JPH10340254A - 不正利用検出可能ネットワークシステム - Google Patents
不正利用検出可能ネットワークシステムInfo
- Publication number
- JPH10340254A JPH10340254A JP10098695A JP9869598A JPH10340254A JP H10340254 A JPH10340254 A JP H10340254A JP 10098695 A JP10098695 A JP 10098695A JP 9869598 A JP9869598 A JP 9869598A JP H10340254 A JPH10340254 A JP H10340254A
- Authority
- JP
- Japan
- Prior art keywords
- information
- user
- authentication
- unauthorized use
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
(57)【要約】
【課題】従来のパスワードの誤入力回数を数えのみでは
不正なアクセスを検出できなかったり、正常なアクセス
を不正とみなしてしまうことが多く、不正行為が行われ
たときにも実際に不正アクセスが成功したのかどうかが
わからなかったり、不正なアクセスと判断される事象が
多いとそのたびに報告があり、管理者は他の重要な情報
を見落としがちになる。また、同一人物が複数地点から
アクセスするなどの不信なアクセスに関するチェックは
行っておらず、このようなアクセスをチェックする必要
がある。 【解決手段】本発明では連続して誤った認証情報を連続
して入力した回数と一連の認証動作が行われた期間と最
後に正しい認証情報を入力しログインが成功したのか最
後まで不成功に終わったかのかによって、既定値範囲か
ら外れている場合に不正なアクセスと判断し、フラグを
立てておく。認証処理が終わった時点でフラグが立って
いれば不正アクセスが行われたとして管理者に報告する
とともに記録する。
不正なアクセスを検出できなかったり、正常なアクセス
を不正とみなしてしまうことが多く、不正行為が行われ
たときにも実際に不正アクセスが成功したのかどうかが
わからなかったり、不正なアクセスと判断される事象が
多いとそのたびに報告があり、管理者は他の重要な情報
を見落としがちになる。また、同一人物が複数地点から
アクセスするなどの不信なアクセスに関するチェックは
行っておらず、このようなアクセスをチェックする必要
がある。 【解決手段】本発明では連続して誤った認証情報を連続
して入力した回数と一連の認証動作が行われた期間と最
後に正しい認証情報を入力しログインが成功したのか最
後まで不成功に終わったかのかによって、既定値範囲か
ら外れている場合に不正なアクセスと判断し、フラグを
立てておく。認証処理が終わった時点でフラグが立って
いれば不正アクセスが行われたとして管理者に報告する
とともに記録する。
Description
【0001】
【発明の属する技術分野】本発明はコンピュータの操作
者に対する個人認証方法に関わり、キーボードから入力
されたパスワードとあらかじめ登録されているパスワー
ドが等しいことにより認証を行うシステムに関する。
者に対する個人認証方法に関わり、キーボードから入力
されたパスワードとあらかじめ登録されているパスワー
ドが等しいことにより認証を行うシステムに関する。
【0002】
【従来の技術】コンピュータを操作する場合、該コンピ
ュータを操作する権利があるかどうかを認証する仕組み
としてユーザにキーボードなどからパスワードを入力さ
せ、該パスワードがあらかじめ登録されているパスワー
ドと等しいことにより認証を行うシステムが広く使われ
ている。従来、この認証は手段に基づくコンピュータ不
正利用の検出機能として、例えば HP-UX 9.0のオンライ
ンマニュアル login(1)の項に記載のように3回といっ
た規定回数連続して間違えた時や例えば1分間といった
規定時間認証が完了しない場合に接続を遮断すると共に
その出来事を記録したり、Windows NT 3.5セキュリティ
/監査ガイド(Microsoft Corporation著アスキー・ネッ
トワーク・テクノロジー監訳 アスキーテクライト訳
アスキー出版局 ISBN4-7561-1017-7)の2.2セキュリテ
ィ機能「ユーザアカウントセキュリティ」の項に記載の
ように、連続して規定回数以上入力を間違えた場合に記
録を取るとともに管理者に報告するなどの処理が行われ
ていた。
ュータを操作する権利があるかどうかを認証する仕組み
としてユーザにキーボードなどからパスワードを入力さ
せ、該パスワードがあらかじめ登録されているパスワー
ドと等しいことにより認証を行うシステムが広く使われ
ている。従来、この認証は手段に基づくコンピュータ不
正利用の検出機能として、例えば HP-UX 9.0のオンライ
ンマニュアル login(1)の項に記載のように3回といっ
た規定回数連続して間違えた時や例えば1分間といった
規定時間認証が完了しない場合に接続を遮断すると共に
その出来事を記録したり、Windows NT 3.5セキュリティ
/監査ガイド(Microsoft Corporation著アスキー・ネッ
トワーク・テクノロジー監訳 アスキーテクライト訳
アスキー出版局 ISBN4-7561-1017-7)の2.2セキュリテ
ィ機能「ユーザアカウントセキュリティ」の項に記載の
ように、連続して規定回数以上入力を間違えた場合に記
録を取るとともに管理者に報告するなどの処理が行われ
ていた。
【0003】また、ユーザがどの端末から操作している
のかという情報は記録していたが、それを不正な利用の
発見に利用しようという試みでは例えばインターネット
上のftp://ftp.aist-nara.ac.jp/pub/Security/tools/t
cp_wrappers などから入手できるフリーソフトである T
CP wrapper に見られるように特定の端末からまたは特
定の端末以外からの利用を不正と判断するにとどまって
いた。
のかという情報は記録していたが、それを不正な利用の
発見に利用しようという試みでは例えばインターネット
上のftp://ftp.aist-nara.ac.jp/pub/Security/tools/t
cp_wrappers などから入手できるフリーソフトである T
CP wrapper に見られるように特定の端末からまたは特
定の端末以外からの利用を不正と判断するにとどまって
いた。
【0004】また、特開平6-6347号公報には、ネットワ
ーク上のセキュリティ監視を集中的に行う方法が記載さ
れている。
ーク上のセキュリティ監視を集中的に行う方法が記載さ
れている。
【0005】また、特開平7-264178号公報には、LAN
上における不正アクセスを中継装置からの情報を得るこ
とによって不正アクセスをした箇所を特定する方式が記
載されている。
上における不正アクセスを中継装置からの情報を得るこ
とによって不正アクセスをした箇所を特定する方式が記
載されている。
【0006】
【発明が解決しようとする課題】かかる従来の方法にお
いては、次のような課題がある。
いては、次のような課題がある。
【0007】すなわち、1回でも失敗した時には失敗の
記録をするようにしたシステムの場合、通常の使用にお
いてパスワードの打ち間違いをした場合においても記録
されてしまい、管理者は不正利用なのか単なる入力ミス
なのかの判断が難しい状況となる。
記録をするようにしたシステムの場合、通常の使用にお
いてパスワードの打ち間違いをした場合においても記録
されてしまい、管理者は不正利用なのか単なる入力ミス
なのかの判断が難しい状況となる。
【0008】また、規定回数(例えば3回)続けて間違
えたときに接続を切る方法においては不正な利用者はパ
スワードを規定回数未満の回数(例えば2回)続けて間
違えた場合、さらに規定時間(例えば1分)認証が完了
しない場合に接続を遮断する方法においては規定時間内
に自分から接続を切ってしまうことにより、不正利用を
行おうとした記録を取られることはなく、当然、不正行
為によって実際に侵入されたのかそうでないのか区別で
きない。
えたときに接続を切る方法においては不正な利用者はパ
スワードを規定回数未満の回数(例えば2回)続けて間
違えた場合、さらに規定時間(例えば1分)認証が完了
しない場合に接続を遮断する方法においては規定時間内
に自分から接続を切ってしまうことにより、不正利用を
行おうとした記録を取られることはなく、当然、不正行
為によって実際に侵入されたのかそうでないのか区別で
きない。
【0009】また、パスワードによる認証に失敗した時
にログに残すシステムにおいては規定回数以上、間違っ
たパスワードを入力し続けた場合、認証失敗のログが大
量に出力され、他の重要なメッセージが埋もれてしまう
ことになる。
にログに残すシステムにおいては規定回数以上、間違っ
たパスワードを入力し続けた場合、認証失敗のログが大
量に出力され、他の重要なメッセージが埋もれてしまう
ことになる。
【0010】また、前記従来技術では失敗をカウントす
る時間間隔を設けていないので、一般に特定の時間帯に
集中して行われる傾向のある侵入の事象を絞り込むこと
ができない。
る時間間隔を設けていないので、一般に特定の時間帯に
集中して行われる傾向のある侵入の事象を絞り込むこと
ができない。
【0011】また同一人物に与えられているアカウント
を用いて、複数の場所からアクセスを行ってきた場合、
それは不正な利用であると考えられるが、そのような事
象を効率的に検出する手段は提供されていない。
を用いて、複数の場所からアクセスを行ってきた場合、
それは不正な利用であると考えられるが、そのような事
象を効率的に検出する手段は提供されていない。
【0012】本発明の一つの目的は上記従来技術の問題
点を解決し、パスワードを入力したユーザが正規の利用
者であるか不正な利用者であるかの判断において信頼性
を上げるところにある。
点を解決し、パスワードを入力したユーザが正規の利用
者であるか不正な利用者であるかの判断において信頼性
を上げるところにある。
【0013】本発明の他の目的は、従来不正なユーザの
行動は逐一管理者に報告していたものを、一連の不正ア
クセスに関しては一度だけ管理者に報告することによ
り、管理者が容易に不正アクセスを精度よく把握可能と
するところにある。
行動は逐一管理者に報告していたものを、一連の不正ア
クセスに関しては一度だけ管理者に報告することによ
り、管理者が容易に不正アクセスを精度よく把握可能と
するところにある。
【0014】
【課題を解決するための手段】本発明は、パスワードな
どのユーザから与えられた個人認証情報と該情報が与え
られた時刻と該情報が与えられた端末の場所に関する情
報とあらかじめ登録されている個人認証情報の突き合わ
せ結果を記録する認証システムにいて、それらの情報と
過去の付き合わせの失敗回数および期間に関する記録と
現在該ユーザが使用している端末の数に関する情報が既
定値以上または既定値以下の場合、不正な使用との判断
を行うステップを実行するようにした不正利用検出方法
を提供している。
どのユーザから与えられた個人認証情報と該情報が与え
られた時刻と該情報が与えられた端末の場所に関する情
報とあらかじめ登録されている個人認証情報の突き合わ
せ結果を記録する認証システムにいて、それらの情報と
過去の付き合わせの失敗回数および期間に関する記録と
現在該ユーザが使用している端末の数に関する情報が既
定値以上または既定値以下の場合、不正な使用との判断
を行うステップを実行するようにした不正利用検出方法
を提供している。
【0015】また、上記第一のステップにおいて、一連
の認証処理の最後がログイン成功で終わっているのかロ
グインが最後まで失敗で終わっているかによって処理を
変えることにより、実際に不正アクセスが成功したのか
失敗に終わったのかが判定する第2のステップを実行す
るようにした不正利用検出方法を提供している。
の認証処理の最後がログイン成功で終わっているのかロ
グインが最後まで失敗で終わっているかによって処理を
変えることにより、実際に不正アクセスが成功したのか
失敗に終わったのかが判定する第2のステップを実行す
るようにした不正利用検出方法を提供している。
【0016】また、上記第一および第二のステップにお
いて、不正な使用と判断される事象が複数あり、その事
象が連続していた場合、それらの事象を一つの事象とし
てまとめる第三のステップを実行するようにした不正利
用検出方法を提供している。
いて、不正な使用と判断される事象が複数あり、その事
象が連続していた場合、それらの事象を一つの事象とし
てまとめる第三のステップを実行するようにした不正利
用検出方法を提供している。
【0017】また、同一ユーザが複数の端末を使用して
ログインしてきた場合、指定されたユーザ数以上の利用
を検出した場合、指定された時間以上または指定された
時刻の間、指定されたユーザ数以上の利用を検出した場
合、それらが正常な使用か不正な使用かを判断する第四
のステップを実行するようにした不正利用検出方法を提
供している。
ログインしてきた場合、指定されたユーザ数以上の利用
を検出した場合、指定された時間以上または指定された
時刻の間、指定されたユーザ数以上の利用を検出した場
合、それらが正常な使用か不正な使用かを判断する第四
のステップを実行するようにした不正利用検出方法を提
供している。
【0018】さらに、上記第一から第四のステップにお
いて、それらの結果を記録するとともに管理者に報告
し、予め指定された対策を自動的に実行するかまたは不
正利用が検出された計算機に対してより詳細な情報を収
集するための監視プログラムを送信する第五のステップ
を実行するようにした不正利用検出方法を提供してい
る。
いて、それらの結果を記録するとともに管理者に報告
し、予め指定された対策を自動的に実行するかまたは不
正利用が検出された計算機に対してより詳細な情報を収
集するための監視プログラムを送信する第五のステップ
を実行するようにした不正利用検出方法を提供してい
る。
【0019】
【発明の実施の形態】図2は本発明の一実施例のシステ
ム構成を示したものである。
ム構成を示したものである。
【0020】ユーザが直接操作する複数のローカル計算
機(201)とユーザが遠隔操作をする複数のリモート計算
機(210)とそれらを管理するマネージャ計算機(220)とか
らなり、それらはネットワークでつながれている。これ
らの計算機はいずれかの二種類、または三種類すべてが
一つの計算機上で行われることもある。また、ローカル
計算機(201)は中央演算処理装置(202)と主記憶装置(20
3)とキーボードなどの入力装置(204)とディスプレイな
どの出力装置(205)とネットワーク制御装置(206)から構
成する。また、リモート計算機(210)は中央演算処理装
置(211)と主記憶装置(212)とディスク装置(213)とディ
スク制御装置(214)とネットワーク制御装置(215)とから
なる。また、マネージャ計算機(220)は中央演算処理装
置(221)と主記憶装置(222)とディスク装置(223)とディ
スク制御装置(224)とネットワーク制御装置(225)とキー
ボードなどの入力装置(228)とディスプレイなどの出力
装置(227)からなる。また、マネージャ計算機(220)は不
正アクセスと判断するための不正アクセス判断基準情報
(229)をディスク装置(223)上に保持しており、ネットワ
ーク(232)を通してリモート計算機(210)に送ることがで
きる。リモート計算機(210)はマネージャ計算機(220)か
ら不正アクセス判断基準情報(227)を受け取り、ディス
ク装置(213)上に不正アクセス判断基準情報(217)として
記憶する。ユーザはローカル計算機(201)の入力装置(20
4)を操作し、ネットワークを経由してリモート計算機(2
10)にログインし利用する。リモート計算機(210)はロー
カル計算機(201)からのログイン操作を受け、ログイン
時およびログアウト時に、入力が行われた時刻(802)と
利用者名(803)とパスワードを正しく入力しログインで
きたのか誤ったパスワードを入力しログインできなかっ
たのかの情報(804)とローカル計算機(201)の名称(805)
とローカル計算機上で使用された入力装置(204)の名称
(806)をログ情報(216)として、ディスク装置(213)に記
憶する。ログ情報の形式を8図に示す。このとき、同時
に不正アクセス基準情報(217)と照らし合わせ、不正な
アクセスと判断された場合にはマネージャ計算機(220)
に不正アクセス情報を通知するとともに、ディスク装置
(213)に記録する。マネージャ計算機(220)が不正アクセ
ス情報の通知を受け取れなかった場合には、ログ情報を
もとに、マネージャ計算機(220)が通知を受け取れるま
で通知を再送する。マネージャ計算機(220)は不正アク
セス情報を受け取り、記録するとともに表示コンソール
にメッセージを表示してオペレータに報告する。
機(201)とユーザが遠隔操作をする複数のリモート計算
機(210)とそれらを管理するマネージャ計算機(220)とか
らなり、それらはネットワークでつながれている。これ
らの計算機はいずれかの二種類、または三種類すべてが
一つの計算機上で行われることもある。また、ローカル
計算機(201)は中央演算処理装置(202)と主記憶装置(20
3)とキーボードなどの入力装置(204)とディスプレイな
どの出力装置(205)とネットワーク制御装置(206)から構
成する。また、リモート計算機(210)は中央演算処理装
置(211)と主記憶装置(212)とディスク装置(213)とディ
スク制御装置(214)とネットワーク制御装置(215)とから
なる。また、マネージャ計算機(220)は中央演算処理装
置(221)と主記憶装置(222)とディスク装置(223)とディ
スク制御装置(224)とネットワーク制御装置(225)とキー
ボードなどの入力装置(228)とディスプレイなどの出力
装置(227)からなる。また、マネージャ計算機(220)は不
正アクセスと判断するための不正アクセス判断基準情報
(229)をディスク装置(223)上に保持しており、ネットワ
ーク(232)を通してリモート計算機(210)に送ることがで
きる。リモート計算機(210)はマネージャ計算機(220)か
ら不正アクセス判断基準情報(227)を受け取り、ディス
ク装置(213)上に不正アクセス判断基準情報(217)として
記憶する。ユーザはローカル計算機(201)の入力装置(20
4)を操作し、ネットワークを経由してリモート計算機(2
10)にログインし利用する。リモート計算機(210)はロー
カル計算機(201)からのログイン操作を受け、ログイン
時およびログアウト時に、入力が行われた時刻(802)と
利用者名(803)とパスワードを正しく入力しログインで
きたのか誤ったパスワードを入力しログインできなかっ
たのかの情報(804)とローカル計算機(201)の名称(805)
とローカル計算機上で使用された入力装置(204)の名称
(806)をログ情報(216)として、ディスク装置(213)に記
憶する。ログ情報の形式を8図に示す。このとき、同時
に不正アクセス基準情報(217)と照らし合わせ、不正な
アクセスと判断された場合にはマネージャ計算機(220)
に不正アクセス情報を通知するとともに、ディスク装置
(213)に記録する。マネージャ計算機(220)が不正アクセ
ス情報の通知を受け取れなかった場合には、ログ情報を
もとに、マネージャ計算機(220)が通知を受け取れるま
で通知を再送する。マネージャ計算機(220)は不正アク
セス情報を受け取り、記録するとともに表示コンソール
にメッセージを表示してオペレータに報告する。
【0021】ここでは、リモート計算機(210)はユーザ
のログインがあった時にリアルタイムに検出するシステ
ムを説明したが、必ずしもリアルタイムに検出するシス
テムばかりでなく、事後にログ情報(216)を一括してマ
ネージャ計算機(220)に転送してマネージャ計算機(220)
上で不正アクセス基準情報(217)と照らし合わせて不正
なアクセスを検出することも考えられる。
のログインがあった時にリアルタイムに検出するシステ
ムを説明したが、必ずしもリアルタイムに検出するシス
テムばかりでなく、事後にログ情報(216)を一括してマ
ネージャ計算機(220)に転送してマネージャ計算機(220)
上で不正アクセス基準情報(217)と照らし合わせて不正
なアクセスを検出することも考えられる。
【0022】また、ここではリモート計算機(210)が不
正なアクセスを検出し、マネージャ計算機(220)に報告
する形式で記述したが、リモート計算機(210)がユーザ
認証情報をマネージャ計算機(220)に転送し、マネージ
ャ計算機(220)の中央演算処理装置(221)が不正なアクセ
スを検出してもよい。この時にも、リモート計算機(21
0)がマネージャ計算機(220)にリアルタイムにユーザ認
証情報を転送し検出する方法と、リモート計算機(210)
はログ情報(216)を溜めておき事後に一括してマネージ
ャ計算機(220)に転送する形が考えられ、それぞれの場
合に、転送されたマネージャ計算機(220)はリアルタイ
ムに処理する方法と一度ディスク装置(223)にログ情報
として記録しておき、あとから検出する方法が考えられ
る。
正なアクセスを検出し、マネージャ計算機(220)に報告
する形式で記述したが、リモート計算機(210)がユーザ
認証情報をマネージャ計算機(220)に転送し、マネージ
ャ計算機(220)の中央演算処理装置(221)が不正なアクセ
スを検出してもよい。この時にも、リモート計算機(21
0)がマネージャ計算機(220)にリアルタイムにユーザ認
証情報を転送し検出する方法と、リモート計算機(210)
はログ情報(216)を溜めておき事後に一括してマネージ
ャ計算機(220)に転送する形が考えられ、それぞれの場
合に、転送されたマネージャ計算機(220)はリアルタイ
ムに処理する方法と一度ディスク装置(223)にログ情報
として記録しておき、あとから検出する方法が考えられ
る。
【0023】図6は本発明の一実施例のソフトウエア構
成を示す。図6は図2で説明した構成において、ログ情報
をリモート計算機上に溜めておいて、適当なタイミング
で一括してマネージャ計算機に転送する方法を実現する
構成である。マネージャ計算機(601)は計算機のハード
ウエアを制御するオペレーテイングシステム(603)上に
本考案機能を実現するコンポーネントを構成する。ルー
ル管理部(607)は、前述の不正アクセス基準情報(217)
(ログ解析ルール)、管理対象計算機(602)(リモート計
算機)上で収集したログ情報をフィルタリングするため
の基準(フィルタリングルール)および正規化ログファ
イル(616)やデータベース(609)の容量を管理するための
基準(ログファイル管理ルール)を登録または削除、変
更するための処理部である。ログ解析部(608)は、登録
されたログ解析ルールに従って管理対象計算機から収集
し、データベース(609)に蓄積したログ情報を解析する
ための処理部である。ルール配布部(610)はルール管
理部で登録したフィルタリングルールやログファイル管
理ルールを管理対象計算機に配布制御する処理部であ
り、ログ収集部(618)は管理対象計算機からログ情報を
収集制御する処理部である。一方、管理対象計算機(60
2)は、マネージャ計算機と同様にオペレーテイングシス
テム(604)上に本考案機能を実現するコンポーネントを
構成する。ログ収集部(613)はオペレーテイングシステ
ム(604)が採取するアクセスログを定期的に収集し、ロ
グ正規化部(612)で予め指定された共通の形式に変換す
る。さらに、マネージャ計算機から指示されたフィルタ
リングルールに従って指定された情報のみを正規化ログ
ファイル(616)に格納する。正規ログ収集部は共通の形
式に変換したログ情報を適当なタイミングで(例えばマ
ネージャ計算機から指示があった時点)マネージャ計算
機に転送する。なお、マネージャ計算機と管理対象計算
機の間の通信制御はオペレーテイングシステムの基本通
信制御部(605)(606)が提供する論理的通信路(617)を用
いて実現する。
成を示す。図6は図2で説明した構成において、ログ情報
をリモート計算機上に溜めておいて、適当なタイミング
で一括してマネージャ計算機に転送する方法を実現する
構成である。マネージャ計算機(601)は計算機のハード
ウエアを制御するオペレーテイングシステム(603)上に
本考案機能を実現するコンポーネントを構成する。ルー
ル管理部(607)は、前述の不正アクセス基準情報(217)
(ログ解析ルール)、管理対象計算機(602)(リモート計
算機)上で収集したログ情報をフィルタリングするため
の基準(フィルタリングルール)および正規化ログファ
イル(616)やデータベース(609)の容量を管理するための
基準(ログファイル管理ルール)を登録または削除、変
更するための処理部である。ログ解析部(608)は、登録
されたログ解析ルールに従って管理対象計算機から収集
し、データベース(609)に蓄積したログ情報を解析する
ための処理部である。ルール配布部(610)はルール管
理部で登録したフィルタリングルールやログファイル管
理ルールを管理対象計算機に配布制御する処理部であ
り、ログ収集部(618)は管理対象計算機からログ情報を
収集制御する処理部である。一方、管理対象計算機(60
2)は、マネージャ計算機と同様にオペレーテイングシス
テム(604)上に本考案機能を実現するコンポーネントを
構成する。ログ収集部(613)はオペレーテイングシステ
ム(604)が採取するアクセスログを定期的に収集し、ロ
グ正規化部(612)で予め指定された共通の形式に変換す
る。さらに、マネージャ計算機から指示されたフィルタ
リングルールに従って指定された情報のみを正規化ログ
ファイル(616)に格納する。正規ログ収集部は共通の形
式に変換したログ情報を適当なタイミングで(例えばマ
ネージャ計算機から指示があった時点)マネージャ計算
機に転送する。なお、マネージャ計算機と管理対象計算
機の間の通信制御はオペレーテイングシステムの基本通
信制御部(605)(606)が提供する論理的通信路(617)を用
いて実現する。
【0024】図1は、本発明における不正アクセスの判
断基準の一例を示したものである。不正アクセスの判断
基準(図2(217))として「規定時間内に規定回数内で正
しいパスワードを入力できた時に正常なアクセスであっ
た。それ以外は不正なアクセスである。」とする。例と
して規定回数を4回、規定時間を1分間として説明す
る。始めの入力から1分間は(100)は入力(101)から入力
(104)が失敗しており、2回目の入力から1分間も入力(10
2)から入力(105)も失敗している。しかし、3回目の入力
から1分間の入力(103)から入力(106)では最後の入力(10
6)において正しいパスワードを入力している。このた
め、これらは一連の処理とみなされ、このアクセスは正
常なアクセスであったと判断される(図1(a))。次
に(110)は入力(107)から入力(110)が失敗しており、2回
目の入力から1分間も入力(108)から入力(111)も失敗し
ている。さらに、3回目の入力から1分間の入力(109)か
ら入力(112)でも最後の入力(112)において失敗してお
り、その後、入力がない。よって3回目の入力から1分
が経過した時点で一連の認証処理は終了したものとさ
れ、1分以内にログインに成功しなかったため、認証に
成功しなかったとみなされ、不正なアクセスと判断され
る(図1(b))。
断基準の一例を示したものである。不正アクセスの判断
基準(図2(217))として「規定時間内に規定回数内で正
しいパスワードを入力できた時に正常なアクセスであっ
た。それ以外は不正なアクセスである。」とする。例と
して規定回数を4回、規定時間を1分間として説明す
る。始めの入力から1分間は(100)は入力(101)から入力
(104)が失敗しており、2回目の入力から1分間も入力(10
2)から入力(105)も失敗している。しかし、3回目の入力
から1分間の入力(103)から入力(106)では最後の入力(10
6)において正しいパスワードを入力している。このた
め、これらは一連の処理とみなされ、このアクセスは正
常なアクセスであったと判断される(図1(a))。次
に(110)は入力(107)から入力(110)が失敗しており、2回
目の入力から1分間も入力(108)から入力(111)も失敗し
ている。さらに、3回目の入力から1分間の入力(109)か
ら入力(112)でも最後の入力(112)において失敗してお
り、その後、入力がない。よって3回目の入力から1分
が経過した時点で一連の認証処理は終了したものとさ
れ、1分以内にログインに成功しなかったため、認証に
成功しなかったとみなされ、不正なアクセスと判断され
る(図1(b))。
【0025】以上の処理はユーザからの入力が行われて
いるときにリアルタイムに不正なアクセスか判断する方
法と、ユーザの行動をログに記録しておき、あとから不
正なアクセスであったか判断する方法がある。
いるときにリアルタイムに不正なアクセスか判断する方
法と、ユーザの行動をログに記録しておき、あとから不
正なアクセスであったか判断する方法がある。
【0026】図3は、前記処理手順の一例を示したもの
である。この手順は、図6において、マネージャ計算機
のログ解析部(608)で実行する場合と、管理対象計算機
上で正規化ログを読み出して実行する場合が考えられる
(後者の処理部は図6では図示していない)。この手順
ではユーザの行動が記録されたログを読み出すことによ
り、不正なアクセスであるかを判断する。また、この手
順ではユーザからのパスワードの入力が誤っていた場
合、連続して間違えた回数のみで不正な操作と判断する
のではなく、一連の入力の最後が成功で終わっているの
か失敗で終わっているかによって不正な操作かどうかの
判断を行うものである。このログの形式としては図7に
示すようにユーザから入力されたユーザ名、パスワード
が正しかったかどうかの判定結果、およびユーザからの
入力が行われた時刻情報が記録されている必要がある。
まず、最初の入力を読み出す(301)。次に不正なアクセ
スを検出したことを示すためのフラグをリセットする(3
02)。そのログインが成功であるかチェックし(303)、成
功であった場合は認証は完了する(304)。失敗であった
場合、入力時刻を一連の処理の開始時刻として登録し(3
05)、終了予定時刻を計算するとともに登録する(306)。
次に、連続誤入力カウンタに1を足す(307)。連続誤入
力カウンタをチェックし(308)、カウンタ値が規定回数
以上であった場合、検出フラグをセットする(309)。次
のデータがあるかチェックし(310)、次のデータが存在
しない場合は処理を終了とする(311)。存在する場合は
次のデータを読み出し(312)、その記録時刻と該終了予
定時刻を比較する(313)。終了予定時刻が先の場合は先
のデータまでで一連の処理は終了したものとし(314)、
検出フラグをチェックし(315)、セットされていれば不
正アクセスがあったことを記録するとともに報告する(3
16)。その後、(302)へ戻り、繰り返す。データの入力時
刻の方が先であった場合、ログインの成功をチェックし
(317)、不成功の場合は(306)へ戻り、処理を繰り返す。
成功であった場合は検出フラグがセットされているかチ
ェックし(318)、セットされていれば不正アクセスと判
断する(319)。そして、認証は完了する(320)。上述の例
においては(307)において終了時刻を計算し直し、更新
しているが、より厳密な不正アクセスのチェックをしよ
うとする場合には終了予定時刻最初に(307)で計算した
ときのままとし、更新処理を行わない処理も考えられ
る。つまり、(317)の処理の後、(307)へ戻ることとする
処理である。
である。この手順は、図6において、マネージャ計算機
のログ解析部(608)で実行する場合と、管理対象計算機
上で正規化ログを読み出して実行する場合が考えられる
(後者の処理部は図6では図示していない)。この手順
ではユーザの行動が記録されたログを読み出すことによ
り、不正なアクセスであるかを判断する。また、この手
順ではユーザからのパスワードの入力が誤っていた場
合、連続して間違えた回数のみで不正な操作と判断する
のではなく、一連の入力の最後が成功で終わっているの
か失敗で終わっているかによって不正な操作かどうかの
判断を行うものである。このログの形式としては図7に
示すようにユーザから入力されたユーザ名、パスワード
が正しかったかどうかの判定結果、およびユーザからの
入力が行われた時刻情報が記録されている必要がある。
まず、最初の入力を読み出す(301)。次に不正なアクセ
スを検出したことを示すためのフラグをリセットする(3
02)。そのログインが成功であるかチェックし(303)、成
功であった場合は認証は完了する(304)。失敗であった
場合、入力時刻を一連の処理の開始時刻として登録し(3
05)、終了予定時刻を計算するとともに登録する(306)。
次に、連続誤入力カウンタに1を足す(307)。連続誤入
力カウンタをチェックし(308)、カウンタ値が規定回数
以上であった場合、検出フラグをセットする(309)。次
のデータがあるかチェックし(310)、次のデータが存在
しない場合は処理を終了とする(311)。存在する場合は
次のデータを読み出し(312)、その記録時刻と該終了予
定時刻を比較する(313)。終了予定時刻が先の場合は先
のデータまでで一連の処理は終了したものとし(314)、
検出フラグをチェックし(315)、セットされていれば不
正アクセスがあったことを記録するとともに報告する(3
16)。その後、(302)へ戻り、繰り返す。データの入力時
刻の方が先であった場合、ログインの成功をチェックし
(317)、不成功の場合は(306)へ戻り、処理を繰り返す。
成功であった場合は検出フラグがセットされているかチ
ェックし(318)、セットされていれば不正アクセスと判
断する(319)。そして、認証は完了する(320)。上述の例
においては(307)において終了時刻を計算し直し、更新
しているが、より厳密な不正アクセスのチェックをしよ
うとする場合には終了予定時刻最初に(307)で計算した
ときのままとし、更新処理を行わない処理も考えられ
る。つまり、(317)の処理の後、(307)へ戻ることとする
処理である。
【0027】次に図4を用いてログを採取しながらリア
ルタイムに処理する場合の処理手順を説明する。
ルタイムに処理する場合の処理手順を説明する。
【0028】この手順は、図6において、マネージャ計
算機に1つのログを転送するごとにログ解析部(608)で
実行する場合と、管理対象計算機上で1つのログを正規
化するごとに実行する場合が考えられる(後者の処理部
は図6では図示していない)。本手順は図6の構成にお
いて、まず、検出フラグおよび入力カウンタをリセット
する(401)。次にキーボードなどからユーザがユーザ名
とパスワードの組みなどの認証情報を入力するがあるの
を待つ(402)。入力された時刻を一連の処理の開始時刻
として登録する(403)。認証情報が許可されたものでロ
グインが成功したかをチェックし(404)、成功した場合
は一連の処理中にカウントされた各種カウンタの値を読
み(405)、その値が事前に定めておいた不正アクセス基
準以上の場合、不正アクセスの可能性があるとみなし(4
06)、アラートを上げたり、記録を残したりした後、認
証を完了する(407)。ログインが失敗した場合、現在時
刻に一定時間を加えることにより終了予定時刻を計算
し、登録する(408)。次に連続誤入力カウンタに1を加
える(409)。連続誤入力カウンタの値が規定回数未満で
あるかチェックし(410)、規定回数未満であった場合は
終了時刻まで再度認証情報の入力を待つ(411)。入力が
行われた後、終了時刻であるかチェックする(412)。入
力が終了時刻になる前に行われた場合、ログイン成功判
断部分(404)へ戻る。終了時刻になった場合と先程の認
証失敗回数が規定回数以上になった場合は連続誤入力回
数がチェックされ(413)、不正アクセス基準以上の場
合、不正アクセスとし、アラートを上げたり、ログに記
録したりする(414)。そして、認証失敗として終了す
る。
算機に1つのログを転送するごとにログ解析部(608)で
実行する場合と、管理対象計算機上で1つのログを正規
化するごとに実行する場合が考えられる(後者の処理部
は図6では図示していない)。本手順は図6の構成にお
いて、まず、検出フラグおよび入力カウンタをリセット
する(401)。次にキーボードなどからユーザがユーザ名
とパスワードの組みなどの認証情報を入力するがあるの
を待つ(402)。入力された時刻を一連の処理の開始時刻
として登録する(403)。認証情報が許可されたものでロ
グインが成功したかをチェックし(404)、成功した場合
は一連の処理中にカウントされた各種カウンタの値を読
み(405)、その値が事前に定めておいた不正アクセス基
準以上の場合、不正アクセスの可能性があるとみなし(4
06)、アラートを上げたり、記録を残したりした後、認
証を完了する(407)。ログインが失敗した場合、現在時
刻に一定時間を加えることにより終了予定時刻を計算
し、登録する(408)。次に連続誤入力カウンタに1を加
える(409)。連続誤入力カウンタの値が規定回数未満で
あるかチェックし(410)、規定回数未満であった場合は
終了時刻まで再度認証情報の入力を待つ(411)。入力が
行われた後、終了時刻であるかチェックする(412)。入
力が終了時刻になる前に行われた場合、ログイン成功判
断部分(404)へ戻る。終了時刻になった場合と先程の認
証失敗回数が規定回数以上になった場合は連続誤入力回
数がチェックされ(413)、不正アクセス基準以上の場
合、不正アクセスとし、アラートを上げたり、ログに記
録したりする(414)。そして、認証失敗として終了す
る。
【0029】次に不正アクセスの判断基準(図2(217))
として、「同一利用者名で複数箇所からログインがあっ
た場合に不正な利用と判断する」に関して述べる。本処
理は複数の計算機で採取したログ情報を突き合わせる必
要があるため、複数の管理対象計算機から収集したログ
情報を用いて、図6のマネージャ計算機上のログ解析部
(608)で実行する。一人のユーザが存在できるのは地理
的な一地点であるはずであり、例えば東京と大阪にある
端末に同時に触ることはできず、その両方から使用して
いることが検出された場合、不正な利用がされていると
考えられる。つまり、複数の端末からネットワーク経由
で一つのマシンにログインがあった場合、それは不正な
利用者が使用していると考えられる。どの端末が地理的
にどこに存在するかという情報、および、どの端末とど
の端末を(またはどの地域の端末とどの地域の端末を)
同時に使用した場合には不正アクセスとするのかそれと
も不正アクセスとしないのか、および、いくつ以上の端
末を同時に使用した場合不正使用とするのか、または以
上の条件のどのような組み合わせで不正使用とするの
か、などの不正アクセス判断基準情報はあらかじめ作成
し、記憶装置に記憶しておく。まず、ログに記録された
データから不正な利用があったかどうかを監査する処理
について述べる。ログデータは、図8に示すようにユー
ザ名、ログイン情報かログアウト情報かの区別、使用し
た端末位置、の情報を有する。この端末位置情報はネッ
トワークを多段に用いてログインしてきている場合、そ
のおおもとの実際のキーボードなどの入力装置が存在す
る場所を特定して記録されているものとする。ただし、
特定ができない場合、検出精度が低下することを承知の
上、直前の端末場所の情報で代用されていることもあ
る。
として、「同一利用者名で複数箇所からログインがあっ
た場合に不正な利用と判断する」に関して述べる。本処
理は複数の計算機で採取したログ情報を突き合わせる必
要があるため、複数の管理対象計算機から収集したログ
情報を用いて、図6のマネージャ計算機上のログ解析部
(608)で実行する。一人のユーザが存在できるのは地理
的な一地点であるはずであり、例えば東京と大阪にある
端末に同時に触ることはできず、その両方から使用して
いることが検出された場合、不正な利用がされていると
考えられる。つまり、複数の端末からネットワーク経由
で一つのマシンにログインがあった場合、それは不正な
利用者が使用していると考えられる。どの端末が地理的
にどこに存在するかという情報、および、どの端末とど
の端末を(またはどの地域の端末とどの地域の端末を)
同時に使用した場合には不正アクセスとするのかそれと
も不正アクセスとしないのか、および、いくつ以上の端
末を同時に使用した場合不正使用とするのか、または以
上の条件のどのような組み合わせで不正使用とするの
か、などの不正アクセス判断基準情報はあらかじめ作成
し、記憶装置に記憶しておく。まず、ログに記録された
データから不正な利用があったかどうかを監査する処理
について述べる。ログデータは、図8に示すようにユー
ザ名、ログイン情報かログアウト情報かの区別、使用し
た端末位置、の情報を有する。この端末位置情報はネッ
トワークを多段に用いてログインしてきている場合、そ
のおおもとの実際のキーボードなどの入力装置が存在す
る場所を特定して記録されているものとする。ただし、
特定ができない場合、検出精度が低下することを承知の
上、直前の端末場所の情報で代用されていることもあ
る。
【0030】また、検出処理中に使用するワークエリア
には、現在どこの端末を使用しているかをユーザごとに
記録するものとする。
には、現在どこの端末を使用しているかをユーザごとに
記録するものとする。
【0031】図5に上記ログ解析処理手順を示す。最初
に、ワークエリアをクリアする(501)。次に不正アクセ
ス基準を記憶装置から読み出す(502)。次に、まだ処理
をしていないログデータが存在するか判断する(503)。
すでにデータをすべて処理してしまった場合、処理を終
了する(504)。データがまだ残っている場合、ログから
一つ目のログデータを読み出す(505)。読み出したデー
タがログインのデータかログアウトのデータかを判断し
(506)、ログアウトの情報であれば、該ユーザの使用端
末数を1つ減らすとともに(507)、該端末位置からのロ
グイン情報を削除し(508)、(503)の処理へ戻る。ログイ
ンの情報であった場合、該ユーザの使用端末数を1つ増
やすとともに(509)、使用端末位置を記録する(510)。次
に、該ユーザに関しての使用端末数と使用端末位置情報
とあらかじめ登録しておいた各端末の地理的な情報と不
正アクセス基準を照らし合わせ(511)、不正なログイン
と判断された場合(512)、記録を取る(513)とともにアラ
ートを上げる(514)などの処理を行う。
に、ワークエリアをクリアする(501)。次に不正アクセ
ス基準を記憶装置から読み出す(502)。次に、まだ処理
をしていないログデータが存在するか判断する(503)。
すでにデータをすべて処理してしまった場合、処理を終
了する(504)。データがまだ残っている場合、ログから
一つ目のログデータを読み出す(505)。読み出したデー
タがログインのデータかログアウトのデータかを判断し
(506)、ログアウトの情報であれば、該ユーザの使用端
末数を1つ減らすとともに(507)、該端末位置からのロ
グイン情報を削除し(508)、(503)の処理へ戻る。ログイ
ンの情報であった場合、該ユーザの使用端末数を1つ増
やすとともに(509)、使用端末位置を記録する(510)。次
に、該ユーザに関しての使用端末数と使用端末位置情報
とあらかじめ登録しておいた各端末の地理的な情報と不
正アクセス基準を照らし合わせ(511)、不正なログイン
と判断された場合(512)、記録を取る(513)とともにアラ
ートを上げる(514)などの処理を行う。
【0032】その後、(503)へ戻り、繰り返す。
【0033】上記処理手順において、さらに、「指定さ
れた時間連続して同時利用端末数が既定値以上になった
場合についてのみ不正ログインとみなす」、また、「指
定された時間帯に同時利用端末数が既定値以上になった
場合について不正ログインとみなす」という不正アクセ
スの判断基準として拡張可能である。
れた時間連続して同時利用端末数が既定値以上になった
場合についてのみ不正ログインとみなす」、また、「指
定された時間帯に同時利用端末数が既定値以上になった
場合について不正ログインとみなす」という不正アクセ
スの判断基準として拡張可能である。
【0034】図7に不正アクセスを報告するためのマネ
ージャ計算機の表示コンソール上の画面構成の一例を示
す。702はネットワーク上に位置する管理対象計算機の
接続関係と各計算機を表現するシンボルの色で該計算機
の状態を示す画面である。これに対して、701は、どの
ような事象が発生したかを時系列にメッセージ表示した
画面である。例えば、3行目および4行目は不正アクセス
が発生したことを示すメッセージであり、特定の計算機
が限定される場合は、シンボルの色を変化させて(例え
ば計算機B)管理者への表示を明確にする。また、不正
アクセスの詳細が知りたい場合は画面701に付属するメ
ニューを選択する操作により詳細画面703を表示する。
ージャ計算機の表示コンソール上の画面構成の一例を示
す。702はネットワーク上に位置する管理対象計算機の
接続関係と各計算機を表現するシンボルの色で該計算機
の状態を示す画面である。これに対して、701は、どの
ような事象が発生したかを時系列にメッセージ表示した
画面である。例えば、3行目および4行目は不正アクセス
が発生したことを示すメッセージであり、特定の計算機
が限定される場合は、シンボルの色を変化させて(例え
ば計算機B)管理者への表示を明確にする。また、不正
アクセスの詳細が知りたい場合は画面701に付属するメ
ニューを選択する操作により詳細画面703を表示する。
【0035】マネージャ計算機において、不正アクセス
が報告された時、特定の計算機(一般には不正アクセス
を検出した計算機)に対して予め指定された動作(例え
ば問題の発生した利用者情報を削除する等)を指示する
ことが可能である。これらの処理プログラムは予め各計
算機に組み込んでおく方法とマネージャ計算機から必要
になった時点で配布して該計算機上で実行する方法が考
えられる。この手順を図9で説明する。マネージャ計算
機において不正アクセスを検出したとき(902)、報告さ
れた情報に対する動作が定義されているかを調べて、存
在すればこれを読み出す(903)。次に管理対象計算機上
に前記動作を実行する処理プログラムが存在するかを調
べて(904)、存在するときは処理に必要なパラメータの
みを管理対象計算機に転送する(905)。前記処理プログ
ラムが存在しないときは、必要なパラメータとともに前
記動作を実行する処理プログラムもあわせて管理対象計
算機に転送する(906)。管理対象計算機では、指定され
た処理プログラムを実行して(907)、実行結果をマネー
ジャ計算機に転送する(908)。
が報告された時、特定の計算機(一般には不正アクセス
を検出した計算機)に対して予め指定された動作(例え
ば問題の発生した利用者情報を削除する等)を指示する
ことが可能である。これらの処理プログラムは予め各計
算機に組み込んでおく方法とマネージャ計算機から必要
になった時点で配布して該計算機上で実行する方法が考
えられる。この手順を図9で説明する。マネージャ計算
機において不正アクセスを検出したとき(902)、報告さ
れた情報に対する動作が定義されているかを調べて、存
在すればこれを読み出す(903)。次に管理対象計算機上
に前記動作を実行する処理プログラムが存在するかを調
べて(904)、存在するときは処理に必要なパラメータの
みを管理対象計算機に転送する(905)。前記処理プログ
ラムが存在しないときは、必要なパラメータとともに前
記動作を実行する処理プログラムもあわせて管理対象計
算機に転送する(906)。管理対象計算機では、指定され
た処理プログラムを実行して(907)、実行結果をマネー
ジャ計算機に転送する(908)。
【0036】また、マネージャ計算機において、不正ア
クセスが報告されたとき、さらに詳細な情報採取や詳細
な状態監視のため(例えば、ファイルの更新状況やプロ
セスの稼動状況、等)、予め指定されたプログラムを不
正アクセスが発生した計算機に対して監視プログラムを
配布して該計算機にて監視を実行する方法が考えられ
る。本手順も図9に示す手順に従って実行することがで
きる。
クセスが報告されたとき、さらに詳細な情報採取や詳細
な状態監視のため(例えば、ファイルの更新状況やプロ
セスの稼動状況、等)、予め指定されたプログラムを不
正アクセスが発生した計算機に対して監視プログラムを
配布して該計算機にて監視を実行する方法が考えられ
る。本手順も図9に示す手順に従って実行することがで
きる。
【0037】
【発明の効果】使用者が正規のユーザであるか不正な使
用であるか信頼性の高い検査を行うことにより、不正利
用者の見逃しや正規利用者の誤摘発を少なくすることが
できる。
用であるか信頼性の高い検査を行うことにより、不正利
用者の見逃しや正規利用者の誤摘発を少なくすることが
できる。
【0038】また、多くの事象のうち、関係のある物を
ひとつにして管理者に報告するため、管理者が注意すべ
き情報量を少なく押さえることができる。
ひとつにして管理者に報告するため、管理者が注意すべ
き情報量を少なく押さえることができる。
【0039】さらに、不正な利用が検出されたとき、自
動的に対象計算機に対して問題のあるユーザ情報を消去
するなどの対策や、詳細情報を収集する、等の処理を自
動的に実行することができる。
動的に対象計算機に対して問題のあるユーザ情報を消去
するなどの対策や、詳細情報を収集する、等の処理を自
動的に実行することができる。
【図1】正常アクセス例(a)と不正アクセス例(b)を表す
図。
図。
【図2】本発明の適用される計算機の構成を表す図。
【図3】ログ情報を元に最後にログインが成功している
か否かを考慮し不正アクセスを検出する手順を表す図。
か否かを考慮し不正アクセスを検出する手順を表す図。
【図4】リアルタイムに最後にログインが成功したか否
かを考慮して不正アクセスを検出する手順を表す図。
かを考慮して不正アクセスを検出する手順を表す図。
【図5】ログ情報を元に複数の地点からの侵入を調査
し、不正アクセスを検出する手順を表す図。
し、不正アクセスを検出する手順を表す図。
【図6】本発明を実現するソフトウエア構成を表す図。
【図7】マネージャ計算機の監視画面の一例を表す図。
【図8】ログ情報の形式を表す図。
【図9】不正アクセス検出後の処理手順を表す図。
101:ログインの失敗、102:ログインの失敗、103:ログイ
ンの成功、111:ログインの失敗、112:ログインの失敗、
201:ローカル計算機、202:中央処理演算装置、203:主記
憶装置、204:入力装置、205:出力装置、206:ネットワー
ク制御装置、210:リモート計算機、211:中央処理演算装
置、212:主記憶装置、213:ディスク装置、214:ディスク
制御装置、215:ネットワーク制御装置、216:ログ情報、
217:不正アクセス基準情報、220:マネージャ計算機、22
1:中央演算処理装置、222:主記憶装置、223:ディスク装
置、224:ディスク制御装置、225:ネットワーク制御装
置、226:ログ情報、227:不正アクセス基準情報601:マネ
ージャ計算機、602:管理対象計算機、603:マネージャ計
算機上オペレーテイングシステム、604:管理対象計算機
上オペレーテングシステム、605:マネージャ計算機上基
本通信制御部、606:管理対象計算機上基本通信制御部、
607:ルール管理部、608:ログ解析部、609:データベー
ス、610:ルール配布部、611:正規ログ収集部、612:ログ
正規化部、613:ログ収集部、614:フィルタリング処理
部、615:ルール配布部、616:正規化ログファイル、617:
論理的通信路、618:ログ収集部、701:メッセージ表示画
面、702:管理対象計算機状態監視画面、703:メッセージ
詳細表示画面
ンの成功、111:ログインの失敗、112:ログインの失敗、
201:ローカル計算機、202:中央処理演算装置、203:主記
憶装置、204:入力装置、205:出力装置、206:ネットワー
ク制御装置、210:リモート計算機、211:中央処理演算装
置、212:主記憶装置、213:ディスク装置、214:ディスク
制御装置、215:ネットワーク制御装置、216:ログ情報、
217:不正アクセス基準情報、220:マネージャ計算機、22
1:中央演算処理装置、222:主記憶装置、223:ディスク装
置、224:ディスク制御装置、225:ネットワーク制御装
置、226:ログ情報、227:不正アクセス基準情報601:マネ
ージャ計算機、602:管理対象計算機、603:マネージャ計
算機上オペレーテイングシステム、604:管理対象計算機
上オペレーテングシステム、605:マネージャ計算機上基
本通信制御部、606:管理対象計算機上基本通信制御部、
607:ルール管理部、608:ログ解析部、609:データベー
ス、610:ルール配布部、611:正規ログ収集部、612:ログ
正規化部、613:ログ収集部、614:フィルタリング処理
部、615:ルール配布部、616:正規化ログファイル、617:
論理的通信路、618:ログ収集部、701:メッセージ表示画
面、702:管理対象計算機状態監視画面、703:メッセージ
詳細表示画面
───────────────────────────────────────────────────── フロントページの続き (72)発明者 平田 俊明 神奈川県川崎市麻生区王禅寺1099番地 株 式会社日立製作所システム開発研究所内 (72)発明者 藤野 修司 神奈川県横浜市戸塚区戸塚町5030番地 株 式会社日立製作所ソフトウェア開発本部内 (72)発明者 山田 貢 神奈川県横浜市戸塚区戸塚町5030番地 株 式会社日立製作所ソフトウェア開発本部内 (72)発明者 森川 寿義 東京都千代田区大手町二丁目6番2号株式 会社日立情報ネットワーク内 (72)発明者 北山 美貴 神奈川県横浜市戸塚区戸塚町5030番地株式 会社日立製作所ソフトウェア開発本部内 (72)発明者 宮崎 聡 神奈川県川崎市麻生区王禅寺1099番地株式 会社日立製作所システム開発研究所内
Claims (10)
- 【請求項1】データベースに記録されている認証情報と
ユーザによりキーボードから入力された認証情報の対応
を比較することにより認証を行うシステムにおいて、誤
った認証情報を連続して入力した回数とその一連の行動
が行われた期間の長さと最後に正しい認証情報を入力し
ログインが成功したのかログインは不成功に終わったの
かを不正アクセスの判断の情報とし、前記回数が既定値
以上あるいは既定値以下であることを検出することによ
りシステムの不正な利用を発見することを特徴とする不
正利用検出可能ネットワークシステム。 - 【請求項2】請求項1記載の判断において、複数の該当
事象があった場合でも、それらの事象のうち、後から起
こった事象が、時刻情報、ユーザ認証情報などから前に
起こった事象の一連の操作と認められる場合、該当事象
の個数に比例した処理時間内で、それらを一つの事象と
してまとめて警告として報告することにより、操作者が
監視すべき警告の数を少なくおさえることを特長とする
不正利用検出可能ネットワークシステム。 - 【請求項3】ネットワークを通じて遠隔操作をすること
ができる計算機において、同一ユーザが複数の装置から
遠隔操作を行っていることを検出し、それぞれの装置の
地理的な場所が指定された場所以外かどうかおよび地点
の数が指定された数以上であるかにより、不正な利用と
判断することを特長とする不正利用検出可能ネットワー
クシステム。 - 【請求項4】請求項3記載において、遠隔操作の履歴を
時系列的に走査し、装置の場所を識別しながら、遠隔操
作の開始時には現在操作している装置の数を1増やし、
終了時には1減らすことにより現在使用している装置の
数を効率的に計測することを特長とする不正利用検出可
能ネットワークシステム。 - 【請求項5】請求項3記載において、指定された時間を
超えてまたは指定された時刻の間に、同一ユーザが場所
の異なる複数の装置から遠隔操作を行っているかによ
り、不正な利用と判断することを特長とする不正利用検
出可能ネットワークシステム。 - 【請求項6】請求項1項から5項のいずれかの記載にお
いて、時系列順に読み出し可能な、記録された時刻とユ
ーザ名と認証の成功不成功と使用されたホスト名と使用
された端末名とが記録されたログの情報を元に事後処理
することを特長とする不正利用検出可能ネットワークシ
ステム。 - 【請求項7】請求項6記載において、不正利用が検出さ
れたとき、当該ユーザに関する登録情報を自動的に削除
することを特長とする不正利用検出可能ネットワークシ
ステム。 - 【請求項8】請求項1項から5項のいずれかに記載にお
いて、ユーザからの入力を監視し、時刻情報とユーザ名
と認証の成功不成功と使用しているホスト名と使用して
いる端末名などの情報から、不正が行われている状況を
リアルタイムに検出することを特長とする不正利用検出
可能ネットワークシステム。 - 【請求項9】請求項8項に記載において、不正利用が検
出されたとき、当該ユーザに関する登録情報を自動的に
削除することを特長とする不正利用検出可能ネットワー
クシステム。 - 【請求項10】請求項6項または8項記載において、不
正利用が検出されたとき、さらに詳細な情報取得を行う
ための監視プログラムを不正利用が検出された計算機に
対して送信し、該計算機において該監視プログラムを実
行することにより詳細情報を採取することを特長とする
不正利用検出可能ネットワークシステム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP09869598A JP3787431B2 (ja) | 1997-04-11 | 1998-04-10 | 不正利用検出方法 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP9-93438 | 1997-04-11 | ||
| JP9343897 | 1997-04-11 | ||
| JP09869598A JP3787431B2 (ja) | 1997-04-11 | 1998-04-10 | 不正利用検出方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH10340254A true JPH10340254A (ja) | 1998-12-22 |
| JP3787431B2 JP3787431B2 (ja) | 2006-06-21 |
Family
ID=26434801
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP09869598A Expired - Fee Related JP3787431B2 (ja) | 1997-04-11 | 1998-04-10 | 不正利用検出方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3787431B2 (ja) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20000011371A (ko) * | 1998-07-01 | 2000-02-25 | 클라크 3세 존 엠. | Lan상의디바이스로의안전한포트액세스 |
| JP2001118042A (ja) * | 1999-10-19 | 2001-04-27 | Hitachi Ltd | カード監視方法 |
| KR100304367B1 (ko) * | 1999-06-17 | 2001-11-01 | 오길록 | 네트워크 시스템의 인증 방법 |
| JP2001344349A (ja) * | 2000-03-28 | 2001-12-14 | Toshiba Corp | 医療用画像診断装置及びそのセキュリティ管理方法並びにその保守管理方法 |
| EP1197873A4 (en) * | 1999-03-16 | 2002-09-25 | Fujitsu Ltd | INFORMATION PROCESSOR, METHOD FOR CONTROLLING INFORMATION PROCESSOR, AND RECORDING MEDIUM |
| JP2002318734A (ja) * | 2001-04-18 | 2002-10-31 | Teamgia:Kk | 通信ログ処理方法及びシステム |
| JP2002334061A (ja) * | 2001-05-08 | 2002-11-22 | Ntt Data Corp | 不正アクセス監視システムおよびそのプログラム |
| JP2003099295A (ja) * | 2001-09-21 | 2003-04-04 | Teamgia:Kk | 通信ログの処理方法、の方法をコンピュータシステム上で実行させるためのコンピュータソフトウエアプログラム及び通信ログ処理システム |
| JP2007503797A (ja) * | 2003-05-30 | 2007-02-22 | プリヴァリス・インコーポレーテッド | 機密データへのアクセス及び使用を制御するための回路内セキュリティ・システム及び方法 |
| JP2008129685A (ja) * | 2006-11-17 | 2008-06-05 | Dream Ware Inc | 作業内容記録システムおよびその方法、ならびにそのプログラム |
| JP2009111594A (ja) * | 2007-10-29 | 2009-05-21 | National Institute Of Advanced Industrial & Technology | 短い系列を用いた認証システム |
| JP2010003206A (ja) * | 2008-06-23 | 2010-01-07 | Obic Business Consultants Ltd | 情報処理装置、情報処理方法、およびプログラム |
| JP2011150612A (ja) * | 2010-01-25 | 2011-08-04 | Fujitsu Ltd | アカウント不正使用判別プログラム、装置、及び方法 |
| JP2018514035A (ja) * | 2015-04-09 | 2018-05-31 | アリババ グループ ホウルディング リミテッド | 住所のマッチングに基づくリスク識別方法及び装置 |
| CN109687955A (zh) * | 2019-01-14 | 2019-04-26 | 合肥联宝信息技术有限公司 | 一种保护数据的方法及装置 |
| CN113079147A (zh) * | 2021-03-25 | 2021-07-06 | 珠海爱浦京软件股份有限公司 | 一种基于工业互联网的数据监控系统及方法 |
-
1998
- 1998-04-10 JP JP09869598A patent/JP3787431B2/ja not_active Expired - Fee Related
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20000011371A (ko) * | 1998-07-01 | 2000-02-25 | 클라크 3세 존 엠. | Lan상의디바이스로의안전한포트액세스 |
| EP1197873A4 (en) * | 1999-03-16 | 2002-09-25 | Fujitsu Ltd | INFORMATION PROCESSOR, METHOD FOR CONTROLLING INFORMATION PROCESSOR, AND RECORDING MEDIUM |
| KR100304367B1 (ko) * | 1999-06-17 | 2001-11-01 | 오길록 | 네트워크 시스템의 인증 방법 |
| JP2001118042A (ja) * | 1999-10-19 | 2001-04-27 | Hitachi Ltd | カード監視方法 |
| JP2001344349A (ja) * | 2000-03-28 | 2001-12-14 | Toshiba Corp | 医療用画像診断装置及びそのセキュリティ管理方法並びにその保守管理方法 |
| JP2002318734A (ja) * | 2001-04-18 | 2002-10-31 | Teamgia:Kk | 通信ログ処理方法及びシステム |
| JP2002334061A (ja) * | 2001-05-08 | 2002-11-22 | Ntt Data Corp | 不正アクセス監視システムおよびそのプログラム |
| JP2003099295A (ja) * | 2001-09-21 | 2003-04-04 | Teamgia:Kk | 通信ログの処理方法、の方法をコンピュータシステム上で実行させるためのコンピュータソフトウエアプログラム及び通信ログ処理システム |
| JP2007503797A (ja) * | 2003-05-30 | 2007-02-22 | プリヴァリス・インコーポレーテッド | 機密データへのアクセス及び使用を制御するための回路内セキュリティ・システム及び方法 |
| US9124930B2 (en) | 2003-05-30 | 2015-09-01 | Apple Inc. | In-circuit security system and methods for controlling access to and use of sensitive data |
| US9923884B2 (en) | 2003-05-30 | 2018-03-20 | Apple Inc. | In-circuit security system and methods for controlling access to and use of sensitive data |
| JP2008129685A (ja) * | 2006-11-17 | 2008-06-05 | Dream Ware Inc | 作業内容記録システムおよびその方法、ならびにそのプログラム |
| JP2009111594A (ja) * | 2007-10-29 | 2009-05-21 | National Institute Of Advanced Industrial & Technology | 短い系列を用いた認証システム |
| JP2010003206A (ja) * | 2008-06-23 | 2010-01-07 | Obic Business Consultants Ltd | 情報処理装置、情報処理方法、およびプログラム |
| JP2011150612A (ja) * | 2010-01-25 | 2011-08-04 | Fujitsu Ltd | アカウント不正使用判別プログラム、装置、及び方法 |
| JP2018514035A (ja) * | 2015-04-09 | 2018-05-31 | アリババ グループ ホウルディング リミテッド | 住所のマッチングに基づくリスク識別方法及び装置 |
| CN109687955A (zh) * | 2019-01-14 | 2019-04-26 | 合肥联宝信息技术有限公司 | 一种保护数据的方法及装置 |
| CN113079147A (zh) * | 2021-03-25 | 2021-07-06 | 珠海爱浦京软件股份有限公司 | 一种基于工业互联网的数据监控系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3787431B2 (ja) | 2006-06-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6202158B1 (en) | Detection method of illegal access to computer system | |
| JPH10340254A (ja) | 不正利用検出可能ネットワークシステム | |
| US7815106B1 (en) | Multidimensional transaction fraud detection system and method | |
| JP3351318B2 (ja) | 計算機システムの監視方法 | |
| CN111343173B (zh) | 数据访问的异常监测方法及装置 | |
| CN108989150A (zh) | 一种登录异常检测方法及装置 | |
| CN108377241A (zh) | 基于访问频率的监测方法、装置、设备和计算机存储介质 | |
| US11169896B2 (en) | Information processing system | |
| JP2005526311A (ja) | データベースシステムを監視するための方法および装置 | |
| JP4383413B2 (ja) | 不正操作判定システム、不正操作判定方法及び不正操作判定プログラム | |
| US7398511B2 (en) | System and method for providing a health model for software | |
| CN111814152A (zh) | 一种安全评估方法、装置、电子设备及介质 | |
| CN114553596B (zh) | 适用于网络安全的多维度安全情况实时展现方法及系统 | |
| CN114389871A (zh) | 一种账号异常登录自动分析方法和装置 | |
| CN112163198A (zh) | 一种主机登录安全检测方法、系统、装置及存储介质 | |
| CN118154186A (zh) | 交易业务的异常操作的确定方法、装置和服务器 | |
| CN112650180B (zh) | 安全告警方法、装置、终端设备及存储介质 | |
| CN108650123B (zh) | 故障信息记录方法、装置、设备和存储介质 | |
| JP2005038125A (ja) | アクセスログ解析方法及び解析システム | |
| CN112699369A (zh) | 一种通过栈回溯检测异常登录的方法及装置 | |
| CN111724079A (zh) | 一种基于大数据的行业经济数据管理系统 | |
| JP2008250728A (ja) | 情報漏洩監視システムおよび情報漏洩監視方法 | |
| CN110378120A (zh) | 应用程序接口攻击检测方法、装置以及可读存储介质 | |
| CN113869623A (zh) | 一种企业风险等级的确定方法、确定装置及可读存储介质 | |
| Basin et al. | Logging and log analysis |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050223 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050329 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050527 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20051213 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060208 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060307 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20060327 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |