トップ :: G 物理学 :: G06 計算;計数




【発明の名称】 不正アクセス警告装置、サーバ装置及び不正アクセス警告プログラム
【発明者】 【氏名】佐久間 英夫
【住所又は居所】東京都千代田区大手町二丁目3番1号 日本電信電話株式会社内

【氏名】種茂 文之
【住所又は居所】東京都千代田区大手町二丁目3番1号 日本電信電話株式会社内
【要約】 【課題】不正アクセスに使用されるプロトコルが如何なるものであってもその発信者に対し警告を与えられるようにし、これにより不正アクセスに対し十分な抑止効果を期待できるようにする。

【解決手段】通信ネットワークNWとサーバ装置SVとの間に設置した不正アクセス警告装置ASにおいて、端末からサーバ装置SVに対する不正アクセス要求が到来した場合に、この不正アクセスに関する履歴情報を作成して発信者情報DB16に記憶する。そして、その後同じ端末から返答を期待するアクセス要求が到来した場合に、このアクセス要求の発信者が過去に不正アクセスを行った経歴があるか否かを上記発信者情報DB16に記憶されている履歴情報をもとに判定し、不正アクセスを行った経歴のある発信者だった場合には、当該発信者の端末に対し返答情報に替えて警告情報を送信するようにしたものである。
【特許請求の範囲】
【請求項1】 端末とサーバ装置との間に設けられる不正アクセス警告装置において、前記端末から前記サーバ装置に対する不正アクセス要求が到来した場合に、当該不正アクセスに関する履歴情報を作成して記憶する履歴記憶手段と、前記アクセス要求の発信者が過去に不正アクセスを行った経歴のある発信者であるか否かを、前記履歴記憶手段に記憶されている履歴情報をもとに判定する判定手段と、前記アクセス要求の発信者が過去に不正アクセスを行った経歴のある発信者であると前記判定手段が判定した場合に、警告情報を該当する発信者に通知する警告通知手段とを具備したことを特徴とする不正アクセス警告装置。
【請求項2】 端末とサーバ装置との間に設けられる不正アクセス警告装置において、前記端末から前記サーバ装置に対するアクセス要求が到来した場合に、当該アクセス要求が不正アクセスであるか否かを判定する不正アクセス検出手段と、前記到来したアクセス要求が不正アクセスであると前記不正アクセス検出手段が判定した場合に、当該不正アクセスに関する履歴情報を作成して記憶する履歴記憶手段と、前記アクセス要求の発信者が過去に不正アクセスを行った経歴のある発信者であるか否かを、前記履歴記憶手段に記憶されている履歴情報をもとに判定する判定手段と、前記アクセス要求の発信者が過去に不正アクセスを行った経歴のある発信者であると前記判定手段が判定した場合に、警告情報を該当する発信者に通知する警告通知手段とを具備したことを特徴とする不正アクセス警告装置。
【請求項3】 前記判定手段は、過去に不正アクセスを行った経歴のある発信者であるか否かの判定を、前記端末から返答を期待するアクセス要求が到来した場合に行うことを特徴とする請求項1又は2記載の不正アクセス警告装置。
【請求項4】 前記警告通知手段は、アクセス要求の発信者が過去に不正アクセスを行った経歴のある発信者であると前記判定手段が判定した場合に、当該アクセス要求に対する返答情報に替えて警告情報を該当する発信者の端末へ送信することを特徴とする請求項1又は2記載の不正アクセス警告装置。
【請求項5】 前記警告通知手段は、アクセス要求の発信者が過去に不正アクセスを行った経歴のある発信者であると前記判定手段が判定した場合に、当該アクセス要求に対しサーバ装置から送信される返答情報に警告情報を付加或いは含めて該当する発信者の端末へ送信することを特徴とする請求項1又は2記載の不正アクセス警告装置。
【請求項6】 前記警告通知手段は、前記アクセス要求の発信者が過去に不正アクセスを行った経歴のある発信者であると前記判定手段が判定した場合に、当該発信者が過去に行った不正アクセスの悪質度を前記履歴記憶手段に記憶されている履歴情報をもとに判定する手段と、前記悪質度の判定結果に基づいて、予め用意された複数の警告通知処理を選択的に実行する手段とを備えることを特徴とする請求項1又は2記載の不正アクセス警告装置。
【請求項7】 前記警告通知手段は、履歴記憶手段に記憶された履歴情報をもとに、不正アクセスの内容を表す情報と、この不正アクセスの内容に対応する警告メッセージとを含む警告情報を作成し、この作成した警告情報を該当する発信者の端末へ送信することを特徴とする請求項1又は2記載の不正アクセス警告装置。
【請求項8】 通信回線を介して端末が接続されるサーバ装置において、前記端末から自サーバ装置に対する不正アクセス要求が到来した場合に、当該不正アクセスに関する履歴情報を作成して記憶する履歴記憶手段と、前記アクセス要求の発信者が過去に不正アクセスを行った経歴のある発信者であるか否かを、前記履歴記憶手段に記憶されている履歴情報をもとに判定する判定手段と、前記アクセス要求の発信者が過去に不正アクセスを行った経歴のある発信者であると前記判定手段が判定した場合に、警告情報を該当する発信者に通知する警告通知手段とを具備したことを特徴とするサーバ装置。
【請求項9】 通信回線を介して端末が接続されるサーバ装置において、前記端末から自サーバ装置に対するアクセス要求が到来した場合に、当該アクセス要求が不正アクセスであるか否かを判定する不正アクセス検出手段と、前記到来したアクセス要求が不正アクセスであると前記不正アクセス検出手段が判定した場合に、当該不正アクセスに関する履歴情報を作成して記憶する履歴記憶手段と、前記アクセス要求の発信者が過去に不正アクセスを行った経歴のある発信者であるか否かを、前記履歴記憶手段に記憶されている履歴情報をもとに判定する判定手段と、前記アクセス要求の発信者が過去に不正アクセスを行った経歴のある発信者であると前記判定手段が判定した場合に、警告情報を該当する発信者に通知する警告通知手段とを具備したことを特徴とするサーバ装置。
【請求項10】 端末とサーバ装置との間又はサーバ装置内に設けられるコンピュータで使用される不正アクセス警告プログラムであって、前記端末から前記サーバ装置に対する不正アクセス要求が到来した場合に、当該不正アクセスに関する履歴情報を作成してメモリに記憶する処理と、前記アクセス要求の発信者が過去に不正アクセスを行った経歴のある発信者であるか否かを、前記メモリに記憶されている履歴情報をもとに判定する処理と、前記アクセス要求の発信者が過去に不正アクセスを行った経歴のある発信者であると判定された場合に、警告情報を該当する発信者に通知する処理とを、前記コンピュータに実行させる不正アクセス警告プログラム。
【請求項11】 端末とサーバ装置との間又はサーバ装置内に設けられるコンピュータで使用される不正アクセス警告プログラムであって、前記端末から前記サーバ装置に対するアクセス要求が到来した場合に、当該アクセス要求が不正アクセスであるか否かを判定する処理と、前記到来したアクセス要求が不正アクセスであると判定された場合に、当該不正アクセスに関する履歴情報を作成してメモリに記憶する処理と、前記アクセス要求の発信者が過去に不正アクセスを行った経歴のある発信者であるか否かを、前記メモリに記憶されている履歴情報をもとに判定する処理と、前記アクセス要求の発信者が過去に不正アクセスを行った経歴のある発信者であると判定された場合に、警告情報を該当する発信者に通知する処理とを、前記コンピュータに実行させる不正アクセス警告プログラム。
【発明の詳細な説明】【0001】
【発明の属する技術分野】この発明は、サーバ装置と端末とを含むネットワークシステムで使用される不正アクセス警告装置、不正アクセス警告機能を備えたサーバ装置、さらにはこれらの装置で使用される不正アクセス警告プログラムに関する。
【0002】
【従来の技術】加入者網やインターネット等のネットワークを介して端末からサーバ装置に対し行われる不正アクセスは、ネットワークの伝送速度及び端末の処理速度の高速化や、自動ハッキングツールの流出等に伴い増加の一途をたどっている。特に自動ハッキングツールを使用した不正アクセスに関しては、ネットワーク技術やサーバに関する知識の浅いものでも比較的簡単に行うことができるため、今後さらに増加することが予想される。
【0003】一方、このようなサーバ装置に対する不正アクセスに対抗するために、例えばインターネットの技術分野では、WWW(World Wide Web)サーバに対する不正アクセスを防止する不正アクセス警告装置が使用されている。この不正アクセス警告装置は、例えばWWWサーバのサンプルファイルに対するアクセス要求や、バッファのオーバフローを狙ったURL(Uniform Resource Locator)に対する不正なアクセス要求を監視する。そして、不正アクセスが検出された場合に、上記アクセス要求の応答として警告メッセージを発信元の端末へ送り返す機能を有する。このような警告装置を設けると、例えばブラウザを使用してWWWサーバに対し不正アクセスを行った発信者の端末に警告メッセージを表示することが可能となり、以後の不正アクセスを抑止させることができる。
【0004】
【発明が解決しようとする課題】ところが、この種の従来の不正アクセス警告装置は次のような解決すべき課題を有していた。すなわち、発信者からの不正アクセスが例えばHTTP(HyperText Transfer Protocol)のように返答を要求するプロトコルを使用して行われた場合には、返答パケットを利用して警告メッセージを発信者へ通知することが可能である。
【0005】しかし、返答を要求しないプロトコルを使用した不正アクセスに対しては、不正アクセスを検出することはできても、警告メッセージを発信者に通知することができない。一般に、故意の不正アクセスは応答を求めない一方向のアクセスであることが多いため、上記した従来の不正アクセス警告装置では十分な抑止効果が期待できない。
【0006】また、ブラウザを使用せずに不正アクセスが行われた場合には、警告メッセージを送信してもこの警告メッセージは発信者の端末に表示されない。したがって、この場合にも警告による抑止効果が期待できない。
【0007】この発明は上記事情に着目してなされたもので、その目的とするところは、不正アクセスに使用されるプロトコルが如何なるものであってもその発信者に対し警告を与えられるようにし、これにより不正アクセスに対し十分な抑止効果を期待できる不正アクセス警告装置、サーバ装置及び警告制御プログラムを提供することにある。
【0008】
【課題を解決するための手段】上記目的を達成するためにこの発明に係わる不正アクセス警告装置は、端末からサーバ装置に対する不正アクセス要求が到来した場合に当該不正アクセスに関する履歴情報を作成して記憶する。そして、以後端末からアクセス要求が到来した場合に、このアクセス要求の発信者が過去に不正アクセスを行った経歴のある発信者であるか否かを、上記履歴記憶手段に記憶されている履歴情報をもとに判定し、上記アクセス要求の発信者が過去に不正アクセスを行った経歴のある発信者だった場合には、当該発信者に対し警告情報を通知するように構成したものである。
【0009】したがってこの発明によれば、発信者が不正アクセスを行うとその履歴情報が記憶され、その後同じ発信者が正当なアクセス要求が行った場合に、当該発信者に対し警告情報が通知される。このため、例えば返答を求めないプロトコルやブラウザ等を使用しないアクセス手段を用いて不正アクセスが行われたとしても、同じ発信者がその後正当なアクセスを行った時点で、当該発信者に対し警告情報を通知することが可能となる。
【0010】したがって、不正アクセスに使用されるプロトコルが如何なるものであってもその発信者に対し警告を与えることができるようになり、これにより不正アクセスに対し十分な抑止効果が期待できるようになる。
【0011】また、端末からサーバ装置に対するアクセス要求が到来した場合に、当該アクセス要求が不正アクセスであるか否かを判定する不正アクセス検出手段をさらに備える。そして、この不正アクセス検出手段により上記到来したアクセス要求が不正アクセスであると判定された場合に、当該不正アクセスに関する履歴情報を作成して記憶するように構成するとよい。このように構成すると、不正アクセスの発生を他の装置に頼ることなく不正アクセス警告装置自身で検出することが可能となる。
【0012】さらに、過去に不正アクセスを行った経歴のある発信者であるか否かの判定は、端末から返答を求めるアクセス要求が到来した場合にのみ行うようにするとよい。このように構成すると、警告情報を通知することが可能なアクセス要求が到来した場合にのみ上記判定処理が行われることになり、これによりすべてのアクセス要求について無条件に上記判定処理を行う場合に比べ、判定処理に係わる装置の負担を軽減できる。
【0013】また、警告通知手段として以下の構成が考えられる。第1の構成は、返答を求めるアクセス要求の発信者が過去に不正アクセスを行った経歴のある発信者であると判定された場合に、当該アクセス要求に対する返答情報に替えて警告情報を該当する発信者の端末へ送信するものである。この構成によれば、返答情報に替えて警告情報が通知されるので、例えば故意に不正アクセスを行った発信者に対して強い警告を与えることができる。また、アドレスの偽造や誤りに対しても警告を与えることとができる。
【0014】第2の構成は、返答を求めるアクセス要求の発信者が過去に不正アクセスを行った経歴のある発信者であると判定された場合に、当該アクセス要求に対しサーバ装置から送信される返答情報に警告情報を付加或いは含めて該当する発信者の端末へ送信するものである。この構成によれば、サーバ装置からの返答情報に付加又は含めたかたちで警告情報が発信者に通知されるので、発信者の不慣れや誤操作が原因となって結果的に不正アクセスが行われた場合に、当該発信者に対し返答情報を利用して注意を喚起することができる。
【0015】第3の構成は、アクセス要求の発信者が過去に不正アクセスを行った経歴のある発信者であると判定された場合に、当該発信者が過去に行った不正アクセスの悪質度を履歴記憶手段に記憶されている履歴情報をもとに判定し、この悪質度の判定結果に基づいて、予め用意された複数の警告通知処理を選択的に実行するものである。
【0016】このような構成であると、不正アクセスの悪質度に応じて適切な警告処理が自動的に選択されて実行される。例えば、故意と認められる不正アクセスについてはその発信者に対し強い警告を与えるための処理が選択されて実行され、一方不慣れや誤操作が原因と認められる不正アクセスについてはその発信者に対し操作上の注意を促す等の緩い警告を与えるための処理が選択されて実行される。
【0017】
【発明の実施の形態】(第1の実施形態)この発明の第1の実施形態は、多数の端末が接続される通信ネットワークとサーバ装置との間に不正アクセス警告装置を設置し、この不正アクセス警告装置において、上記端末からサーバ装置に対する不正アクセス要求が到来した場合に、その履歴情報を作成して発信者情報データベースに記憶する。そして、その後上記端末から返答を期待するアクセス要求が到来した場合に、このアクセス要求の発信者が過去に不正アクセスを行った経歴のある発信者であるか否かを上記発信者情報データベースに記憶されている履歴情報をもとに判定し、不正アクセスを行った経歴のある発信者だった場合には、当該発信者の端末に対し返答情報に替えて警告情報を送信するようにしたものである。
【0018】図1は、この発明の第1の実施形態に係わる不正アクセス警告装置を備えたネットワークシステムの概略構成図である。同図において、NWは通信ネットワークであり、例えばPSTN(Public Switched Telephone Network)やISDN(Integrated Service Digital Network)等の有線加入者ネットワークと、移動通信ネットワークと、専用線ネットワークと、CATV(Cable Television)ネットワークと、インターネットに代表されるコンピュータネットワークとを含んでいる。
【0019】この通信ネットワークNWには、多数の端末TM1〜TMnが接続されると共に、サーバ装置SVが接続される。各端末TM1〜TMnは、例えば電話機やパーソナル・コンピュータ、移動通信端末、テレビジョン端末からなり、上記サーバ装置SVに対するアクセス機能を有する。サーバ装置SVは、例えばWWWサーバからなり、上記端末TM1l〜TMnからのアクセス要求に応じてウエブデータのダウンロード等を行う機能を有する。
【0020】ところで、上記通信ネットワークNWとサーバ装置SVとの間には不正アクセス警告装置ASが設置してある。不正アクセス警告装置ASは、サーバ装置SVに対する不正アクセスを監視して、不正アクセスを行った発信者に対し警告を通知する機能を有するもので、例えば次のように構成される。図2はその構成を示すブロック図である。
【0021】すなわち、不正アクセス警告装置ASは、入出力部11,13と、転送部12と、不正アクセス検出部14と、警告情報作成部15と、複数のデータベース(以後データベースをDBと略称する)とを備えている。
【0022】入出力部11は、通信ネットワークNWとの間で通信パケットの送受信処理を行う。入出力部13は、サーバ装置SVとの間で通信パケットの送受信処理を行う。
【0023】複数のデータベースは、発信者情報DB16と、不正アクセス情報DB17と、サーバ情報DB18とから構成される。発信者情報DB16には、端末TM1〜TMnからサーバ装置SVに対し行われた不正アクセスに関する履歴情報が格納される。不正アクセス情報DB17には、既知の複数種の不正アクセスパターンが記憶されている。サーバ情報DB18には、保護しようとするサーバ装置SVが提供しているサービス種別等、サーバ装置SVに現在設定されている運用状態を表す情報が記憶されている。
【0024】不正アクセス検出部14は、端末TM1〜TMnから到来したアクセス要求が不正アクセスであるか否かを、上記不正アクセス情報DB17及びサーバ情報DB18に記憶された情報をもとに判定する。そして、その判定結果を転送部12に通知する。
【0025】警告情報作成部15は、転送部12から警告情報の作成指示を受け取った場合に、発信者情報DB16に記憶されている履歴情報をもとに、該当する発信者に通知すべき警告情報を作成する。警告情報には、不正アクセスの内容を表す情報とこの情報に対応する警告メッセージとが含められる。
【0026】転送部12は、端末TM1〜TMnから到来したアクセス要求が不正アクセスであると上記不正アクセス検出部14により判定された場合に、当該不正アクセスを破棄すると共に、この不正アクセスの内容と発信者のアドレス情報とを含む履歴情報を作成し、この履歴情報を上記発信者情報DB16に記憶させる。また、端末TM1〜TMnから到来したアクセス要求が正当なアクセスであると上記不正アクセス検出部14により判定され、かつ当該アクセス要求が返答を期待するものだった場合には、当該アクセス要求の発信者が過去に不正アクセスを行った経歴を持つ発信者であるか否かを上記発信者情報DB16の履歴情報をもとに判定する。そして、発信者が不正アクセスの前歴を持つ場合には、上記警告情報作成部15により作成された警告情報を、返答情報に替えて発信者の端末へ送信する処理を行う。
【0027】次に、以上のように構成された不正アクセス警告装置の動作を、図3乃至図5に示す動作シーケンスを用いて説明する。
【0028】いま例えば端末TM1からサーバ装置SVに対するアクセス要求が到来したとする。そうすると上記アクセス要求は入出力部11から転送部12を介して不正アクセス検出部14に転送される。
【0029】不正アクセス検出部14では、先ず不正アクセス情報DB17に記憶されている既知の不正アクセスパターンをもとに、上記転送されたアクセス要求が不正アクセスに該当するものか否かが判定される。そして、この判定により不正アクセスではないと判定されると、続いてサーバ情報DB18に記憶されているサーバ装置SVの運用状態を表す情報をもとに、上記転送されたアクセス要求がサーバ装置SVで提供されているサービスに対応するものか否かが判定される。そして、サーバ装置SVが提供しているサービスに対応するものであれば、当該アクセス要求は正当なアクセス要求と判断され、その旨が転送部12に報告される。これに対し、上記転送されたアクセス要求が既知の不正アクセスパターンのいずれかに該当するか、或いはサーバ装置SVが提供しているサービスに対応しないアクセス要求であれば、当該アクセス要求は不正アクセスであると判断されて、その旨が転送部12に報告される。
【0030】転送部12は、上記不正アクセス検出部14から正当なアクセス要求である旨が報告され、かつこのアクセス要求が返答を期待しないアクセス要求であると、図3に示すように当該アクセス要求を入出力部13へ転送し、この入出力部13からサーバ装置SVへ送信させる。この結果サーバ装置SVでは、到来した上記アクセス要求に応じた処理が実行される。
【0031】これに対し、上記不正アクセス検出部14から不正アクセスである旨が報告されると、転送部12は図3に示すように当該不正アクセスのアクセス要求を破棄する。また、このとき上記不正アクセス検出部14は、上記不正アクセスである旨の報告後に、不正アクセスの内容を表す情報と発信者のアドレス情報とを含む履歴情報を作成する。そして、この不正アクセスの履歴情報を発信者情報DB16に記憶する。
【0032】なお、上記不正アクセスが、例えばHTTPやtelnet、FTP(File Transfer Protocol)、ICMP(Internet Control Message Protocol)等のように返答を期待するプロトコルによってなされたものである場合には、図4に示すように転送部12から警告情報作成部15に対し警告情報の作成指示が与えられる。そして、この指示に従い警告情報作成部15が作成した警告情報が、応答情報に替わって転送部12から入出力部11を介して発信元の端末TM1へ送信される。すなわち、不正アクセスが返答を要求するプロトコルによりなされたものであれば、従来と同様にその時点で即時発信者に対し警告が通知される。
【0033】一方、返答を期待しないプロトコルにより不正アクセスが行われた場合には、その後同じ発信者から返答を期待するアクセス要求が到来したときに、警告処理が実行される。以下にその動作を述べる。
【0034】すなわち、いま例えば端末TM1からサーバ装置SVに対し返答を期待するアクセス要求が到来したとする。そうすると不正アクセス警告装置ASでは、図5に示すように先ず不正アクセス検出部14により上記到来したアクセス要求が不正アクセスであるか否かが判定される。この判定の結果、上記アクセス要求が正当なアクセス要求だったとすると、転送部12において当該アクセス要求の発信者が過去に不正アクセスを行った経歴を持つ発信者であるか否かが判定される。この前歴の有無の判定は、発信者情報DB16に記憶されている不正アクセスの履歴情報を検索し、この履歴情報の中から上記到来したアクセス要求の発信者アドレスを含む履歴情報を探すことにより行われる。
【0035】上記前歴の判定の結果、不正アクセスの前歴が見つからなかった場合には、図5に示すように上記返答を期待するアクセス要求が転送部12からそのまま入出力部13を介してサーバ装置SVへ転送される。この結果サーバ装置SVでは、上記到来したアクセス要求に応じて例えばウエブ検索が行われ、その検索結果が応答情報として発信元の端末TM1に向け送信される。この応答情報は不正アクセス警告装置ASを介してそのまま発信元の端末TM1へ伝送される。
【0036】これに対し、上記前歴の判定の結果、発信者による不正アクセスの前歴が見つかったとする。この場合には、図5に示すように転送部12から警告情報作成部15に対し警告情報の作成指示が与えられる。そして、この指示に従い警告情報作成部15で作成された警告情報が、応答情報に替わって転送部12から入出力部11を介して発信元の端末TM1へ送信される。上記警告情報には、履歴情報から抽出された不正アクセスの内容を表す情報とこの情報に対応する警告メッセージとが含められる。
【0037】以上述べたように第1の実施形態では、通信ネットワークNWとサーバ装置SVとの間に設置した不正アクセス警告装置ASにおいて、端末からサーバ装置SVに対する不正アクセス要求が到来した場合に、この不正アクセスに関する履歴情報を作成して発信者情報DB16に記憶する。そして、その後同じ端末から返答を期待するアクセス要求が到来した場合に、このアクセス要求の発信者が過去に不正アクセスを行った経歴があるか否かを上記発信者情報DB16に記憶されている不正アクセスの履歴情報をもとに判定し、不正アクセスを行った経歴のある発信者だった場合には、当該発信者の端末に対し返答情報に替えて警告情報を送信するようにしている。
【0038】したがって、発信者が返答を期待しないプロトコルやブラウザ等を使用しないアクセス手段を用いて不正アクセスを行ったとしても、同じ発信者がその後に、HTTPやtelnet、FTP、ICMP等のような返答を期待する正当なアクセスを行った時点で、当該発信者に対し警告情報を通知することができる。このため、不正アクセスのみを単発的に行う発信者を除き、不正アクセスを行った多くの発信者に対し高い確率で警告を与えることができるようになり、これにより不正アクセスに対し十分な抑止効果を期待することができる。
【0039】また、過去に不正アクセスを行った経歴がある発信者からのアクセス要求についてはサーバ装置SVへ転送せずに破棄し、応答情報に替えて警告情報を通知するようにしているので、発信者に対し強い警告を与えることができる。
【0040】さらに、不正アクセス警告装置AS内に、アクセス要求が不正アクセスであるか否かを判定する不正アクセス検出部14を設けたことによって、不正アクセスの発生を他の装置に頼ることなく不正アクセス警告装置AS自身で検出することができる。
【0041】(第2の実施形態)この発明の第2の実施形態は、通信ネットワークとサーバ装置との間に設置された不正アクセス警告装置において、端末からサーバ装置に対する不正アクセス要求が到来した場合に、その履歴情報を作成して発信者情報データベースに記憶する。そして、その後同じ端末から返答を期待する正当なアクセス要求が到来した場合に、このアクセス要求をサーバ装置へ転送すると共に、上記アクセス要求の発信者が過去に不正アクセスを行った経歴のある発信者であるか否かを上記発信者情報データベースに記憶されている履歴情報をもとに判定する。この判定の結果、上記発信者が不正アクセスを行った経歴のあるものだった場合には、当該アクセス要求に対しサーバ装置から送信される返答情報に警告情報を添付或いは挿入して、該当する発信者の端末へ送信するようにしたものである。
【0042】図6は、この発明に係わる不正アクセス警告装置の第2の実施形態を示す動作シーケンス図である。なお、不正アクセス警告装置ASの構成については図2と同一なので説明を省略する。
【0043】端末から到来したアクセス要求が不正アクセスだった場合に、不正アクセス検出部14が不正アクセスの内容を表す情報と発信者のアドレス情報とを含む履歴情報を作成して発信者情報DB16に記憶する点については、前記第1の実施形態と同様である。
【0044】いま例えば端末TM1からサーバ装置SVに対し返答を期待するアクセス要求が到来したとする。そうすると不正アクセス警告装置ASでは、図6に示すように先ず不正アクセス検出部14により上記到来したアクセス要求が不正アクセスであるか否かが判定される。この判定の結果、上記アクセス要求が正当なアクセス要求だったとすると、上記アクセス要求が転送部12から入出力部13を介してサーバ装置SVへ転送される。この結果サーバ装置SVでは、上記アクセス要求に応じて例えばウエブ検索が行われ、その検索結果が応答情報として発信元の端末TM1に向け送信される。
【0045】またそれと共に転送部12では、上記正当なアクセス要求の発信者が過去に不正アクセスを行った経歴を持つ発信者であるか否かが判定される。この前歴の有無の判定は、発信者情報DB16に記憶されている不正アクセスの履歴情報を検索し、この履歴情報の中から上記到来したアクセス要求の発信者アドレスを含む履歴情報を探すことにより行われる。
【0046】上記前歴の判定の結果、発信者による不正アクセスの前歴が見つかったとする。この場合には、図6に示すように転送部12から警告情報作成部15に対し警告情報の作成指示が与えられる。そして、この指示に従い警告情報作成部15で作成された警告情報が、転送部12においてサーバ装置SVから到来する応答情報に挿入又は添付され、しかるのち入出力部11を介して発信元の端末TM1へ送信される。上記警告情報には、履歴情報から抽出された不正アクセスの内容を表す情報とこの情報に対応する警告メッセージが含められる。
【0047】このように第2の実施形態では、アクセス要求の発信者が過去に不正アクセスを行った経歴のある発信者だった場合に、当該アクセス要求に対しサーバ装置SVが返送する返答情報に、上記過去の不正アクセスに対する警告情報を付加或いは挿入して該当する発信者の端末TM1へ送信するようにしている。
【0048】したがって、サーバ装置SVから発信者への返答情報の送信を制限することなく、発信者に対し過去の不正アクセスに対する警告を通知することができる。このため、発信者の不慣れや誤操作が原因となって結果的に不正アクセスが行われた場合に、当該発信者に対し緩やかな注意を喚起することができる。
【0049】(第3の実施形態)前記第1の実施形態では、不正アクセス警告装置を主としてハードウエアにより構成した場合を例にとって説明した。これに対しこの発明の第3の実施形態は、不正アクセス警告装置にマイクロコンピュータ等のコンピュータを備え、このコンピュータにコンピュータプログラムを実行させることにより、第1の実施形態と同様の不正アクセスに対する警告処理を実現するようにしたものである。
【0050】図7は、この発明に係わる不正アクセス警告装置の第3の実施形態を示すブロック図である。この不正アクセス警告装置AMは、マイクロプロセッサからなる中央処理ユニット(CPU)21を備え、このCPU21にバス22を介して、プログラムメモリ23と、2つの通信インタフェース部(通信I/F)24,25と、発信者情報DB26と、不正アクセス情報DB27と、サーバ情報DB28とをそれぞれ接続したものとなっている。
【0051】このうち通信I/F24は、CPU21の制御の下、通信ネットワークNWとの間で通信パケットの送受信を行う。また通信I/F25は、CPU21の制御の下、サーバ装置SVとの間で通信パケットの送受信を行う。
【0052】発信者情報DB26には、端末TM1〜TMnからサーバ装置SVに対し行われた不正アクセスに関する履歴情報が格納される。不正アクセス情報DB27には、既知の複数種の不正アクセスパターンが記憶されている。サーバ情報DB28には、保護しようとするサーバ装置SVが提供しているサービス種別等、サーバ装置SVに現在設定されている運用状態を表す情報が記憶されている。
【0053】ところで、プログラムメモリ23には、転送制御プログラム23aと、不正アクセス検出プログラム23bと、履歴情報管理制御プログラム23cと、前歴判定プログラム23dと、警告通知制御プログラム23eとがそれぞれ格納されている。
【0054】転送制御プログラム23aは、上記通信I/F24,25を制御することにより、端末TM1〜TMnとサーバ装置SVとの間で伝送されるアクセス要求及び返答情報等の通信パケットの転送を制御する。また、端末TM1〜TMnから到来したアクセス要求を、その不正アクセス検出期間中及び前歴判定期間中に保持し、当該アクセス要求が不正アクセスと判定されるか或いは当該アクセス要求の発信者に不正アクセスの前歴が見つかった場合に、当該アクセス要求を破棄する機能も有する。
【0055】不正アクセス検出プログラム23bは、端末TM1〜TMnから到来したアクセス要求が不正アクセスであるか否かを、上記不正アクセス情報DB27に記憶された既知の複数種の不正アクセスパターンと、サーバ情報DB28に記憶されているサーバ装置SVの運用状態を表す情報とをもとに判定する。
【0056】履歴情報管理制御プログラム23cは、上記不正アクセス検出プログラム23bにより、端末TM1〜TMnから到来したアクセス要求が不正アクセスであると判定された場合に、この不正アクセスの内容と発信者のアドレス情報とを含む履歴情報を作成し、この不正アクセスの履歴情報を上記発信者情報DB26に記憶させる。
【0057】前歴判定プログラム23dは、上記不正アクセス検出プログラム23bにより、端末TM1〜TMnから到来したアクセス要求が正当なアクセスであると判定され、かつ当該アクセス要求がサーバ装置SVからの返答を期待するものだった場合に、当該アクセス要求の発信者が過去に不正アクセスを行った経歴を持つ発信者であるか否かを、上記発信者情報DB26に記憶されている不正アクセスの履歴情報をもとに判定する。
【0058】警告通知制御プログラム23eは、上記前歴判定プログラム23dにより発信者が不正アクセスの前歴を持つと判定された場合に、当該発信者に通知すべき警告情報を作成する。警告情報には、上記発信者情報DB26に記憶されている不正アクセスの履歴情報をもとに、不正アクセスの内容を表す情報とこの情報に対応する警告メッセージとを含める。そして、この作成された警告情報を、返答情報に替えて発信者の端末へ送信する。
【0059】次に、以上のように構成された不正アクセス警告装置AMによる警告処理動作を説明する。図8乃至図10はこの処理動作の手順と内容を示すフローチャートである。
【0060】CPU21は、図8に示すようにステップ8aにより通信I/F24を介してサーバ装置SVに対するアクセス要求の到来を監視している。この状態で、いま例えば端末TM2からサーバ装置SVに対するアクセス要求が到来したとする。
【0061】そうするとCPU21は、先ずステップ8bにより上記アクセス要求を不正アクセス情報DB27に記憶されている既知の不正アクセスパターンと照合し、この照合結果をもとに上記アクセス要求が不正アクセスに該当するものか否かをステップ8cにより判定する。そして、この判定の結果不正アクセスではなかった場合には、続いてステップ8dにより上記アクセス要求をサーバ情報DB28に記憶されているサーバ装置SVの運用状態を表す情報と照合し、この照合結果をもとに上記到来したアクセス要求がサーバ装置SVで提供されているサービスに対応するものか否かをステップ8eで判定する。
【0062】そして、サーバ装置SVが提供しているサービスに対応するものであれば、当該アクセス要求は正当なアクセス要求であると結論し、以後正当アクセス対応制御に移行する。これに対し、上記転送されたアクセス要求が既知の不正アクセスパターンのいずれかに該当するか、或いはサーバ装置SVが提供しているサービスに対応しないアクセス要求であれば、当該アクセス要求は不正アクセスであると結論し、以後不正アクセス対応制御に移行する。
【0063】さて、不正アクセス対応制御に移行するとCPU21は、図9に示すように先ずステップ9aにおいて上記アクセス要求が返答を期待するアクセス要求であるか否かを判定する。この判定の結果、返答を要求するアクセス要求であれば、この時点で警告情報を通知することが可能であると判断し、ステップ9bにより警告情報を作成する。警告情報には、不正アクセスの内容を表す情報とこの情報に対応する警告メッセージとが含められる。そして、ステップ9cにより、上記作成された警告情報を応答情報に替えて、上記不正アクセス要求の発信者の端末TM2へ送信する。
【0064】これに対し、上記ステップ9aにおいて、端末TM2から到来した不正アクセスのアクセス要求が返答を期待しないアクセス要求であると判定されると、CPU21はステップ9dに移行し、ここで不正アクセスに関する履歴情報を作成する。この履歴情報には、不正アクセスの内容を表す情報と発信者のアドレス情報とを挿入する。そして、ステップ9eによりこの作成した履歴情報を発信者情報DB26に記憶する。なお、上記到来したアクセス要求が返答を期待するアクセス要求であり、警告情報を送信した場合にも、CPU21はステップ9d,9eにより不正アクセスに関する履歴情報を作成して発信者情報DB26に記憶する。
【0065】一方、正当アクセス対応制御に移行するとCPU21は、次のように処理を実行する。すなわち、図10に示すように先ずステップ10aにより上記正当なアクセス要求が返答を期待するアクセス要求であるか否かを判定する。この判定の結果、到来した正当なアクセス要求が返答を期待しないアクセス要求だったとすると、上記到来した正当なアクセス要求を通信I/F25からそのままサーバ装置SVへ転送させる。
【0066】これに対し、上記正当なアクセス要求が返答を期待するアクセス要求だったとする。そうするとCPU21は、ステップ10bに移行してここで発信者情報DB26に記憶されている不正アクセスの履歴情報と照合し、その照合結果をもとにアクセス要求の発信者が過去に不正アクセスを行った経歴を持つ発信者であるか否かをステップ10cで判定する。そして、この前歴判定の結果、発信者に不正アクセスの前歴がなければ、ステップ10fに移行して上記返答を期待するアクセス要求をそのまま通信I/F25からサーバ装置SVへ転送させる。
【0067】この結果サーバ装置SVでは、上記到来したアクセス要求に応じて例えばウエブ検索が行われ、その検索結果が応答情報として発信元の端末TM2に向け送信される。この応答情報は不正アクセス警告装置AMを介してそのまま発信元の端末TM2へ伝送される。
【0068】これに対し、上記ステップ10cによる前歴判定の結果、発信者に不正アクセスの前歴が見つかったとする。この場合CPU21は、ステップ10dに移行してここで警告情報を作成する。警告情報には、発信者情報DB26に記憶されている該当発信者の不正アクセスの履歴情報をもとに、過去に行った不正アクセスの内容を表す情報とこの情報に対応する警告メッセージとが含められる。そして、ステップ10eにより、上記作成された警告情報を応答情報に替えて、上記アクセス要求の発信者の端末TM2へ送信する。
【0069】以上述べたように第3の実施形態では、前記第1の実施形態と同様に、不正アクセスが到来した場合にその履歴情報が作成されて発信者情報DB26に記憶され、その後同じ発信者から返答を期待する正当なアクセス要求が到来したときに、上記履歴情報をもとに警告情報が作成されて、この警告情報が応答情報に替えて発信者の端末に通知される。
【0070】したがって、発信者が返答を期待しないプロトコルやブラウザ等を使用しないアクセス手段を用いて不正アクセスを行ったとしても、同じ発信者がその後に、HTTPやtelnet、FTP、ICMP等のような返答を期待する正当なアクセスを行った時点で、当該発信者に対し警告情報を通知することができる。このため、不正アクセスのみを単発的に行う発信者を除き、不正アクセスを行った多くの発信者に対し高い確率で警告を与えることができるようになり、これにより不正アクセスに対し十分な抑止効果を期待することができる。
【0071】またこの実施形態では、不正アクセスの検出から不正アクセスの履歴情報の作成と記憶、この履歴情報に基づく警告情報の通知までの一連の処理を、プログラムをCPU21に実行させることにより実現している。したがって、判定基準の変更や制御手順及び内容の変更などが必要になった場合に、容易に対応できる利点がある。
【0072】(第4の実施形態)この発明の第4の実施形態は、上記第3の実施形態と同様に不正アクセスに対する一連の警告処理をソフトウエアにより実現する不正アクセス警告装置において、アクセス要求の発信者が過去に不正アクセスを行った経歴のある発信者だった場合に、当該アクセス要求に対しサーバ装置から送信される返答情報に、警告情報を添付或いは挿入して該当する発信者の端末へ送信するように処理するようにしたものである。
【0073】図11は、この発明に係わる不正アクセス警告装置の第4の実施形態を説明するためのフローチャートである。なお、不正アクセス警告装置AMの構成については図7と同一なので説明を省略する。
【0074】正当アクセス対応制御に移行するとCPU21は、先ずステップ11aにより、端末TM2から到来した正当なアクセス要求を、そのまま通信I/F25からサーバ装置SVへ転送させる。この結果サーバ装置SVでは、上記到来したアクセス要求に応じて例えばウエブ検索が行われ、その検索結果が応答情報として発信元の端末TM2に向け送信される。
【0075】次に、CPU21はステップ11bにより、上記正当なアクセス要求が返答を期待するアクセス要求であるか否かを判定する。この判定の結果、到来した正当なアクセス要求が返答を期待しないアクセス要求だったとすると、そのまま処理を終了する。
【0076】これに対し、上記正当なアクセス要求が返答を期待するアクセス要求だったとする。そうするとCPU21は、ステップ11cに移行してここで発信者情報DB26に記憶されている不正アクセスの履歴情報と照合し、その照合結果をもとにアクセス要求の発信者が過去に不正アクセスを行った経歴を持つ発信者であるか否かをステップ11dで判定する。そして、この判定の結果、発信者に不正アクセスの前歴がなければ、ステップ11hに移行してサーバ装置SVから到来する応答情報をそのまま通信I/F24から発信者の端末TM2へ転送する。
【0077】一方、上記ステップ11dによる前歴判定の結果、発信者に不正アクセスの前歴が見つかったとする。この場合CPU21は、ステップ11eに移行してここで警告情報を作成する。警告情報には、発信者情報DB26に記憶されている該当発信者の不正アクセスの履歴情報をもとに、過去に行った不正アクセスの内容を表す情報とこの情報に対応する警告メッセージとが含められる。そして、ステップ11fにおいて、サーバ装置SVから到来する応答情報に上記作成された警告情報を添付或いは挿入し、この警告情報が添付或いは挿入された応答情報をステップ11gにより発信者の端末TM2へ送信する。
【0078】なお、前歴の判定を終了するまでの間にサーバ装置SVからアクセス要求に対する応答情報が到来した場合には、この応答情報を一時保持しておく。そして、前歴の判定により発信者に不正アクセスの前歴があった場合には、警告情報を上記保持しておいた応答情報に添付或いは挿入して発信者の端末へ送信するように構成するとよい。
【0079】以上述べたように第4の実施形態では、前記第2の実施形態と同様に、アクセス要求の発信者が過去に不正アクセスを行った経歴のある発信者だった場合に、当該アクセス要求に対しサーバ装置SVが返送する返答情報に、上記過去の不正アクセスに対する警告情報を付加或いは挿入して該当する発信者の端末TM2へ送信するようにしている。
【0080】したがって第4の実施形態によれば、サーバ装置SVから発信者への返答情報の送信を制限することなく、発信者に対し過去の不正アクセスに対する警告を通知することができる。このため、発信者の不慣れや誤操作が原因となって結果的に不正アクセスが行われた場合に、当該発信者に対し緩やかな注意を促すことが可能となる。
【0081】(その他の実施形態)前記各実施形態では、不正アクセスの履歴情報をその作成順に発信者情報DB16又は26に記憶する場合を例にとって説明した。しかしそれに限らず、1個の履歴情報を記憶するごとに並べ替え処理を行って発信者ごとに整理した状態で記憶するようにしてもよい。
【0082】また、警告情報を作成する際には、該当する発信者の最新の不正アクセスの内容を表す情報だけでなく、上記発信者ごとに整理された履歴情報をもとに、該当する発信者に係わる過去のすべての不正アクセスの内容を表す情報を警告情報に含めて発信者に通知するようにしてもよい。さらに、その際に不正アクセスの件数や不正アクセスの悪質度に応じて、異なる警告メッセージを警告情報に含めて通知するようにするとよい。
【0083】また、アクセス要求の発信者が過去に不正を行った前歴があると判定された場合に、不正アクセスの履歴情報をもとに不正アクセスの悪質度(不正アクセスの回数や頻度を含む)を判定する。そして、この判定された悪質度に応じて、警告情報の通知処理の内容を異ならせるようにしてもよい。
【0084】例えば、悪質度が所定の基準以下の場合には、発信者から到来したアクセス要求をそのままサーバ装置SVに転送し、このアクセス要求に対するサーバ装置SVからの返答情報に、警告情報を添付或いは挿入して発信者に通知する。一方、悪質度が所定の基準を超えている場合には、発信者から到来したアクセス要求がたとえ正当であっても、この正当なアクセス要求をサーバ装置SVには送らずに破棄して、その応答情報に替えて警告情報を発信者に通知するようにする。
【0085】このように構成すると、例えば不正アクセスの内容が誤操作によるものと判断される発信者に対しては、サーバ装置SVからの返答情報を利用して、誤操作を指摘する比較的軽い注意を発信者に通知することができる。一方、不正アクセス回数又は頻度が多かったり故意の不正アクセスと判断される発信者に対しては、サーバ装置SVに対するアクセスを遮断しかつ警告メッセージの内容を強いものとすることで、発信者に対しより強い警告を与えることが可能となる。
【0086】さらに、発信者に対し一度警告情報を通知した後は、当該発信者に対する警告情報の通知を一旦停止し、当該発信者が再度不正アクセスを行った場合に警告情報の通知を再開するように構成するとよい。
【0087】前記第1乃至第3の実施形態では、通信ネットワークNWとサーバ装置SVとの間に不正アクセス警告装置ASを設置した場合を例にとって説明したが、この不正アクセス警告装置(ハードウエア)をサーバ装置SV内に収容してもよく、また不正アクセス警告装置の警告処理機能を実現するためのプログラム(ソフトウエア)をサーバ装置SVにインストールすることにより、この発明を実施するようにしてもよい。
【0088】また、第1乃至第3の実施形態では不正アクセス警告装置AS,AM内に不正アクセス検出部14或いは不正アクセス検出プログラム23bを設けた場合を例にとって説明した。しかし、不正アクセス検出部14或いは不正アクセス検出プログラム23bが例えばサーバ装置SVに既に設けられている場合には、このサーバ装置に設けられている既存の不正アクセス検出部14或いは不正アクセス検出プログラム23bの判定結果を利用するようにしてもよい。このように構成することで、不正アクセス警告装置AS,AMの構成の簡略化及びコストダウンが可能となる。
【0089】また、アクセス要求には、サーバ装置のウエブページを検索するためのアクセス要求の他に、サーバ装置のポートをスキャンするための要求等も含む。その他、サーバ装置の設置場所やその機能と構成、端末の種類やその機能と構成、不正アクセス警告装置の設置場所や構成及びその機能、不正アクセスに対する警告処理の手順とその内容等についても、この発明の要旨を逸脱しない範囲で種々変形して実施できる。
【0090】
【発明の効果】以上詳述したようにこの発明では、端末からサーバ装置に対する不正アクセス要求が到来した場合に当該不正アクセスに関する履歴情報を作成して記憶する。そして、その後端末からアクセス要求が到来した場合に、このアクセス要求の発信者が過去に不正アクセスを行った経歴のある発信者であるか否かを、上記履歴記憶手段に記憶されている履歴情報をもとに判定し、上記アクセス要求の発信者が過去に不正アクセスを行った経歴のある発信者だった場合には、当該発信者に対し警告情報を通知するように構成している。
【0091】したがってこの発明によれば、不正アクセスに使用されるプロトコルが如何なるものであっても、その発信者に対し警告を与えることができ、これにより不正アクセスに対し十分な抑止効果が期待できる不正アクセス警告装置、サーバ装置及び警告制御プログラムを提供することができる。
【出願人】 【識別番号】000004226
【氏名又は名称】日本電信電話株式会社
【住所又は居所】東京都千代田区大手町二丁目3番1号
【出願日】 平成14年5月15日(2002.5.15)
【代理人】 【識別番号】100058479
【弁理士】
【氏名又は名称】鈴江 武彦 (外2名)
【公開番号】 特開2003−330887(P2003−330887A)
【公開日】 平成15年11月21日(2003.11.21)
【出願番号】 特願2002−140032(P2002−140032)