JP6617617B2 - 管理装置、管理プログラム及び管理方法 - Google Patents
管理装置、管理プログラム及び管理方法 Download PDFInfo
- Publication number
- JP6617617B2 JP6617617B2 JP2016047602A JP2016047602A JP6617617B2 JP 6617617 B2 JP6617617 B2 JP 6617617B2 JP 2016047602 A JP2016047602 A JP 2016047602A JP 2016047602 A JP2016047602 A JP 2016047602A JP 6617617 B2 JP6617617 B2 JP 6617617B2
- Authority
- JP
- Japan
- Prior art keywords
- application
- api
- request
- stability
- state transition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/61—Time-dependent
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
- Stored Programmes (AREA)
Description
本実施例に係る管理システムとして、APIの提供を管理するAPI管理システムを例に説明する。図1は、本実施例に係るAPI管理システムの構成を示す図である。図1に示すように、API管理システム1は、データ或いは機能を提供するアプリサーバ10と、APIゲートウェイ(管理装置)20と、を有する。
図2は、図1に示すAPIゲートウェイ20の構成を示すブロック図である。図2に示すように、APIゲートウェイ20は、通信インタフェース(I/F)部21、記憶部22及び制御部23を有する。
まず、図9及び図10を参照して、アプリケーションによるAPIリクエストに応じて遷移した各状態及び各状態間の遷移確率について説明する。図9は、第1アプリケーションについての各状態遷移の一例を説明するための図である。図10は、第1アプリケーションについての各状態遷移の挙動の変化の一例を説明するための図である。
まず、状態遷移インスタンス作成部233は、APIリクエストを受信すると、APIリクエストの内容、APIリクエストを送信したアプリケーションのAPIキー、ユーザID及び受信時刻を対応付けて、リクエスト履歴管理表224に順次記録する。
安定度算出部234は、状態遷移インスタンス作成部233が作成した状態遷移インスタンスと、記憶部22が記憶する状態遷移表225との一致度に応じて安定度を増減する。この安定度算出部234は、安定度を算出することによって、APIリクエストの挙動が過去の挙動と比して変化したアプリケーションを判別している。
レートリミット算出部235は、安定度算出部234が出力したアプリケーションの安定度の増減に応じて、このアプリケーションのレートリミットを増減する。そして、レートリミット算出部235は、アクセス回数管理表226のレートリミットの値を、変更した値に更新する。
図13は、実施例に係るAPI管理処理の一例を説明する図である。まず、APIゲートウェイ20では、新規アプリ登録部232が、アプリケーション30より利用申請(図13の(1)参照)を受信すると、APIゲートウェイ管理部231に利用申請を送信する(図13の(2)参照)。
次に、APIゲートウェイ20の各機能構成部が実行する処理の手順について詳細に説明する。まず、新規アプリ登録部232による新規アプリ登録処理の手順について説明する。図14は、本実施例に係る新規アプリ登録処理の手順の一例を示すフローチャートである。
次に、リクエスト受付可否を判定する処理の手順について説明する。図15は、本実施例に係るリクエスト受付可否判定処理の手順の一例を示すフローチャートである。
次に、状態遷移インスタンスを作成してレートリミットを変更するまで処理の手順について説明する。まず、状態遷移インスタンスを作成する処理の手順について説明する。図16は、本実施例に係る状態遷移インスタンス作成処理の手順の一例を示すフローチャートである。
次に、図16に示す安定度算出処理の手順について説明する。図17は、図16に示す安定度算出処理の手順の一例を示すフローチャートである。
次に、図17に示すレートリミット算出処理の手順について説明する。図18は、図17に示すレートリミット算出処理の手順の一例を示すフローチャートである。
このように、実施例に係るAPIゲートウェイ20は、APIリクエストを送信したアプリケーションについて状態遷移インスタンスを作成し、状態遷移インスタンスが状態遷移表225に対してどの程度安定しているかを示す安定度を算出する。これによって、APIゲートウェイ20は、APIリクエストの挙動が過去の挙動と比して変化したアプリケーションを判別する。そして、APIゲートウェイ20は、APIリクエストの挙動が過去の挙動と比して変化したアプリケーションについては、単位時間あたりのレートリミットを下げている。これによって、APIゲートウェイ20は、改版アプリケーションや悪意アプリケーションに変化したアプリケーションに対するアクセス制限を実現する。したがって、実施例によれば、改版アプリケーションや悪意アプリケーションに変化したアプリケーションから、APIで提供されるデータや機能を保護することが可能になる。
なお、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的状態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、APIゲートウェイ20の制御部23の各処理部が適宜統合されてもよい。また、各処理部の処理が適宜複数の処理部の処理に分離されてもよい。さらに、各処理部にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、上記の実施例で説明した各種の処理は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータシステムで実行することによって実現することもできる。そこで、以下では、上記の実施例と同様の機能を有するプログラムを実行するコンピュータシステムの一例を説明する。図19は、API管理プログラムを実行するコンピュータを示す図である。
10 アプリサーバ
20 APIゲートウェイ
21 通信インタフェース(I/F)部
22 記憶部
23 制御部
30 アプリケーション
30a 第1アプリケーション
30b 第2アプリケーション
30c 第3アプリケーション
221 ID管理表
222 APIキー管理表
223 API一覧表
224 リクエスト履歴管理表
225 状態遷移表
226 アクセス回数管理表
231 APIゲートウェイ管理部
232 新規アプリ登録部
233 状態遷移インスタンス作成部
234 安定度算出部
235 レートリミット算出部
236 リクエスト受付可否判定部
Claims (7)
- アプリケーションが送信したAPI(Application Programming Interface)リクエストの履歴を示すリクエスト履歴情報と、前記アプリケーションの単位時間あたりのAPIアクセス可能回数を示すアクセス回数管理表と、を記憶する記憶部と、
前記APIリクエストを受信した場合に、該APIリクエストを送信したアプリケーションについて、前記アプリケーションによる前記APIリクエストの内容の遷移と前記リクエスト履歴情報とに基づいて安定度を算出する安定度算出部と、
前記安定度に応じて前記アプリケーションの前記APIアクセス可能回数を変更する変更部と、
前記アプリケーションによる前記APIリクエストがあった場合に、前記アプリケーションのアクセス回数と、前記アプリケーションのAPIアクセス可能回数とを比較し、前記APIリクエストの受付を行うか否かを判定する判定部と、
を有することを特徴とする管理装置。 - 前記APIリクエストを送信したアプリケーションについて、ログインリクエストからログアウトリクエスト或いはタイムアウトの間に前記APIリクエストに応じて遷移した各状態間の遷移確率を示す状態遷移インスタンスを作成するインスタンス作成部をさらに有し、
前記記憶部は、前記リクエスト履歴情報を用いて前記アプリケーションごとに作成された各状態間の遷移確率を示す状態遷移表を記憶し、
前記安定度算出部は、前記APIリクエストを送信したアプリケーションについて、前記状態遷移インスタンスと前記状態遷移表とを比較して前記安定度を算出することを特徴とする請求項1に記載の管理装置。 - 前記安定度算出部は、前記状態遷移インスタンスと前記状態遷移表との一致度に応じて前記安定度を増減し、
前記変更部は、前記安定度の増減に応じて前記APIアクセス可能回数を増減することを特徴とする請求項2に記載の管理装置。 - 前記安定度算出部は、前記状態遷移インスタンスが前記状態遷移表に示されていない状態を含む場合には前記安定度をより少なく算出し、前記状態遷移インスタンスの遷移確率と前記状態遷移表の遷移確率との一致度が所定値よりも低い場合には前記安定度をより多く算出し、
前記変更部は、前記アプリケーションについて、前記安定度がより少ない場合には前記APIアクセス可能回数を前回設定値から所定値を減算した値に変更し、前記安定度がより多い場合には前記APIアクセス可能回数を前回設定値のまま維持し、または、前記APIアクセス可能回数を前回設定値に所定値を加算した値に変更することを特徴とする請求項3に記載の管理装置。 - 前記変更部は、所定時間ごとに前記アプリケーションのアクセス回数と、前記アプリケーションのAPIアクセス可能回数とを更新することを特徴とする請求項1〜4のいずれか一つに記載の管理装置。
- コンピュータに、
APIリクエストを受信した場合に、該APIリクエストを送信したアプリケーションについて、前記アプリケーションの前記APIリクエストの内容の遷移と、前記アプリケーションが送信したAPIリクエストの履歴を示すリクエスト履歴情報とに基づいて安定度を算出し、
前記安定度に応じて前記アプリケーションのAPIアクセス可能回数を変更し、
前記アプリケーションによる前記APIリクエストがあった場合に、前記アプリケーションのアクセス回数と、前記アプリケーションの単位時間あたりのAPIアクセス可能回数とに従って、前記APIリクエストの受付を行うか否かを判定する
各処理を実行させることを特徴とする管理プログラム。 - 管理装置は、
APIリクエストを受信した場合に、該APIリクエストを送信したアプリケーションについて、前記アプリケーションの前記APIリクエストの内容の遷移と、前記アプリケーションが送信したAPIリクエストの履歴を示すリクエスト履歴情報とに基づいて安定度を算出し、
前記安定度に応じて前記アプリケーションのAPIアクセス可能回数を変更し、
前記アプリケーションによる前記APIリクエストがあった場合に、前記アプリケーションのアクセス回数と、前記アプリケーションの単位時間あたりのAPIアクセス可能回数とに従って、前記APIリクエストの受付を行うか否かを判定する
処理を実行することを特徴とする管理方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016047602A JP6617617B2 (ja) | 2016-03-10 | 2016-03-10 | 管理装置、管理プログラム及び管理方法 |
US15/407,041 US10318727B2 (en) | 2016-03-10 | 2017-01-16 | Management device, management method, and computer-readable recording medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016047602A JP6617617B2 (ja) | 2016-03-10 | 2016-03-10 | 管理装置、管理プログラム及び管理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017162312A JP2017162312A (ja) | 2017-09-14 |
JP6617617B2 true JP6617617B2 (ja) | 2019-12-11 |
Family
ID=59786831
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016047602A Active JP6617617B2 (ja) | 2016-03-10 | 2016-03-10 | 管理装置、管理プログラム及び管理方法 |
Country Status (2)
Country | Link |
---|---|
US (1) | US10318727B2 (ja) |
JP (1) | JP6617617B2 (ja) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9363267B2 (en) * | 2014-09-25 | 2016-06-07 | Ebay, Inc. | Transaction verification through enhanced authentication |
US10567469B1 (en) * | 2017-01-11 | 2020-02-18 | Amazon Technologies, Inc. | Embedding hypermedia resources in data interchange format documents |
US10536390B1 (en) * | 2017-01-11 | 2020-01-14 | Amazon Technologies, Inc. | Requesting embedded hypermedia resources in data interchange format documents |
JP7218797B2 (ja) * | 2019-04-01 | 2023-02-07 | 富士通株式会社 | 情報処理装置およびapi使用履歴表示プログラム |
CN110673973B (zh) * | 2019-09-27 | 2024-02-13 | 聚好看科技股份有限公司 | 应用程序编程接口api的异常确定方法和装置 |
US11481308B2 (en) * | 2020-01-24 | 2022-10-25 | Intuit Inc. | Systems and methods for determining an application quality index |
US11265250B2 (en) * | 2020-06-26 | 2022-03-01 | Adobe Inc. | Targeted rate limiting of tenant systems in online services |
EP4189866A1 (en) | 2020-07-31 | 2023-06-07 | Telefonaktiebolaget LM Ericsson (publ) | Service request handling |
JP2022078608A (ja) * | 2020-11-13 | 2022-05-25 | 株式会社フォーラムエイト | 情報処理システム |
CN113904839A (zh) * | 2021-09-30 | 2022-01-07 | 杭州数梦工场科技有限公司 | 访问请求管理方法及装置 |
JP7292454B1 (ja) | 2022-03-04 | 2023-06-16 | MONET Technologies株式会社 | 情報処理装置、情報処理方法及び情報処理プログラム |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007094868A2 (en) * | 2005-10-28 | 2007-08-23 | Mojix, Inc. | Rfid receiver |
JP5179792B2 (ja) | 2007-07-13 | 2013-04-10 | 株式会社日立システムズ | 操作検知システム |
US9223938B2 (en) * | 2007-12-31 | 2015-12-29 | Google Technology Holdings LLC | Location bound secure domains |
GB2474545B (en) | 2009-09-24 | 2015-06-24 | Fisher Rosemount Systems Inc | Integrated unified threat management for a process control system |
WO2012001763A1 (ja) | 2010-06-28 | 2012-01-05 | 株式会社日立製作所 | 計算機システムの管理方法及びクライアントコンピュータ |
US9665410B2 (en) | 2013-03-12 | 2017-05-30 | Google Inc. | Processing of application programming interface traffic |
US20150222504A1 (en) * | 2014-02-03 | 2015-08-06 | Apigee Corporation | System and method for monitoring and reporting data in api processing systems |
-
2016
- 2016-03-10 JP JP2016047602A patent/JP6617617B2/ja active Active
-
2017
- 2017-01-16 US US15/407,041 patent/US10318727B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US20170262628A1 (en) | 2017-09-14 |
JP2017162312A (ja) | 2017-09-14 |
US10318727B2 (en) | 2019-06-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6617617B2 (ja) | 管理装置、管理プログラム及び管理方法 | |
US11218474B2 (en) | Contextual and risk-based multi-factor authentication | |
US11323484B2 (en) | Privilege assurance of enterprise computer network environments | |
US20210120027A1 (en) | Anomaly alert system for cyber threat detection | |
US9990507B2 (en) | Adapting decoy data present in a network | |
US10110634B2 (en) | Monitoring user authenticity in distributed system | |
US9866573B2 (en) | Dynamic malicious application detection in storage systems | |
US9984241B2 (en) | Method, apparatus, and system for data protection | |
US11005824B2 (en) | Detecting and mitigating forged authentication object attacks using an advanced cyber decision platform | |
US10320827B2 (en) | Automated cyber physical threat campaign analysis and attribution | |
US9825956B2 (en) | Systems and methods for access permission revocation and reinstatement | |
JP5160911B2 (ja) | 本人認証装置、本人認証方法および本人認証プログラム | |
US20180046796A1 (en) | Methods for identifying compromised credentials and controlling account access | |
US20170230418A1 (en) | Monitoring user authenticity | |
US20160350282A1 (en) | Sensitive text detecting method and apparatus | |
CN112714093A (zh) | 一种账号异常检测方法、装置、系统及存储介质 | |
US20220368726A1 (en) | Privilege assurance of computer network environments | |
US9935940B1 (en) | Password security | |
US20210226928A1 (en) | Risk analysis using port scanning for multi-factor authentication | |
JP2016511891A (ja) | 大規模データへの妨害攻撃に対するプライバシー | |
KR102130582B1 (ko) | 머신러닝을 이용한 웹 기반 부정 로그인 차단 장치 및 방법 | |
US11650852B2 (en) | Dynamic throttling based on health metrics | |
US20230412620A1 (en) | System and methods for cybersecurity analysis using ueba and network topology data and trigger - based network remediation | |
Zhao et al. | Extracting log patterns from system logs in large | |
JPWO2016195090A1 (ja) | 検知システム、検知装置、検知方法及び検知プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181210 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190930 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191015 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191028 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6617617 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |