JP6055726B2 - ウェブページ監視装置、ウェブページ監視システム、ウェブページ監視方法およびコンピュータプログラム - Google Patents

ウェブページ監視装置、ウェブページ監視システム、ウェブページ監視方法およびコンピュータプログラム Download PDF

Info

Publication number
JP6055726B2
JP6055726B2 JP2013136839A JP2013136839A JP6055726B2 JP 6055726 B2 JP6055726 B2 JP 6055726B2 JP 2013136839 A JP2013136839 A JP 2013136839A JP 2013136839 A JP2013136839 A JP 2013136839A JP 6055726 B2 JP6055726 B2 JP 6055726B2
Authority
JP
Japan
Prior art keywords
web page
transfer destination
information
destination host
falsification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013136839A
Other languages
English (en)
Other versions
JP2015011549A (ja
Inventor
隆志 松中
隆志 松中
順平 浦川
順平 浦川
歩 窪田
歩 窪田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2013136839A priority Critical patent/JP6055726B2/ja
Publication of JP2015011549A publication Critical patent/JP2015011549A/ja
Application granted granted Critical
Publication of JP6055726B2 publication Critical patent/JP6055726B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Description

本発明は、ウェブページ監視装置、ウェブページ監視システム、ウェブページ監視方法およびコンピュータプログラムに関する。
従来、ウェブ(Web)ページの改ざんや悪性Webページを監視する技術が知られている。例えば特許文献1に記載される従来技術では、インターネットを介して公開しているコンテンツ情報を、あらかじめマスタとして保管しておき、定期的に該保管されたマスタと公開情報との差分をチェックしデータが変更されているかを確認している。また、非特許文献1に記載される従来技術では、WebブラウザがアクセスするURL(Uniform Resource Locator)を監視し、アクセスされたURLが既知の悪性WebページのURLと一致した場合に、当該アクセスを遮断している。
また、非特許文献2に記載される従来技術では、アクセスしてきた端末に対してマルウェアをダウンロードさせるWebページ(マルウェア配布サイト)の情報とWebページ間のリンク構造を示すグラフに基づいて、アクセスしてきた端末に対して該アクセスをマルウェア配布サイトに転送させるWebページ(転送サイト)を検出し、検出された転送サイトに基づいて未知のマルウェア配布サイトを検出している。また、非特許文献3に記載される従来技術では、「honeyclient」と呼ばれるマルウェア収集用Webクローラを使用してマルウェアおよびマルウェア配布サイトを能動的に検出している。honeyclientには、探索の起点となるWebページ(シードと呼ばれる)を与える。
特開2004−021873号公報
"Google Safe Browsing", インターネット<URL:https://developers.google.com/safe-browsing/> J. W. Stokes et al, "WebCop: Locating Neighborhoods of Malware on the Web", Proc. 3rd USENIX Workshop on Large-scale Exploits and Emergent Threats (LEET2010), 2010 Y-M. Wang et al, "Automated Web Patrol with Strider HoneyMonkeys: Finding Web Sites That Exploit Browser Vulnerabilities", Proc. 13th Annual Network & Distributed System Security Symposium (NDSS2006), 2006
しかし、上述した従来技術では以下に示す課題がある。
特許文献1に記載される従来技術では、Webページが正規に変更された場合と不正に改ざんされた場合とを区別することが難しい。
非特許文献1に記載される従来技術では、既知の悪性Webページには有効であるが、未知の悪性Webページには効果がない。
非特許文献2に記載される従来技術では、既知のマルウェア配布サイトの情報が必要であるが、その情報の収集が課題である。
非特許文献3に記載される従来技術では、検出能力を高めるために的確なシードを如何にして与えるかが課題である。
本発明は、このような事情を考慮してなされたもので、Webページの改ざんを検出可能とすると共に該検出にかかる負担を軽減できるWebページ監視装置、Webページ監視システム、Webページ監視方法およびコンピュータプログラムを提供することを課題とする。
(1)本発明に係るウェブページ監視装置は、観測対象ウェブページにアクセスした端末の当該アクセスが前記観測対象ウェブページから転送された先の転送先ホストを特定する転送先ホスト情報を取得する転送先ホスト情報取得部と、前記転送先ホスト情報に基づいて、前記転送先ホストを、転送先として正しいと設定されていない第1の転送先ホストと、転送先として正しいと設定されている第2の転送先ホストとに分類する転送先ホスト分類部と、前記第1の転送先ホストへの分類結果の増変化に基づいて、前記観測対象ウェブページに関する改ざん有りの改ざん情報を出力する改ざん情報出力部と、を備えたことを特徴とする。
(2)本発明に係るウェブページ監視装置においては、上記(1)のウェブページ監視装置において、前記改ざん情報出力部は、前記第1の転送先ホストの割合が所定値以上になった場合に、前記改ざん情報を出力することを特徴とする。
(3)本発明に係るウェブページ監視装置においては、上記(2)のウェブページ監視装置において、前記改ざん情報出力部は、前記第1の転送先ホストの割合が所定値以下に減った場合に、前記観測対象ウェブページに関する改ざん修復の改ざん情報を出力することを特徴とする。
(4)本発明に係るウェブページ監視装置においては、上記(1)のウェブページ監視装置において、前記改ざん情報出力部は、前記第1の転送先ホストへの転送数が所定値以上になった場合に、前記改ざん情報を出力することを特徴とする。
(5)本発明に係るウェブページ監視装置においては、上記(4)のウェブページ監視装置において、前記改ざん情報出力部は、前記第1の転送先ホストへの転送数が所定値以下に減った場合に、前記観測対象ウェブページに関する改ざん修復の改ざん情報を出力することを特徴とする。
(6)本発明に係るウェブページ監視システムは、上記(1)から(5)のいずれかのウェブページ監視装置と、ウェブブラウザとウェブページ開設ホストの間で送受されるHTTPメッセージに関する処理を行うHTTPメッセージ制御部と、を備え、前記HTTPメッセージ制御部は、前記HTTPメッセージを取得し、前記HTTPメッセージに基づいた転送先ホスト情報を前記ウェブページ監視装置へ送信し、前記ウェブページ監視装置から前記ウェブページ開設ホストに関する改ざん情報を受信する、ことを特徴とする。
(7)本発明に係るウェブページ監視システムにおいては、上記(6)のウェブページ監視システムにおいて、前記HTTPメッセージ制御部は、改ざん有りの前記改ざん情報に基づいて前記端末から前記ウェブページ開設ホストへのアクセスを遮断することを特徴とする。
(8)本発明に係るウェブページ監視システムにおいては、上記(6)又は(7)のいずれかのウェブページ監視システムにおいて、前記HTTPメッセージ制御部は前記ウェブブラウザを有する情報端末に設けられることを特徴とする。
(9)本発明に係るウェブページ監視システムにおいては、上記(6)又は(7)のいずれかのウェブページ監視システムにおいて、前記HTTPメッセージ制御部はウェブプロキシサーバに設けられることを特徴とする。
(10)本発明に係るウェブページ監視方法は、観測対象ウェブページにアクセスした端末の当該アクセスが前記観測対象ウェブページから転送された先の転送先ホストを特定する転送先ホスト情報を取得する転送先ホスト情報取得ステップと、前記転送先ホスト情報に基づいて、前記転送先ホストを、転送先として正しいと設定されていない第1の転送先ホストと、転送先として正しいと設定されている第2の転送先ホストとに分類する転送先ホスト分類ステップと、前記第1の転送先ホストへの分類結果の増変化に基づいて、前記観測対象ウェブページに関する改ざん有りの改ざん情報を出力する改ざん情報出力ステップと、を含むことを特徴とする。
(11)本発明に係るウェブページ監視方法においては、上記(10)のウェブページ監視方法において、前記改ざん有りの改ざん情報に基づいて前記端末から前記ウェブページ開設ホストへのアクセスを遮断するステップをさらに含むことを特徴とする。
(12)本発明に係るコンピュータプログラムは、コンピュータに、観測対象ウェブページにアクセスした端末の当該アクセスが前記観測対象ウェブページから転送された先の転送先ホストを特定する転送先ホスト情報を取得する転送先ホスト情報取得ステップと、前記転送先ホスト情報に基づいて、前記転送先ホストを、転送先として正しいと設定されていない第1の転送先ホストと、転送先として正しいと設定されている第2の転送先ホストとに分類する転送先ホスト分類ステップと、前記第1の転送先ホストへの分類結果の増変化に基づいて、前記観測対象ウェブページに関する改ざん有りの改ざん情報を出力する改ざん情報出力ステップと、を実行させるためのコンピュータプログラムであることを特徴とする。
(13)本発明に係るコンピュータプログラムにおいては、上記(12)のコンピュータプログラムにおいて、前記コンピュータに、前記改ざん有りの改ざん情報に基づいて前記端末から前記ウェブページ開設ホストへのアクセスを遮断するステップをさらに実行させることを特徴とする。
本発明によれば、Webページの改ざんを検出可能とすると共に該検出にかかる負担を軽減できるという効果が得られる。
本発明の一実施形態に係るWebページ監視装置1の構成を示す構成図である。 本発明の一実施形態に係る改ざん判定方法の例1を説明するための説明図である。 本発明の一実施形態に係る改ざん判定方法の例2を説明するための説明図である。 本発明に係るWebページ監視システムの実施例1の構成を示す構成図である。 本発明に係るWebページ監視システムの実施例1の処理手順を示すシーケンス図である。 本発明に係るWebページ監視システムの実施例2の構成を示す構成図である。
以下、図面を参照し、本発明の実施形態について説明する。
図1は、本発明の一実施形態に係るWebページ監視装置1の構成を示す構成図である。図1において、Webページ監視装置1は、転送先ホスト情報取得部11と転送先ホスト分類部12と改ざん情報出力部13と転送先ホスト分類情報記憶部14を備える。
転送先ホスト情報取得部11は、観測対象Webページにアクセスした端末の当該アクセスが該観測対象Webページから転送された先の転送先ホストを特定する転送先ホスト情報を取得する。観測対象Webページは監視対象のWebページである。転送先ホストは、観測対象Webページにアクセスした端末の該アクセスが該観測対象Webページから転送された先のコンピュータである。
転送先ホスト分類部12は、転送先ホスト情報取得部11によって取得された転送先ホスト情報に基づいて、転送先ホストを、転送先として正しいと設定されていない第1の転送先ホスト(以下、非正規ホストと称する)と、転送先として正しいと設定されている第2の転送先ホスト(以下、正規ホストと称する)とに分類する。正規ホストを特定する正規ホスト情報は、予め転送先ホスト分類部12に保持される。
転送先ホスト分類部12は、転送先ホスト情報で特定される転送先ホストが正規ホスト情報で特定される転送先ホストに一致する場合に、当該転送先ホストを正規ホストに分類する。転送先ホスト分類部12は、転送先ホスト情報で特定される転送先ホストが正規ホスト情報で特定される転送先ホストに一致しない場合に、当該転送先ホストを非正規ホストに分類する。
転送先ホスト分類部12は、転送先ホストの分類結果を示す転送先ホスト分類情報を転送先ホスト分類情報記憶部14に格納する。転送先ホスト分類情報記憶部14は、転送先ホスト分類情報を記憶する。転送先ホスト分類情報は、観測対象Webページの転送先ホストの内訳(正規ホストまたは非正規ホスト)を示す。例えば、転送先ホスト分類情報は、観測対象Webページの転送先ホストの内訳として、正規ホストと非正規ホストの比率を示す。又は、転送先ホスト分類情報は、観測対象Webページの転送先ホストの内訳として、正規ホストへの転送数と非正規ホストへの転送数を示す。
改ざん情報出力部13は、転送先ホスト分類情報記憶部14に格納される転送先ホスト分類情報に基づいて、観測対象Webページに関する改ざん情報を出力する。ここで、本実施形態に係る改ざん判定方法の例1、例2を説明する。
(改ざん判定方法の例1)
図2は、本実施形態に係る改ざん判定方法の例1を説明するための説明図である。図2の円グラフには、観測対象Webページの転送先ホストの内訳として、正規ホストの割合と非正規ホストの割合が示されている。また、非正規ホストの割合のしきい値(30%)が示されている。なお、図2に示される割合およびしきい値は説明の便宜上の値である。
図2(1)の円グラフは、時刻(t1)における正規ホストの割合(85%)と非正規ホストの割合(15%)を示している。図2(2)の円グラフは、時刻(t1)から後の時刻(t2)における正規ホストの割合(65%)と非正規ホストの割合(35%)を示している。改ざん判定方法の例1では、非正規ホストの割合がしきい値以上になった場合に、観測対象Webページが改ざんされたと判定する。時刻(t1)では、非正規ホストの割合(15%)はしきい値(30%)未満である。その後、時刻(t2)では、非正規ホストの割合(35%)はしきい値(30%)以上になっている。これにより、観測対象Webページが改ざんされたと判定する。改ざん情報出力部13は、非正規ホストの割合がしきい値以上に増えたことを検出すると、観測対象Webページに関する改ざん情報(改ざん有りを示すもの)を出力する。
なお、非正規ホストの割合がしきい値以下に減った場合に、改ざんされた観測対象Webページに対して改ざんの修復が行われたと判定してもよい。この場合、改ざん情報出力部13は、改ざんの修復を示す改ざん情報を出力する。
(改ざん判定方法の例2)
図3は、本実施形態に係る改ざん判定方法の例2を説明するための説明図である。図3のグラフには、観測対象Webページの転送先ホストの内訳として、正規ホストへの転送数と非正規ホストへの転送数が示されている。但し、正規ホストへの転送数は、観測対象Webページのホスト(自ホスト)と自ホストを除く正規ホストとに分かれている。また、非正規ホストへの転送数のしきい値が示されている。なお、図3に示される転送数およびしきい値は説明の便宜上の値である。
図3(1)のグラフは、時刻(t1)における正規ホストへの転送数と非正規ホストへの転送数を示している。図3(2)のグラフは、時刻(t1)から後の時刻(t2)における正規ホストへの転送数と非正規ホストへの転送数を示している。改ざん判定方法の例2では、非正規ホストへの転送数がしきい値以上になった場合に、観測対象Webページが改ざんされたと判定する。時刻(t1)では、非正規ホストへの転送数はしきい値未満である。その後、時刻(t2)では、非正規ホストへの転送数はしきい値以上になっている。これにより、観測対象Webページが改ざんされたと判定する。改ざん情報出力部13は、非正規ホストへの転送数がしきい値以上に増えたことを検出すると、観測対象Webページに関する改ざん情報(改ざん有りを示すもの)を出力する。
なお、非正規ホストへの転送数がしきい値以下に減った場合に、改ざんされた観測対象Webページに対して改ざんの修復が行われたと判定してもよい。この場合、改ざん情報出力部13は、改ざんの修復を示す改ざん情報を出力する。
次に本実施形態に係るWebページ監視システムの実施例を説明する。
図4は本発明に係るWebページ監視システムの実施例1の構成を示す構成図である。図4において、Webページ監視装置1はインターネット50に接続されている。インターネット50には、Webページ開設ホスト40と情報端末30が接続されている。Webページ開設ホスト40は、インターネット50介してWebページを公開するコンピュータである。情報端末30は、インターネット50介して、Webページ開設ホスト40によって公開されているWebページにアクセスする。
情報端末30は、通信部31とHTTPメッセージ制御部32とWebブラウザ33と記憶部34を備える。通信部31は、インターネット50を介して、Webページ監視装置1およびWebページ開設ホスト40と通信する。HTTPメッセージ制御部32は、Webブラウザ33とWebページ開設ホスト40の間で送受されるHTTPメッセージに関する処理を行う。Webブラウザ33は、Webページ開設ホスト40によって公開されているWebページの閲覧を行う。記憶部34はデータを記憶する。
なお、HTTPメッセージ制御部32は、Webブラウザ33のプラグインソフトウェアとして実装されてもよい。
次に図5を参照して、図4に示すWebページ監視システムの動作を説明する。図5は、本発明に係るWebページ監視システムの実施例1の処理手順を示すシーケンス図である。
(ステップS1)情報端末30において、HTTPメッセージ制御部32は、Webブラウザ33から送信されたHTTPリクエストを捕捉する。
(ステップS2)HTTPメッセージ制御部32は、通信部31により、該捕捉したHTTPリクエストをリクエスト先のWebページ開設ホスト40(以下、リクエスト先ホスト40と称する)へ送信する。
(ステップS3)HTTPメッセージ制御部32は、通信部31により、リクエスト先ホスト40からHTTPレスポンスを受信する。
(ステップS4)HTTPメッセージ制御部32は、該受信されたHTTPレスポンスに含まれるコンテンツを記憶部34に保存する。
(ステップS5)HTTPメッセージ制御部32は、転送先ホスト情報をWebページ監視装置1へ送信する。この実施例では、転送先ホスト情報は、ステップS1で捕捉したHTTPリクエストおよびステップS3で受信したHTTPレスポンスに関して、ヘッダ情報、HTTPリクエスト送信時のマウスイベントの有無を示す情報、及びリクエスト先ホスト40側でのリダイレクトの有無を示す情報、を有する。マウスイベントとしては、マウスのクリック、アンカーへのマウスポインタの移動などが挙げられる。
(ステップS6)Webページ監視装置1は、情報端末30から転送先ホスト情報を受信すると、該受信した転送先ホスト情報を保存する。そして、Webページ監視装置1は、該転送先ホスト情報に基づいて、転送先ホストの分類を行う。例えば、最初のHTTPリクエストによって発動されたHTTPリクエストの数、HTTPリクエストの宛先ホストの数などを利用して、正規ホストもしくは非正規ホストの数、または、正規ホストもしくは非正規ホストへの転送数を取得する。
(ステップS7)Webページ監視装置1は、ステップS6の分類結果に基づいた改ざん情報を、情報端末30へ返信する。該改ざん情報は、リクエスト先ホスト40のWebページが改ざんされていると判定されたか否かを示す。なお、Webページ監視装置1は、リクエスト先ホスト40のWebページが改ざんされたと判定された場合にのみ、改ざん情報を情報端末30へ返信してもよい。
(ステップS8)情報端末30において、HTTPメッセージ制御部32は、通信部31によりWebページ監視装置1から受信された改ざん情報によりリクエスト先ホスト40のWebページが改ざんされていないと認識した場合、又は、ステップS5の転送先ホスト情報の送信から一定時間経過しても改ざん情報が受信されない場合、ステップS3で受信されたHTTPレスポンスをWebブラウザ33へ送信する。
一方、HTTPメッセージ制御部32は、通信部31によりWebページ監視装置1から受信された改ざん情報によりリクエスト先ホスト40のWebページが改ざんされていると認識した場合、ステップS3で受信されたHTTPレスポンスをWebブラウザ33へ送信しない。これにより、Webブラウザ33からリクエスト先ホスト40へのアクセスは遮断される。
(ステップS9)Webページ監視装置1は、定期的に、または、新規にWebページの改ざん有りを判定した場合に、改ざん情報を情報端末30へ送信する。情報端末30において、HTTPメッセージ制御部32は、Webページ監視装置1から改ざん情報を受信した場合、該改ざん情報で示される改ざん有りのWebページへのアクセスを遮断する処理を行う。
本実施例1では、各情報端末30にHTTPメッセージ制御部32が設けられる。Webページ監視装置1は、各情報端末30から転送先ホスト情報を取得し、該取得された転送先ホスト情報に基づいて、各リクエスト先ホスト40の改ざんの有無を判定する。これにより、多数の情報端末30から転送先ホスト情報を取得できることにより、多数のリクエスト先ホスト40に対して改ざんの有無を判定することができる。
図6は本発明に係るWebページ監視システムの実施例2の構成を示す構成図である。図6において図4の各部に対応する部分には同一の符号を付している。図6において、インターネット50には、Webページ監視装置1とWebページ開設ホスト40とWebプロキシサーバ60が接続されている。情報端末70は、Webブラウザ33を有し、Webプロキシサーバ60を介してWebページ開設ホスト40にアクセスする。
Webプロキシサーバ60は、第1通信部61とHTTPメッセージ制御部32と第2通信部63と記憶部64を備える。第1通信部61は、インターネット50を介して、Webページ監視装置1およびWebページ開設ホスト40と通信する。第2通信部63は情報端末70と通信する。記憶部64はデータを記憶する。
実施例2では、図6に示されるように、HTTPメッセージ制御部32はWebプロキシサーバ60に具備される。HTTPメッセージ制御部32は、第2通信部63により、情報端末70のWebブラウザ33との間でHTTPメッセージを送受する。また、HTTPメッセージ制御部32は、第1通信部61により、Webページ開設ホスト40との間でHTTPメッセージを送受する。また、HTTPメッセージ制御部32は、第1通信部61により、Webページ監視装置1との間でデータを送受する。
図6に示すWebページ監視システムの動作は、図5に示される実施例1と同様である。図5において、実施例1と異なる点は、HTTPメッセージ制御部32が第2通信部63を介して情報端末70のWebブラウザ33とHTTPメッセージを送受する点である。
本実施例2では、Webプロキシサーバ60にHTTPメッセージ制御部32が設けられる。Webプロキシサーバ60には各情報端末70がアクセスする。Webページ監視装置1は、Webプロキシサーバ60から各情報端末70に係る転送先ホスト情報を取得し、該取得された転送先ホスト情報に基づいて、各リクエスト先ホスト40の改ざんの有無を判定する。これにより、多数の情報端末70に係る転送先ホスト情報を取得できることにより、多数のリクエスト先ホスト40に対して改ざんの有無を判定することができる。また、Webプロキシサーバ60にHTTPメッセージ制御部32を設けるこれにより、情報端末70には機能追加が不要である。
上述した実施形態によれば、新規の悪性Webページの発見が可能となる。また、任意に取得された転送先ホスト情報を利用することから、該発見にかかる負担が軽減される効果が得られる。
本実施形態は、例えばDrive-by Download攻撃に対する対策に活用できる。本実施形態によって、Drive-by Download攻撃に使用されるマルウェア配布サイトやマルウェア配布サイトへの入り口となる入口サイトに改ざんされたことを検出し、該検出されたマルウェア配布サイトや入口サイトへのアクセスを遮断することができる。
以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。
例えば、Webページ監視装置1の機能を情報端末30に備え、情報端末30がリクエスト先ホスト40の改ざんの有無を判定するようにしてもよい。又は、Webページ監視装置1の機能をWebプロキシサーバ60に備え、Webプロキシサーバ60がリクエスト先ホスト40の改ざんの有無を判定するようにしてもよい。
また、正規ホスト情報の取得方法として、既知のレピュテーションデータベースなどから取得してもよい。又は、正規ホスト情報の他の取得方法として、リクエスト先ホスト40から取得したHTTPレスポンスに含まれるコンテンツを利用することが挙げられる。この正規ホスト情報取得方法では、リクエスト先ホスト40から取得したHTTPレスポンスに含まれるコンテンツを解析し、該解析結果から該リクエスト先ホスト40を正規ホスト、非正規サイトに分類し、該分類結果を正規ホスト情報とする。該正規ホスト情報は以降のホストの分類に利用可能である。
また、上述したWebページ監視装置1またはHTTPメッセージ制御部32を実現するためのコンピュータプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するようにしてもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disk)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
1…Webページ監視装置、11…転送先ホスト情報取得部、12…転送先ホスト分類部、13…改ざん情報出力部、14…転送先ホスト分類情報記憶部、30,70…情報端末、31…通信部、32…HTTPメッセージ制御部、33…Webブラウザ、34,64…記憶部、40…Webページ開設ホスト、60…Webプロキシサーバ、61…第1通信部、63…第2通信部

Claims (13)

  1. 観測対象ウェブページにアクセスした端末の当該アクセスが前記観測対象ウェブページから転送された先の転送先ホストを特定する転送先ホスト情報を取得する転送先ホスト情報取得部と、
    前記転送先ホスト情報に基づいて、前記転送先ホストを、転送先として正しいと設定されていない第1の転送先ホストと、転送先として正しいと設定されている第2の転送先ホストとに分類する転送先ホスト分類部と、
    前記第1の転送先ホストへの分類結果の増変化に基づいて、前記観測対象ウェブページに関する改ざん有りの改ざん情報を出力する改ざん情報出力部と、
    を備えたことを特徴とするウェブページ監視装置。
  2. 前記改ざん情報出力部は、前記第1の転送先ホストの割合が所定値以上になった場合に、前記改ざん情報を出力することを特徴とする請求項1に記載のウェブページ監視装置。
  3. 前記改ざん情報出力部は、前記第1の転送先ホストの割合が所定値以下に減った場合に、前記観測対象ウェブページに関する改ざん修復の改ざん情報を出力することを特徴とする請求項2に記載のウェブページ監視装置。
  4. 前記改ざん情報出力部は、前記第1の転送先ホストへの転送数が所定値以上になった場合に、前記改ざん情報を出力することを特徴とする請求項1に記載のウェブページ監視装置。
  5. 前記改ざん情報出力部は、前記第1の転送先ホストへの転送数が所定値以下に減った場合に、前記観測対象ウェブページに関する改ざん修復の改ざん情報を出力することを特徴とする請求項4に記載のウェブページ監視装置。
  6. 請求項1から5のいずれか1項に記載のウェブページ監視装置と、
    ウェブブラウザとウェブページ開設ホストの間で送受されるHTTPメッセージに関する処理を行うHTTPメッセージ制御部と、を備え、
    前記HTTPメッセージ制御部は、前記HTTPメッセージを取得し、前記HTTPメッセージに基づいた転送先ホスト情報を前記ウェブページ監視装置へ送信し、前記ウェブページ監視装置から前記ウェブページ開設ホストに関する改ざん情報を受信する、
    ことを特徴とするウェブページ監視システム。
  7. 前記HTTPメッセージ制御部は、改ざん有りの前記改ざん情報に基づいて前記端末から前記ウェブページ開設ホストへのアクセスを遮断することを特徴とする請求項6に記載のウェブページ監視システム。
  8. 前記HTTPメッセージ制御部は前記ウェブブラウザを有する情報端末に設けられることを特徴とする請求項6又は7のいずれか1項に記載のウェブページ監視システム。
  9. 前記HTTPメッセージ制御部はウェブプロキシサーバに設けられることを特徴とする請求項6又は7のいずれか1項に記載のウェブページ監視システム。
  10. 観測対象ウェブページにアクセスした端末の当該アクセスが前記観測対象ウェブページから転送された先の転送先ホストを特定する転送先ホスト情報を取得する転送先ホスト情報取得ステップと、
    前記転送先ホスト情報に基づいて、前記転送先ホストを、転送先として正しいと設定されていない第1の転送先ホストと、転送先として正しいと設定されている第2の転送先ホストとに分類する転送先ホスト分類ステップと、
    前記第1の転送先ホストへの分類結果の増変化に基づいて、前記観測対象ウェブページに関する改ざん有りの改ざん情報を出力する改ざん情報出力ステップと、
    を含むことを特徴とするウェブページ監視方法。
  11. 前記改ざん有りの改ざん情報に基づいて前記端末から前記ウェブページ開設ホストへのアクセスを遮断するステップをさらに含むことを特徴とする請求項10に記載のウェブページ監視方法。
  12. コンピュータに、
    観測対象ウェブページにアクセスした端末の当該アクセスが前記観測対象ウェブページから転送された先の転送先ホストを特定する転送先ホスト情報を取得する転送先ホスト情報取得ステップと、
    前記転送先ホスト情報に基づいて、前記転送先ホストを、転送先として正しいと設定されていない第1の転送先ホストと、転送先として正しいと設定されている第2の転送先ホストとに分類する転送先ホスト分類ステップと、
    前記第1の転送先ホストへの分類結果の増変化に基づいて、前記観測対象ウェブページに関する改ざん有りの改ざん情報を出力する改ざん情報出力ステップと、
    を実行させるためのコンピュータプログラム。
  13. 前記コンピュータに、
    前記改ざん有りの改ざん情報に基づいて前記端末から前記ウェブページ開設ホストへのアクセスを遮断するステップをさらに実行させることを特徴とする請求項12に記載のコンピュータプログラム。
JP2013136839A 2013-06-28 2013-06-28 ウェブページ監視装置、ウェブページ監視システム、ウェブページ監視方法およびコンピュータプログラム Active JP6055726B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013136839A JP6055726B2 (ja) 2013-06-28 2013-06-28 ウェブページ監視装置、ウェブページ監視システム、ウェブページ監視方法およびコンピュータプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013136839A JP6055726B2 (ja) 2013-06-28 2013-06-28 ウェブページ監視装置、ウェブページ監視システム、ウェブページ監視方法およびコンピュータプログラム

Publications (2)

Publication Number Publication Date
JP2015011549A JP2015011549A (ja) 2015-01-19
JP6055726B2 true JP6055726B2 (ja) 2016-12-27

Family

ID=52304654

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013136839A Active JP6055726B2 (ja) 2013-06-28 2013-06-28 ウェブページ監視装置、ウェブページ監視システム、ウェブページ監視方法およびコンピュータプログラム

Country Status (1)

Country Link
JP (1) JP6055726B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105100061B (zh) * 2015-06-19 2018-09-04 小米科技有限责任公司 网址劫持检测的方法及装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4371991B2 (ja) * 2004-12-10 2009-11-25 キヤノン株式会社 通信装置および通信制御方法
JP2008021274A (ja) * 2006-06-15 2008-01-31 Interlex Inc プロセス監視装置及び方法
JP5650617B2 (ja) * 2011-10-11 2015-01-07 日本電信電話株式会社 攻撃情報管理システム、攻撃情報管理装置、攻撃情報管理方法及びプログラム

Also Published As

Publication number Publication date
JP2015011549A (ja) 2015-01-19

Similar Documents

Publication Publication Date Title
CN110431828B (zh) 基于域名系统dns日志和网络数据检测dns隧道
US9661008B2 (en) Network monitoring apparatus, network monitoring method, and network monitoring program
US9300682B2 (en) Composite analysis of executable content across enterprise network
WO2015154539A1 (zh) 网站安全检测方法及装置
JP5920169B2 (ja) 不正コネクション検出方法、ネットワーク監視装置及びプログラム
CN107992738B (zh) 一种账号登录异常检测方法、装置及电子设备
US20210243216A1 (en) Penetration tests of systems under test
US10033761B2 (en) System and method for monitoring falsification of content after detection of unauthorized access
US10505986B1 (en) Sensor based rules for responding to malicious activity
CN103001817A (zh) 一种实时检测网页跨域请求的方法和装置
CN107426196B (zh) 一种识别web入侵的方法及系统
CN107995179B (zh) 一种未知威胁感知方法、装置、设备及系统
CN112019519B (zh) 网络安全情报威胁度的检测方法、装置和电子装置
JP5752642B2 (ja) 監視装置および監視方法
CN102664872A (zh) 用于检测和防止对计算机网络中服务器攻击的系统和方法
CN112600797A (zh) 异常访问行为的检测方法、装置、电子设备及存储介质
JP6092759B2 (ja) 通信制御装置、通信制御方法、および通信制御プログラム
KR101781780B1 (ko) 다중 서버, 다중 브라우저 기반의 고속 악성 웹 사이트 탐지 시스템 및 방법
JP6623128B2 (ja) ログ分析システム、ログ分析方法及びログ分析装置
KR101917996B1 (ko) 악성 스크립트 탐지 방법 및 장치
US10757118B2 (en) Method of aiding the detection of infection of a terminal by malware
KR20140011518A (ko) 악성코드를 차단하기 위한 방법 및 시스템
JP6055726B2 (ja) ウェブページ監視装置、ウェブページ監視システム、ウェブページ監視方法およびコンピュータプログラム
JP6098687B2 (ja) 通信先判定装置、通信先判定方法、及び、通信先判定プログラム
US20170054742A1 (en) Information processing apparatus, information processing method, and computer readable medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160127

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20160128

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161108

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161205

R150 Certificate of patent or registration of utility model

Ref document number: 6055726

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150