うアクセス先のアドレスである。すなわち、不正WEBアクセス検知システム100は、アドレス抽出装置である。そして、不正WEBアクセス検知システム100はプロキシサーバ装置600がアクセスを行ったアドレスの内、所定のアドレスを抽出する。不正WEBアクセス検知システム100が抽出する所定のアドレスについては後述で説明する。
ここで、例えばマルウェアによってアクセスされたアドレス(URL)を以降「不正なアドレス」と称する。
ここで、図示は省略するが、端末装置500は例えば、企業などの組織で使われる個人用のパーソナルコンピュータなどであり、複数の端末装置500も例えばLANなどで接続されている。
例えば、企業などの組織では、端末装置500がネットワーク150(例えばインターネットなど)を介して、WEBサイトにアクセスする際に、端末装置500から直接WEBサイトにアクセスするのではなく、プロキシが端末装置500の代理でWEBサイトにアクセスする。
本実施の形態では、例えば組織に1台設置されているプロキシをプロキシサーバ装置600と称する。
すなわち、プロキシサーバ装置600は、端末装置500からアクセス先として通知されたアドレスにアクセスを行う。
前述のように、例えば企業など組織内の端末装置500はWEBサイトにアクセスする際に、プロキシサーバ装置600にHTTP接続する。プロキシサーバ装置600は端末装置500の代りにインターネットに接続しWEB通信(HTTP通信)を行う。WEB通信(HTTP通信)の結果はプロキシサーバ装置600から端末装置500へ転送される。
例えば、マルウェアがWEBアクセスする場合は必ずプロキシサーバ装置600に接続するため、プロキシログ201に通信記録が残る。また、マルウェア以外のWEBアクセス(ブラウザ551、アプリケーションからの通信)もプロキシログ201に通信記録が残る。
URLホワイトリスト202は、ホワイトURLのリストである。ホワイトURLは予め組織でアクセスが許可されているURLである。例えば、OS(Operating System)、オフィスアプリケーションのアップデートサイトやニュースサイトなどがある。
すなわち、ホワイトURLは、あらかじめ正当と定義されたアドレスである。そして、URLホワイトリスト202は、あらかじめ正当と定義されたアドレスが示される正当アドレス情報に対応する。
端末装置500は、ブラウザ551が実装されている。端末装置500は、ブラウザ551を実行してWEBアクセスした場合、そのアクセス先のアドレスをブラウザログ214として記録する。換言すると、ブラウザログ214に記録されるアドレスは、端末装置500でブラウザ551が実行されて、端末装置500からプロキシサーバ装置600にアクセス先として通知されたアドレスである。
ブラウザログ214は、例えば端末装置500の記憶装置に記憶される。
また、ブラウザログ214は、ブラウザ実行アドレス情報に対応する。
端末装置500は、端末操作記録アプリケーションを備える。端末操作記録アプリケーションが、ユーザの端末装置500の操作を記録したものが端末操作ログ203である。端末操作ログ203は、例えば端末装置500の記憶装置に記憶される。
すなわち、端末操作ログ203は、ユーザ指示情報にも対応する。
図2は、不正WEBアクセス検知システム100の構成の例を示す図である。不正WEBアクセス検知システム100を構成する各要素について説明する。
プロキシログ取り込み部101は、プロキシログ201、端末識別子205、期間206を入力とし、ログの内容であるプロキシログエントリ301を抽出する。
例えばユーザが不正WEBアクセス検知システム100を用いて調査を行いたい対象の端末装置500の識別子を、例えばキーボードの様な入力装置を用いて入力する。この入力装置は、不正WEBアクセス検知システム100に備えられていても良いし、不正WEBアクセス検知システム100の外部であっても良い。
URLホワイトリスト取り込み部102は、URLホワイトリスト202を入力し、URLホワイトリスト202の内容であるホワイトURL302を抽出する。
端末操作ログ取り込み部103は、端末操作ログ203を入力し、ブラウザによりアクセスされたWEBサイトのURL情報であるWEBアクセスURL情報303を抽出する。WEBアクセスURL情報303は図2における図示は省略するが、ブラウザ実行アドレス情報に対応する。
また、端末操作ログ取り込み部103は、ブラウザ操作期間315(後述で説明)を算出する。
ブラウザログ取り込み部114は、ブラウザログ214、端末識別子205、期間206を入力し、ブラウザログ214の内容であるブラウザログエントリ314を抽出する。ブラウザログエントリ314も図2における図示は省略するが、ブラウザ実行アドレス情報に対応する。また、ブラウザログ取り込み部114はアドレス入力部に対応する。
グレーURL特定部105は、プロキシログエントリ301、ホワイトURL302を入力し、マルウェアがアクセスしている可能性があるURL情報であるグレーURL情報305を抽出する。すなわち、グレーURL特定部105は、アドレス抽出部に対応する。
トップページURL特定部106は、WEBアクセスURL情報303、ブラウザログエントリ314を入力し、ブラウザ551によりアクセスされたアドレスを抽出し、トップページURL情報306として出力する。トップページURL情報306も、図2における図示は省略するが、ブラウザ実行アドレス情報に対応する。
ブラウザアクセスURL特定部107は、トップページURL情報306、ブラウザログエントリ314、プロキシログエントリ301を入力し、ブラウザ551によりアクセスされたアドレスもしくは、ブラウザ551によりアクセスされたアドレスのリンク先のアドレスをブラウザアクセスURL情報307として出力する。
ここで、ブラウザアクセスURL特定部107は、ドメイン名抽出部と経由先抽出部とに対応する。
また、ブラウザアクセスURL情報307は、図2における図示は省略するが、ブラウザ実行アドレス情報と経由先アドレスとに対応する。
ブラックURL特定部108は、グレーURL情報305、ブラウザアクセスURL情報307、ブラック判定条件207を入力し、マルウェアのアクセスしたサイトと思われるブラックURL208を抽出する。すなわち、ブラックURL特定部108はアドレス抽出部に対応する。
また、ブラックURL特定部108は、外部サービス209(後述で説明)から情報を入力する情報入力部に対応する。
ログ蓄積部109は、プロキシログ201、端末操作ログ203、ブラウザログ214を入力し、ログ蓄積部109の内部に備えられた例えば、磁気ディスク装置などの記憶装置に蓄積する。
ログ蓄積部109は、アドレス入力部に対応する。
不正WEBアクセス検知システム100の動作について説明する。
なお、実施の形態1においては、端末操作ログ取り込み部103とトップページURL特定部106とは使用されない。
図3は、プロキシログ201の例を示す図である。
図4は、プロキシログ取り込み部101の処理の例を示すフローチャートである。
図5は、プロキシログエントリ301の例を示す図である。
期間206は、ある特定の期間にマルウェアからWEBアクセスがあったか否かを確認するために、例えばユーザが期間特定部200を用いて指定する期間である。例えば、「2011/11/23 09:00:00〜2011/11/23 18:00:00」の期間にマルウェアからのWEBアクセスの有無を調べる場合、期間特定部200は、期間206として「2011/11/23 09:00:00〜2011/11/23 18:00:00」を指定する。
更に、プロキシログ201には、リファラが記録される。リファラについては後述で詳細を説明する。
ここで、実施の形態の説明において示されるURL(例えば、図3の「http://○○○.1234.△△△/」)は、あくまで例として挙げられたものであり、実在のURLとは無関係である。
すなわち、プロキシログ201は、プロキシサーバ装置600が行ったアクセス毎にアクセス先のアドレスが示されている。
例えば、「(http://○○○.abc−sample.△△△/のコンテンツが自動で取得したコンテンツの記録)」を説明する。プロキシサーバ装置600がhttp://○○○.abc−sample.△△△/にアクセスした結果、プロキシサーバ装置600が取得したコンテンツの中に、画像や動画などを取り込むタグが記録されていた場合に、プロキシサーバ装置600は、httpでそれらの画像や動画を自動的に取得する。そして、「コンテンツが自動で取得したコンテンツの記録」であるそれらの画像や動画もプロキシログ201に記録されていてもよい。
ここで、期間206は「2011/11/23 09:00:00〜2011/11/23 18:00:00」、端末識別子205は、「192.168.1.2」が指定されているとする。
ここで、プロキシログ201やブラウザログ214などの情報を構成する行を以降「エントリ」と称する。例えば図3のD3011の行が1つのエントリとなる。
次に、プロキシログ取り込み部101は、入力したエントリのアクセス日時が期間206の範囲内か否かを判定する(図4のS403)。
アクセス日時が期間206の範囲内であれば(図4のS403の「YES」)、プロキシログ取り込み部101は、入力したエントリの端末識別子が、端末識別子205と一致するか否かを判定する(図4のS404)。
端末識別子が、端末識別子205と一致すれば(図4のS404の「YES」)、プロキシログ取り込み部101は、読み込んだエントリをプロキシログエントリ301として出力する(図4のS405)。
図6は、URLホワイトリスト取り込み部102の処理の例を示すフローチャートである。
図7は、URLホワイトリスト202の例を示す図である。
図8は、ホワイトURL302の例を示す図である。
URLホワイトリスト取り込み部102は、URLホワイトリスト202の各エントリの最初の要素であるURLを抽出し、ホワイトURL302として出力する。
まず、URLホワイトリスト取り込み部102は、URLホワイトリスト202の全てのエントリを入力したか否かを判定する(図6のS601)。
次に、URLホワイトリスト取り込み部102は、入力したエントリのURLを抽出する(図6のS603)。
そして、URLホワイトリスト取り込み部102は、抽出したURLをホワイトURL302として出力する(図6のS604)。
図9は、グレーURL特定部105の処理の例を示すフローチャートである。
図10は、グレーURL情報305の例を示す図である。
ここで、プロキシログエントリ301は、図5に示す例とし、ホワイトURL302は図8に示す例とする。
なお、プロキシログエントリ301(プロキシログエントリ301のセット)は、前述の通りプロキシログ201から抽出されたものであり、プロキシログエントリ301(プロキシログエントリ301のセット)に示されるURL(アドレス)は、前述の通りプロキシログ201に示されるURL(アドレス)である。
そして、ホワイトURL302は、URLホワイトリスト202(正当アドレス情報)に示されるアドレスである。
具体的には、図5に示すプロキシログエントリ301cに、図8に示すホワイトURL302aが含まれ、図5に示すプロキシログエントリ301dに、図8に示すホワイトURL302bが含まれる。よって、グレーURL特定部105は、プロキシログエントリ301のセットの内、プロキシログエントリ301cとプロキシログエントリ301dとを削除する。
すなわち、グレーURL特定部105は、プロキシログエントリ301のセット(プロキシログ201)に示されるURL(アドレス)の内、URLホワイトリスト202(正当アドレス情報)に示されていないURL(アドレス)を抽出する。
換言すると、グレーURL情報305は、プロキシログエントリ301のセット(プロキシログ201)に示されるURLの内、URLホワイトリスト202(正当アドレス情報)に示されていないURLを示す情報である。
グレーURL情報305の例を図10に示す。ここで、図10の例は、プロキシログエントリ301に含まれるURL以外の情報(例えばアクセス日時、端末識別子など)も含まれているが、グレーURL情報305は、WEBサイトのURLの情報のみであってもも良い。
図11は、ブラウザログ214の第1の例を示す図である。
図12は、ブラウザログ214の第2の例を示す図である。
図13は、ブラウザログ214の第3の例を示す図である。
図14は、ブラウザログ取り込み部114の処理の例を示すフローチャートである。
図15は、ブラウザログエントリ314の例を示す図である。
ただし、ブラウザログ214に端末識別子205の情報が記録されていない場合は、ブラウザログ取り込み部114は、ブラウザログ214と期間206とからブラウザログエントリ314を抽出する。本実施の形態においては、ブラウザログ214に端末識別子205の情報が記録されていない場合について説明する。
ブラウザログ214の第1の例(図11)は、端末装置500が実行したブラウザ551がWEB通信した全てのURLがアクセス日時と共に記録される形態である。
ここで、ブラウザ551がWEB通信した全てのURLとは、例えば、ユーザがキーボードなどの入力装置を用いて直接ブラウザに入力したURL、ユーザがマウスなどの入力装置を用いてブラウザ上のリンクをクリックしたURL、ユーザがマウスなどの入力装置を用いてブックマークからアクセスしたURL、イメージファイルなどブラウザが自動的に取得したコンテンツのURL、JavaScript(登録商標)などで生成されブラウザがアクセスしたURL、動画がアクセスするURLである。
ブラウザログ214の第2の例(図12)は、ユーザの操作に基づきブラウザ551がWEB通信したURLがアクセス日時と共に記録される形態である。
ここで、ユーザの操作に基づきブラウザ551がWEB通信したURLとは、例えば、ユーザがキーボードなどの入力装置を用いて直接ブラウザに入力したURL、ユーザがマウスなどの入力装置を用いてブラウザ上のリンクをクリックしたURL、ユーザがマウスなどの入力装置を用いてブックマークからアクセスしたURLである。
ブラウザログ214の第3の例(図13)は、ブラウザ551がWEB通信して取得したコンテンツのうち、端末装置500に備えられているキャッシュメモリに記憶されたコンテンツのURLがアクセス日時とコンテンツの名前と共に記録される形態である。
ブラウザログ214は、端末装置500が備える記憶装置にファイルとして記憶されていてもよいし、端末装置500が備える記憶装置にブラウザ551が保持するデータベースとして記憶されていてもよい。
ここで、期間206は「2011/11/23 09:00:00〜2011/11/23 18:00:00」が指定されているとする。
また、ブラウザログ214は、図11に示すブラウザログ214の第1の例とする。なお、ブラウザログ取り込み部114が処理に用いるブラウザログ214は、ブラウザログ214の第2の例であってもよいし、ブラウザログ214の第3の例であってもよいし、ブラウザログ214の第2の例と第3の例との組合せであってもよい。
ブラウザログ取り込み部114は、全てのエントリを入力していなければ(図14のS1401の「NO」)、入力していないブラウザログ214のエントリを例えばアクセス日時の時系列順に入力する(図14のS1402)。
次に、ブラウザログ取り込み部114は、入力したエントリのアクセス日時が期間206の範囲内か否かを判定する(図14のS1403)。
実施の形態1において、ブラウザアクセスURL特定部107は、ブラウザログ取り込み部114で抽出されたブラウザログエントリ314を、ブラウザアクセスURL情報307としてブラックURL特定部108に転送する。すなわち、ブラウザアクセスURL情報307は、図15のブラウザログエントリ314と同じものである。
図16は、ブラックURL特定部108の処理の例を示すフローチャートである。
図17は、ブラックURL情報250の例を示す図である。
ここで、グレーURL情報305は図10に示す例であり、例えばD2501の行が1つのエントリである。
ブラックURL特定部108は、全てのエントリを入力していなければ(図16のS1601の「NO」)、入力していないグレーURL情報305のエントリを例えばアクセス日時の時系列順に入力する(図16のS1602)。
本説明においては、ブラウザアクセスURL情報307は図15に示す例であり、エントリは1つしか無いので先頭の選択の余地が無いが、エントリが複数有る場合、ブラックURL特定部108は、例えばアクセス日時の一番早いエントリを先頭に設定する。
ブラックURL特定部108は、全てのエントリを入力していなければ(図16のS1604の「NO」)、入力していないブラウザアクセスURL情報307のエントリを例えばアクセス日時の時系列順に入力する(図16のS1605)。
一方、ブラックURL特定部108は、全てのエントリを入力していれば(図16のS1604の「YES」)、S1601の処理に戻る。
ブラウザアクセスURL情報307のエントリのURLと、グレーURL情報305のエントリのURLとが一致する場合(図16のS1606の「YES」)、ブラックURL特定部108は、グレーURL情報305から当該エントリを削除する(図16のS1607)。そして、ブラックURL特定部108は、S1601の処理に戻る。
一方、ブラウザアクセスURL情報307のエントリのURLと、グレーURL情報305のエントリのURLとが一致しない場合(図16のS1606の「NO」)、ブラックURL特定部108は、S1604の処理に戻る。
ここで、ブラックURL情報250(例えば図17に示す例)に含まれるURLの情報を(例えばD2502の「http://○○○.1234.△△△/2011/a.htm」)を、ブラックURL208と称する。
すなわち、ブラックURL特定部108は、プロキシログ201に示されるURLの内、ホワイトURL302とブラウザログエントリ314とのいずれにも示されていないURLを抽出する。
実施の形態1における不正WEBアクセス検知システム100は、プロキシログ201から、ホワイトURL302を除外したグレーURL情報305に対して、ブラウザ551によりアクセスされたURL(ブラウザログエントリ314)を除外することによりユーザが意図しないマルウェアによる通信によりアクセスされたと思われるブラックURL208を特定する。
換言すると、不正WEBアクセス検知システム100は、大量のプロキシログ201の情報から、例えば管理者のスキルに依存することなく、ユーザの意図と関係ないアクセスのアクセス先のURLを検知することが可能である。
実施の形態2の不正WEBアクセス検知システム100では、ブラウザアクセスURL特定部107は、ブラウザログエントリ314に記録されたURLのドメイン名の一部を抽出し、抽出したドメイン名の一部をブラウザアクセスURL情報307として出力する。
なお、実施の形態2の不正WEBアクセス検知システム100の構成は、実施の形態1と同様である。
以降、実施の形態1と共通する部分(構成や処理)については、説明を省略する。
なお、実施の形態2においても端末操作ログ取り込み部103とトップページURL特定部106とは使用されない。
すなわち、プロキシログ取り込み部101は、URLがアドレスとして示されるプロキシログ201を入力する。URLホワイトリスト取り込み部102は、URLがアドレスとして示されるURLホワイトリスト202を入力する。ブラウザログ取り込み部114は、URLがアドレスとして示されるブラウザログ214を入力する。
実施の形態2において、ブラウザアクセスURL特定部107は入力したブラウザログエントリ314に示されるURLから、当該URLのウェブページの提供元が特定されるドメイン名を抽出する。
例えば、URLが、「http://www.△△△.co.jp/index/sample.jpg」である場合、URLのウェブページの提供元が特定されるドメイン名は、「△△△.co.jp」である。
すなわち、URLのウェブページの提供元が特定されるドメイン名は、例えばウェブページの提供元である企業などが特定されるドメイン名である。
ブラウザアクセスURL特定部107は、更に、トップレベルドメイン(例えば「.com」など)を除いたものをURLのウェブページの提供元が特定されるドメイン名として抽出してもよい。また、URLがサードレベル登録ドメインの場合、ブラウザアクセスURL特定部107は、更に、トップレベルドメインとセカンドレベルドメインと(例えば上記の例では「.co.jp」)を除いたものをURLのウェブページの提供元が特定されるドメイン名として抽出してもよい。
なお、ブラウザログエントリ314に複数のエントリが有る場合、ブラウザアクセスURL特定部107は、ブラウザアクセスURL情報307として複数のエントリを出力する。
図18は、ブラックURL特定部の処理の例を示す図である。
図19は、ブラックURL情報250の例を示す図である。
ブラックURL特定部108は、図18のS1801〜S1804において、実施の形態1の図16のS1601〜S1604と同様の処理を行う。ここで、グレーURL情報305は、図10に示す例とする。
グレーURL情報305のURLにブラウザアクセスURL情報307のURLが含まれている場合に(図18のS1806の「YES」)、ブラックURL特定部108は、グレーURL情報305から当該エントリを削除する(図18のS1807)。
そして、以降の処理は実施の形態1と同様である為、説明を省略する。
すなわち、ブラックURL特定部108は、グレーURL情報305に示されるURLの内、ブラウザログエントリ314に示されず、ブラウザアクセスURL特定部107に抽出されたドメイン名を含んでいないURLを抽出している。
実施の形態2の不正WEBアクセス検知システム100は、実施の形態1の効果に加え、以下の効果を有する。
一方、WEBサーバ側の設定において、ブラウザ551に対して、コンテンツをキャッシュしない様にhttpレスポンスで指定することが可能である。
そのため、ブラウザ551が同じWEBサイトにアクセスしても、あるサブページのhtmlはキャッシュメモリに記憶されないが、画像はキャッシュメモリに記憶されるということが生じる。
すなわち、一部のコンテンツ(この例では、あるサブページのhtml)についてURL履歴がブラウザログ214に記録されない。
(a)キャッシュメモリに記憶されたコンテンツのURL(ブラウザログ記録あり)
「www1.○○○.△△△/img.gif」
(b)キャッシュメモリに記憶されないコンテンツのURL(ブラウザログ記録なし)
「www1.○○○.△△△/subpage2.html」
一方、プロキシサーバ装置600は、プロキシログ201にキャッシュ可否指定に関係なく、(a)(b)とも記録する。
従って、例えば、ブラウザアクセスURL特定部107がブラウザログエントリ314から(a)の「○○○.△△△」をブラウザアクセスURL情報307として抽出すれば、ブラックURL特定部108において、(b)もブラウザアクセスURL情報307と同等に扱われることになる。
この場合、ブラウザログ214の第2の例に示されるURLのウェブページの提供元が特定されるドメイン名が、前述のブラウザログ214の第3の例においてキャッシュメモリに記憶されないURLに含まれる場合がある。
そして、ブラウザアクセスURL特定部107がブラウザログ214の第2の例に示されるURLのウェブページの提供元が特定されるドメイン名をブラウザアクセスURL情報307として抽出したとする。この場合も、前述と同様にブラックURL特定部108において、ブラウザ551がアクセスしたURLであってキャッシュメモリに記憶されないURLがブラウザアクセスURL情報307と同等に扱われることになる。
そして、ブラックURL特定部108が、ブラウザログ214に記録されたURLのドメイン名の一部(すなわち、URLのウェブページの提供元が特定されるドメイン名)を含むグレーURL情報305に示されるURLをブラウザアクセスURL情報307と同等に扱うことによって、ブラウザログ214に記録されたURLよりも多くのURLをブラックURL208から除外できる。
実施の形態3の不正WEBアクセス検知システム100では、ログ蓄積部109が所定の時間毎にブラウザログ214を入力する。
なお、実施の形態3の不正WEBアクセス検知システム100の構成は、実施の形態1〜2と同様である。
以降、実施の形態1〜2と共通する部分(構成や処理)については、説明を省略する。
なお、実施の形態3においても端末操作ログ取り込み部103とトップページURL特定部106とは使用されない。
そのため、ログ蓄積部109は、例えば1秒毎など極めて短時間毎にブラウザログ214を端末装置500から入力する。
そして、ログ蓄積部109は、所定の時間毎に入力したブラウザログ214を蓄積する。
また、ブラウザログ取り込み部114は、ログ蓄積部109が一定期間蓄積した複数のブラウザログ214をまとめて入力してもよい。
更に、ログ蓄積部109は、ブラックURL特定部108がブラックURL208を特定する必要が生じた場合に、ブラウザログ214を入力してもよい。
実施の形態3の不正WEBアクセス検知システム100は、ログ蓄積部109が、極めて短時間毎にブラウザログ214を入力することで、ブラウザログ214に対するユーザの誤操作による削除や、マルウェアによる改ざんを防ぐことができる。
実施の形態4の不正WEBアクセス検知システム100では、ブラウザログ214に対してマルウェアによるアクセスがあった場合に、ブラウザログ214の改ざんの可能性を通知するアラームを出力する。
なお、実施の形態4の不正WEBアクセス検知システム100の構成は、実施の形態1〜3と同様である。
以降、実施の形態1〜3と共通する部分(構成や処理)については、説明を省略する。
なお、実施の形態4においても端末操作ログ取り込み部103とトップページURL特定部106とは使用されない。
図21は、端末装置501の構成の第2の例を示す図である。
不正WEBアクセス検知システム100は、端末装置501の内部に含まれている。
不正WEBアクセス検知システム100の構成は、前述の通り、実施の形態1〜3と同様であるが、図20と図21とにおいては、ログ蓄積部109と実施の形態4の動作説明に必要な情報の入出力を示す矢印のみを図示する。
そして、ログ蓄積部109は、図20と図21とに示されるようにファイル監視部403とファイル記憶部404とから構成される。
ここで、ファイル記憶部404は、実施の形態1で説明のログ蓄積部109の内部に備えられる記憶装置である。
また、ファイル監視部403はアラーム出力部に対応する。
最初に、図20を用いて、アラーム出力処理の第1の例を説明する。
端末装置501には、ファイル監視ツール401やOSコマンド402(OS:オペレーティングシステム)が実装されている。端末装置501には、ファイル監視ツール401とOSコマンド402との少なくともどちらか一方が実装されていてもよい。
ファイル監視ツール401やOSコマンド402は、監視対象のファイルに対しアクセスしたプログラム(以下ファイルに対しアクセスするプログラムを「プロセス」とも称する)を検知する。
ここで、OSコマンド402は、ファイルにアクセスしているプロセスの情報を得るコマンドである。
そこで、ファイル監視部403は、ファイル監視ツール401もしくはOSコマンド402を呼び出す(図20の呼び出し321)。呼び出し321は、例えば1分毎に実施されてもよい。
また、例えば、OSコマンド402は、ファイル監視部403に呼び出された時に、ブラウザログ214の監視を開始し、監視結果をファイル監視部403に応答してもよい。
通知の方法は、例えばメールや「SNMP Trap」等でもよい。
次に、図21を用いて、アラーム出力処理の第2の例を説明する。
図21に示す例は、不正WEBアクセス検知システム100が搭載された端末装置501とは異なる端末装置500にファイル監視ツール401とOSコマンド402とファイル監視プログラム405とが実装されている。ファイル監視ツール401とOSコマンド402とは、アラーム出力処理の第1の例と同様に少なくともどちらか一方が実装されていてもよい。
ファイル監視プログラム405は、ファイル監視ツール401もしくはOSコマンド402を呼び出す(図21の呼び出し321)。呼び出し321は、例えば1分毎に実施されてもよい。
ファイル監視プログラム405は、ブラウザ以外のプログラムによるブラウザログ214に対するアクセスが監視結果として検知されていた場合に、アラーム251をファイル監視部403に対して出力する。
そして、ファイル監視部403もアラーム251を出力し、ユーザにブラウザログ214がマルウェアにより改ざんされた可能性を通知する。
ファイル監視プログラム405が出力するアラーム251とファイル監視部403が出力するアラーム251とは同じものであってもよいし、違うものであってもよい。
実施の形態4の不正WEBアクセス検知システム100は、ファイル監視ツール401やOSコマンド402を利用し、ブラウザ551以外のプロセスが、ブラウザログ214にアクセスしていることを発見する。そして、不正WEBアクセス検知システム100は、マルウェアによるブラウザログ214への不正アクセスを検知することが可能になる。
ファイル監視部403によるアラームが出力されない場合のみファイル記憶部404は、ブラウザログ214を蓄積し、ファイル監視部403によるアラームが出力された場合に、ファイル監視部403はアラームの対象であるブラウザログ214を削除してもよい。
そして、例えば、ログ蓄積部109が実施の形態3のように、所定の時間毎にブラウザログ214を入力する場合、不正WEBアクセス検知システム100は、アラームの対象であるブラウザログ214を除外して処理を行うことが可能である。
その場合、ファイル監視部403は、ブラウザログ214のエントリのうち、非ブラウザアクセス時刻よりも前のアクセス時刻が示されるエントリのみをファイル記憶部404に蓄積してもよい。そして、ブラウザログ取り込み部114は、ファイル記憶部404に蓄積されたブラウザログ214のエントリのうち、非ブラウザアクセス時刻よりも前のアクセス時刻が示されるエントリのみを対象として処理を行ってもよい。
その場合、プロキシログ取り込み部101は、プロキシログ201のエントリのうち、非ブラウザアクセス時刻よりも前のアクセス時刻が示されるエントリのみを対象として処理を行ってもよい。
その場合、ファイル監視部403は、ブラウザログ214のエントリのうち、マルウェアが改ざんした内容が含まれるエントリを除外したブラウザログ214をファイル記憶部404に蓄積してもよい。そして、ブラウザログ取り込み部114は、ファイル記憶部404に蓄積されている、マルウェアが改ざんした内容が含まれるエントリが除外されたブラウザログ214のエントリのみを対象として処理を行ってもよい。
実施の形態5の不正WEBアクセス検知システム100では、プロキシログ201のリファラを利用し、ブラウザ551がアクセスしたURLのリンク先であるURLをブラウザアクセスURL情報307として取り扱う。
なお、実施の形態5の不正WEBアクセス検知システム100の構成は、実施の形態1〜4と同様である。
以降、実施の形態1〜4と共通する部分(構成や処理)については、説明を省略する。
なお、実施の形態5において、端末操作ログ取り込み部103とトップページURL特定部106とが使用される。
図22は、リファラの第1の例を示す図である。
図23は、リファラの第2の例を示す図である。
ブラウザ551が、httpリクエストをプロキシサーバ装置600に送信する場合、httpリクエストのヘッダにリファラが示される場合がある。一方、例えばメールに記載されたURLをユーザがクリックした場合は、ブラウザ551における遷移元が無いためリファラが示されない。
リファラとは、あるページをリクエストする場合に、その遷移元となるページのURLのことである。この遷移元となるページのURL(すなわち、リファラ)を経由元アドレスと称する。
この場合、ブラウザ551は、http GETリクエストに対して、「http://○○○.1234.△△△/」をリファラとして付与する。
リファラは例えば図3の例に示すように、プロキシログ201にhttpリクエストの一部として示される。
ここで、画像のコンテンツのURLと、htmlのコンテンツのURLとは以下であるとする。
(A)画像のコンテンツのURL
「http://img.nature−sample.△△△/image/・・・/sea.gif」
(B)htmlのコンテンツのURL
「http://news.kiji.△△△/20111028.htm」
一方、端末操作ログ203には、ユーザが端末装置500を操作したことにより、「http://○○○.abcd.1234.△△△/」のみが記録される。
図24は、端末操作ログ203の例を示す図である。
図25は、端末操作ログ取り込み部103の処理の例を示すフローチャートである。
図26は、WEBアクセスURL情報303の例を示す図である。
このアドレス指示操作によるアドレスが端末操作ログ203には示されている(例えば、図24のD2032では「http://○○○.1234.△△△/」)。そして、端末装置500は、プロキシサーバ装置600にアクセス先として、このアドレスを通知する。そして、端末装置500は、前述の通りプロキシサーバ装置600を利用してWEBアクセスを行う。
そして、端末操作ログ203のエントリのうち、「WEBアクセス」が示されているエントリは、ブラウザ551が実行されて端末装置500からプロキシサーバ装置600にアクセス先のアドレスとして通知されたブラウザ実行アドレス情報である。
ここで、期間206は「2011/11/23 09:00:00〜2011/11/23 18:00:00」、端末識別子205は、「192.168.1.2」が指定されているとする。
次に、端末操作ログ取り込み部103は、入力したエントリの操作日時が期間206の範囲内か否かを判定する(図25のS2503)。
操作日時が期間206の範囲内であれば(図25のS2503の「YES」)、端末操作ログ取り込み部103は、入力したエントリの端末識別子が、端末識別子205と一致するか否かを判定する(図25のS2504)。
端末識別子が、端末識別子205と一致すれば(図25のS2504の「YES」)、端末操作ログ取り込み部103は、入力したエントリの操作タイプがWEBアクセスか否かを判定する(図25のS2505)。
操作タイプがWEBアクセスであれば(図25のS2505の「YES」)、端末操作ログ取り込み部103は、読み込んだエントリをWEBアクセスURL情報303として出力する(図25のS2506)。
図27は、トップページURL情報306の例を示す図である。
トップページURL特定部106は、端末操作ログ取り込み部103で抽出されたWEBアクセスURL情報303が入力された場合、入力されたWEBアクセスURL情報303のURLを抽出し、トップページURL情報306としてブラウザアクセスURL特定部107に出力する。すなわち、トップページURL情報306に示されるURLは、図26のWEBアクセスURL情報303に示されるURLと同じものである。
この場合、トップページURL特定部106は、ブラウザログ取り込み部114が抽出したブラウザログエントリ314を入力し、入力したブラウザログエントリ314のURLを抽出し、トップページURL情報306としてブラウザアクセスURL特定部107に出力してもよい。そして、トップページURL情報306に示されるURLは、図15のブラウザログエントリ314に示されるURLと同じものとなる。
本実施の形態では、トップページURL特定部106は、WEBアクセスURL情報303を入力し、図26に示すトップページURL情報306を出力するものとして説明を進める。
ブラウザアクセスURL特定部107は、プロキシログエントリ301(図5)とトップページURL情報306(図27)とを入力する。
ここで、プロキシログエントリ301(図5)は、プロキシログ取り込み部101が入力したプロキシログ201から抽出されたものであり、プロキシログ201に対応する。
そして、プロキシログエントリ301は、図5の例に示す通り、プロキシサーバ装置600がアクセスしたアドレスに対応付けられてリファラが示されている。
例えば、図5のプロキシログエントリ301aのリファラ「http://○○○.abcd.△△△/」は、ブラウザ551がプロキシサーバ経由で「http://○○○.1234.△△△/」の直前に経由したアクセス先のアドレスである。
すなわち、リファラは、ブラウザ551がプロキシサーバ装置600経由で特定のアクセス先(例えば上記の「http://○○○.1234.△△△/」)に対して、他の少なくとも1つのアクセス先を経由した後にアクセスを行った場合に、ブラウザ551がプロキシサーバ装置600経由で特定のアクセス先へのアクセスの直前に経由したアクセス先のアドレスである。
ここで、ブラウザアクセスURL特定部107の処理について第1の例と第2の例とに分けて説明を行う。
ブラウザアクセスURL特定部107は、処理の開始にあたり、URLの情報を一時的に保存するためのブラウザアクセスURL暫定ファイル(以下、ブラウザアクセスURL暫定ファイルを「ブラウザアクセスURL_TMP」と称する)を生成し、不正WEBアクセス検知システム100の記憶装置に記憶させる。ブラウザアクセスURL_TMPの生成時には、ブラウザアクセスURL_TMPには何も情報が記録されていない。
ここで、ブラウザアクセスURL特定部107は、トップページURL情報306をトップページURL暫定ファイル(以下、トップページURL暫定ファイルを「トップページURL_TMP」と称する)として生成し、不正WEBアクセス検知システム100の記憶装置に記憶させる。ブラウザアクセスURL特定部107の処理の第1の例では、トップページURL_TMPは、トップページURL情報306(図27)と同じものである。
ブラウザアクセスURL特定部107は、全てのエントリを入力していなければ(図28のS2801の「NO」)、入力していないトップページURL_TMP(トップページURL情報306)のエントリを例えばアクセス日時の時系列順に入力する(図28のS2802)。ここでは、ブラウザアクセスURL特定部107は、図27のトップページURL_TMP(トップページURL情報306)のD301を入力する。
ブラウザアクセスURL特定部107は、例えば図5のプロキシログエントリ301aを先頭に設定する。
ブラウザアクセスURL特定部107は、全てのエントリを入力していなければ(図28のS2804の「NO」)、入力していないプロキシログエントリ301のエントリを例えばアクセス日時の時系列順に入力する(図28のS2805)。ここでは、ブラウザアクセスURL特定部107は、先頭に指定された図5のプロキシログエントリ301aを入力する。
なお、リファラが示されている場合は、リファラもプロキシログエントリ301の一部として入力される。
一方、ブラウザアクセスURL特定部107は、全てのエントリを入力していれば(図28のS2804の「YES」)、S2801の処理に戻る。
例えば、ユーザがキーボードなどを用いてURLを直接入力した場合などは、プロキシログエントリ301にリファラが示されないので(図28のS2806の「NO」)、ブラウザアクセスURL特定部107はS2804の処理に戻る。
一方、図5のプロキシログエントリ301aにはリファラが示されているので(図28のS2806の「YES」)、ブラウザアクセスURL特定部107は、入力したトップページURL_TMP(トップページURL情報306)のエントリのURLとリファラとが一致するか否かを判定する(図28のS2807)。
ここで、入力したトップページURL_TMP(トップページURL情報306)のエントリのURLは「http://○○○.1234.△△△/」(図27のD301)であり、プロキシログエントリ301aのリファラは「http://○○○.abcd.△△△/」で両者が一致しないため(図28のS2807の「NO」)、ブラウザアクセスURL特定部107は、S2804の処理に戻る。
そして、ブラウザアクセスURL特定部107は、入力したトップページURL_TMP(トップページURL情報306)のエントリのURLは「http://○○○.1234.△△△/」(図27のD301)とプロキシログエントリ301bのリファラは「http://○○○.1234.△△△/」が一致するので(図28の2807の「YES」)、プロキシログエントリ301bのURL「http://○○○.1234.△△△/2011/a.htm」をブラウザアクセスURL_TMPに追加する(図28のS2808)。
なお、前述の説明において、プロキシログエントリ301bのURLは「http://○○○.1234.△△△/2011/a.htm」であり、リファラは「http://○○○.1234.△△△/」である。すなわち、ブラウザ551は遷移元と同一のドメイン名(同一のサーバ)にアクセスした例が示されているが、ブラウザ551は遷移元(リファラに示されるURL)とは異なるドメイン名(異なるサーバ)にアクセスしてもよい。その場合も同様に、ブラウザアクセスURL特定部107は、異なるドメイン名のURLをブラウザアクセスURL_TMPに追加する。
そして、ブラウザアクセスURL特定部107は、図28に示す処理の第1の例に基づき、「http://○○○.1234.△△△/2011/a.htm」が書き込まれたブラウザアクセスURL_TMPを生成する。
図29は、ブラウザアクセスURL特定部107の処理の第2の例を示すフローチャートである。
図30は、ブラウザアクセスURL_ALLの例を示す図である。
図31は、ブラウザアクセスURL特定部107の処理の第2の例で生成されたブラウザアクセスURL情報307の例を示す図である。
ブラウザアクセスURL_ALL生成時(図29のS2901)のブラウザアクセスURL_ALLは、トップページURL情報306(図27)と同じものであるが、後述の処理によりブラウザアクセスURL_ALLに記録される内容は変化する。
トップページURL_TMP生成時(図29のS2902)のトップページURL_TMPは、前述の第1の例と同様に、トップページURL情報306(図27)と同じものであるが、後述の処理によりトップページURL_TMPに記録される内容は変化する点が、前述の第1の例とは異なる。
ここで、前述の第1の例と同様の具体例で説明すると、ブラウザアクセスURL特定部107は図29のS2904において、「http://○○○.1234.△△△/2011/a.htm」が書き込まれたブラウザアクセスURL_TMPを生成する。
ブラウザアクセスURL_TMPの記録内容がNULLの場合(図29のS2905の「YES」)、ブラウザアクセスURL特定部107は処理を終了する。
一方、本具体例においては、ブラウザアクセスURL_TMPに「http://○○○.1234.△△△/2011/a.htm」が書き込まれているので(図29のS2905の「YES」)、ブラウザアクセスURL特定部107は、ブラウザアクセスURL_TMPに示されるURLをブラウザアクセスURL_ALLに追加して記録する(図29のS2906)。
すなわち、このブラウザアクセスURL_ALLには、トップページURL情報306に示されるURLと、トップページURL情報306に示されるURLから数珠繋ぎで遷移したURLとが含まれる。
そして、生成したブラウザアクセスURL_ALLをブラウザアクセスURL情報307(図31)としてブラックURL特定部108に出力する。
そして、更に、ブラウザアクセスURL特定部107は、抽出したURLがリファラとして対応付けられているURLがプロキシログエントリ301に示されている場合に、当該URLを経由先アドレスとして抽出している。
すなわち、ブラックURL特定部108は、グレーURL情報305に示されるURLのうち、トップページURL情報306に示されておらず、ブラウザアクセスURL特定部107に抽出された経由先アドレス以外のURLを抽出する。
すなわち、ブラウザアクセスURL特定部107の処理の第2の例は、トップページURL情報306におけるURLから、プロキシログエントリ301に対して、リファラを用いて遷移先を数珠繋ぎに遷移先がなくなるまで追跡し、ブラウザ551からアクセスした一連のURLを特定している。また、ブラウザアクセスURL特定部107は、複数のURLの数珠繋ぎの遷移を追跡することができる。
例えば、ブラウザアクセスURL特定部107は、図5のプロキシログエントリ301eのリファラがプロキシサーバ装置600のアクセス先として示されているプロキシログエントリ301b(図5)を抽出する。そして、抽出したプロキシログエントリ301bのリファラがトップページURL情報306に示されたURLであるか否かを判定してもよい。
このように、トップページURL情報306に示された各URLから数珠繋ぎでリンクするURLを探す方法は、前述に限らず別の方法でもよい。
ブラウザ551は、ウェブページへのアクセスで例えば画像などを自動的に取得することがある。しかし、従来の技術では、プロキシログ201に示された画像取得のリクエストが、ブラウザ551によるものなのか、他のプログラムによるものなのかが判断不可能である。例えば、従来の技術として、User−Agentによりブラウザタイプが記録されるが、マルウェアによる詐称が可能なため利用することが出来ない。
実施の形態5の不正WEBアクセス検知システム100は、ブラウザ551でアクセスしたURLを基点として遷移したURLを判別可能であり、この遷移がブラウザにより行われたと判断可能である。
また、端末操作ログ203が採取できない環境においては、プロキシログ201のリファラとブラウザログ214とを利用しブラウザアクセスURL情報307を特定することが可能である。
ここで、実施形態5に示す端末操作ログ取り込み部103とトップページURL特定部106とを使用することで、端末操作ログ203を利用し、実施の形態4に示すアラーム251を出力する不正WEBアクセス検知システム100の例を説明する。
WEBアクセスURL情報303(図26)に示される最初の時刻「「2011/06/23 10:00:00」〜最後の時刻「2011/06/23 16:00:00」が、期間206内において、ブラウザが操作されたブラウザ操作期間315に相当する。
そして、端末操作ログ取り込み部103は、ブラウザ操作期間315をブラウザログ取り込み部114に出力する(図2)。
そして、ファイル監視部403は実施の形態4と同様にアラーム251を出力する。
(実施の形態6〜9における不正WEBアクセス検知システム100の共通部分の説明)
実施の形態6の不正WEBアクセス検知システム100の説明の前に、実施の形態6〜9における不正WEBアクセス検知システム100の共通部分の説明を行う。
実施の形態6〜9における不正WEBアクセス検知システム100は、実施の形態1〜5いずれかのブラックURL特定部108が抽出したブラックURL208をブラックURL候補とする。そして、ブラックURL特定部108は、ブラックURL候補の内、所定の条件に合致するURLを条件合致アドレスとして特定し、条件合致アドレスをブラックURL208として出力する。すなわち、ブラックURL208は条件合致アドレスに対応する。
ブラック判定条件207は、数種類存在し、あらかじめ例えばユーザによって設定され、例えば不正WEBアクセス検知システム100の記憶装置に記憶されている。そして例えばユーザは不正WEBアクセス検知システム100のキーボードなどの入力装置を用いて、記憶されている数種類のブラック判定条件207の中から少なくとも1つのブラック判定条件207を選択して入力する。ここで、ユーザは、記憶されている数種類のブラック判定条件207の中から複数のブラック判定条件207を組み合わせて入力することも可能である。
また、ブラックURL特定部108が、複数の(例えば2つの)ブラック判定条件207を入力した場合、ブラックURL特定部108は、まず第1のブラック判定条件207に対応してブラックURL候補の中から条件合致アドレス(ブラックURL208)を特定する。そして、更に、ブラックURL特定部108は、第1のブラック判定条件207によって特定された条件合致アドレス(ブラックURL208)の中から、第2のブラック判定条件207に対応して、条件合致アドレス(ブラックURL208)を特定することが可能である。
以降、実施の形態6〜9の各実施の形態について説明を行う。
図32は、ブラックURL特定部108の処理の例を示すフローチャートである。
ブラックURL特定部108は、前述の通り、実施の形態1〜5いずれかの処理によって抽出されたブラックURL208をブラックURL候補とする。更に、ブラックURL特定部108は、ブラック判定条件207を入力する(図32のS3201)。
更に、ブラックURL特定部108は、「不正アクセスの多い国のブラックリスト」の情報も入力する。
そして、「不正アクセスの多い国のブラックリスト」は、あらかじめ特定された国が示される特定国情報に対応する。
すなわち、ブラックURL特定部108は、抽出したブラックURL候補毎(アドレス毎)の提供国情報を入力する。
ここで、例えば、特定したブラックURL候補のホスト国がA国の場合、ブラックリストに含まれているので(図32のS3203の「YES」)、ブラックURL特定部108は、ブラックURL候補をブラックURL208として出力する(図32のS3204)。一方、特定したブラックURL候補のホスト国がX国の場合、ブラックリストに含まれていないので(図32のS3203の「NO」)、ブラックURL特定部108は、ブラックURL候補をブラックURL208として出力しない。
マルウェアの通信先のC&Cサーバは不正アクセスの多い特定の国に存在することがある。そして、実施の形態6の不正WEBアクセス検知システム100は、ブラックURL候補から、不正アクセスの多い特定の国をホスト国としたウェブページのURLであるか否かをブラック判定条件207として、ブラックURL208を絞り込む。その為、実施の形態6の不正WEBアクセス検知システム100は、より精度高くマルウェアによるアクセス先のURLを抽出することが可能である。
(実施の形態7における不正WEBアクセス検知システム100の概要)
実施の形態7の不正WEBアクセス検知システム100は、ブラック判定条件207として、ブラックURL候補のウェブページへのアクセス数を用いる。具体的には、「今までアクセス数が少なかったブラックURL候補において、急にアクセス数が一定期間増加し、その後また減少したか否か」をブラック判定条件207とする。
図33は、ブラックURL特定部108の処理の例を示すフローチャートである。
図34は、ブラックURL候補のウェブページへのアクセス数の例を示す図である。
また、プロキシログ201は、図3に示す通り、プロキシサーバ装置600が行ったアクセス毎にアクセス先のアドレスと通信サイズ(アクセス時のデータ通信量)とが対応付けられて示されている。
ここで、ブラックURL特定部108が集計するアクセス数は、日毎に限らず、単位時間毎であれば、3日間毎であっても、1週間毎であっても良い。ここでは、ブラックURL特定部108は、日毎にアクセス数を集計するものとして説明を進める。
すなわち、ブラックURL特定部108は、各アドレスに対する単位時間毎のアクセス数を算出する通信量算出部に対応する。
ここで、ブラックURL特定部108は、アクセス数があらかじめ不正WEBアクセス検知システム100の記憶装置に記憶されている閾値(「アクセス数の第1の閾値」と称する)よりも少ない場合に、「アクセス数が少ない」と判定する。そして、ブラックURL特定部108は、アクセス数が「アクセス数の第1の閾値」以上の場合に、「アクセス数が増加した」と判定する。
その場合、ブラックURL特定部108は、変数nをインクリメント(n=n+1)する(図33のS3304)。
そして、ブラックURL特定部108は、n日後のアクセス数が基準日のアクセス数と同等又は増加しているか否かを判定する(図33のS3305)。ここで、ブラックURL特定部108は、アクセス数が「アクセス数の第1の閾値」以上の場合に、「基準日のアクセス数と同等又は増加している」と判定する。
ここで、ブラックURL特定部108は、例えば、基準日以前の日毎のアクセス数の平均xと標準偏差σとを記憶しており、例えばアクセス数が「x±3σ」以内であれば、基準日以前のアクセス数を同等と判定する。
例えば、ブラックURL特定部108は、あるブラックURL候補に対するアクセス数を現在から、30日分さかのぼって、日毎に集計したとする。
その結果、29日目まではアクセス数は「0」であるが、30日目(現在)にアクセス数が「12」に増加している。ここで、例えば、「アクセス数の第1の閾値」は「10」であるとする。
その後数日間において、ブラックURL特定部108は、アクセス数を集計した結果、33日目(現在から3日後)にアクセス数が「0」に戻っている。
この図34の例のように、ブラックURL特定部108は図33の処理によって、判定対象のブラックURL候補に対するアクセス数が、過去は少なく、かつ、所定の日数の間増加し、かつ、その後減少するか否かを判定している。
特定のマルウェアは、インターネット上のC&Cサーバと短期間に継続的に通信することが知られている。したがって、例えば5日以内に集中的にアクセス数が増加したアクセスは、マルウェアによるアクセスと考えられる。
すなわち、ブラックURL特定部108は、ブラックURL候補に対するアクセス数が、過去は少なく、かつ、基準日から所定の日数以内において増加し、かつ、その後減少するか否かを判定出来れば良い。
前述の通りプロキシログ201(図3)には、通信サイズ(通信量)が示されている為、ブラックURL特定部108は、各ブラックURL候補に対して、例えば日毎の通信量を集計することが可能である。
すなわち、ブラックURL特定部108は、プロキシログ201から各ブラックURL候補に対する単位時間毎のデータ通信量を算出する。
すなわち、ブラックURL特定部108は、あらかじめ定義された所定の期間においてのみ日毎(単位時間毎)のデータ通信量が、データ通信量の第1の閾値以上となるURLをブラックURL208として特定する。
前述の通り、マルウェアとC&Cサーバとのアクセス数またはデータ通信量は、短期間に増加することが知られている。実施の形態7の不正WEBアクセス検知システム100は、短期間にアクセス数またはデータ通信量が増加するアクセス先のURLを特定することで、より精度高くマルウェアによるアクセス先のURLを抽出することが可能である。
(実施の形態8における不正WEBアクセス検知システム100の概要)
実施の形態8の不正WEBアクセス検知システム100は、ブラック判定条件207として、ブラックURL候補のウェブページへのアクセス数を用いる。具体的には、「ブラックURL候補との通信において、周期的にアクセスが発生しているか否か」をブラック判定条件207とする。
図35は、ブラックURL特定部108の処理の例を示すフローチャートである。
図36は、ブラックURL候補のウェブページへのアクセス数の例を示す図である。
ここで、単位時間毎のアクセス数をMi(i=1〜k)とする。例えば、ブラックURL特定部108は、1分間毎のアクセス数を集計するとした場合、M1は、集計期間k分間の内の最初の1分間(1分目)のアクセス数の集計、M2は次の1分間(2分目)のアクセス数の集計を意味する。
ここで、ブラックURL特定部108は、単位時間毎のアクセス数が周期的にあらかじめ不正WEBアクセス検知システム100の記憶装置に記憶されている閾値(「アクセス数の第2の閾値」と称する)以上となっているか否かを判定する。つまり、ブラックURL特定部108は、周期的にアクセスが発生しているか否かを判定している。
あるいは、ブラックURL特定部108は、単位時間毎のアクセス数が周期的に同じ値となっているか否かを判定しても良い。また、ブラックURL特定部108は、単位時間毎のアクセス数が周期的に「アクセス数の第2の閾値」以上の同じ値となっているか否かを判定しても良い。
周期的にアクセスが発生している場合(図35のS3503の「YES」)、判定対象のブラックURL候補をブラックURL208として特定し、出力する(図35のS3504)。
例えば図36は、ブラックURL特定部108が、あるブラックURL候補に対する1分間毎のアクセス数を集計したものである。
そして、集計期間は、例えば、1日(24時間×60分=1440分間)としている。
ブラックURL特定部108は、図36に示す集計結果において、2分に1回1アクセスが発生しており、周期的にアクセスが発生していると判定する。ここで「アクセス数の第2の閾値」は「1アクセス」とする。
すなわち、ブラックURL特定部108は、単位時間毎のデータ通信量が一定周期毎にあらかじめ定義されたデータ通信量の第2の閾値以上となるブラックURL候補をブラックURL208として特定する。
前述の通り、マルウェアとC&Cサーバとのアクセスは、周期的に行われることが知られている。実施の形態8の不正WEBアクセス検知システム100は、周期的にアクセスが行われるアクセス先のURLを特定することで、より精度高くマルウェアによるアクセス先のURLを抽出することが可能である。
なお、実施の形態8のブラックURL特定部108により特定されたブラックURL候補の一定周期を、ブラックURL特定部108が特定してもよい。
このブラックURL特定部108が特定した一定周期は、マルウェアによるアクセスの周期である可能性が高い。
そして、実施の形態3のログ蓄積部109は、実施の形態8のブラックURL特定部108が特定した一定周期よりも短い周期でブラウザログ214を入力してもよい。
(実施の形態9における不正WEBアクセス検知システム100の概要)
実施の形態9の不正WEBアクセス検知システム100は、ブラック判定条件207として、端末装置500(プロキシサーバ装置600)とブラックURL候補のウェブページとの間のWEB通信におけるリクエストサイズとレスポンスサイズとを用いる。具体的には、「ブラックURL候補において、通信のリクエストサイズとレスポンスサイズが閾値未満か否か」をブラック判定条件207とする。
図37は、ブラックURL特定部108の処理の例を示すフローチャートである。
また、ブラックURL特定部108は、例えば不正WEBアクセス検知システム100の記憶装置に記憶されているリクエストサイズの閾値「αKB」とレスポンスサイズの閾値「βKB」とを入力する。あるいは例えばユーザが不正WEBアクセス検知システム100の入力装置を用いて、リクエストサイズの閾値とレスポンスサイズの閾値とを入力しても良い。
そして、あらかじめユーザが、WEBサイトへのアクセスにおけるリクエストサイズとレスポンスサイズとの統計データを取得し、αとβとの値を設定しておく。
ここで、図3における図示は省略するが、プロキシログ201には、アクセス毎のリクエストサイズとレスポンスサイズとが示される。
すなわち、プロキシログ201は、プロキシサーバ装置600が行ったアクセス毎に、アクセス先のアドレスと、プロキシサーバ装置600からアクセス先へ送信したデータのサイズであるリクエストサイズと、プロキシサーバ装置600がアクセス先から受信したデータのサイズであるレスポンスサイズとが対応付けられて示される。
なお、1つのブラックURL候補に対して複数のアクセスが有る場合は、ブラックURL特定部108は、リクエストサイズとレスポンスサイズとの最小値を抽出する。
リクエストサイズが閾値「αKB」未満の場合(図37のS3703の「YES」)、ブラックURL特定部108は、抽出したレスポンスサイズが閾値「βKB」未満か否かを判定する(図37のS3704)。
そして、ブラックURL特定部108は、レスポンスサイズが閾値「βKB」未満の場合(図37のS3704の「YES」)、判定対象のブラックURL候補をブラックURL208として特定し、出力する(図37のS3705)。
すなわち、ブラックURL特定部108は、リクエストサイズが閾値「αKB」未満、かつ、レスポンスサイズが閾値「βKB」未満のブラックURL候補をブラックURL208として特定する。
特定のマルウェアは、インターネット上のC&Cサーバとの接続を確認するために定期的に通信することが知られている。そして、前述の通り、その場合の通信データのサイズ(リクエストサイズとレスポンスサイズ)は、ユーザがブラウザを用いて行うWEBサイトの閲覧の場合と比べて、少ない。従って、実施の形態9の不正WEBアクセス検知システム100は、リクエストサイズとレスポンスサイズとが閾値より少ないアクセスが行われるアクセス先のURLを特定することで、より精度高くマルウェアによるアクセス先のURLを抽出することが可能である。
最後に、実施の形態1〜9に示した不正WEBアクセス検知システム100のハードウェア構成例について説明する。
図38は、実施の形態1〜9に示した不正WEBアクセス検知システム100のハードウェア資源の一例を示す図である。
なお、図38の構成は、あくまでも不正WEBアクセス検知システム100のハードウェア構成の一例を示すものであり、不正WEBアクセス検知システム100のハードウェア構成は図38に記載の構成に限らず、他の構成であってもよい。
CPU911は、バス912を介して、例えば、ROM(Read Only Memory)913、RAM(Random Access Memory)914、通信ボード915、表示装置901、キーボード902、マウス903、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。
更に、CPU911は、FDD904(Flexible Disk Drive)、コンパクトディスク装置905(CDD)と接続していてもよい。また、磁気ディスク装置920の代わりに、SSD(Solid State Drive)、光ディスク装置、メモリカード(登録商標)読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置の一例である。
実施の形態1〜9で説明した不正WEBアクセス検知システム100の記憶装置、ログ蓄積部109に備えられるファイル記憶部404は、磁気ディスク装置920等により実現される。
通信ボード915、キーボード902、マウス903、FDD904などは、入力装置の一例である。
実施の形態1〜9で説明した不正WEBアクセス検知システム100の入力装置は、例えばキーボード902やマウス903により実現される。
また、通信ボード915、表示装置901などは、出力装置の一例である。
例えば、ネットワークは、LAN、インターネットの他、WAN(ワイドエリアネットワーク)、SAN(ストレージエリアネットワーク)などでも構わない。
プログラム群923のプログラムは、CPU911がオペレーティングシステム921、ウィンドウシステム922を利用しながら実行する。
また、RAM914には、CPU911による処理に必要な各種データが格納される。
不正WEBアクセス検知システム100の起動時には、ROM913のBIOSプログラム及び磁気ディスク装置920のブートプログラムが実行され、BIOSプログラム及びブートプログラムによりオペレーティングシステム921が起動される。
「ファイル」や「データベース」は、ディスクやメモリなどの記録媒体に記憶される。
ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出される。
そして、読み出された情報やデータや信号値や変数値やパラメータは、抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示・制御・判定・識別・検知・判別・選択・算出・導出・更新・生成・取得・通知・指示・判断・区別・削除などのCPUの動作に用いられる。
抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示・制御・判定・識別・検知・判別・選択・算出・導出・更新・生成・取得・通知・指示・判断・区別・削除などのCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリ、レジスタ、キャッシュメモリ、バッファメモリ等に一時的に記憶される。
また、実施の形態1〜9で説明しているフローチャートの矢印の部分は主としてデータや信号の入出力を示す。
データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD等の記録媒体に記録される。
また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
すなわち、実施の形態1〜9で説明したフローチャートに示すステップ、手順、処理により、本発明に係る情報処理方法を実現することができる。
コンピュータが、前記プロキシサーバ装置が行ったアクセス毎にアクセス先のアドレスが示されるプロキシログと、あらかじめ正当と定義されたアドレスが示される正当アドレス情報と、前記端末装置で前記ブラウザが実行されて前記端末装置から前記プロキシサーバ装置にアクセス先として通知したアドレスが示されるブラウザ実行アドレス情報と
を入力するアドレス入力ステップと、
前記コンピュータが、前記アドレス入力ステップにより入力されたプロキシログに示されるアドレスの内、前記正当アドレス情報と前記ブラウザ実行アドレス情報とのいずれにも示されていないアドレスを抽出するアドレス抽出ステップと
を備えることを特徴とするアドレス抽出方法。
或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。
ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。
プログラムはCPU911により読み出され、CPU911により実行される。
すなわち、プログラムは、実施の形態1〜9の「〜部」としてコンピュータを機能させるものである。あるいは、実施の形態1〜9の「〜部」の手順や方法をコンピュータに実行させるものである。
前記プロキシサーバ装置が行ったアクセス毎にアクセス先のアドレスが示されるプロキシログと、あらかじめ正当と定義されたアドレスが示される正当アドレス情報と、前記端末装置で前記ブラウザが実行されて前記端末装置から前記プロキシサーバ装置にアクセス先として通知したアドレスが示されるブラウザ実行アドレス情報と
を入力するアドレス入力ステップと、
前記アドレス入力ステップにより入力されたプロキシログに示されるアドレスの内、前記正当アドレス情報と前記ブラウザ実行アドレス情報とのいずれにも示されていないアドレスを抽出するアドレス抽出ステップと
を実行させることを特徴とするプログラム。
そして、上記したように「〜部」として示された機能をこれら処理装置、記憶装置、入力装置、出力装置を用いて実現するものである。
Claims (11)
- ブラウザが実装されている端末装置からアクセス先として通知されたアドレスにアクセスを行うプロキシサーバ装置がアクセスを行ったアドレスの内、所定のアドレスを抽出するアドレス抽出装置であって、
前記プロキシサーバ装置が行ったアクセス毎にアクセス先のアドレスが示されるプロキシログと、あらかじめ正当と定義されたアドレスが示される正当アドレス情報と、前記端末装置で前記ブラウザが実行されて前記端末装置から前記プロキシサーバ装置にアクセス先として通知したアドレスが示されるブラウザ実行アドレス情報と
を入力するアドレス入力部と、
前記アドレス入力部により入力されたプロキシログに示されるアドレスの内、前記正当アドレス情報と前記ブラウザ実行アドレス情報とのいずれにも示されていないアドレスを抽出するアドレス抽出部と
を備えることを特徴とするアドレス抽出装置。 - 前記アドレス入力部は、
URL(Uniform Resource Locator)が、前記プロキシサーバ装置が行ったアクセス毎にアクセス先のアドレスとして示されるプロキシログと、
URLが、あらかじめ正当と定義されたアドレスとして示される正当アドレス情報と、
URLが、前記端末装置で前記ブラウザが実行されて前記端末装置から前記プロキシサーバ装置にアクセス先として通知したアドレスとして示されるブラウザ実行アドレス情報と
を入力し、
前記アドレス抽出装置は、更に、
前記ブラウザ実行アドレス情報に示されるURLから、当該URLのウェブページの提供元が特定されるドメイン名を抽出するドメイン名抽出部を備え、
前記アドレス抽出部は、
前記アドレス入力部により入力されたプロキシログに示されるURLの内、前記正当アドレス情報と前記ブラウザ実行アドレス情報とのいずれにも示されておらず、更に、前記ドメイン名抽出部により抽出されたドメイン名を含んでいないURLを抽出することを特徴とする請求項1記載のアドレス抽出装置。 - 前記アドレス入力部は、
前記プロキシサーバ装置が特定のアクセス先に対して、他の少なくとも1つのアクセス先を経由した後にアクセスを行った場合に、前記プロキシサーバ装置が前記特定のアクセス先へのアクセスの直前に経由したアクセス先のアドレスが経由元アドレスとして、前記特定のアクセス先のアドレスに対応付けられて示されるプロキシログを入力し、
前記アドレス抽出装置は、更に、
前記アドレス入力部により入力されたプロキシログに示されるアドレスのうち、前記ブラウザ実行アドレス情報に示されるアドレスが経由元アドレスとして対応付けられているアドレスを経由先アドレスとして抽出し、
更に、抽出した経由先アドレスが経由元アドレスとして対応付けられているアドレスが前記プロキシログに示されている場合に、当該アドレスを経由先アドレスとして抽出する経由先抽出部
を備え、
前記アドレス抽出部は、
前記アドレス入力部により入力されたプロキシログに示されるアドレスの内、前記正当アドレス情報と前記ブラウザ実行アドレス情報とのいずれにも示されておらず、更に、前記経由先抽出部により抽出された経由先アドレス以外のアドレスを抽出することを特徴とする請求項1記載のアドレス抽出装置。 - 前記アドレス入力部は、
前記端末装置で前記ブラウザが実行されて前記端末装置から前記プロキシサーバ装置に新たなアクセス先としてアドレスが通知される毎に更新される前記ブラウザ実行アドレス情報を、所定の時間毎に入力することを特徴とする請求項1〜3いずれか記載のアドレス抽出装置。 - 前記アドレス抽出装置は、更に、
前記端末装置において前記ブラウザ以外のプログラムによる前記ブラウザ実行アドレス情報に対するアクセスが検知された場合に、前記ブラウザ実行アドレス情報の改ざんの可能性を通知するアラームを出力するアラーム出力部を備えることを特徴とする請求項1〜4いずれか記載のアドレス抽出装置。 - 前記アドレス抽出装置は、更に、
前記アドレス抽出部により抽出されたアドレスの内、少なくとも1つの所定の条件に合致する所定のアドレスを条件合致アドレスとして特定する条件合致アドレス特定部
を備えることを特徴とする請求項1〜5いずれか記載のアドレス抽出装置。 - 前記アドレス抽出装置は、更に、
前記アドレス抽出部により抽出されたアドレス毎にアドレスのウェブページの提供元が属する国が示される提供国情報と、あらかじめ特定された国が示される特定国情報とを入力する情報入力部
を備え、
前記条件合致アドレス特定部は、
前記情報入力部により入力された提供国情報に示される国の中で前記特定国情報に示されるいずれかの国に合致する国が提供しているウェブページのアドレスを条件合致アドレスとして特定する請求項6記載のアドレス抽出装置。 - 前記アドレス入力部は、
前記プロキシサーバ装置が行ったアクセス毎にアクセス先のアドレスとアクセス時のデータ通信量とが対応付けられて示されるプロキシログを入力し、
前記アドレス抽出装置は、更に、
前記アドレス入力部により入力されたプロキシログから前記アドレス抽出部により抽出された各アドレスに対する単位時間毎のアクセス数を算出する、または、前記アドレス入力部により入力されたプロキシログから前記アドレス抽出部により抽出された各アドレスに対する単位時間毎のデータ通信量を算出する通信量算出部
を備え、
前記条件合致アドレス特定部は、
前記通信量算出部により単位時間毎のアクセス数が算出された場合に、あらかじめ定義された所定の期間においてのみ前記通信量算出部により算出された単位時間毎のアクセス数が、あらかじめ定義されたアクセス数の第1の閾値以上となるアドレスを条件合致アドレスとして特定し、前記通信量算出部により単位時間毎のデータ通信量が算出された場合に、あらかじめ定義された所定の期間においてのみ前記通信量算出部により算出された単位時間毎のデータ通信量が、あらかじめ定義されたデータ通信量の第1の閾値以上となるアドレスを条件合致アドレスとして特定する請求項6記載のアドレス抽出装置。 - 前記アドレス入力部は、
前記プロキシサーバ装置が行ったアクセス毎にアクセス先のアドレスとアクセス時のデータ通信量とが対応付けられて示されるプロキシログを入力し、
前記アドレス抽出装置は、更に、 前記アドレス入力部により入力されたプロキシログから前記アドレス抽出部により抽出された各アドレスに対する単位時間毎のアクセス数を算出する、または、前記アドレス入力部により入力されたプロキシログから前記アドレス抽出部により抽出された各アドレスに対する単位時間毎のデータ通信量を算出する通信量算出部
を備え、
前記条件合致アドレス特定部は、
前記通信量算出部により単位時間毎のアクセス数が算出された場合に、前記単位時間毎のアクセス数が一定周期毎にあらかじめ定義されたアクセス数の第2の閾値以上となるアドレスを条件合致アドレスとして特定し、前記通信量算出部により単位時間毎のデータ通信量が算出された場合に、前記単位時間毎のデータ通信量が一定周期毎にあらかじめ定義されたデータ通信量の第2の閾値以上となるアドレスを条件合致アドレスとして特定することを特徴とする請求項6記載のアドレス抽出装置。 - 前記アドレス入力部は、
前記プロキシサーバ装置が行ったアクセス毎に、アクセス先のアドレスと、前記プロキシサーバ装置からアクセス先へ送信したデータのサイズであるリクエストサイズと、前記プロキシサーバ装置がアクセス先から受信したデータのサイズであるレスポンスサイズとが対応付けられて示されるプロキシログを入力し、
前記条件合致アドレス特定部は、
前記アドレス入力部により入力されたプロキシログから前記アドレス抽出部により抽出された各アドレスと対応付けられているレスポンスサイズをアクセス単位で特定し、
特定したレスポンスサイズがあらかじめ定義されたレスポンスサイズの閾値未満のアドレスを条件合致アドレスとして特定することを特徴とする請求項6記載のアドレス抽出装置。 - 前記条件合致アドレス特定部は、
前記アドレス入力部により入力されたプロキシログから前記アドレス抽出部により抽出された各アドレスと対応付けられているレスポンスサイズとリクエストサイズとをアクセス単位で特定し、
特定したレスポンスサイズがあらかじめ定義されたレスポンスサイズの閾値未満であり、リクエストサイズがあらかじめ定義されたリクエストサイズの閾値未満のアドレスを条件合致アドレスとして特定することを特徴とする請求項10記載のアドレス抽出装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012058303A JP5791548B2 (ja) | 2012-03-15 | 2012-03-15 | アドレス抽出装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012058303A JP5791548B2 (ja) | 2012-03-15 | 2012-03-15 | アドレス抽出装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013191133A JP2013191133A (ja) | 2013-09-26 |
JP5791548B2 true JP5791548B2 (ja) | 2015-10-07 |
Family
ID=49391267
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012058303A Expired - Fee Related JP5791548B2 (ja) | 2012-03-15 | 2012-03-15 | アドレス抽出装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5791548B2 (ja) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6290659B2 (ja) * | 2014-03-07 | 2018-03-07 | 株式会社日立システムズ | アクセス管理方法およびアクセス管理システム |
CN104486298B (zh) * | 2014-11-27 | 2018-03-09 | 小米科技有限责任公司 | 识别用户行为的方法及装置 |
WO2016139932A1 (ja) | 2015-03-03 | 2016-09-09 | 日本電気株式会社 | ログ解析システム、解析装置、解析方法、および解析用プログラムが記憶された記憶媒体 |
KR101686472B1 (ko) * | 2015-07-08 | 2016-12-14 | 국민대학교산학협력단 | 네트워크 보안 장치, 네트워크 보안 장치에서 수행되는 악성 행위 방어 방법 |
CN111859956B (zh) * | 2020-07-09 | 2021-08-27 | 睿智合创(北京)科技有限公司 | 一种用于金融行业的地址分词方法 |
CN114598552A (zh) * | 2022-03-29 | 2022-06-07 | 邹瀴 | 接口访问控制方法、装置、电子设备和存储介质 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003281094A (ja) * | 2002-03-19 | 2003-10-03 | Hitachi Information Systems Ltd | 管理システム,該管理システムによる不正候補アクセスデータ抽出方法および不正候補アクセスデータ抽出プログラム |
JP3105010U (ja) * | 2004-04-02 | 2004-10-21 | 株式会社ウインズコミュニケーションズ | セキュリティ監視システム |
US7698442B1 (en) * | 2005-03-03 | 2010-04-13 | Voltage Security, Inc. | Server-based universal resource locator verification service |
JP4558668B2 (ja) * | 2006-03-06 | 2010-10-06 | 株式会社Kddi研究所 | ログ分析装置、ログ分析プログラム、および記録媒体 |
JP4159100B2 (ja) * | 2006-04-06 | 2008-10-01 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 情報処理装置による通信を制御する方法およびプログラム |
JP4879090B2 (ja) * | 2007-05-24 | 2012-02-15 | 株式会社日立製作所 | 情報処理装置および情報処理方法 |
JP2009075940A (ja) * | 2007-09-21 | 2009-04-09 | Lac Co Ltd | ログ分析装置およびプログラム |
JP5749053B2 (ja) * | 2010-03-31 | 2015-07-15 | 株式会社ブロードバンドセキュリティ | ファイルのアップロード遮断システム及びファイルのアップロード遮断方法 |
-
2012
- 2012-03-15 JP JP2012058303A patent/JP5791548B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2013191133A (ja) | 2013-09-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10491614B2 (en) | Illegitimate typosquatting detection with internet protocol information | |
US10366229B2 (en) | Method for detecting a cyber attack | |
US10505986B1 (en) | Sensor based rules for responding to malicious activity | |
US10574695B2 (en) | Gateway apparatus, detecting method of malicious domain and hacked host thereof, and non-transitory computer readable medium | |
CN107251037B (zh) | 黑名单生成装置、黑名单生成系统、黑名单生成方法和记录介质 | |
US9300682B2 (en) | Composite analysis of executable content across enterprise network | |
CN104125209B (zh) | 恶意网址提示方法和路由器 | |
JP5791548B2 (ja) | アドレス抽出装置 | |
US9876813B2 (en) | System and method for web-based log analysis | |
RU2607229C2 (ru) | Системы и способы динамического агрегирования показателей для обнаружения сетевого мошенничества | |
US9027121B2 (en) | Method and system for creating a record for one or more computer security incidents | |
CN101971591B (zh) | 分析网址的系统及方法 | |
US20200106790A1 (en) | Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic | |
JP6030272B2 (ja) | ウェブサイト情報抽出装置、システム、ウェブサイト情報抽出方法、および、ウェブサイト情報抽出プログラム | |
JP4773332B2 (ja) | セキュリティ管理装置及びセキュリティ管理方法及びプログラム | |
CN108351941B (zh) | 分析装置、分析方法、以及计算机可读存储介质 | |
CN112600797A (zh) | 异常访问行为的检测方法、装置、电子设备及存储介质 | |
EP3647982B1 (en) | Cyber attack evaluation method and cyber attack evaluation device | |
US11330010B2 (en) | Detecting malicious web pages by analyzing elements of hypertext markup language (HTML) files | |
KR101767594B1 (ko) | 악성코드 점검을 위한 웹주소 자동 추출 시스템 및 방법 | |
JP5804883B2 (ja) | アドレス抽出装置 | |
KR101767589B1 (ko) | 악성코드 점검을 위한 웹주소 자동 추출 시스템 및 방법 | |
JP7293170B2 (ja) | シグネチャ生成装置、検出装置、シグネチャ生成プログラム及び検出プログラム | |
US11503046B2 (en) | Cyber attack evaluation method and information processing apparatus | |
JP5684842B2 (ja) | 悪性サイト検出装置、悪性サイト検出方法およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20141106 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150527 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150707 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150804 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5791548 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |