Movatterモバイル変換

[0]ホーム
URL:

JP2013152497A - Black list extraction device, extraction method and extraction program - Google Patents

Black list extraction device, extraction method and extraction programDownload PDF

Info

Publication number
JP2013152497A
JP2013152497AJP2012011601AJP2012011601AJP2013152497AJP 2013152497 AJP2013152497 AJP 2013152497AJP 2012011601 AJP2012011601 AJP 2012011601AJP 2012011601 AJP2012011601 AJP 2012011601AJP 2013152497 AJP2013152497 AJP 2013152497A
Authority
JP
Japan
Prior art keywords
access
black list
blacklist
extraction
web servers
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012011601A
Other languages
Japanese (ja)
Other versions
JP5656266B2 (en
Inventor
Kengo Maeda
健吾 前田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Solution Innovators Ltd
Original Assignee
NEC System Technologies Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC System Technologies LtdfiledCriticalNEC System Technologies Ltd
Priority to JP2012011601ApriorityCriticalpatent/JP5656266B2/en
Publication of JP2013152497ApublicationCriticalpatent/JP2013152497A/en
Application grantedgrantedCritical
Publication of JP5656266B2publicationCriticalpatent/JP5656266B2/en
Expired - Fee Relatedlegal-statusCriticalCurrent
Anticipated expirationlegal-statusCritical

Links

Images

Landscapes

Abstract

Translated fromJapanese

【課題】複数のウェブサイトのアクセスログから有効に不正アクセスを検出することを可能とするブラックリスト抽出装置等を提供する。
【解決手段】本発明に係るブラックリスト抽出装置は、各ウェブサーバで記録されたアクセス情報を収集して、これを予め備えられた記憶手段にアクセスログとして記憶させるアクセスログ収集部101と、予め与えられた検知条件に基づいて、アクセスログに記録された複数のウェブサーバに対するアクセス情報から不正アクセスをブラックリストとして抽出する攻撃情報抽出部102と、抽出されたブラックリストを出力するブラックリスト出力部103とを有する。
【選択図】図1A black list extraction device and the like that can effectively detect unauthorized access from access logs of a plurality of websites.
A black list extraction apparatus according to the present invention collects access information recorded in each web server and stores the access information as an access log in a storage means provided in advance, Based on a given detection condition, an attack information extraction unit 102 that extracts unauthorized access as a black list from access information for a plurality of web servers recorded in an access log, and a black list output unit that outputs the extracted black list 103.
[Selection] Figure 1

Description

Translated fromJapanese

本発明は、ウェブサイトへのアクセス情報から不正アクセスをブラックリストとして抽出するブラックリスト抽出装置、抽出方法および抽出プログラムに関する。  The present invention relates to a blacklist extraction device, an extraction method, and an extraction program that extract unauthorized access as blacklist from access information to a website.

インターネット、特にウェブサイトを利用した情報発信や商取引などが一般的なものになるにつれ、それらのウェブサイトに対する(個人情報や取引情報などの)不正取得や不正な改竄などを意図した不正アクセスが多く行われるようになり、ウェブサイトの管理者はそのような不正アクセスへの対策がもはや必須である。  As information transmission and business transactions using the Internet, especially websites, become commonplace, there are many unauthorized accesses to such websites intended for unauthorized acquisition (such as personal information and transaction information) and unauthorized tampering. Now that website administrators are taking action, measures against such unauthorized access are no longer essential.

その中でも特に多い不正アクセスの手口が、クロスサイトスクリプティング、SQLインジェクション攻撃、OSコマンドインジェクション攻撃といったものである。以下、これらについて説明する。  Among them, particularly illegal access techniques are cross-site scripting, SQL injection attack, OS command injection attack, and the like. Hereinafter, these will be described.

クロスサイトスクリプティング(XSS)は、悪意を持ったユーザが(ウェブメールや掲示板などの)フォームからジャバスクリプトなどブラウザで実行可能なコードを入力すると、そのコードがそのまま他のユーザのブラウザに送り込まれて実行されてしまうというウェブサーバソフトの脆弱性を利用した不正アクセス行為である。これによって、たとえば特定のウェブサイトの表示内容を書き換えられたり、ブラウザのクッキー(cookie)として記憶された個人情報や取引情報を攻撃者に奪われたり、などといった被害が起こりうる。  In cross-site scripting (XSS), when a malicious user enters code that can be executed in a browser such as Javascript from a form (such as a web mail or a bulletin board), the code is sent to another user's browser as it is. This is an unauthorized access act using the vulnerability of web server software that is executed. As a result, for example, the display content of a specific website can be rewritten, or personal information or transaction information stored as a cookie of a browser can be taken away by an attacker.

SQLインジェクション攻撃は、ウェブサイトで利用されるデータベースを操作する言語であるSQL(Structured Query Language)コマンドをURL内の引数やフォームなどを通じて入力することによって、当該データベースを不正に操作するという不正アクセス行為である。たとえばパスワードを知らなくても、そのデータベースにログインすることが、この行為によって可能になってしまう。これによって、当該データベースの内容が不正に改竄されるなどのような被害が起こりうる。  The SQL injection attack is an unauthorized access act in which an SQL (Structured Query Language) command, which is a language for operating a database used on a website, is input through an argument or a form in a URL to illegally operate the database. It is. For example, it is possible to log in to the database without knowing the password. As a result, damage such as illegal alteration of the contents of the database may occur.

これと同じように、ウェブサイトの動作を制御しているオペレーティングシステム(OS)のコマンドをURL内の引数やフォームなどを通じて入力することによって行われる不正アクセス行為が、OSコマンドインジェクション攻撃である。これによって、当該ウェブサイトの管理者権限を攻撃者に奪われるなどのような重大な被害が起こりうる。  Similarly, an unauthorized access action performed by inputting an operating system (OS) command that controls the operation of a website through an argument or a form in a URL is an OS command injection attack. This can cause serious damage, such as an attacker taking the administrator authority of the website.

これに関連して、以下のような技術資料がある。その中でも特許文献1には、ユーザ名データが同一であり、かつパスワードデータが互いに異なるデータが短時間に連続して送信された場合にこれをクラッカーからの攻撃として検出するというクラッカー監視システムについて記載されている。特許文献2には、複数のサーバから収集したログから、侵入容疑の高いアクセス情報を収集して、専門家によって容易に分析できるログを記録するという侵入検知システムについて記載されている。  There are the following technical documents related to this. Among them,Patent Document 1 describes a cracker monitoring system in which when user name data is the same and password data is different from each other and transmitted continuously in a short time, this is detected as an attack from the cracker. Has been.Patent Document 2 describes an intrusion detection system that collects access information with high suspicion of intrusion from logs collected from a plurality of servers and records a log that can be easily analyzed by an expert.

特許文献3には、SQLサーバに対して送信されたクエリーに含まれるSQLインジェクション攻撃に係る文字列が実行されないように保護するというセキュリティプログラムについて記載されている。特許文献4には、アクセスポイントにおいて不正アクセスを検知してこれを防止するという広域ネットワークについて記載されている。特許文献5には、多数のウェブサーバからログ利用サーバがログを収集して、これを容易に利用して管理できるというログ収集管理システムについて記載されている。  Patent Document 3 describes a security program for protecting a character string related to a SQL injection attack included in a query transmitted to an SQL server from being executed.Patent Document 4 describes a wide area network that detects and prevents unauthorized access at an access point.Patent Document 5 describes a log collection management system in which a log use server collects logs from a large number of web servers and can easily use and manage the logs.

特許文献6には、インターネットから内部ネットワークに対して送られた不審な通信パケットを「おとり装置」に送信してそこで攻撃の有無を判定するという攻撃検知システムについて記載されている。非特許文献1には前述のクロスサイトスクリプティング、非特許文献2にはSQLインジェクション攻撃についての解説がそれぞれ記載されている。  Patent Document 6 describes an attack detection system in which a suspicious communication packet sent from the Internet to an internal network is transmitted to a “decoy device” and the presence or absence of an attack is determined there. Non-PatentDocument 1 describes the above-mentioned cross-site scripting, and Non-PatentDocument 2 describes a SQL injection attack.

特開2001−057554号公報JP 2001-057554 A特開2005−189996号公報JP 2005-189996 A特表2009−506439号公報Special table 2009-506439特開2004−086880号公報JP 2004-086880 A特開2004−295303号公報JP 2004-295303 A特開2007−312414号公報JP 2007-31414 A

国分裕、「クロスサイトスクリプティング対策の基本」、2002年11月9日、アイティメディア株式会社、[平成24年1月17日検索]、インターネット<URL:http://www.atmarkit.co.jp/fsecurity/special/30xss/xss01.html>Yutaka Kokubun, “Basics of Cross-site Scripting Measures”, November 9, 2002, IT Media Co., Ltd. [searched January 17, 2012], Internet <URL: http://www.atmarkit.co.jp /fsecurity/special/30xss/xss01.html>上野宣、「今夜分かるSQLインジェクション対策」、2006年11月2日、アイティメディア株式会社、[平成24年1月17日検索]、インターネット<URL:http://www.atmarkit.co.jp/fsecurity/column/ueno/42.html>Nobu Ueno, “Today's SQL Injection Countermeasures”, November 2, 2006, ITMedia Corporation, [Search January 17, 2012], Internet <URL: http://www.atmarkit.co.jp/ fsecurity / column / ueno / 42.html>

前述のように、ウェブサイトに対する不正アクセスは近年ますます手口が巧妙化していて、特にそのような不正アクセスの行われる範囲が複数のウェブサイトに及ぶことも多くなっている。また実際、これらのような不正アクセスを複数のウェブサイトに対して自動的に行うソフトウェアも存在する。  As described above, unauthorized access to websites has become increasingly sophisticated in recent years, and in particular, the scope of such unauthorized access has spread to a plurality of websites. In fact, there is software that automatically performs unauthorized access to a plurality of websites.

そのようなソフトウェアを使われた場合、多数のウェブサイトに対して同一の文字列を含むリクエストが送られることになる。しかしながら、そのような不正アクセスは、単一のウェブサイトに対するリクエストとしては正当なものに見えることも多い。複数のウェブサイトに対するアクセスを見比べることによって、初めてこれを不正アクセスとして検出することが可能である。また、あるウェブサイトに対しては特に問題の無いリクエストであっても、同じリクエストを他のウェブサイトに対して送られた場合には不正アクセスとなる場合もある。  When such software is used, requests containing the same character string are sent to a large number of websites. However, such unauthorized access often appears legitimate as a request for a single website. By comparing access to a plurality of websites, it is possible to detect this as unauthorized access for the first time. Further, even if there is no problem for a certain website, there is a case where unauthorized access occurs when the same request is sent to another website.

即ち、複数のウェブサイトのアクセスログを見比べないと、不正アクセスを見逃す可能性が高くなる。しかしながら、複数のウェブサイトのアクセスログを見比べて不正アクセスを検出することは、高度なスキルを持ったネットワーク管理者が、分析作業を繰り返し、これによって情報を絞り込んでいくことが必要である。この作業は煩雑で、かつ自動化が困難なものである。また、ただでさえアクセスログのデータ量は膨大なものであるので、目視による検出では見逃しやヒューマンエラーが多く発生することにもなる。  That is, if the access logs of a plurality of websites are not compared, there is a high possibility that the unauthorized access will be missed. However, detecting unauthorized access by comparing the access logs of multiple websites requires a highly skilled network administrator to repeat the analysis work and thereby narrow down the information. This operation is complicated and difficult to automate. In addition, since the amount of data in the access log is enormous, the detection by visual inspection often causes oversight and human error.

しかしながら、特許文献1〜6および非特許文献1〜2に記載された技術は、そのような問題点を解決するものではない。特許文献2に記載の技術は、各ウェブサイトの側で「(不正侵入と判断された)ログ情報をフィルタリング」して分析センタに送っているので、ウェブサイト単体でそれが正当なリクエストと判断された場合には、もうそれを不正アクセスとして検出することはできない。他の文献に記載の技術を組み合わせても同様である。  However, the techniques described inPatent Documents 1 to 6 andNon-Patent Documents 1 and 2 do not solve such problems. Since the technique described inPatent Document 2 “filters log information (determined as unauthorized intrusion)” sent to the analysis center on each website side, the website alone determines that it is a legitimate request. If this happens, it can no longer be detected as unauthorized access. The same applies when the techniques described in other documents are combined.

本発明の目的は、複数のウェブサイトのアクセスログから有効に不正アクセスを検出することを可能とするブラックリスト抽出装置、抽出方法および抽出プログラムを提供することにある。  An object of the present invention is to provide a black list extraction device, an extraction method, and an extraction program that enable effective detection of unauthorized access from access logs of a plurality of websites.

上記目的を達成するため、本発明に係るブラックリスト抽出装置は、複数のウェブサーバとネットワークを介して相互に接続されたブラックリスト抽出装置であって、各ウェブサーバで記録されたアクセス情報を収集して、これを予め備えられた記憶手段にアクセスログとして記憶させるアクセスログ収集部と、予め与えられた検知条件に基づいて、アクセスログに記録された同一のアクセス元からの複数のウェブサーバに対するアクセス情報から不正アクセスをブラックリストとして抽出する攻撃情報抽出部と、抽出されたブラックリストを出力するブラックリスト出力部とを有することを特徴とする。  In order to achieve the above object, a blacklist extraction apparatus according to the present invention is a blacklist extraction apparatus connected to a plurality of web servers via a network, and collects access information recorded by each web server. Then, an access log collection unit that stores this as an access log in a storage unit provided in advance, and a plurality of web servers from the same access source recorded in the access log based on a predetermined detection condition An attack information extraction unit that extracts unauthorized access from the access information as a black list, and a black list output unit that outputs the extracted black list.

上記目的を達成するため、本発明に係るブラックリスト抽出方法は、複数のウェブサーバとネットワークを介して相互に接続されたブラックリスト抽出装置にあって、各ウェブサーバで記録されたアクセス情報をアクセスログ収集部が収集して、これを予め備えられた記憶手段にアクセスログとして記憶させ、予め与えられた検知条件に基づいて、アクセスログに記録された同一のアクセス元からの複数のウェブサーバに対するアクセス情報から不正アクセスを攻撃情報抽出部がブラックリストとして抽出し、抽出されたブラックリストをブラックリスト出力部が出力することを特徴とする。  In order to achieve the above object, a blacklist extraction method according to the present invention is a blacklist extraction device interconnected with a plurality of web servers via a network, and accesses access information recorded in each web server. The log collection unit collects and stores this as an access log in a storage means provided in advance, and a plurality of web servers from the same access source recorded in the access log based on a predetermined detection condition The attack information extraction unit extracts unauthorized access from the access information as a black list, and the black list output unit outputs the extracted black list.

上記目的を達成するため、本発明に係るブラックリスト抽出プログラムは、複数のウェブサーバとネットワークを介して相互に接続されたブラックリスト抽出装置にあって、ブラックリスト抽出装置が備えているコンピュータに、各ウェブサーバで記録されたアクセス情報を収集して、これを予め備えられた記憶手段にアクセスログとして記憶させる手順、予め与えられた検知条件に基づいて、アクセスログに記録された同一のアクセス元からの複数のウェブサーバに対するアクセス情報から不正アクセスをブラックリストとして抽出する手順、および抽出されたブラックリストを出力する手順を実行させることを特徴とする。  In order to achieve the above object, a blacklist extraction program according to the present invention is a blacklist extraction device interconnected with a plurality of web servers via a network, and a computer provided in the blacklist extraction device includes: The same access source recorded in the access log based on the procedure of collecting the access information recorded in each web server and storing it as an access log in a storage means provided in advance, and detection conditions given in advance And executing a procedure for extracting unauthorized access as a black list from access information for a plurality of web servers and a procedure for outputting the extracted black list.

本発明は、上記したように、同一のアクセス元からの複数のウェブサーバに対するアクセス情報から不正アクセスを抽出するように構成したので、複数のウェブサイトに対するアクセスを見比べることによって初めて検出できる不正アクセスを、容易に検出することが可能となる。これによって、複数のウェブサイトのアクセスログから有効に不正アクセスを検出することを可能であるという、優れた特徴を持つブラックリスト抽出装置、抽出方法および抽出プログラムを提供することができる。  Since the present invention is configured to extract unauthorized access from access information for a plurality of web servers from the same access source as described above, unauthorized access that can only be detected by comparing accesses to a plurality of websites is detected. It becomes possible to detect easily. Accordingly, it is possible to provide a black list extraction device, an extraction method, and an extraction program having an excellent feature that it is possible to effectively detect unauthorized access from access logs of a plurality of websites.

本発明の実施形態に係るブラックリスト抽出装置の構成について示す説明図である。It is explanatory drawing shown about the structure of the black list extraction apparatus which concerns on embodiment of this invention.図1に示したアクセスログ収集部によって収集されるアクセスログの一例について示す説明図である。It is explanatory drawing shown about an example of the access log collected by the access log collection part shown in FIG.図1に示した検知条件記憶部に予め記憶されている検知条件の一例について示す説明図である。It is explanatory drawing shown about an example of the detection conditions previously memorize | stored in the detection condition memory | storage part shown in FIG.図1に示したブラックリスト抽出装置が、ウェブサーバからアクセスログを収集して、そこから不正アクセスを抽出する動作について示すフローチャートである。It is a flowchart which shows about the operation | movement which the blacklist extraction apparatus shown in FIG. 1 collects an access log from a web server, and extracts unauthorized access from there.図1に示したブラックリスト記憶部に記憶されるブラックリストの一例について示す説明図である。It is explanatory drawing shown about an example of the black list memorize | stored in the black list memory | storage part shown in FIG.本発明の第2の実施形態に係るブラックリスト抽出装置の構成について示す説明図である。It is explanatory drawing shown about the structure of the black list extraction apparatus which concerns on the 2nd Embodiment of this invention.図6に示したウェブサーバ情報記憶部に記憶されているウェブサーバ情報の一例について示す説明図である。It is explanatory drawing shown about an example of the web server information memorize | stored in the web server information storage part shown in FIG.図6に示したブラックリスト抽出装置が、ウェブサーバからアクセスログを収集して、そこから不正アクセスを抽出する動作について示すフローチャートである。FIG. 7 is a flowchart showing an operation in which the black list extraction device shown in FIG. 6 collects access logs from a web server and extracts unauthorized access therefrom.

(第1の実施形態)
以下、本発明の実施形態の構成について添付図1に基づいて説明する。
最初に、本実施形態の基本的な内容について説明し、その後でより具体的な内容について説明する。
本実施形態に係るブラックリスト抽出装置10は、複数のウェブサーバ20とネットワーク30を介して相互に接続されたブラックリスト抽出装置である。このブラックリスト抽出装置10は、各ウェブサーバで記録されたアクセス情報を収集して、これを予め備えられた記憶手段にアクセスログ150として記憶させるアクセスログ収集部101と、予め与えられた検知条件160に基づいて、アクセスログに記録された同一のアクセス元からの複数のウェブサーバに対するアクセス情報から不正アクセスをブラックリストとして抽出する攻撃情報抽出部102と、抽出されたブラックリストを出力するブラックリスト出力部106とを有する。(First embodiment)
Hereinafter, the configuration of an embodiment of the present invention will be described with reference to FIG.
First, the basic content of the present embodiment will be described, and then more specific content will be described.
The blacklist extraction apparatus 10 according to the present embodiment is a black list extraction apparatus that is connected to a plurality of web servers 20 via a network 30. Thisblacklist extraction device 10 collects access information recorded by each web server and stores it as an access log 150 in a storage means provided in advance, and a detection condition given in advance. 160, an attackinformation extraction unit 102 that extracts unauthorized access as a blacklist from access information for a plurality of web servers from the same access source recorded in the access log, and a blacklist that outputs the extracted blacklist And anoutput unit 106.

ここで、攻撃情報抽出部102は、同一のアクセス元から複数のウェブサーバ20に対して同一の文字列を含むリクエストが検知条件160で定められた時間範囲内に送信されていることがアクセスログから検出された場合に、これを不正アクセスとして抽出する。  Here, the attackinformation extraction unit 102 indicates that requests including the same character string are transmitted from the same access source to the plurality of web servers 20 within the time range defined by the detection condition 160. This is extracted as unauthorized access.

この構成を備えることにより、ブラックリスト抽出装置10は、複数のウェブサイトのアクセスログから有効に不正アクセスを検出することが可能となる。
以下、これをより詳細に説明する。With this configuration, theblacklist extraction apparatus 10 can effectively detect unauthorized access from access logs of a plurality of websites.
Hereinafter, this will be described in more detail.

図1は、本発明の実施形態に係るブラックリスト抽出装置10の構成について示す説明図である。ブラックリスト抽出装置10は、コンピュータ装置としての基本的な構成を備えている。即ち、コンピュータプログラムの動作主体であるプロセッサ11と、プログラムおよびデータを記憶する記憶手段12と、ネットワーク30を介して他の装置との通信を行う通信手段13と、処理結果を出力する出力手段14とを備える。  FIG. 1 is an explanatory diagram showing the configuration of ablacklist extraction apparatus 10 according to an embodiment of the present invention. The blacklist extraction device 10 has a basic configuration as a computer device. That is, theprocessor 11 that is the computer program operating entity, thestorage unit 12 that stores the program and data, thecommunication unit 13 that communicates with other devices via the network 30, and theoutput unit 14 that outputs the processing result. With.

また、ブラックリスト抽出装置10は、ネットワーク30を介して、複数のウェブサーバ20に接続されている。このウェブサーバの台数については、2台以上であれば特に制限は無い。図1では、本発明の概念を平易に示すため、2台のウェブサーバ20aおよび20bについてのみ、それらの構成を示している。  Theblacklist extraction device 10 is connected to a plurality of web servers 20 via the network 30. The number of web servers is not particularly limited as long as it is two or more. In FIG. 1, only the twoweb servers 20a and 20b are shown in order to simply illustrate the concept of the present invention.

そして、ウェブサーバ20では、ネットワーク30を介してウェブページ閲覧要求を送信する不特定多数のクライアントコンピュータ40a、40b、40c、…からのアクセスログを記録するログ採取手段21と、それらの閲覧要求に対してウェブページ表示用のデータを送信するウェブサービス手段22とが各々動作している。  And in the web server 20, the log collection means 21 which records the access log from the unspecified number ofclient computers 40a, 40b, 40c,... Which transmits the web page browsing request via the network 30, and the browsing request On the other hand, web service means 22 for transmitting web page display data operates.

ブラックリスト抽出装置10のプロセッサ11は、ブラックリスト抽出プログラムを実行することにより、アクセスログ収集部101、攻撃情報抽出部102、およびブラックリスト出力部106として動作する。また、記憶手段12には、収集されたアクセスログを記憶するための記憶域であるアクセスログ記憶部103と、不正アクセスを抽出するための条件を記憶する検知条件記憶部104と、抽出されたブラックリストの内容を記憶するための記憶域であるブラックリスト記憶部105が確保されている。  Theprocessor 11 of the blacklist extraction apparatus 10 operates as an accesslog collection unit 101, an attackinformation extraction unit 102, and a blacklist output unit 106 by executing a black list extraction program. Further, the storage means 12 includes an accesslog storage unit 103 that is a storage area for storing the collected access logs, a detectioncondition storage unit 104 that stores conditions for extracting unauthorized access, and an extracted A blacklist storage unit 105, which is a storage area for storing the contents of the black list, is secured.

アクセスログ収集部101は、各々のウェブサーバ20のログ採取手段21で記録されたアクセスログをネットワーク30を介して収集して、アクセスログ記憶部103に記憶する。そして攻撃情報抽出部102は、検知条件記憶部104に記憶された条件に基づいて、これらのアクセスログの記録内容の中から不正アクセスをブラックリストとして抽出し、その内容をブラックリスト記憶部105のブラックリスト170として記憶する。  The accesslog collection unit 101 collects the access logs recorded by thelog collection unit 21 of each web server 20 via the network 30 and stores them in the accesslog storage unit 103. Based on the conditions stored in the detectioncondition storage unit 104, the attackinformation extraction unit 102 extracts unauthorized access from the recorded contents of these access logs as a black list, and stores the contents in the blacklist storage unit 105. Store as blacklist 170.

ブラックリスト出力部106は、最終的に記憶されたブラックリスト170を、出力手段14を介して出力する。ここで、出力手段14は、典型的にはディスプレイやプリンタなどであるが、たとえばネットワーク30を介して他のコンピュータに対して情報を出力させるものでもよく、また電子メールや音声通話などを介してネットワーク管理者を呼び出すものでもよい。  Theblacklist output unit 106 outputs the finally stored blacklist 170 via theoutput unit 14. Here, theoutput unit 14 is typically a display, a printer, or the like. For example, theoutput unit 14 may output information to another computer via the network 30, or via an e-mail or a voice call. You may call a network administrator.

図2は、図1に示したアクセスログ収集部101によって収集されるアクセスログ150の一例について示す説明図である。このアクセスログ150は、各々の記録データを一意に示す通し番号であるデータ番号150a、当該アクセスの対象となったウェブサイト名150b、当該アクセスが行われた日時を示すタイムスタンプ150c、当該アクセスを行ったクライアントコンピュータ40のIPアドレスを示すアクセス元IP150d、および当該アクセスの具体的な内容を示すリクエスト内容150eなどといったデータを含む。  FIG. 2 is an explanatory diagram showing an example of the access log 150 collected by the accesslog collection unit 101 shown in FIG. The access log 150 includes adata number 150a that is a serial number that uniquely indicates each recorded data, awebsite name 150b that is a target of the access, atime stamp 150c that indicates the date and time when the access was performed, and the access. Data such as anaccess source IP 150d indicating the IP address of the client computer 40 and arequest content 150e indicating the specific content of the access.

この中で、データ番号150a=「1」「5」「13」「14」の各データが、ウェブサイト名150bが各々違うが、タイムスタンプ150cが近接した日時(2012年1月17日12時00〜12分)であり、アクセス元IP150dが全て同一(192.168.123.45)であり、さらにリクエスト内容150eの引数の部分(?以後)が全て同一の文字列(txt=attack_pattern)を含む。  Among them, thedata numbers 150a = “1”, “5”, “13”, “14” havedifferent website names 150b, but the date and time when thetime stamp 150c is close (January 17, 2012, 12:00) 0 to 12 minutes), theaccess source IPs 150d are all the same (192.168.123.45), and the argument part of therequest content 150e (after?) Is the same character string (txt = attack_pattern). Including.

図3は、図1に示した検知条件記憶部104に予め記憶されている検知条件160の一例について示す説明図である。この検知条件160は、各々の記録データを一意に示す通し番号である条件番号160a、設定されて記憶された検知条件である条件内容160b、および条件内容160bに該当した場合に判定される判定内容160cなどといったデータを含む。  FIG. 3 is an explanatory diagram showing an example of the detection condition 160 stored in advance in the detectioncondition storage unit 104 shown in FIG. The detection condition 160 includes acondition number 160a that is a serial number that uniquely indicates each recorded data, acondition content 160b that is a set and stored detection condition, and adetermination content 160c that is determined when thecondition content 160b is satisfied. Data.

ここでは、条件番号160a=「1」として、「2つ以上のウェブサーバに対して」「10分以内に」「同一のアクセス元IPから」「同一の文字列を含んだリクエストが」送られている場合に、これを不正アクセスとして判定するという条件内容160b、この条件内容に該当した場合に判定内容160c=「攻撃パターンA」として検出するという検知条件が示されている。  Here, withcondition number 160a = “1”, “to two or more web servers” “within 10 minutes” “from the same access source IP” “request including the same character string” is sent In this case, there is shown acondition content 160b for determining this as unauthorized access, and a detection condition for detecting thedetermination content 160c = “attack pattern A” when this condition content is met.

また、条件番号160a=「2」として、「1つ以上のウェブサーバに対して」「10分以内に」「同一のアクセス元IPから」「同一のID入力欄およびパスワード入力欄に対して2つ以上連続した入力が」送られている場合に、これを不正アクセスとして判定するという条件内容160b、この条件内容に該当した場合に判定内容160c=「攻撃パターンB」として検出するという検知条件が示されている。  Also, withcondition number 160a = “2”, “for one or more web servers” “within 10 minutes” “from the same access source IP” “2 for the same ID input field and password input field Thecondition content 160b for determining that this is regarded as unauthorized access when two or more continuous inputs are sent, and the detection condition for detecting thedetermination content 160c = “attack pattern B” when this condition is satisfied It is shown.

また、検知条件160は、上記以外にもたとえば、条件内容160bに設定された内容のうち何割以上が一致したら該当すると判断するための「一致率」や、文字列検索の具体的な方法を指定する「検索内容(たとえばあいまい検索のオン/オフなど)」、あるいは同一の文字列が複数のウェブサーバから検出されてもこれを不正アクセスとして検出しない「例外文字列」、などといった点を指定する内容を適宜含むこともできる。これらのような点については、公知技術に属する内容であるので詳しく説明しない。  In addition to the above, the detection condition 160 may be, for example, a “match rate” for determining that a percentage of the content set in thecondition content 160b matches or a specific method of character string search. Specify "Search content (eg, fuzzy search on / off)" or "Exception string" that does not detect the same character string as unauthorized access even if it is detected from multiple web servers. The contents to be included can be included as appropriate. Since these points belong to the known technology, they will not be described in detail.

図4は、図1に示したブラックリスト抽出装置10が、ウェブサーバ20からアクセスログ150を収集して、そこから不正アクセスを抽出する動作について示すフローチャートである。  FIG. 4 is a flowchart showing an operation in which theblacklist extraction apparatus 10 shown in FIG. 1 collects the access log 150 from the web server 20 and extracts unauthorized access therefrom.

まず、アクセスログ収集部101が、各々のウェブサーバ20のログ採取手段21で記録されたアクセスログをネットワーク30を介して収集して、アクセスログ記憶部103に記憶する(ステップS201)。そして攻撃情報抽出部102は、変数i=1、かつブラックリスト記憶部105に記憶されるブラックリスト170を空データとして初期設定し(ステップS202)、条件番号160a=iの条件内容160bに該当する内容がアクセスログ150の中に存在するか否かを判定する(ステップS203)。  First, the accesslog collection unit 101 collects the access logs recorded by thelog collection unit 21 of each web server 20 via the network 30 and stores it in the access log storage unit 103 (step S201). Then, the attackinformation extraction unit 102 initializes the variable i = 1 and the black list 170 stored in the blacklist storage unit 105 as empty data (step S202), and corresponds to thecondition content 160b of thecondition number 160a = i. It is determined whether the content exists in the access log 150 (step S203).

ステップS203で、該当する内容がアクセスログ150の中に存在すれば、攻撃情報抽出部102はその該当する内容を抽出して(ステップS204)、その該当する判定内容160c、タイムスタンプ150c、アクセス元IP150d、およびリクエスト内容150eをブラックリスト170に追加して(ステップS205)ステップS206に進む。該当する内容が存在しなければ、そのままステップS206に進む。  If the corresponding content exists in the access log 150 in step S203, the attackinformation extraction unit 102 extracts the corresponding content (step S204), the correspondingdetermination content 160c, thetime stamp 150c, the access source TheIP 150d and therequest content 150e are added to the black list 170 (step S205), and the process proceeds to step S206. If there is no corresponding content, the process proceeds to step S206 as it is.

そして攻撃情報抽出部102はi=i+1として(ステップS206)、iが条件番号160aの最大値を越えるまでステップS203〜206の処理を繰り返す(ステップS207)。全ての条件番号160aに対してこの処理を行ったら、ブラックリスト出力部106が記憶されたブラックリスト170を出力手段14を介して出力し(ステップS208)、処理を終了する。  The attackinformation extraction unit 102 sets i = i + 1 (step S206), and repeats the processing of steps S203 to 206 until i exceeds the maximum value of thecondition number 160a (step S207). When this process is performed for all thecondition numbers 160a, the black list 170 stored in the blacklist output unit 106 is output via the output unit 14 (step S208), and the process ends.

図5は、図1に示したブラックリスト記憶部105に記憶されるブラックリスト170の一例について示す説明図である。図5に示したブラックリスト170は、図2に示したアクセスログ150に対して、図3に示した検知条件160で検知を行った例である。  FIG. 5 is an explanatory diagram showing an example of the black list 170 stored in the blacklist storage unit 105 shown in FIG. The black list 170 illustrated in FIG. 5 is an example in which the access log 150 illustrated in FIG. 2 is detected under the detection condition 160 illustrated in FIG.

前述のように、アクセスログ150には、データ番号150a=「1」「5」「13」「14」の各データが、複数のウェブサイトに対して、日時のタイムスタンプ150cが10分以内で、同一のアクセス元IP150dからの、同一の文字列を含むリクエスト内容150e、という内容が記録されている。これは、条件番号160a=「1」として登録された条件内容160bに一致する。  As described above, in the access log 150, thedata numbers 150a = “1”, “5”, “13”, and “14” have a date /time stamp 150c within 10 minutes for a plurality of websites. The contents ofrequest contents 150e including the same character string from the sameaccess source IP 150d are recorded. This matches thecondition contents 160b registered ascondition number 160a = “1”.

従って、攻撃情報抽出部102はこれを判定内容160c=「攻撃パターンA」として検出し、該当するタイムスタンプ150c、アクセス元IP150d、およびリクエスト内容150eで一致した文字列をブラックリスト170に追加する。その際、タイムスタンプ150cのブラックリスト170に出力される内容は、その日時そのままでなく、当該アクセスがあった時刻の範囲や間隔などを出力するようにしてもよい。  Therefore, the attackinformation extraction unit 102 detects this as thedetermination content 160c = “attack pattern A”, and adds a character string that matches thecorresponding time stamp 150c,access source IP 150d, andrequest content 150e to the black list 170. At that time, the contents output to the black list 170 of thetime stamp 150c may be output not only as of the date and time but also as to the time range or interval at which the access was made.

以上の処理によって出力されたブラックリスト170は、たとえばネットワーク管理者が目視によって、検出された各々のアクセスの危険性を判断するようにしてもよい。その場合も、複数のウェブサーバから検出された情報を一括して判断できるので、複数のログを見比べるよりも容易に判断することができる。  The black list 170 output by the above processing may be determined by the network administrator, for example, by visually checking the risk of each detected access. Also in this case, since information detected from a plurality of web servers can be determined collectively, it can be determined more easily than comparing a plurality of logs.

(第1の実施形態の全体的な動作)
次に、上記の実施形態の全体的な動作について説明する。
本実施形態に係るブラックリスト抽出方法は、複数のウェブサーバとネットワークを介して相互に接続されたブラックリスト抽出装置10にあって、各ウェブサーバで記録されたアクセス情報をアクセスログ収集部が収集して、これを予め備えられた記憶手段にアクセスログとして記憶させ(図4・ステップS201)、予め与えられた検知条件に基づいて、アクセスログに記録された同一のアクセス元からの複数のウェブサーバに対するアクセス情報から不正アクセスを攻撃情報抽出部がブラックリストとして抽出し(図4・ステップS203〜206)、抽出されたブラックリストをブラックリスト出力部が出力する(図4・ステップS208)。(Overall operation of the first embodiment)
Next, the overall operation of the above embodiment will be described.
The blacklist extraction method according to this embodiment is in theblacklist extraction apparatus 10 connected to a plurality of web servers via a network, and the access log collection unit collects access information recorded by each web server. Then, this is stored as an access log in a storage means provided in advance (FIG. 4, step S201), and a plurality of webs from the same access source recorded in the access log are recorded based on detection conditions given in advance. The attack information extraction unit extracts unauthorized access from the access information to the server as a black list (FIG. 4, steps S203 to 206), and the black list output unit outputs the extracted black list (step S208 in FIG. 4).

また、この不正アクセスを抽出する処理は、同一のアクセス元から複数のウェブサーバに対して同一の文字列を含むリクエストが検知条件で定められた時間範囲内に送信されていることがアクセスログから検出された場合に、これを不正アクセスとして抽出する。  In addition, this process of extracting unauthorized access is based on the fact that requests containing the same character string are transmitted from the same access source to a plurality of web servers within the time range defined by the detection conditions. If detected, this is extracted as unauthorized access.

ここで、上記各動作ステップについては、これをコンピュータで実行可能にプログラム化し、これらを前記各ステップを直接実行するブラックリスト抽出装置10のプロセッサ11に実行させるようにしてもよい。本プログラムは、非一時的な記録媒体、例えば、DVD、CD、フラッシュメモリ等に記録されてもよい。その場合、本プログラムは、記録媒体からコンピュータによって読み出され、実行される。
この動作により、本実施形態は以下のような効果を奏する。Here, each of the above-described operation steps may be programmed to be executable by a computer, and may be executed by theprocessor 11 of the blacklist extraction apparatus 10 that directly executes each of the steps. The program may be recorded on a non-temporary recording medium, such as a DVD, a CD, or a flash memory. In this case, the program is read from the recording medium by a computer and executed.
By this operation, this embodiment has the following effects.

本実施形態によれば、複数のウェブサイトのアクセスログを見比べて不正アクセスを検出するという、従来は高度なスキルを必要とする煩雑な行為であったが、これを有効に自動化して工数を削減し、また見逃しやヒューマンエラーの発生を抑制することが可能となる。また、不正アクセスに利用される攻撃パターンを、従来とは違う観点で抽出することが可能となる。  According to the present embodiment, it has been a complicated action that requires advanced skills by comparing access logs of a plurality of websites in the past, but this is effectively automated to reduce the man-hours. It is possible to reduce, and to suppress the occurrence of oversight and human error. In addition, attack patterns used for unauthorized access can be extracted from a different viewpoint.

出力されたブラックリスト170は、その全体の内容、あるいはネットワーク管理者がそこから取捨選択した内容を、各ウェブサーバが備えるウェブアプリケーションファイアウォールに適したデータ形式に変換して、適用することができる。これによって、危険性の高いアクセスを容易に遮断することが可能となる。この場合においても、ネットワーク管理者による手動での判断は最終段階での情報の取捨選択のみであるので、少ない工数で不正アクセスを遮断することが可能となる。  The output black list 170 can be applied by converting the entire contents or contents selected by the network administrator into a data format suitable for the web application firewall provided in each web server. This makes it possible to easily block high-risk access. Even in this case, the manual judgment by the network administrator is only the selection of information at the final stage, so that unauthorized access can be blocked with a small number of man-hours.

(第2の実施形態)
本発明の第2の実施形態に係るブラックリスト抽出装置310は、第1の実施形態で示した構成に加えて、リクエストにどの開発言語のコマンドが含まれているかを特定し、特定された開発言語がウェブサーバの開発言語と異なっているか否かを判定する言語種類判定部407を備え、攻撃情報抽出部402がリクエストとウェブサーバとの間で開発言語が異なっている場合にこれをブラックリストとして抽出するよう構成した。(Second Embodiment)
Theblacklist extraction apparatus 310 according to the second embodiment of the present invention identifies which development language command is included in the request in addition to the configuration shown in the first embodiment, and identifies the identified development A languagetype determination unit 407 for determining whether or not the language is different from the development language of the web server is provided, and when the attackinformation extraction unit 402 has a different development language between the request and the web server, this is blacklisted. Configured to extract as.

この構成によっても第1の実施形態と同一の効果が得られるのに加えて、さらに複数のサーバに対して特定の開発言語に依存するコマンドを送信することによる不正アクセスを有効に検出することが可能となる。
以下、これをより詳細に説明する。In addition to the same effects as in the first embodiment, this configuration can also effectively detect unauthorized access by sending commands depending on a specific development language to a plurality of servers. It becomes possible.
Hereinafter, this will be described in more detail.

図6は、本発明の第2の実施形態に係るブラックリスト抽出装置310の構成について示す説明図である。ブラックリスト抽出装置310は、図1に示した第1の実施形態のブラックリスト抽出装置10と、ハードウェアとしては同一の構成を有する。これに接続されているネットワーク30およびウェブサーバ20も、第1の実施形態と同一である。  FIG. 6 is an explanatory diagram showing the configuration of the blacklist extraction apparatus 310 according to the second embodiment of the present invention. The blacklist extraction device 310 has the same hardware configuration as the blacklist extraction device 10 of the first embodiment shown in FIG. The network 30 and the web server 20 connected to this are the same as those in the first embodiment.

また、ソフトウェアとしても、攻撃情報抽出部102が別の攻撃情報抽出部402に置換され、プロセッサ11ではさらに言語種類判定部407が動作し、記憶手段12にさらにウェブサーバ情報記憶部408が追加されている点以外は第1の実施形態と同一である。従って、第1の実施形態と同一である要素については、同一の呼称および参照番号でいう。  Also, as software, the attackinformation extraction unit 102 is replaced with another attackinformation extraction unit 402, the languagetype determination unit 407 further operates in theprocessor 11, and the web serverinformation storage unit 408 is further added to thestorage unit 12. Except for this point, the second embodiment is the same as the first embodiment. Therefore, elements that are the same as in the first embodiment are referred to by the same designations and reference numbers.

図7は、図6に示したウェブサーバ情報記憶部408に記憶されているウェブサーバ情報480の一例について示す説明図である。ウェブサーバ情報480は、各々のウェブサーバ20のウェブサイト名480aと、当該ウェブサーバで使用されているウェブアプリケーションの開発言語種類480bが対応づけられて記憶されている。  FIG. 7 is an explanatory diagram showing an example of the web server information 480 stored in the web serverinformation storage unit 408 shown in FIG. The web server information 480 stores thewebsite name 480a of each web server 20 and thedevelopment language type 480b of the web application used in the web server in association with each other.

たとえばウェブサイト名480a=「WebSite001」は、開発言語種類480b=「Perl」である。開発言語種類480bは、他にも「Java(登録商標)」「PHP」「VB.Net」などのような内容を含むことができる。また、これとは別個にデータベースの種類などのデータを、ウェブサイト名480aと対応させて記憶させることもできる。  For example, thewebsite name 480a = “WebSite001” is thedevelopment language type 480b = “Perl”. Thedevelopment language type 480b can include other contents such as “Java (registered trademark)”, “PHP”, “VB.Net”, and the like. Separately from this, data such as the type of database can be stored in association with thewebsite name 480a.

言語種類判定部407は、各アクセスのリクエスト内容150eに、どの開発言語のコマンドが含まれているかを判定し、判定された開発言語がウェブサーバ情報480の開発言語種類480bと異なっているか否かについて判定する。そして攻撃情報抽出部402は、開発言語種類480bとは異なる言語のコマンドがリクエスト内容150eに含まれていれば、これを異常なアクセスとしてブラックリスト170に出力する機能を持つ。  The languagetype determination unit 407 determines which development language command is included in eachaccess request content 150e, and whether or not the determined development language is different from thedevelopment language type 480b of the web server information 480. Judge about. The attackinformation extraction unit 402 has a function of outputting a command in a language different from thedevelopment language type 480b to the black list 170 as an abnormal access if therequest content 150e includes the command.

より具体的には、言語種類判定部407は、たとえばリクエスト内容150eに含まれるファイル名の拡張子が「.pl」であれば開発言語は「Perl」、「.php」であれば開発言語は「PHP」などのように検出することができる。または、拡張子以外のリクエスト内容から、各言語に固有の語法を検出するようにしてもよい。  More specifically, the languagetype determination unit 407 determines that the development language is “Perl” if the extension of the file name included in therequest content 150e is “.pl”, and the development language is “.php”. It can be detected like “PHP”. Alternatively, a unique language for each language may be detected from the request content other than the extension.

図8は、図6に示したブラックリスト抽出装置310が、ウェブサーバ20からアクセスログ150を収集して、そこから不正アクセスを抽出する動作について示すフローチャートである。これも、第1の実施形態と同一である動作内容については、図4と同一の参照番号を付している。ステップS201〜205は、第1の実施形態と同一の動作である。  FIG. 8 is a flowchart showing an operation in which theblacklist extraction apparatus 310 shown in FIG. 6 collects the access log 150 from the web server 20 and extracts unauthorized access therefrom. The same operation numbers as those in the first embodiment are also given the same reference numerals as in FIG. Steps S201 to S205 are the same operations as those in the first embodiment.

ステップS203〜205の判定の後、攻撃情報抽出部402は、アクセスログ150のウェブサイト名150bをウェブサーバ情報480のウェブサイト名480aの中から検索し、当該ウェブサイトで使用されている開発言語種類480bを特定する(ステップS501)。そして、言語種類判定部407が、リクエスト内容150eに含まれるコマンドの開発言語の種類を特定して、これが開発言語種類480bと一致するか否かについて判定する(ステップS502)。  After the determination in steps S203 to 205, the attackinformation extraction unit 402 searches thewebsite name 150b of the access log 150 from thewebsite name 480a of the web server information 480, and uses the development language used in the website. Thetype 480b is specified (step S501). Then, the languagetype determination unit 407 identifies the type of the development language of the command included in therequest content 150e, and determines whether or not this matches thedevelopment language type 480b (step S502).

ステップS502で、開発言語の種類が一致しなければ、その旨をブラックリスト170に追加して(ステップS503)ステップS206に進む。開発言語の種類が一致すれば、そのままステップS206に進む。ステップ206以降の動作は、第1の実施形態と同一である。  If the development language types do not match in step S502, the fact is added to the black list 170 (step S503), and the process proceeds to step S206. If the types of development languages match, the process proceeds directly to step S206. The operations after step 206 are the same as those in the first embodiment.

ステップS503で、ブラックリスト170に出力される内容は、「言語の種類が一致しないリクエストがあった」旨と、これに該当するタイムスタンプ150c、アクセス元IP150d、およびリクエスト内容150eである。これらの内容を、図5に示したものに準じる形で出力すればよい。  In step S503, the contents output to the black list 170 are “there is a request whose language types do not match”, acorresponding time stamp 150c,access source IP 150d, andrequest content 150e. What is necessary is just to output these contents in the form according to what was shown in FIG.

前述のように、不正アクセス行為の多くは特定のソフトウェアによって複数のウェブサイトに対して自動的に行われるものである。従って、リクエスト内容に含まれる開発言語の種類とウェブサーバのそれとが異なっていることも多くなり、それは正当なアクセスではまず生じ得ないことであると考えることができる。本実施形態によれば、そのような行為を有効に検出して、不正アクセスであると判定することができる。  As described above, many unauthorized access actions are automatically performed on a plurality of websites by specific software. Therefore, the type of development language included in the request content is often different from that of the web server, and it can be considered that this cannot occur at first by proper access. According to the present embodiment, such an action can be detected effectively to determine unauthorized access.

これまで本発明について図面に示した特定の実施形態をもって説明してきたが、本発明は図面に示した実施形態に限定されるものではなく、本発明の効果を奏する限り、これまで知られたいかなる構成であっても採用することができる。  Although the present invention has been described with reference to the specific embodiments shown in the drawings, the present invention is not limited to the embodiments shown in the drawings, and any known ones can be used as long as the effects of the present invention are exhibited. Even if it is a structure, it is employable.

上述した実施形態について、その新規な技術内容の要点をまとめると、以下のようになる。なお、上記実施形態の一部または全部は、新規な技術として以下のようにまとめられるが、本発明は必ずしもこれに限定されるものではない。  Regarding the embodiment described above, the main points of the new technical contents are summarized as follows. In addition, although a part or all of the said embodiment is put together as follows as a novel technique, this invention is not necessarily limited to this.

(付記1) 複数のウェブサーバとネットワークを介して相互に接続されたブラックリスト抽出装置であって、
前記各ウェブサーバで記録されたアクセス情報を収集して、これを予め備えられた記憶手段にアクセスログとして記憶させるアクセスログ収集部と、
予め与えられた検知条件に基づいて、前記アクセスログに記録された同一のアクセス元からの複数のウェブサーバに対するアクセス情報から不正アクセスをブラックリストとして抽出する攻撃情報抽出部と、
抽出された前記ブラックリストを出力するブラックリスト出力部と
を有することを特徴とするブラックリスト抽出装置。(Supplementary note 1) A blacklist extraction device connected to a plurality of web servers via a network,
An access log collection unit that collects the access information recorded in each of the web servers, and stores the access information as an access log in a storage unit provided in advance;
Based on detection conditions given in advance, an attack information extraction unit that extracts unauthorized access as a blacklist from access information for a plurality of web servers from the same access source recorded in the access log;
And a black list output unit for outputting the extracted black list.

(付記2) 前記攻撃情報抽出部が、
前記同一のアクセス元から複数の前記ウェブサーバに対して同一の文字列を含むリクエストが前記検知条件で定められた時間範囲内に送信されていることが前記アクセスログから検出された場合に、これを前記不正アクセスとして抽出することを特徴とする、付記1に記載のブラックリスト抽出装置。(Supplementary Note 2) The attack information extraction unit
When it is detected from the access log that a request including the same character string is transmitted from the same access source to the plurality of web servers within the time range defined by the detection condition, The blacklist extraction device according toappendix 1, wherein the blacklist is extracted as the unauthorized access.

(付記3) 前記リクエストにどの開発言語のコマンドが含まれているかを特定し、特定された前記開発言語が前記ウェブサーバの開発言語と異なっているか否かを判定する言語種類判定部を備え、
前記攻撃情報抽出部が前記リクエストと前記ウェブサーバとの間で前記開発言語が異なっている場合にこれを前記ブラックリストとして抽出することを特徴とする、付記2に記載のブラックリスト抽出装置。(Supplementary Note 3) A language type determination unit that determines which development language command is included in the request and determines whether the identified development language is different from the development language of the web server,
The blacklist extraction apparatus according toappendix 2, wherein the attack information extraction unit extracts the development list as the blacklist when the development language differs between the request and the web server.

(付記4) 複数のウェブサーバとネットワークを介して相互に接続されたブラックリスト抽出装置にあって、
前記各ウェブサーバで記録されたアクセス情報をアクセスログ収集部が収集して、これを予め備えられた記憶手段にアクセスログとして記憶させ、
予め与えられた検知条件に基づいて、前記アクセスログに記録された同一のアクセス元からの複数のウェブサーバに対するアクセス情報から不正アクセスを攻撃情報抽出部がブラックリストとして抽出し、
抽出された前記ブラックリストをブラックリスト出力部が出力する
ことを特徴とするブラックリスト抽出方法。(Supplementary Note 4) In a blacklist extraction apparatus connected to a plurality of web servers via a network,
The access log collection unit collects the access information recorded in each of the web servers, and stores it as an access log in a storage unit provided in advance.
Based on the detection condition given in advance, the attack information extraction unit extracts unauthorized access as a blacklist from access information for a plurality of web servers from the same access source recorded in the access log,
A black list extraction method, wherein a black list output unit outputs the extracted black list.

(付記5) 前記不正アクセスを抽出する処理が、
前記同一のアクセス元から複数の前記ウェブサーバに対して同一の文字列を含むリクエストが前記検知条件で定められた時間範囲内に送信されていることが前記アクセスログから検出された場合に、これを前記不正アクセスとして抽出することを特徴とする、付記4に記載のブラックリスト抽出方法。(Supplementary Note 5) The process of extracting the unauthorized access includes
When it is detected from the access log that a request including the same character string is transmitted from the same access source to the plurality of web servers within the time range defined by the detection condition, The blacklist extraction method according toappendix 4, wherein the blacklist is extracted as the unauthorized access.

(付記6) 複数のウェブサーバとネットワークを介して相互に接続されたブラックリスト抽出装置にあって、
前記ブラックリスト抽出装置が備えているコンピュータに、
前記各ウェブサーバで記録されたアクセス情報を収集して、これを予め備えられた記憶手段にアクセスログとして記憶させる手順、
予め与えられた検知条件に基づいて、前記アクセスログに記録された同一のアクセス元からの複数のウェブサーバに対するアクセス情報から不正アクセスをブラックリストとして抽出する手順、
および抽出された前記ブラックリストを出力する手順
を実行させることを特徴とするブラックリスト抽出プログラム。(Supplementary Note 6) In a blacklist extraction apparatus connected to a plurality of web servers via a network,
In the computer provided in the blacklist extraction device,
A procedure for collecting access information recorded in each web server and storing it as an access log in a storage means provided in advance.
A procedure for extracting unauthorized access as a blacklist from access information for a plurality of web servers from the same access source recorded in the access log, based on detection conditions given in advance,
And a black list extraction program for executing a procedure of outputting the extracted black list.

(付記7) 前記不正アクセスを抽出する手順が、
前記同一のアクセス元から複数の前記ウェブサーバに対して同一の文字列を含むリクエストが前記検知条件で定められた時間範囲内に送信されていることが前記アクセスログから検出された場合に、これを前記不正アクセスとして抽出することを特徴とする、付記6に記載のブラックリスト抽出プログラム。(Appendix 7) The procedure for extracting the unauthorized access is as follows:
When it is detected from the access log that a request including the same character string is transmitted from the same access source to the plurality of web servers within the time range defined by the detection condition, The blacklist extraction program according toappendix 6, wherein the program is extracted as the unauthorized access.

本発明は、ウェブサーバに対して適用することが可能である。特に、ウェブアプリケーションファイアウォールを利用して危険性の高いアクセスを遮断する場合に有効である。  The present invention can be applied to a web server. This is particularly effective when a highly dangerous access is blocked using a web application firewall.

10、310 ブラックリスト抽出装置
11 プロセッサ
12 記憶手段
13 通信手段
14 出力手段
20、20a、20b ウェブサーバ
21 ログ採取手段
22 ウェブサービス手段
30 ネットワーク
40、40a、40b、40c クライアントコンピュータ
101 アクセスログ収集部
102、402 攻撃情報抽出部
103 アクセスログ記憶部
104 検知条件記憶部
105 ブラックリスト記憶部
106 ブラックリスト出力部
150 アクセスログ
160 検知条件
170 ブラックリスト
407 言語種類判定部
408 ウェブサーバ情報記憶部
480 ウェブサーバ情報DESCRIPTION OF SYMBOLS 10,310Blacklist extraction apparatus 11Processor 12 Storage means 13 Communication means 14 Output means 20, 20a,20b Web server 21 Log collection means 22 Web service means 30Network 40, 40a, 40b,40c Client computer 101 Accesslog collection part 102 402 Attackinformation extraction unit 103 Accesslog storage unit 104 Detectioncondition storage unit 105Blacklist storage unit 106 Blacklist output unit 150 Access log 160 Detection condition 170Blacklist 407 Languagetype determination unit 408 Web server information storage unit 480 Web server information

Claims (7)

Translated fromJapanese
複数のウェブサーバとネットワークを介して相互に接続されたブラックリスト抽出装置であって、
前記各ウェブサーバで記録されたアクセス情報を収集して、これを予め備えられた記憶手段にアクセスログとして記憶させるアクセスログ収集部と、
予め与えられた検知条件に基づいて、前記アクセスログに記録された同一のアクセス元からの複数のウェブサーバに対するアクセス情報から不正アクセスをブラックリストとして抽出する攻撃情報抽出部と、
抽出された前記ブラックリストを出力するブラックリスト出力部と
を有することを特徴とするブラックリスト抽出装置。A black list extraction device connected to a plurality of web servers via a network,
An access log collection unit that collects the access information recorded in each of the web servers, and stores the access information as an access log in a storage unit provided in advance;
Based on detection conditions given in advance, an attack information extraction unit that extracts unauthorized access as a blacklist from access information for a plurality of web servers from the same access source recorded in the access log;
And a black list output unit for outputting the extracted black list. 前記攻撃情報抽出部が、
前記同一のアクセス元から複数の前記ウェブサーバに対して同一の文字列を含むリクエストが前記検知条件で定められた時間範囲内に送信されていることが前記アクセスログから検出された場合に、これを前記不正アクセスとして抽出することを特徴とする、請求項1に記載のブラックリスト抽出装置。The attack information extraction unit
When it is detected from the access log that a request including the same character string is transmitted from the same access source to the plurality of web servers within the time range defined by the detection condition, The blacklist extraction apparatus according to claim 1, wherein the blacklist is extracted as the unauthorized access. 前記リクエストにどの開発言語のコマンドが含まれているかを特定し、特定された前記開発言語が前記ウェブサーバの開発言語と異なっているか否かを判定する言語種類判定部を備え、
前記攻撃情報抽出部が前記リクエストと前記ウェブサーバとの間で前記開発言語が異なっている場合にこれを前記ブラックリストとして抽出することを特徴とする、請求項2に記載のブラックリスト抽出装置。A language type determination unit that identifies which development language command is included in the request and determines whether the identified development language is different from the development language of the web server,
The black list extraction device according to claim 2, wherein the attack information extraction unit extracts the development list as the black list when the development language is different between the request and the web server. 複数のウェブサーバとネットワークを介して相互に接続されたブラックリスト抽出装置にあって、
前記各ウェブサーバで記録されたアクセス情報をアクセスログ収集部が収集して、これを予め備えられた記憶手段にアクセスログとして記憶させ、
予め与えられた検知条件に基づいて、前記アクセスログに記録された同一のアクセス元からの複数のウェブサーバに対するアクセス情報から不正アクセスを攻撃情報抽出部がブラックリストとして抽出し、
抽出された前記ブラックリストをブラックリスト出力部が出力する
ことを特徴とするブラックリスト抽出方法。In a blacklist extraction device connected to a plurality of web servers via a network,
The access log collection unit collects the access information recorded in each of the web servers, and stores it as an access log in a storage unit provided in advance.
Based on the detection condition given in advance, the attack information extraction unit extracts unauthorized access as a blacklist from access information for a plurality of web servers from the same access source recorded in the access log,
A black list extraction method, wherein a black list output unit outputs the extracted black list. 前記不正アクセスを抽出する処理が、
前記同一のアクセス元から複数の前記ウェブサーバに対して同一の文字列を含むリクエストが前記検知条件で定められた時間範囲内に送信されていることが前記アクセスログから検出された場合に、これを前記不正アクセスとして抽出することを特徴とする、請求項4に記載のブラックリスト抽出方法。The process of extracting the unauthorized access is:
When it is detected from the access log that a request including the same character string is transmitted from the same access source to the plurality of web servers within the time range defined by the detection condition, The blacklist extraction method according to claim 4, wherein the blacklist is extracted as the unauthorized access. 複数のウェブサーバとネットワークを介して相互に接続されたブラックリスト抽出装置にあって、
前記ブラックリスト抽出装置が備えているコンピュータに、
前記各ウェブサーバで記録されたアクセス情報を収集して、これを予め備えられた記憶手段にアクセスログとして記憶させる手順、
予め与えられた検知条件に基づいて、前記アクセスログに記録された同一のアクセス元からの複数のウェブサーバに対するアクセス情報から不正アクセスをブラックリストとして抽出する手順、
および抽出された前記ブラックリストを出力する手順
を実行させることを特徴とするブラックリスト抽出プログラム。In a blacklist extraction device connected to a plurality of web servers via a network,
In the computer provided in the blacklist extraction device,
A procedure for collecting access information recorded in each web server and storing it as an access log in a storage means provided in advance.
A procedure for extracting unauthorized access as a blacklist from access information for a plurality of web servers from the same access source recorded in the access log, based on detection conditions given in advance,
And a black list extraction program for executing a procedure of outputting the extracted black list. 前記不正アクセスを抽出する手順が、
前記同一のアクセス元から複数の前記ウェブサーバに対して同一の文字列を含むリクエストが前記検知条件で定められた時間範囲内に送信されていることが前記アクセスログから検出された場合に、これを前記不正アクセスとして抽出することを特徴とする、請求項6に記載のブラックリスト抽出プログラム。The procedure for extracting the unauthorized access includes:
When it is detected from the access log that a request including the same character string is transmitted from the same access source to the plurality of web servers within the time range defined by the detection condition, The blacklist extraction program according to claim 6, wherein the blacklist is extracted as the unauthorized access.
JP2012011601A2012-01-242012-01-24 Blacklist extraction apparatus, extraction method and extraction programExpired - Fee RelatedJP5656266B2 (en)

Priority Applications (1)

Application NumberPriority DateFiling DateTitle
JP2012011601AJP5656266B2 (en)2012-01-242012-01-24 Blacklist extraction apparatus, extraction method and extraction program

Applications Claiming Priority (1)

Application NumberPriority DateFiling DateTitle
JP2012011601AJP5656266B2 (en)2012-01-242012-01-24 Blacklist extraction apparatus, extraction method and extraction program

Publications (2)

Publication NumberPublication Date
JP2013152497Atrue JP2013152497A (en)2013-08-08
JP5656266B2 JP5656266B2 (en)2015-01-21

Family

ID=49048811

Family Applications (1)

Application NumberTitlePriority DateFiling Date
JP2012011601AExpired - Fee RelatedJP5656266B2 (en)2012-01-242012-01-24 Blacklist extraction apparatus, extraction method and extraction program

Country Status (1)

CountryLink
JP (1)JP5656266B2 (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication numberPriority datePublication dateAssigneeTitle
CN109658086A (en)*2018-11-292019-04-19四川商通实业有限公司A kind of blacklist processing method and its system based on POS machine
JP2021022358A (en)*2019-07-262021-02-18広東叡江云計算股▲分▼有限公司Guangdong Eflycloud Computing Co., LtdStand-alone sql injection protection analysis notification method based on php and system thereof
CN112861119A (en)*2019-11-272021-05-28郭东林Method and system for defending hacker from slowly colliding or blasting attack on database
US11200338B2 (en)*2019-03-152021-12-14ZenPayroll, Inc.Tagging and auditing sensitive information in a database environment
CN113992623A (en)*2021-11-192022-01-28四川大学Webpage mail XSS detection method based on mail content and source code information
US11455424B2 (en)2019-03-152022-09-27ZenPayroll, Inc.Tagging and auditing sensitive information in a database environment
CN115694944A (en)*2022-10-252023-02-03成都知道创宇信息技术有限公司 Attack defense method, device, protective equipment and readable storage medium

Citations (7)

* Cited by examiner, † Cited by third party
Publication numberPriority datePublication dateAssigneeTitle
JPH11119927A (en)*1997-10-161999-04-30Mitsubishi Electric Corp Printer device
JP2001144755A (en)*1999-11-122001-05-25Kawasaki Steel Corp Received packet processing device and received packet processing program storage medium
JP2002176454A (en)*2000-12-052002-06-21Nec CorpPacket transfer controller, packet transfer control method and packet transfer control system
JP2002342279A (en)*2001-03-132002-11-29Fujitsu Ltd Filtering device, filtering method, and program for causing computer to execute this method
JP2004030286A (en)*2002-06-262004-01-29Ntt Data CorpIntrusion detection system and intrusion detection program
JP2008146660A (en)*2001-03-132008-06-26Fujitsu Ltd Filtering apparatus, filtering method, and program causing computer to execute the method
JP2011144755A (en)*2010-01-152011-07-28Maruyama Mfg Co LtdControl lever mounting structure

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication numberPriority datePublication dateAssigneeTitle
JPH11119927A (en)*1997-10-161999-04-30Mitsubishi Electric Corp Printer device
JP2001144755A (en)*1999-11-122001-05-25Kawasaki Steel Corp Received packet processing device and received packet processing program storage medium
JP2002176454A (en)*2000-12-052002-06-21Nec CorpPacket transfer controller, packet transfer control method and packet transfer control system
JP2002342279A (en)*2001-03-132002-11-29Fujitsu Ltd Filtering device, filtering method, and program for causing computer to execute this method
JP2008146660A (en)*2001-03-132008-06-26Fujitsu Ltd Filtering apparatus, filtering method, and program causing computer to execute the method
JP2008152791A (en)*2001-03-132008-07-03Fujitsu Ltd Filtering apparatus, filtering method, and program causing computer to execute the method
JP2004030286A (en)*2002-06-262004-01-29Ntt Data CorpIntrusion detection system and intrusion detection program
JP2011144755A (en)*2010-01-152011-07-28Maruyama Mfg Co LtdControl lever mounting structure

Cited By (10)

* Cited by examiner, † Cited by third party
Publication numberPriority datePublication dateAssigneeTitle
CN109658086A (en)*2018-11-292019-04-19四川商通实业有限公司A kind of blacklist processing method and its system based on POS machine
US11200338B2 (en)*2019-03-152021-12-14ZenPayroll, Inc.Tagging and auditing sensitive information in a database environment
US11455424B2 (en)2019-03-152022-09-27ZenPayroll, Inc.Tagging and auditing sensitive information in a database environment
US11775678B2 (en)2019-03-152023-10-03ZenPayroll, Inc.Tagging and auditing sensitive information in a database environment
US11947704B2 (en)2019-03-152024-04-02ZenPayroll, Inc.Tagging and auditing sensitive information in a database environment
US12314438B2 (en)2019-03-152025-05-27ZenPayroll, Inc.Tagging and auditing sensitive information in a database environment
JP2021022358A (en)*2019-07-262021-02-18広東叡江云計算股▲分▼有限公司Guangdong Eflycloud Computing Co., LtdStand-alone sql injection protection analysis notification method based on php and system thereof
CN112861119A (en)*2019-11-272021-05-28郭东林Method and system for defending hacker from slowly colliding or blasting attack on database
CN113992623A (en)*2021-11-192022-01-28四川大学Webpage mail XSS detection method based on mail content and source code information
CN115694944A (en)*2022-10-252023-02-03成都知道创宇信息技术有限公司 Attack defense method, device, protective equipment and readable storage medium

Also Published As

Publication numberPublication date
JP5656266B2 (en)2015-01-21

Similar Documents

PublicationPublication DateTitle
CN110719291B (en)Network threat identification method and identification system based on threat information
US9300682B2 (en)Composite analysis of executable content across enterprise network
EP3588898B1 (en)Defense against apt attack
US10505986B1 (en)Sensor based rules for responding to malicious activity
US8024804B2 (en)Correlation engine for detecting network attacks and detection method
CN107659583B (en)Method and system for detecting attack in fact
JP5656266B2 (en) Blacklist extraction apparatus, extraction method and extraction program
US10033761B2 (en)System and method for monitoring falsification of content after detection of unauthorized access
Wang et al.NetSpy: Automatic generation of spyware signatures for NIDS
CN108369541B (en) System and method for threat risk scoring of security threats
CN105306467B (en)The analysis method and device that web data is distorted
WO2018066221A1 (en)Classification device, classification method, and classification program
JPWO2016121348A1 (en) Anti-malware device, anti-malware system, anti-malware method, and anti-malware program
CN110868403B (en)Method and equipment for identifying advanced persistent Attack (APT)
JP5752642B2 (en) Monitoring device and monitoring method
JP6623128B2 (en) Log analysis system, log analysis method, and log analysis device
Souza et al.A hybrid approach for malware detection in SDN‐enabled IoT scenarios
US20170054742A1 (en)Information processing apparatus, information processing method, and computer readable medium
Kumar et al.A zero-day resistant malware detection method for securing cloud using SVM and sandboxing techniques
CN118233207A (en)Network security threat detection method and device and computer program product
US20240039939A1 (en)Computer-readable recording medium storing attack situation output program, attack situation output device, and attack situation output system
BernardoTargeted attack detection by means of free and open source solutions
US12079335B2 (en)System context database management
Takata et al.Fine-grained analysis of compromised websites with redirection graphs and javascript traces
GuanAn Empirical Study of JavaScript Inclusion Security Issues in Chrome Extensions

Legal Events

DateCodeTitleDescription
A621Written request for application examination

Free format text:JAPANESE INTERMEDIATE CODE: A621

Effective date:20130515

A977Report on retrieval

Free format text:JAPANESE INTERMEDIATE CODE: A971007

Effective date:20140129

A131Notification of reasons for refusal

Free format text:JAPANESE INTERMEDIATE CODE: A131

Effective date:20140204

A521Request for written amendment filed

Free format text:JAPANESE INTERMEDIATE CODE: A523

Effective date:20140226

A711Notification of change in applicant

Free format text:JAPANESE INTERMEDIATE CODE: A712

Effective date:20140616

A02Decision of refusal

Free format text:JAPANESE INTERMEDIATE CODE: A02

Effective date:20140805

A521Request for written amendment filed

Free format text:JAPANESE INTERMEDIATE CODE: A523

Effective date:20140911

A911Transfer to examiner for re-examination before appeal (zenchi)

Free format text:JAPANESE INTERMEDIATE CODE: A911

Effective date:20141007

TRDDDecision of grant or rejection written
A01Written decision to grant a patent or to grant a registration (utility model)

Free format text:JAPANESE INTERMEDIATE CODE: A01

Effective date:20141028

A61First payment of annual fees (during grant procedure)

Free format text:JAPANESE INTERMEDIATE CODE: A61

Effective date:20141120

R150Certificate of patent or registration of utility model

Ref document number:5656266

Country of ref document:JP

Free format text:JAPANESE INTERMEDIATE CODE: R150

LAPSCancellation because of no payment of annual fees
[8]ページ先頭
©2009-2025 Movatter.jp