JPWO2016195090A1 - 検知システム、検知装置、検知方法及び検知プログラム - Google Patents
検知システム、検知装置、検知方法及び検知プログラム Download PDFInfo
- Publication number
- JPWO2016195090A1 JPWO2016195090A1 JP2017522291A JP2017522291A JPWO2016195090A1 JP WO2016195090 A1 JPWO2016195090 A1 JP WO2016195090A1 JP 2017522291 A JP2017522291 A JP 2017522291A JP 2017522291 A JP2017522291 A JP 2017522291A JP WO2016195090 A1 JPWO2016195090 A1 JP WO2016195090A1
- Authority
- JP
- Japan
- Prior art keywords
- account
- address
- accounts
- source address
- group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2135—Metering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
- H04L43/106—Active monitoring, e.g. heartbeat, ping or trace-route using time related information in packets, e.g. by adding timestamps
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
検知装置(10)は、ユーザ認証を行う認証装置から取得した認証情報からアカウント及びアカウントの送信元アドレスを抽出し、アカウントのタイムスタンプ及び送信元アドレスに応じて、所定時間間隔のタイムスロット毎かつ送信元アドレス毎にアカウントをグループ化し、同一グループ内で同一アカウントの重複を除外したアカウントグループを抽出する。そして、検知装置(10)は、抽出した各アカウントグループ間で重複するアカウント数を計算する。そして、検知装置(10)は、計算したアカウント数が第1閾値を越える同一送信元アドレスのアカウントグループの数が第2閾値を越える場合に、この同一送信元アドレスがアカウント攻撃者のアドレスであると判定する。
Description
本発明は、検知システム、検知装置、検知方法及び検知プログラムに関する。
インターネット上のサービスでは、本人性を確認するために、アカウント認証が用いられることが多い。例えば、ユーザは、サービスを利用するためにアカウント認証を試み、認証された場合のみサービスにログインして利用できる。一般的に、アカウント認証は、アカウント及びパスワードを用いる。近年、大量のアカウント及びパスワードを用いてアカウント認証の試行を繰り返すアカウントハッキングにより偶然認証されたアカウント及びパスワードを用い、不正ログインされるという被害が発生している。
そこで、アカウントハッキングによる被害を防止するため、一定時間内のアカウント認証及び認証失敗の数を計数し、認証失敗の数が一定数を超えた場合、アカウントハッキングとして検知する方法がある。なお、正常の利用でもパスワード忘れなどにより認証失敗はある程度の割合で発生する。企業や無線LAN(Local Area Network)スポット等、複数利用者が同一IP(Internet Protocol)アドレスや同一回線を共用する場合、同一アドレスや同一回線からの認証失敗の数がより多くなり、一定時間内の認証失敗の数が一定数を超える場合がある。この場合も、アカウントハッキングと検知されてしまうおそれがある。よって、実用上は、一定時間内の認証失敗数及び認証成功数と、認証試行数との比率、すなわち、認証失敗率及び認証成功率を用いることが一般的である。
"リスト型アカウントハッキングによる不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集)"、総務省、平成25年(2013年)12月
しかしながら、認証失敗率及び認証成功率を用いてアカウントハッキングの検知を行う場合、攻撃者は、ダミーアカウントを用意することで、認証失敗率及び認証成功率を低下させずに不正ログインを大量に行う。
具体的には、攻撃者は、ログインが成功するダミーアカウント及び不正ログインを行おうとするアカウント(ターゲットアカウント)の両方を用意し、ダミーアカウント及びターゲットアカウントが混在したリストに基づいてログイン試行する。そして、攻撃者は、ターゲットアカウントそのものあるいはターゲットアカウントのパスワードを変えながらログイン試行を繰り返す。そのため、かかるアカウントハッキングは、認証失敗率及び認証成功率に対して閾値を設ける従来の検知方法では、認証失敗率及び認証成功率が低下しないため、閾値で検知できないという課題がある。
本願が開示する実施形態の一例は、上記に鑑みてなされたものであって、アカウントハッキングの検知精度を向上させることを目的とする。
本願が開示する実施形態の一例は、ユーザ認証を行う認証装置から取得した認証情報からアカウント及びアカウントの送信元アドレスを抽出し、アカウントのタイムスタンプ及び送信元アドレスに応じて、所定時間間隔のタイムスロット毎かつ送信元アドレス毎にアカウントをグループ化する。そして、同一グループ内で同一アカウントの重複を除外したアカウントグループを抽出する。そして、抽出した各アカウントグループ間で重複するアカウント数を計算する。そして、計算したアカウント数が第1閾値を越える同一送信元アドレスのアカウントグループの数が第2閾値を越える場合に、この同一送信元アドレスがアカウント攻撃者のアドレスであると判定する。
本願が開示する実施形態の一例によれば、例えば、アカウントハッキングの検知精度を向上させることができる。
[実施形態]
以下、本願が開示する検知システム、検知装置、検知方法及び検知プログラムの実施形態を説明する。なお、以下の実施形態は、一例を示すに過ぎず、本願が開示する技術を限定するものではない。また、以下に示す種々の形態及び実施例は、矛盾しない範囲で適宜組合せてもよい。
以下、本願が開示する検知システム、検知装置、検知方法及び検知プログラムの実施形態を説明する。なお、以下の実施形態は、一例を示すに過ぎず、本願が開示する技術を限定するものではない。また、以下に示す種々の形態及び実施例は、矛盾しない範囲で適宜組合せてもよい。
(実施形態に係るシステムの一例)
図1は、実施形態に係るシステムの一例を示すブロック図である。実施形態に係るシステム1は、公衆網等のネットワーク2を介して接続されたクライアント3及びサーバ4を含む。また、サーバ4には、検知装置10が接続される。ユーザは、ネットワーク2を介してサーバ4に対して認証要求を行い、サーバ4はその結果をユーザに返す。その際、サーバ4は、認証ユーザの情報及び認証の結果を認証レコードとして保持し、検知装置10に送信する。
図1は、実施形態に係るシステムの一例を示すブロック図である。実施形態に係るシステム1は、公衆網等のネットワーク2を介して接続されたクライアント3及びサーバ4を含む。また、サーバ4には、検知装置10が接続される。ユーザは、ネットワーク2を介してサーバ4に対して認証要求を行い、サーバ4はその結果をユーザに返す。その際、サーバ4は、認証ユーザの情報及び認証の結果を認証レコードとして保持し、検知装置10に送信する。
クライアント3は、ネットワーク2を介してサービスを利用するユーザの端末である。実施形態では、クライアント3は、アカウントハッキングによる攻撃者の端末も含む。サーバ4は、サービスを提供するアプリケーションサーバにおけるアカウントによるユーザ認証を行うサーバである。サーバ4は、クライアント3から受信したユーザアカウント及びパスワード等のユーザ情報を用いて、当該ユーザを認証する。
そして、サーバ4は、認証レコードを出力する。認証レコードは、例えばユーザアカウント(以下、アカウントと呼ぶ)、パスワード、タイムスタンプ、アカウント及びパスワードの送信元のクライアント3のIPアドレス等を含む。認証レコードは、ログ形式で出力されてもよい。サーバ4は、サービスを提供するアプリケーションサーバとハードウェア的又はソフトウェア的に一体に構成されてもよい。また、サーバ4は、後述する検知装置20とハードウェア的又はソフトウェア的に一体に構成されてもよい。
検知装置10は、サーバ4へのアカウントハッキングによる攻撃を検知する。検知装置10は、アカウントグループ記憶部11、抽出部12、計算部13、判定部14を有する。
抽出部12は、サーバ4から受信した認証レコードから、認証毎のアカウント、タイムスタンプ、アカウントの送信元のクライアント3のIPアドレス(以下、送信元IPアドレスと呼ぶ)を抽出する。なお、アカウントの送信元のクライアント3を特定可能なネットワーク識別子であれば、送信元IPアドレスに限らず、MAC(Media Access Control)アドレス等を用いてもよい。また、抽出部12がサーバ4から受信した認証レコードから抽出するタイムスタンプは、当該アカウントを用いてユーザがサーバ4における認証を試行した時刻である。あるいは、タイムスタンプは、当該認証レコードがサーバ4から検知装置10へ到着した時刻もしくは検知装置10において当該認証レコードからアカウントが抽出された時刻であってもよい。
そして、抽出部12は、抽出したアカウントを、アカウントのタイムスタンプ及び送信元IPアドレスに応じて、それぞれが期間Δのタイムスロット毎かつ送信元IPアドレス毎にアカウントをグループ化する。そして、抽出部12は、グループ化したアカウントの同一グループ内で同一アカウントの重複を除外する。以上が、抽出部12が行うアカウントグループの抽出である。そして、抽出部12は、抽出したアカウントグループをアカウントグループ記憶部11に保存する。
図2は、実施形態に係るアカウントグループの一例を示す図である。図2の(a)は、タイムスタンプの時刻及び送信元IPアドレスが異なる複数のアカウントを認証レコード群として模式的に示す。検知装置10の抽出部12は、認証レコード群を、図2の(b)に示すように、タイムスタンプが属する所定期間Δ(タイムスロットK、K−1)毎かつ送信元IPアドレス(IPアドレスA、B、C)毎にアカウントをグループ化する。そして、抽出部12は、同一アカウントグループ内でのアカウントの重複を除外する。
例えば、アカウント=aaaは、タイムスタンプ=t1がタイムスロットK−1に含まれ、送信元IPアドレス=Aである場合には、図2の(b)に示すアカウントグループAG[A][K−1]に含まれる。なお、タイムスロットKは、タイムスロットK−1の直後に続く期間である。そして、図2の(b)は、一例を示すに過ぎず、タイムスロットの数、送信元IPアドレスの数は、図2の(b)に示すものに限られない。
計算部13は、抽出部12により抽出され、アカウントグループ記憶部11に保存されたアカウントグループを読み出し、各アカウントグループ間で重複するアカウント数(以下、アカウント重複数と呼ぶ)を計算する。例えば、計算部13は、抽出部12により抽出された2つのアカウントグループ{aaa,bbb,ccc}、{bbb,ccc}がある場合、アカウントbbb及びcccが2つのアカウントグループ間で重複するので、アカウント重複数=2と計算する。計算部13による計算例は、実施例1〜5をもとに後述する。
判定部14は、計算部13による計算結果をもとに、送信元IPアドレス単位で、アカウント重複数>α(第1閾値)(αは所定正数)となるアカウントグループの数>β(第2閾値)(βは所定正数)の場合、当該送信元IPアドレスは、アカウントハッキングによる攻撃者のクライアント3のIPアドレスであると判定する。判定部14による処理例は、実施例1〜5をもとに後述する。
(実施形態に係る検知処理)
図3は、実施形態に係る検知処理の一例を示すフローチャートである。実施形態に係る検知処理は、検知装置10により実行される。先ず、検知装置10は、タイムスロットの基準タイムスタンプBTを現在時刻で初期化する。そして、検知装置10は、タイムスロットID_Kを1で初期化する。そして、検知装置10は、アカウントグループを格納する配列AGを初期化する(以上、ステップS11)。
図3は、実施形態に係る検知処理の一例を示すフローチャートである。実施形態に係る検知処理は、検知装置10により実行される。先ず、検知装置10は、タイムスロットの基準タイムスタンプBTを現在時刻で初期化する。そして、検知装置10は、タイムスロットID_Kを1で初期化する。そして、検知装置10は、アカウントグループを格納する配列AGを初期化する(以上、ステップS11)。
次に、検知装置10は、図示しないコンソールから、システム管理者による終了命令がシステム1へ入力されたか否かを判定する(ステップS12)。検知装置10は、システム管理者による終了命令が入力されたと判定した場合(ステップS12:Yes)、検知処理を終了する。一方、検知装置10は、システム管理者による終了命令が入力されていないと判定した場合(ステップS12:No)、ステップS13へ処理を移す。
ステップS13では、検知装置10は、未処理の認証レコードRが到着したか否かを判定する。検知装置10は、未処理の認証レコードRが到着したと判定した場合(ステップS13:Yes)、ステップS14へ処理を移す。一方、検知装置10は、未処理の認証レコードRが到着していないと判定した場合(ステップS13:No)、ステップS12へ処理を移す。
ステップS14では、検知装置10は、ステップS13で到着と判定した未処理の認証レコードRのタイムスタンプからタイムスロットの基準タイムスタンプBTを減算した結果が所定期間Δより大であるか否かを判定する。すなわち、検知装置10は、ステップS14において、ステップS13で到着と判定した未処理の認証レコードRのタイムスタンプが、ステップS11又は後述のステップS15において現在時刻で初期化したタイムスロットの基準タイムスタンプBT+所定期間Δの時間内であるか否かを判定する。
検知装置10は、ステップS13で到着と判定した未処理の認証レコードRのタイムスタンプからタイムスロットの基準タイムスタンプBTを減算した結果が所定期間Δより大であると判定した場合(ステップS14:Yes)、ステップS15へ処理を移す。一方、検知装置10は、ステップS13で到着と判定した未処理の認証レコードRのタイムスタンプからタイムスロットの基準タイムスタンプBTを減算した結果が所定期間Δ以下と判定した場合(ステップS14:No)、ステップS19へ処理を移す。
ステップS15では、検知装置10は、タイムスロットID_Kを1インクリメントし、タイムスロットの基準タイムスタンプBTを現在時刻で初期化する。次に、検知装置10は、タイムスロットID_K≧Nであるか否かを判定する(ステップS16)。ここで、Nは、アカウント重複数を計算する対象のタイムスロット数を示す所定自然数である。検知装置10は、タイムスロットID_K≧Nであると判定した場合(ステップS16:Yes)、ステップS17へ処理を移す。一方、検知装置10は、タイムスロットID_K<Nと判定した場合(ステップS16:No)、ステップS12へ処理を移す。
ステップS17では、検知装置10は、アカウント重複数を計算する。アカウント重複数の計算の詳細は、実施例1〜5をもとに後述する。次に、検知装置10は、ステップS17のアカウント重複数の計算結果から、アカウントハッキングの攻撃者のクライアント3のIPアドレスを判定する(ステップS18、攻撃判定)。攻撃判定の詳細は、実施例1〜5をもとに後述する。検知装置10は、ステップS18が終了すると、ステップS19へ処理を移す。
他方、ステップS19では、検知装置10は、配列AGがステップS13で到着したとした未処理の認証レコードRのIPアドレスのキーを持っているかどうかを判定する。検知装置10は、配列AGがステップS13で到着したとした未処理の認証レコードRのIPアドレスのキーを持っていると判定した場合(ステップS19:Yes)、ステップS21へ処理を移す。一方、検知装置10は、配列AGがステップS13で到着したとした未処理の認証レコードRのIPアドレスのキーを持っていないと判定した場合(ステップS19:No)、ステップS20へ処理を移す。
ステップS20では、検知装置10は、配列AG[認証レコードRのIPアドレス]を空の配列で初期化する。なお、配列AG[送信元IPアドレス][K]は、送信元IPアドレス及びタイムスロットID_Kで定まるアカウントグループに属するアカウントを格納する配列である。
続いて、ステップS21では、検知装置10は、配列AG[認証レコードRのIPアドレス][K]に、ユニーク性を保つようにアカウントを追加する。すなわち、ステップS21では、検知装置10は、配列AG[認証レコードRのIPアドレス][K]に、既に格納されているアカウントは格納せず、未格納のアカウントのみを追加する。または、ステップS21では、検知装置10は、配列AG[認証レコードRのIPアドレス][K]に、重複を除外しつつアカウントを追加する。検知装置10は、ステップS21が終了すると、ステップS12へ処理を移す。
(実施形態による効果)
実施形態は、攻撃者が用意するダミーアカウントが有限であり、ダミーアカウントが繰り返し用いられていることに着目し、各送信元IPアドレスから一定期間中にログイン試行したアカウント重複数に基づき攻撃検知を行う。よって、実施形態によれば、攻撃者が、ターゲットアカウントにダミーアカウントを混在させたリストを用いてアカウントハッキングを行っても、攻撃を検知することができる。
実施形態は、攻撃者が用意するダミーアカウントが有限であり、ダミーアカウントが繰り返し用いられていることに着目し、各送信元IPアドレスから一定期間中にログイン試行したアカウント重複数に基づき攻撃検知を行う。よって、実施形態によれば、攻撃者が、ターゲットアカウントにダミーアカウントを混在させたリストを用いてアカウントハッキングを行っても、攻撃を検知することができる。
図4は、実施例1に係る検知処理の概要の一例を示す図である。実施例1では、タイムスロットID_Kに含まれるある送信元IPアドレスXに対して、AG[X][K]と、AG[X][Ki]のアカウント重複数H[X][X][K][Ki]を下記の式(1)により計算する。ここで、Kiは、あるタイムスロットID(K−N+1≦Ki≦K(N>0))である。ただし、|*|は、集合*の要素数を示す。実施例1では、計算部13は、下記の式(1)によるH[X][X][K][Ki]を用いてアカウント重複数を計算する。
また、実施例1では、判定部14は、所定正数αに対してH[X][X][K][Ki]>αの場合1、H[X][X][K][Ki]≦αの場合0となる関数TH(H[X][X][K][Ki])に関し、下記の式(2)で定義されるC[X]を計算する。そして、判定部14は、下記の式(3)により、所定正数βに対してC[X]>βとなる送信元IPアドレスXは、攻撃者のクライアント3のIPアドレスであると判定する。なお、判定部14は、所定正数βに対してC[X]≦βとなる送信元IPアドレスXは、攻撃者のクライアント3のIPアドレスではないと判定する。
例えば、図4に示すように、カウントグループAGが存在するとする。図4の例では、K=2、N=2である。計算部13は、アカウント重複数を次のように計算する。すなわち、AG[A][2]と、AG[A][2]との間では、“DDD”“DUMMY1”“DUMMY2”“DUMMY3”が重複アカウントであるので、H[A][A][2][2]=4となる。また、AG[A][2]と、AG[A][1]との間では、“DUMMY1”“DUMMY2”“DUMMY3”が重複アカウントであるので、H[A][A][2][1]=3となる。ゆえに、α=2とすると、C[A]=2となる。同様にして、C[B]=1、C[C]=2となる。
そして、β=2とすると、C[X]>2となる送信元IPアドレスXが存在しないため、判定部14は、上記の式(3)により、いずれの送信元IPアドレスも攻撃者のクライアント3のIPアドレスではないと判定する。
実施例2は、攻撃者が複数のIPアドレスを用いて攻撃を行うことに対応するため、同一の送信元IPアドレスに対してだけでなく、他の複数の送信元IPアドレスに対してアカウント重複数を計算する。図5は、実施例2に係る検知処理の概要の一例を示す図である。
実施例2では、タイムスロットID_Kに含まれるある送信元IPアドレスX、Y(X=Yの場合も含む)に対して、AG[X][K]と、AG[Y][Ki](K−N+1≦Ki≦K(N>0))のアカウント重複数H[X][Y][K][Ki]を下記の式(4)により計算する。実施例2では、計算部13は、下記の式(4)によるH[X][Y][K][Ki]を用いてアカウント重複数を計算する。
また、実施例2では、判定部14は、所定正数αに対してH[X][Y][K][Ki]>αの場合1、H[X][Y][K][Ki]≦αの場合0となる関数TH(H[X][Y][K][Ki])に関し、下記の式(5)で定義されるC[X]を計算する。そして、判定部14は、上記の式(3)により、所定正数βに対してC[X]>βとなる送信元IPアドレスXは、攻撃者のクライアント3のIPアドレスであると判定する。判定部14は、所定正数βに対してC[X]≦βとなる送信元IPアドレスXは、攻撃者のクライアント3のIPアドレスではないと判定する。
例えば、図5に示すように、カウントグループAGが存在するとする。図5の例では、K=2、N=2である。計算部13は、アカウント重複数を次のように計算する。すなわち、AG[A][2]と、AG[A][2]との間では、“DDD”“DUMMY1”“DUMMY2”“DUMMY3”が重複アカウントであるので、H[A][A][2][2]=4となる。また、AG[A][2]と、AG[A][1]との間では、“DUMMY1”“DUMMY2”“DUMMY3”が重複アカウントであるので、H[A][A][2][1]=3となる。同様に、AG[A][2]と、AG[B][2]との間では、“DUMMY1”が重複アカウントであるので、H[A][B][2][2]=1となる。また、AG[A][2]と、AG[B][1]との間では、“DUMMY1”“DUMMY2”“DUMMY3”が重複アカウントであるので、H[A][B][2][1]=3となる。同様に、AG[A][2]と、AG[C][2]との間では、“DUMMY1”“DUMMY2”“DUMMY3”が重複アカウントであるので、H[A][C][2][2]=3となる。また、AG[A][2]と、AG[C][1]との間では、“DUMMY2”“DUMMY3”が重複アカウントであるので、H[A][C][2][1]=2となる。ゆえに、α=2とすると、C[A]=4となる。同様にして、C[B]=1、C[C]=5となる。
そして、β=2とすると、C[A]>2、C[C]>2となるため、判定部14は、上記の式(3)により、送信元IPアドレスA及びCが攻撃者のクライアント3のIPアドレスであると判定する。
実施例3は、実施例2に加え、判定部14は、上記の式(5)においてTH(H[X][Y][K][Ki])=1(K−N+1≦Ki≦K(N>0))となるKiが存在する場合、送信元IPアドレスYも攻撃者のクライアント3のIPアドレスであると判定する。つまり、判定部14は、下記の式(6)により、C[X]>βとなる送信元IPアドレス、及び、C[X]≦βかつTH(H[X][Y][K][Ki])=1(K−N+1≦Ki≦K(N>0))となるKiが存在する場合の送信元IPアドレスYは、攻撃者のクライアント3のIPアドレスであると判定する。
実施例3は、α=2、β=2とすると、図5においてC[A]>2、C[C]>2となるため、上記の式(6)により、送信元IPアドレスA及びCが攻撃者のクライアント3のIPアドレスであると判定する。さらに、実施例3は、図5においてTH(H[A][B][2][1])=1となるため、送信元IPアドレスBも攻撃者のクライアント3のIPアドレスであると判定する。
以上の実施例2及び3によれば、ダミーアカウントを利用した複数の送信元IPアドレスによる不正ログインを検出し、攻撃者による不正ログインを減少させることが可能である。
実施例4は、判定部14が、アカウント重複数を計算する際、送信元IPアドレス間と、タイムスロット間との違いを考慮し、アカウントグループ毎に重み付けを行ってアカウント重複数を計算する。図6は、実施例4に係る検知処理の概要の一例を示す図である。
実施例4は、下記の式(7)に示すように、アカウントグループAG[Y][Ki](K―N+1≦Ki≦N(N>0))毎に加重係数W[Y][Ki](K―N+1≦Ki≦N)をTH(H[X][Y][K][Ki])(K―N+1≦Ki≦N(N>0))に乗算してC[X]を算出する。
例えば、図6に示すように、カウントグループAGが存在するとする。そして、AG[Y][Ki](K−N+1≦Ki≦K−1)と対応する加重係数W[Y][Ki]の初期値は、全て1.0であるとする。例えば、送信元IPアドレス間の重複をより重視する場合(以下、ルール1と呼ぶ)、X=Yの場合にW[Y][Ki]の値を相対的に小さく、X≠Yの場合にW[Y][Ki]の値を相対的に大きくする。これにより、送信元IPアドレスが異なる場合の重複がより強調される。また、例えば、タイムスロットの時刻の近接に応じて重複をより重視する場合(以下、ルール2と呼ぶ)、送信元IPアドレスXに対する送信元IPアドレスYの加重係数W[Y][Ki]について、W[Y][K−1]>W[Y][K−2]>・・・>W[Y][K−N+1]となるようにW[Y][Ki]の値を設定する。これにより、近接する時刻におけるアカウントの重複がより強調される。なお、重み付けの方法は、ルール1及び2に限らず、例えばルール1及びルール2を組合せたルールであってもよい。
図6に示す例では、ルール1に基づき、W[A][1]=W[A][2]=0.1、W[B][1]=W[B][2]=W[C][1]=W[C][2]=1.0と設定する。そして、AG[A][2]と、AG[A][2]との間では、“DDD”“DUMMY1”“DUMMY2”“DUMMY3”が重複アカウントであるので、H[A][A][2][2]=4となる。また、AG[A][2]と、AG[A][1]との間では、“DUMMY1”“DUMMY2”“DUMMY3”が重複アカウントであるので、H[A][A][2][1]=3となる。同様に、AG[A][2]と、AG[B][2]との間では、“DUMMY1”が重複アカウントであるので、H[A][B][2][2]=1となる。また、AG[A][2]と、AG[B][1]との間では、“DUMMY1”“DUMMY2”“DUMMY3”が重複アカウントであるので、H[A][B][2][1]=3となる。同様に、AG[A][2]と、AG[C][2]との間では、“DUMMY1”“DUMMY2”“DUMMY3”が重複アカウントであるので、H[A][C][2][2]=3となる。また、AG[A][2]と、AG[C][1]との間では、“DUMMY2”“DUMMY3”が重複アカウントであるので、H[A][C][2][1]=2となる。ゆえに、α=2とすると、C[A]=0.1×TH(H[A][A][2][2])+0.1×TH(H[A][A][2][1])+1.0×TH(H[A][B][2][2])+1.0×TH(H[A][A][2][1])+1.0×TH(H[A][C][2][2])+1.0×TH(H[A][C][2][1])=0.1×1+0.1×1+1.0×0+1.0×1+1.0×1+1.0×0=2.2となる。
そして、β=2とすると、C[A]>2となるため、判定部14は、上記の式(3)により、送信元IPアドレスAが攻撃者のクライアント3のIPアドレスであると判定する。
同様に、W[C][1]=W[C][2]=0.1、W[B][1]=W[B][2]=W[A][1]=W[A][2]=1.0と設定する。そして、AG[C][2]と、AG[C][2]との間では、“CCC”“DUMMY1”“DUMMY2”“DUMMY3”“DUMMY4”が重複アカウントであるので、H[C][C][2][2]=4となる。また、AG[C][2]と、AG[C][1]との間では、“DUMMY2”“DUMMY3”“DUMMY4”が重複アカウントであるので、H[C][C][2][1]=3となる。同様に、AG[C][2]と、AG[B][2]との間では、“DUMMY1”“DUMMY4”が重複アカウントであるので、H[C][B][2][2]=2となる。また、AG[C][2]と、AG[B][1]との間では、“DUMMY1”“DUMMY2”“DUMMY3”が重複アカウントであるので、H[C][B][2][1]=3となる。同様に、AG[C][2]と、AG[A][2]との間では、“DUMMY1”“DUMMY2”“DUMMY3”が重複アカウントであるので、H[C][A][2][2]=3となる。また、AG[C][2]と、AG[A][1]との間では、“DUMMY1”“DUMMY2”“DUMMY3”が重複アカウントであるので、H[C][A][2][1]=3となる。ゆえに、α=2とすると、C[C]=0.1×TH(H[C][C][2][2])+0.1×TH(H[C][C][2][1])+1.0×TH(H[C][B][2][2])+1.0×TH(H[C][B][2][1])+1.0×TH(H[C][A][2][2])+1.0×TH(H[C][A][2][1])=0.1×1+0.1×1+1.0×0+1.0×1+1.0×1+1.0×1=3.2となる。
そして、β=2とすると、C[C]>2となるため、判定部14は、上記の式(3)により、送信元IPアドレスCは攻撃者のクライアント3のIPアドレスであると判定する。
実施例5は、実施例3と実施例4の組合せである。すなわち、実施例5は、実施例4に加え、さらに、判定部14は、上記の式(7)においてTH(H[X][Y][K][Ki])=1(K−N+1≦Ki≦K(N>0))となるKiが存在する場合、送信元IPアドレスYも攻撃者のクライアント3のIPアドレスであると判定する。つまり、判定部14は、上記の式(6)により、C[X]>βとなる送信元IPアドレス、及び、C[X]≦βかつTH(H[X][Y][K][Ki])=1(K−N+1≦Ki≦K(N>0))となるKiが存在する場合の送信元IPアドレスYは、攻撃者のクライアント3のIPアドレスであると判定する。
実施例5は、α=2、β=2とすると、図6においてC[A]>2、C[C]>2となるため、上記の式(6)により、送信元IPアドレスA及びCが攻撃者のクライアント3のIPアドレスであると判定する。さらに、実施例5は、図6においてTH(H[C][B][2][1])=1となるため、送信元IPアドレスBも攻撃者のクライアント3のIPアドレスであると判定する。
以上の実施例4及び5によれば、ダミーアカウントを利用した複数の送信元IPアドレスによる不正ログインをより高精度に検出し、攻撃者による不正ログインを減少させることが可能である。
なお、以上の実施例1〜5では、計算部13は、各アカウントグループ間のアカウント重複数を算出する際に、各アカウントグループの自身同士のアカウント重複数も含めて算出するとした。しかし、これに限らず、計算部13は、各アカウントグループ間のアカウント重複数を算出する際に、各アカウントグループの自身同士のアカウント重複数を除外し、異なるアカウントグループ間のアカウント重複数のみを算出するとしてもよい。この場合、上記した所定正数であるα及びβも、適切な値となるよう調整される。
以上の実施例1〜5に示すように、本願が開示する実施形態は、認証失敗率及び認証成功率に依存せず、攻撃者が利用するダミーアカウントを検出することで攻撃判別を行う。このため、実施形態は、攻撃者が自ら用いる送信元IPアドレスからの認証失敗率及び認証成功率を恣意的に操作して大量に不正ログインを行うことに対して攻撃検知が可能になり、攻撃者による不正ログインを減少させることができる。
(検知装置の装置構成について)
図1に示す検知装置10の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、検知装置10の機能の分散及び統合の具体的形態は図示のものに限られず、全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散又は統合して構成することができる。
図1に示す検知装置10の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、検知装置10の機能の分散及び統合の具体的形態は図示のものに限られず、全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散又は統合して構成することができる。
また、検知装置10において行われる各処理は、全部又は任意の一部が、CPU(Central Processing Unit)等の処理装置及び処理装置により解析実行されるプログラムにて実現されてもよい。また、検知装置10において行われる各処理は、ワイヤードロジックによるハードウェアとして実現されてもよい。
また、実施形態及び実施例において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともできる。もしくは、実施形態及び実施例において説明した各処理のうち、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記及び図示の処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて適宜変更することができる。
(プログラムについて)
図7は、プログラムが実行されることにより、検知装置が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。コンピュータ1000において、これらの各部はバス1080によって接続される。
図7は、プログラムが実行されることにより、検知装置が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。コンピュータ1000において、これらの各部はバス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1041に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1041に挿入される。シリアルポートインタフェース1050は、例えばマウス1051、キーボード1052に接続される。ビデオアダプタ1060は、例えばディスプレイ1061に接続される。
ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、検知装置10の各処理を規定するプログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1093として、例えばハードディスクドライブ1031に記憶される。例えば、検知装置10における機能構成と同様の情報処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1031に記憶される。
また、上記の実施形態での処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1031に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1041等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093やプログラムデータ1094は、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
以上の実施形態ならびに実施形態の変形例は、本願が開示する技術に含まれると同様に、請求の範囲に記載された発明とその均等の範囲に含まれるものである。
1 システム
2 ネットワーク
3 クライアント
4 サーバ
10 検知装置
11 アカウントグループ記憶部
12 抽出部
13 計算部
14 判定部
1000 コンピュータ
1010 メモリ
1020 CPU
2 ネットワーク
3 クライアント
4 サーバ
10 検知装置
11 アカウントグループ記憶部
12 抽出部
13 計算部
14 判定部
1000 コンピュータ
1010 メモリ
1020 CPU
Claims (8)
- ユーザ認証を行う認証装置と、
前記認証装置から取得した認証情報からアカウント及びアカウントの送信元アドレスを抽出し、アカウントのタイムスタンプ及び送信元アドレスに応じて、所定時間間隔のタイムスロット毎かつ送信元アドレス毎にアカウントをグループ化し、同一グループ内で同一アカウントの重複を除外したアカウントグループを抽出する抽出部と、
前記抽出部により抽出された各アカウントグループ間で重複するアカウント数を計算する計算部と、
前記計算部により計算されたアカウント数が第1閾値を越える同一送信元アドレスのアカウントグループの数が第2閾値を越える場合に、該同一送信元アドレスが攻撃者のアドレスであると判定する判定部と
を備える検知装置と
を含むことを特徴とする検知システム。 - 認証装置から取得した認証情報からアカウント及びアカウントの送信元アドレスを抽出し、アカウントのタイムスタンプ及び送信元アドレスに応じて、所定時間間隔のタイムスロット毎かつ送信元アドレス毎にアカウントをグループ化し、同一グループ内で同一アカウントの重複を除外したアカウントグループを抽出する抽出部と、
前記抽出部により抽出された各アカウントグループ間で重複するアカウント数を計算する計算部と、
前記計算部により計算されたアカウント数が第1閾値を越える同一送信元アドレスのアカウントグループの数が第2閾値を越える場合に、該同一送信元アドレスが攻撃者のアドレスであると判定する判定部と
を備えることを特徴とする検知装置。 - 前記計算部は、第1の送信元アドレスのアカウントグループのうちの最新のタイムスロットに該当するアカウントグループと、該第1の送信元アドレスのアカウントグループのうちの最新のタイムスロット以前の所定数の各タイムスロットに該当する各アカウントグループとの間で重複する第1のアカウント数をそれぞれ計算し、
前記判定部は、前記第1のアカウント数が前記第1閾値を越えるアカウントグループの数が前記第2閾値を越える場合に、該第1の送信元アドレスが攻撃者のアドレスであると判定する
ことを特徴とする請求項2に記載の検知装置。 - さらに、
前記計算部は、前記第1の送信元アドレスのアカウントグループのうちの最新のタイムスロットに該当するアカウントグループと、前記第1の送信元アドレス以外の送信元アドレスのアカウントグループのうちの最新のタイムスロット以前の所定数の各タイムスロットに該当する各アカウントグループとの間で重複する第2のアカウント数をそれぞれ計算し、
前記判定部は、前記第2のアカウント数が前記第1閾値を越えるアカウントグループの数が前記第2閾値を越える場合に、該第1の送信元アドレスが攻撃者のアドレスであると判定する
ことを特徴とする請求項3に記載の検知装置。 - さらに、
前記判定部は、前記第2のアカウント数が前記第1閾値を越えるアカウントグループが存在する場合に、前記第2のアカウント数が前記第1閾値を越えるアカウントグループに該当する前記第1の送信元アドレス以外の送信元アドレスが攻撃者のアドレスであると判定する
ことを特徴とする請求項4に記載の検知装置。 - 前記判定部は、前記計算部により計算されたアカウント数にタイムスロット又は送信元アドレスに応じた各加重係数を乗算した値をもとに攻撃者のアドレスを判定する
ことを特徴とする請求項2に記載の検知装置。 - ユーザ認証を行う認証装置及び検知装置を含む検知システムにおける検知方法であって、
前記検知装置が、
前記認証装置から取得した認証情報からアカウント及びアカウントの送信元アドレスを抽出し、アカウントのタイムスタンプ及び送信元アドレスに応じて、所定時間間隔のタイムスロット毎かつ送信元アドレス毎にアカウントをグループ化し、同一グループ内で同一アカウントの重複を除外したアカウントグループを抽出し、
抽出した各アカウントグループ間で重複するアカウント数を計算し、
計算したアカウント数が第1閾値を越える同一送信元アドレスのアカウントグループの数が第2閾値を越える場合に、該同一送信元アドレスが攻撃者のアドレスであると判定する
処理を含んだことを特徴とする検知方法。 - 請求項2に記載の検知装置としてコンピュータを機能させる検知プログラム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015115034 | 2015-06-05 | ||
JP2015115034 | 2015-06-05 | ||
PCT/JP2016/066642 WO2016195090A1 (ja) | 2015-06-05 | 2016-06-03 | 検知システム、検知装置、検知方法及び検知プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2016195090A1 true JPWO2016195090A1 (ja) | 2017-11-09 |
JP6392985B2 JP6392985B2 (ja) | 2018-09-19 |
Family
ID=57441344
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017522291A Active JP6392985B2 (ja) | 2015-06-05 | 2016-06-03 | 検知システム、検知装置、検知方法及び検知プログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US10972500B2 (ja) |
JP (1) | JP6392985B2 (ja) |
WO (1) | WO2016195090A1 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6564137B2 (ja) * | 2016-06-01 | 2019-08-21 | 日本電信電話株式会社 | 検知装置、検知方法、検知システム、および検知プログラム |
US10671998B2 (en) * | 2016-09-27 | 2020-06-02 | Paypal, Inc. | Managing fraudulent logins at payment systems |
US10672004B2 (en) * | 2016-09-28 | 2020-06-02 | Paypal, Inc. | Managing fraudulent sign-ups at payment systems |
US10686833B2 (en) * | 2017-03-31 | 2020-06-16 | Samsung Electronics Co., Ltd. | System and method of detecting and countering denial-of-service (DoS) attacks on an NVMe-of-based computer storage array |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2003100619A1 (fr) * | 2002-05-28 | 2003-12-04 | Fujitsu Limited | Dispositif, programme et procede de detection d'acces non autorise |
US20050216955A1 (en) * | 2004-03-25 | 2005-09-29 | Microsoft Corporation | Security attack detection and defense |
JP2005341217A (ja) * | 2004-05-27 | 2005-12-08 | Fujitsu Ltd | 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置 |
US20070220605A1 (en) * | 2006-03-15 | 2007-09-20 | Daniel Chien | Identifying unauthorized access to a network resource |
US20110185419A1 (en) * | 2010-01-26 | 2011-07-28 | Bae Systems Information And Electronic Systems Integration Inc. | Method and apparatus for detecting ssh login attacks |
JP2011150612A (ja) * | 2010-01-25 | 2011-08-04 | Fujitsu Ltd | アカウント不正使用判別プログラム、装置、及び方法 |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8234503B2 (en) * | 2004-05-19 | 2012-07-31 | Ca, Inc. | Method and systems for computer security |
US7508757B2 (en) * | 2004-10-15 | 2009-03-24 | Alcatel Lucent | Network with MAC table overflow protection |
GB2422505A (en) * | 2005-01-20 | 2006-07-26 | Agilent Technologies Inc | Sampling datagrams |
US20060256729A1 (en) * | 2005-05-10 | 2006-11-16 | David Chen | Method and apparatus for identifying and disabling worms in communication networks |
US7624447B1 (en) * | 2005-09-08 | 2009-11-24 | Cisco Technology, Inc. | Using threshold lists for worm detection |
US7706263B2 (en) * | 2005-12-15 | 2010-04-27 | Yahoo! Inc. | Tracking and blocking of spam directed to clipping services |
US7832009B2 (en) * | 2005-12-28 | 2010-11-09 | Foundry Networks, Llc | Techniques for preventing attacks on computer systems and networks |
US20090064329A1 (en) * | 2007-06-25 | 2009-03-05 | Google Inc. | Zero-hour quarantine of suspect electronic messages |
US8434140B2 (en) * | 2007-11-06 | 2013-04-30 | Barracuda Networks, Inc. | Port hopping and seek you peer to peer traffic control method and system |
US20090198707A1 (en) * | 2008-02-06 | 2009-08-06 | Electronic Data Systems Corporation | System and method for managing firewall log records |
US9866426B2 (en) * | 2009-11-17 | 2018-01-09 | Hawk Network Defense, Inc. | Methods and apparatus for analyzing system events |
US8516585B2 (en) * | 2010-10-01 | 2013-08-20 | Alcatel Lucent | System and method for detection of domain-flux botnets and the like |
US8984627B2 (en) * | 2010-12-30 | 2015-03-17 | Verizon Patent And Licensing Inc. | Network security management |
US11328323B2 (en) * | 2013-10-15 | 2022-05-10 | Yahoo Ad Tech Llc | Systems and methods for matching online users across devices |
US8832832B1 (en) * | 2014-01-03 | 2014-09-09 | Palantir Technologies Inc. | IP reputation |
US9591008B2 (en) * | 2015-03-06 | 2017-03-07 | Imperva, Inc. | Data access verification for enterprise resources |
US20170098067A1 (en) * | 2015-10-01 | 2017-04-06 | Facebook, Inc. | Systems and methods for user authentication |
US10594728B2 (en) * | 2016-06-29 | 2020-03-17 | AVAST Software s.r.o. | Detection of domain name system hijacking |
-
2016
- 2016-06-03 US US15/578,908 patent/US10972500B2/en active Active
- 2016-06-03 WO PCT/JP2016/066642 patent/WO2016195090A1/ja active Application Filing
- 2016-06-03 JP JP2017522291A patent/JP6392985B2/ja active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2003100619A1 (fr) * | 2002-05-28 | 2003-12-04 | Fujitsu Limited | Dispositif, programme et procede de detection d'acces non autorise |
US20050216955A1 (en) * | 2004-03-25 | 2005-09-29 | Microsoft Corporation | Security attack detection and defense |
JP2005341217A (ja) * | 2004-05-27 | 2005-12-08 | Fujitsu Ltd | 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置 |
US20070220605A1 (en) * | 2006-03-15 | 2007-09-20 | Daniel Chien | Identifying unauthorized access to a network resource |
JP2011150612A (ja) * | 2010-01-25 | 2011-08-04 | Fujitsu Ltd | アカウント不正使用判別プログラム、装置、及び方法 |
US20110185419A1 (en) * | 2010-01-26 | 2011-07-28 | Bae Systems Information And Electronic Systems Integration Inc. | Method and apparatus for detecting ssh login attacks |
Also Published As
Publication number | Publication date |
---|---|
WO2016195090A1 (ja) | 2016-12-08 |
US10972500B2 (en) | 2021-04-06 |
US20180176250A1 (en) | 2018-06-21 |
JP6392985B2 (ja) | 2018-09-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3317804B1 (en) | Automatically preventing and remediating network abuse | |
CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
US8806219B2 (en) | Time-based function back-off | |
US9990507B2 (en) | Adapting decoy data present in a network | |
CN105577608B (zh) | 网络攻击行为检测方法和装置 | |
EP2850770B1 (en) | Transport layer security traffic control using service name identification | |
JP5613855B1 (ja) | ユーザ認証システム | |
US10630676B2 (en) | Protecting against malicious discovery of account existence | |
WO2016006520A1 (ja) | 検知装置、検知方法及び検知プログラム | |
US10171463B1 (en) | Secure transport layer authentication of network traffic | |
JP6392985B2 (ja) | 検知システム、検知装置、検知方法及び検知プログラム | |
WO2015043491A1 (zh) | 一种用于对互联网账号的登录进行安全验证的方法及系统 | |
JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
US20150213449A1 (en) | Risk-based control of application interface transactions | |
US10931691B1 (en) | Methods for detecting and mitigating brute force credential stuffing attacks and devices thereof | |
CN109379193B (zh) | 一种动态防重放攻击认证方法及装置 | |
CN110912689A (zh) | 一种唯一值的生成、验证方法及系统 | |
TWI602411B (zh) | 隱私增強電子郵件服務 | |
US20240039891A1 (en) | Packet watermark with static salt and token validation | |
US9258306B2 (en) | Methods for confirming user interaction in response to a request for a computer provided service and devices thereof | |
JP2018073140A (ja) | ネットワーク監視装置、プログラム及び方法 | |
CN110012011B (zh) | 防止恶意登录的方法、装置、计算机设备及存储介质 | |
CN104065619B (zh) | 登录方法及装置 | |
US20160344750A1 (en) | Apparatus and Method for Characterizing the Risk of a User Contracting Malicious Software | |
CN111147235B (zh) | 对象访问方法、装置、电子设备及机器可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170727 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180821 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180823 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6392985 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |