JP2006155124A - Monitoring program, computer-readable recording medium with the program memorized thereon, and server and monitoring apparatus with the program stored therein - Google Patents
Monitoring program, computer-readable recording medium with the program memorized thereon, and server and monitoring apparatus with the program stored therein Download PDFInfo
- Publication number
- JP2006155124A JP2006155124A JP2004343444A JP2004343444A JP2006155124A JP 2006155124 A JP2006155124 A JP 2006155124A JP 2004343444 A JP2004343444 A JP 2004343444A JP 2004343444 A JP2004343444 A JP 2004343444A JP 2006155124 A JP2006155124 A JP 2006155124A
- Authority
- JP
- Japan
- Prior art keywords
- unauthorized access
- risk
- server
- log
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、ネットワークに接続されたサーバに対して不正アクセスがあるか否かを検出するための監視プログラム、これを記憶したコンピュータ読み取り可能な記録媒体、並びに前記監視プログラムが格納されたサーバ及び監視装置に関する。 The present invention relates to a monitoring program for detecting whether or not there is unauthorized access to a server connected to a network, a computer-readable recording medium storing the monitoring program, a server storing the monitoring program, and monitoring Relates to the device.
近年、ネットワークに接続されたコンピュータに対して不正なアクセスが行われ、当該コンピュータ内に格納されたデータが消去されたり、改竄されたり、閲覧されるといったことが大きな社会問題となっている。 In recent years, it has become a big social problem that unauthorized access is made to a computer connected to a network, and data stored in the computer is erased, altered, or viewed.
このような不正アクセスを検出するには、例えば、当該コンピュータの処理に係るログを解析することが有効であるが、その量が膨大であることや、ソフトウェア毎にログの形式が異なるため、相当の熟練者でなければ効率的な解析を行うことができないという問題があった。また、このログは、不正アクセスを行った者によって消去されたり、改竄されるという危険性もある。 In order to detect such unauthorized access, for example, it is effective to analyze a log related to the processing of the computer, but the amount is enormous and the format of the log differs depending on the software. There was a problem that efficient analysis would not be possible unless one skilled in the art. There is also a risk that this log may be deleted or tampered with by an unauthorized person.
そこで、従来、このような問題を解消すべく、例えば、特開2003−99295号公報に開示されたようなログ処理システムが提案されている。このログ処理システムは、各種のサーバと監視装置とをネットワークを介しそれぞれ接続して構成されるもので、各種のサーバは、これにネットワークを介して接続したクライアントに対し所定の処理を行うとともに、当該処理における通信ログ(通信履歴)を生成して監視装置に送信するように構成され、監視装置は、各サーバから送信された通信ログをそれぞれ受信し、受信した通信ログの形式を統一してデータベースにそれぞれ格納するとともに、これに格納したデータが所定量を超えると、当該データを、前記各サーバ毎にそれぞれ設けられた適宜記録媒体に転送して格納するように構成される。 Therefore, conventionally, in order to solve such a problem, for example, a log processing system as disclosed in JP-A-2003-99295 has been proposed. This log processing system is configured by connecting various servers and monitoring devices via a network, and various servers perform predetermined processing for clients connected to the network via a network, A communication log (communication history) in the process is generated and transmitted to the monitoring device. The monitoring device receives the communication log transmitted from each server, and unifies the format of the received communication log. Each of the data is stored in the database, and when the data stored in the database exceeds a predetermined amount, the data is transferred to an appropriate recording medium provided for each server and stored.
このログ処理システムによれば、各サーバでそれぞれ生成された通信ログの形式が統一されてデータベース(監視装置)に格納されるので、当該各サーバを管理する管理者は、データベースに格納された通信ログを容易に解析することができ、また、前記通信ログがデータベースに格納されたり、前記通信ログがデータベースから転送されて記録媒体に格納されるので、各サーバに対し不正アクセスを行った者によって消去されたり、改竄されていない通信ログを記憶させることができ、更に、前記記録媒体を適宜保管しておくことで、過去の通信ログをいつでも容易に確認することができる。 According to this log processing system, since the format of the communication log generated by each server is unified and stored in the database (monitoring device), the administrator who manages each server can manage the communication stored in the database. The log can be easily analyzed, and the communication log is stored in a database, or the communication log is transferred from the database and stored in a recording medium. A communication log that has not been erased or tampered with can be stored, and the past communication log can be easily confirmed at any time by appropriately storing the recording medium.
しかしながら、上記従来のログ処理システムにおいても、前記管理者が通信ログを解析して不正アクセスを検出するため、前記管理者の技術力が高くなければ、通信ログを効率的に解析することはできず、しかも、不正アクセスを見落とす危険性がある。更に、通信ログの解析に時間がかかると、不正アクセスを検出した時の対応が遅くなって、より大きな問題へと発展する可能性もある。 However, even in the conventional log processing system described above, the administrator analyzes the communication log to detect unauthorized access, and therefore the communication log can be efficiently analyzed unless the technical skill of the administrator is high. Moreover, there is a risk of overlooking unauthorized access. Furthermore, if it takes a long time to analyze the communication log, the response when an unauthorized access is detected becomes slow, which may lead to a larger problem.
本発明は、以上の実情に鑑みなされたものであって、不正アクセスの検出を効率的且つ正確に行うとともに、当該不正アクセスに対する安全性をより高めることができる監視プログラム、これを記憶したコンピュータ読み取り可能な記録媒体、並びに前記監視プログラムが格納されたサーバ及び監視装置の提供をその目的とする。 The present invention has been made in view of the above circumstances, and it is possible to efficiently and accurately detect unauthorized access, and to further increase the safety against unauthorized access, and to read a computer storing this An object of the present invention is to provide a possible recording medium, a server storing the monitoring program, and a monitoring device.
上記目的を達成するための本発明は、
ネットワークを介してクライアントと接続可能に構成されたサーバであって、前記クライアントからの要求があるか否かを随時監視し、該要求があると、まず、該要求を受け付け可能なクライアントであるか否かを確認して、受け付け可能なクライアントである場合には、該要求に対応したサービスを前記クライアントに提供する提供処理を行うとともに、該提供処理に係るログを生成するログ生成処理を行うサービス提供手段と、前記サービス提供手段のログ生成処理で生成されたログを記憶するログ記憶手段と、前記サービス提供手段を制御して、該サービス提供手段における処理を起動させた状態又は停止させた状態にする起動制御手段とを備えたサーバを、更に、
前記ログ記憶手段に格納されたログを解析して、予め登録された検出パターンと一致する部分がある否かを確認し、一致する部分があることを確認した場合に、不正なアクセスがあったと判断する不正アクセス検出手段と、
前記不正アクセス検出手段によって不正アクセスが検出されると、その旨を前記サーバの管理者に通知する通知手段としても機能させるための監視プログラムに係る。
To achieve the above object, the present invention provides:
A server configured to be connectable to a client via a network, and monitors whether or not there is a request from the client, and if there is a request, first, is the client capable of accepting the request? If it is a client that can accept the request, a service that provides a service corresponding to the request to the client and a log generation process that generates a log related to the provision process Providing means, log storage means for storing a log generated by the log generation processing of the service providing means, and a state in which the service providing means is controlled to start or stop the processing in the service providing means A server comprising start control means for
Analyzing the log stored in the log storage means to check whether there is a part that matches a pre-registered detection pattern, and if there is a part that matches, there is an unauthorized access Unauthorized access detection means to determine;
When unauthorized access is detected by the unauthorized access detection means, the monitoring program for functioning also as a notification means for notifying the administrator of the server to that effect.
この監視プログラムによれば、オペレーティングシステムや少なくとも一つのサーバアプリケーションプログラムなどが予め格納され、例えば、WWWサーバやFTPサーバ、メールサーバなどとして機能するサーバに、当該監視プログラムが格納されると、このサーバは、サービス提供手段,ログ記憶手段及び起動制御手段として動作する他、不正アクセス検出手段及び通知手段としても動作する。 According to this monitoring program, an operating system, at least one server application program, and the like are stored in advance. For example, when the monitoring program is stored in a server that functions as a WWW server, FTP server, mail server, or the like, this server Operates as service providing means, log storage means and activation control means, as well as unauthorized access detection means and notification means.
即ち、当該サーバでは、起動制御手段によって、サービス提供手段における処理が起動した状態又は停止した状態に制御され、サービス提供手段における処理が起動した状態にあるときには、当該サービス提供手段によって、クライアントからの要求があるか否かが随時監視され、当該要求があると、まず、当該要求を受け付け可能なクライアントであるか否かが確認されて、受け付け可能なクライアントである場合には、当該要求に対応したサービス(前記WWWサーバやFTPサーバ、メールサーバなどとしてのサービス)を前記クライアントに提供する提供処理が行われるとともに、当該提供処理に係るログを生成するログ生成処理が行われ、ログ生成処理で生成されたログがログ記憶手段に格納される。 That is, in the server, the activation control unit controls the process in the service providing unit to be activated or stopped. When the process in the service providing unit is activated, the service providing unit causes the client to Whether or not there is a request is monitored at any time, and if there is a request, first, it is confirmed whether or not the client can accept the request. Provided service (service as the WWW server, FTP server, mail server, etc.) to the client is performed, and log generation processing for generating a log related to the provision processing is performed. The generated log is stored in the log storage means.
尚、前記ログには、例えば、アクセス(要求)があった日時、アクセスしたクライアントのアドレス、アクセスするために入力されたID番号及びパスワード、アクセスが成功したか否か(アクセス許可されたクライアントからのアクセスであったか否か)といった、前記提供処理実行時の各種情報が含まれる。 The log includes, for example, the date and time of access (request), the address of the accessed client, the ID number and password entered for access, and whether or not the access was successful (from the client permitted to access). And the like, whether or not the access process was performed).
ログ記憶手段に格納されたログは、不正アクセス検出手段により解析されて、予め登録された検出パターンと一致する部分がある否かが確認され、一致する部分があることが確認された場合に、不正なアクセスがあったと判断される。そして、不正アクセス検出手段によって不正アクセスが検出されると、その旨が、通知手段によってサーバの管理者に通知される。 When the log stored in the log storage means is analyzed by the unauthorized access detection means, it is confirmed whether there is a part that matches the detection pattern registered in advance, and if there is a part that matches, It is determined that there was unauthorized access. Then, when unauthorized access is detected by the unauthorized access detection means, the notification is notified to the server administrator.
このように、この監視プログラムによれば、これがサーバに格納されることで、当該サーバを、不正アクセスを検出する不正アクセス検出手段、及び不正アクセスを検出した旨をサーバの管理者に通知する通知手段として機能させて、不正アクセスを効率的且つ正確に検出し、その旨を管理者に知らせることができるので、不正アクセスがあったことを知った管理者は、当該不正アクセスを検出した(不正アクセスがあった)後の対策を素早く採り、不正アクセスによって生じる問題を最小限に抑えることができる。また、不正アクセスの知識やログを解析する技術力がほとんどない未熟な管理者であっても、サーバの管理に精通した人と同様に、サーバの管理を十分に行うことができる。 Thus, according to this monitoring program, when this is stored in the server, the server detects unauthorized access detecting means for detecting unauthorized access, and a notification for notifying the server administrator that unauthorized access has been detected. It can function as a means to detect unauthorized access efficiently and accurately and notify the administrator to that effect, so that an administrator who has found that unauthorized access has detected the unauthorized access (unauthorized access) It is possible to quickly take countermeasures after access) and minimize problems caused by unauthorized access. In addition, even an immature administrator who has little technical knowledge to analyze unauthorized access knowledge and logs can manage the server sufficiently as well as those who are familiar with server management.
尚、前記通知手段は、前記不正アクセス検出手段によって不正アクセスが検出されると、警告信号を、前記サーバの出力手段、又は、前記ネットワークを介して接続される、前記管理者側に配置されたクライアントの出力手段に出力するように構成されていても良い。 The notification means is arranged on the administrator side, which is connected via the output means of the server or the network when an unauthorized access is detected by the unauthorized access detection means. You may be comprised so that it may output to the output means of a client.
このようにすれば、管理者は、例えば、アラーム音が出力されたり、画面表示の一部が点滅するなど、サーバの出力手段や管理者側のクライアントの出力手段に出力される警告信号により、不正アクセスがあった旨を認識することができる。尚、近年では、サーバは、データ管理センタなどで集中管理されるのではなく、管理者の身近に置かれることも多くなってきており、サーバが出力した警告信号に管理者は容易に気付くことができる。 In this way, the administrator can use an alarm signal output to the output means of the server or the output means of the client on the administrator side, for example, an alarm sound is output or a part of the screen display blinks, It is possible to recognize that there has been unauthorized access. In recent years, servers are not managed centrally by a data management center or the like, but are often placed near the administrator, and the administrator can easily notice the warning signal output by the server. Can do.
また、前記通知手段は、前記不正アクセス検出手段によって不正アクセスが検出されると、その旨の警告メッセージを生成して、生成した警告メッセージを、前記サーバの画面表示手段に画面表示するように、又は、前記ネットワークを介して接続される、前記管理者側に配置されたクライアントに送信するように構成されていても良い。 Further, when unauthorized access is detected by the unauthorized access detection means, the notification means generates a warning message to that effect, and displays the generated warning message on the screen display means of the server. Or you may be comprised so that it may transmit to the client arrange | positioned on the said manager side connected via the said network.
このようにすれば、管理者は、サーバの画面表示手段に画面表示された警告メッセージを確認したり、管理者側のクライアントに送信された警告メッセージを当該クライアントの画面表示手段に画面表示させることなどにより、不正アクセスがあった旨を認識することができる。 In this way, the administrator can check the warning message displayed on the screen display means of the server or display the warning message sent to the client on the administrator side on the screen display means of the client. Thus, it can be recognized that there has been unauthorized access.
これらの場合において、前記監視プログラムは、前記サーバを、更に、前記サーバに問題が起きる危険性を複数の段階で示した危険度を前記検出パターン毎に記憶する危険度記憶手段としても機能させ、前記不正アクセス検出手段は、不正アクセスを検出すると、該不正アクセス検出の基になった検出パターンと、前記危険度記憶手段に格納されたデータとから、前記危険度を認識するように構成され、前記通知手段は、前記不正アクセス検出手段によって認識された危険度に応じて前記警告信号の出力を異ならせるように、又は、認識された危険度が一定水準よりも高いときにのみ前記警告信号を出力するように構成されていたり、前記不正アクセス検出手段によって認識された危険度を含む前記警告メッセージを生成するように、又は、認識された危険度が一定水準よりも高いときにのみ、認識された危険度を含む前記警告メッセージを生成するように構成されていても良い。 In these cases, the monitoring program further causes the server to function as a risk storage unit that stores, for each detection pattern, a risk indicating the risk that the server may have a problem in a plurality of stages. The unauthorized access detection means is configured to recognize the risk level from a detection pattern based on the unauthorized access detection and data stored in the risk level storage means when detecting unauthorized access. The notification means changes the output of the warning signal according to the risk level recognized by the unauthorized access detection means, or the warning signal is output only when the recognized risk level is higher than a certain level. Generating the warning message that is configured to output, including the degree of risk recognized by the unauthorized access detection means, or Only when identified by the risk is higher than a predetermined level, it may be configured to generate the alert message including the recognized risk.
不正アクセスの手口は、当該不正アクセスによってサーバに問題が起きる危険性(危険度)の低いものから高いものまで様々なものがあり、危険度の低い不正アクセスを検出したときまでその旨を管理者に通知すると、管理者が却って混乱する恐れがある。また、危険度の低い不正アクセスは頻繁に行われている可能性があり、これを管理者に逐一通知すると、管理者がこれに煩わされて他の作業を行うことができなくなる恐れもある。 There are various types of unauthorized access, ranging from low to high risk (risk) of causing a problem to the server due to the unauthorized access, until the administrator detects that unauthorized access is low. The administrator may be confused on the contrary. Further, there is a possibility that unauthorized access with a low risk level is frequently performed. If this is notified to the administrator one by one, the administrator may be bothered by this and cannot perform other operations.
そこで、上記のように、通知手段が、危険度に応じて前記警告信号の出力を異ならせたり(例えば、アラーム音の大きさを変化させたり、アラーム音の種類を変えたり、画面表示の一部の点滅間隔を変化させたり)、危険度を含む警告メッセージを生成したり、危険度が一定水準よりも高いときにのみ警告信号の出力や、危険度を含む警告メッセージの生成を行うようにすれば、管理者は、不正アクセスの危険度を容易に認識することができるので、上記のような問題を効果的に解消することができる。 Therefore, as described above, the notification means changes the output of the warning signal according to the degree of danger (for example, changes the size of the alarm sound, changes the type of the alarm sound, Change the blinking interval of the part), generate a warning message including the danger level, or output a warning signal or generate a warning message including the danger level only when the danger level is higher than a certain level By doing so, the administrator can easily recognize the risk of unauthorized access, so that the above problems can be effectively solved.
また、前記監視プログラムは、前記サーバを、更に、前記不正アクセス検出手段によって不正アクセスが検出されると、前記サービス提供手段における処理を停止若しくは再起動させるための信号を前記起動制御手段に送信する、及び/又は、前記不正アクセス検出手段のログ解析により認識される不正アクセスを行ったクライアントからの要求を受け付けないようにさせるための信号を前記サービス提供手段に送信する対策手段としても機能させるように構成されていることが好ましい。 The monitoring program further transmits a signal for stopping or restarting the processing in the service providing unit to the activation control unit when unauthorized access is detected by the unauthorized access detecting unit. And / or function as countermeasure means for transmitting a signal to the service providing means so as not to accept a request from a client who has made an unauthorized access recognized by log analysis of the unauthorized access detecting means. It is preferable that it is comprised.
このようにすれば、前記不正アクセス検出手段によって不正アクセスが検出されると、対策手段によって、起動制御手段を介してサービス提供手段における処理(提供処理及びログ生成処理)を停止させ、外部からの要求を受け付けないようにしたり、当該処理を再起動させたり、サービス提供手段が不正アクセスを行ったクライアントからの要求を受け付けないようにアクセス制御を行うことができるので、例えば、管理者の不在中に不正アクセスがあったときや、遠隔地のサーバに対して不正アクセスがあったときなど、管理者がすぐに対応することができない場合に効果的である。これにより、不正アクセスの検出(発生)からその対策を採るまでの時間を最短にし、不正アクセスによってサーバに生じる問題を最小限に抑えることができる。 In this way, when unauthorized access is detected by the unauthorized access detection means, the countermeasure means stops processing (providing processing and log generation processing) in the service providing means via the activation control means, and externally Since access control can be performed so that requests are not accepted, the process is restarted, or requests from clients that have made unauthorized access by the service providing means are not accepted, for example, while the administrator is absent This is effective when the administrator cannot respond immediately, such as when there is unauthorized access to the server or when there is unauthorized access to a remote server. As a result, it is possible to minimize the time from detection (occurrence) of unauthorized access to taking countermeasures, and to minimize problems caused to the server due to unauthorized access.
また、前記監視プログラムは、前記サーバを、更に、前記サーバに問題が起きる危険性を複数の段階で示した危険度を前記検出パターン毎に記憶する危険度記憶手段と、前記サービス提供手段における処理を起動させた状態にする、停止させる、再起動させる、前記不正アクセス検出手段のログ解析により認識される不正アクセスを行ったクライアントからの要求を受け付けないようにさせるの内の少なくとも一つと前記各危険度とをそれぞれ相互に関連付けて記憶する対策記憶手段と、前記対策記憶手段に格納されたデータを参照して前記危険度に応じた処理を実行する対策手段としても機能させ、前記不正アクセス検出手段は、不正アクセスを検出すると、該不正アクセス検出の基になった検出パターンと、前記危険度記憶手段に格納されたデータとから、前記危険度を認識するように構成され、前記対策手段は、前記不正アクセス検出手段によって認識された危険度を基に前記対策記憶手段に格納されたデータを参照して該危険度に応じた対策を認識し、認識した対策が前記サービス提供手段における処理を停止又は再起動させることである場合には、前記サービス提供手段における処理を停止又は再起動させるための信号を前記起動制御手段に送信し、認識した対策が不正アクセスを行ったクライアントからの要求を受け付けないようにさせることである場合には、該クライアントからの要求を受け付けないようにさせるための信号を前記サービス提供手段に送信するように構成されていても良く、このようにすれば、危険度に応じて予め設定した最適な対策を自動的に採ることができる。 In addition, the monitoring program further includes a risk storage unit that stores, for each of the detection patterns, a risk level that indicates a risk that a problem may occur in the server in a plurality of stages, and a process in the service providing unit. And at least one of making the request from the client that performed unauthorized access recognized by log analysis of the unauthorized access detection means not accepted, and Countermeasure storage means for storing the risk levels in association with each other, and functioning as a countermeasure means for referring to data stored in the countermeasure storage means to execute processing according to the risk level, and detecting the unauthorized access When the means detects unauthorized access, the means stores the detection pattern on which the unauthorized access is detected and the risk storage means. And the countermeasure means refers to the data stored in the countermeasure storage means on the basis of the risk recognized by the unauthorized access detection means. If a measure corresponding to the degree is recognized and the recognized measure is to stop or restart the process in the service providing unit, a signal for stopping or restarting the process in the service providing unit is started. If the countermeasure transmitted to the control means and the recognized countermeasure is to prevent the request from the client who performed unauthorized access from being accepted, a signal for preventing the request from the client from being received is provided by the service. It may be configured to transmit to the means, and in this way, the optimum countermeasure set in advance according to the degree of risk is automatically taken. It is possible.
また、前記サーバを、ネットワークを介してクライアント及び監視装置と接続可能に構成するとともに、前記監視プログラムを、前記サーバがサーバ側のログ記憶手段に格納されたログを前記監視装置に送信するように、前記監視装置がサーバから送信されたログを受信して、上記と同様に、不正アクセスの検出やその旨の通知、不正アクセス検出時の対策を行うように構成することもできる。 Further, the server is configured to be connectable to a client and a monitoring device via a network, and the monitoring program is configured so that the server transmits a log stored in server-side log storage means to the monitoring device. The monitoring device can also be configured to receive a log transmitted from the server and detect unauthorized access, notify to that effect, and take measures when unauthorized access is detected, as described above.
また、本発明は、上記監視プログラムを記憶したコンピュータ読み取り可能な記録媒体に係り、更に、上記監視プログラムが格納され、該監視プログラムが動作可能に構成されたサーバ又は監視装置に係る。 The present invention also relates to a computer-readable recording medium storing the monitoring program, and further relates to a server or a monitoring apparatus in which the monitoring program is stored and configured to be operable.
以上、詳述したように、本発明に係る監視プログラム,コンピュータ読み取り可能な記録媒体,サーバ及び監視装置によれば、不正アクセスの検出を効率的且つ正確に行うとともに、当該不正アクセスに対する安全性をより高めることができる。 As described above in detail, according to the monitoring program, the computer-readable recording medium, the server, and the monitoring apparatus according to the present invention, the unauthorized access can be detected efficiently and accurately, and the safety against the unauthorized access can be improved. Can be increased.
以下、本発明の具体的な実施形態について、添付図面に基づき説明する。図1は、本発明の一実施形態に係る監視システムの概略構成を示したブロック図であり、図2は、本実施形態に係るサーバの概略構成を示したブロック図である。 Hereinafter, specific embodiments of the present invention will be described with reference to the accompanying drawings. FIG. 1 is a block diagram illustrating a schematic configuration of a monitoring system according to an embodiment of the present invention, and FIG. 2 is a block diagram illustrating a schematic configuration of a server according to the present embodiment.
図1に示すように、本例の監視システム1は、サーバ10と、このサーバ10を管理する管理者側に配置された管理者側クライアント5と、ユーザ側に配置された複数のユーザ側クライアント6とが、インターネットなどのネットワーク7を介し相互に接続されて構成される。
As shown in FIG. 1, the
前記サーバ10には、オペレーティングシステム、例えば、WWWサーバ,FTPサーバ及びメールサーバなどとして機能させるための複数のサーバアプリケーションプログラム、当該サーバ10に対し不正なアクセスがあるか否かを検出して、管理者への通知及び対策を行うための監視プログラム、前記各サーバアプリケーションプログラム及び監視プログラムの実行処理時に生成されたログを収集して蓄積する収集・蓄積プログラムなどが予めインストールされている。
The
そして、前記サーバ10は、これらの各プログラムなどによって、起動データ記憶部11,起動制御部12,サービス提供部13,アクセスデータ記憶部14,第1ログ記憶部15,ログ収集部16,ログデータベース17,検出パターン記憶部18,危険度記憶部19,不正アクセス検出部20,第2ログ記憶部21,ログ転送部22,対策記憶部23,不正アクセス通知部24,不正アクセス対策部25及び集計データ生成部26として動作する。
Then, the
また、前記サーバ10は、通信インターフェース30,入出力インターフェース31,入力装置32及び画面表示装置33を備え、この通信インターフェース30を介して前記ネットワーク7に接続しており、前記入出力インターフェース31には、入力装置32及び画面表示装置33が接続している。
The
尚、前記監視プログラムは、サーバ10を、前記検出パターン記憶部18,危険度記憶部19,不正アクセス検出部20,第2ログ記憶部21,対策記憶部23,不正アクセス通知部24及び不正アクセス対策部25として機能させ、前記収集・蓄積プログラムは、サーバ10を、ログ収集部16,ログデータベース17及びログ転送部22として機能させる。
Note that the monitoring program causes the
また、前記起動データ記憶部11及び起動制御部12は、特許請求の範囲に言う起動制御手段として、前記サービス提供部13及びアクセスデータ記憶部14は、特許請求の範囲に言うサービス提供手段として、前記検出パターン記憶部18及び不正アクセス検出部20は、特許請求の範囲に言う不正アクセス検出手段として機能する。
The activation
前記起動データ記憶部11には、各サーバアプリケーションプログラムを前記サービス提供部13が実行することによって行われる処理(WWWサーバとしての処理,FTPサーバとしての処理及びメールサーバとしての処理)毎に、これを起動させた状態にするのか、停止させた状態にするのかをそれぞれ示したデータが、例えば、図3に示すようなデータテーブルとして格納されており、このデータは、入力装置32及び画面表示装置33を介して入力,設定される。
The start-up
前記起動制御部12は、起動データ記憶部11に格納されたデータを参照してサービス提供部13を制御する。具体的には、各サーバアプリケーションプログラムに基づく処理の内、起動を示すものについてのみ、当該処理を行うためにサーバアプリケーションプログラムをサービス提供部13によって実行させる。
The
前記アクセスデータ記憶部14には、各サーバアプリケーションプログラムに基づく処理毎に、ユーザ側クライアント6からの要求を受け付け可能であるか否かを示したデータが、例えば、図4に示すようなデータテーブルとして格納されており、このデータは、入力装置32及び画面表示装置33を介して入力,設定される。尚、本例では、ユーザ側クライアント6毎に設定されるIPアドレスを基に、要求を受け付け可能か否かを判断するようにしている。
In the access
前記サービス提供部13は、各サーバアプリケーションプログラムを実行して、提供処理及びログ生成・格納処理を行う。この提供処理は、ユーザ側クライアント6からの要求があるか否かを随時監視し、要求があると、まず、要求を受け付け可能なユーザ側クライアント6であるか否かを確認して、受け付け可能なユーザ側クライアント6である場合には、要求に対応したサービスをユーザ側クライアント6に提供するものである。
The
具体的には、ユーザ側クライアント6からの要求があると、当該要求を行うためにユーザ側クライアント6からサーバ10に送信されたデータを参照して、この要求を行ったユーザ側クライアント6のIPアドレスを認識するとともに、どのサーバアプリケーションプログラムに係るサービスの提供を要求しているのかを認識する。
Specifically, when there is a request from the
この後、認識したIPアドレス及びどのサーバアプリケーションプログラムに係るサービスかを基に、アクセスデータ記憶部14に格納されたデータを参照して、要求を受け付け可能なユーザ側クライアント6であるか否かを判断する。そして、要求を受け付け可能であると判断した場合には、当該要求に対応したサービス(前記WWWサーバやFTPサーバ、メールサーバなどとしてのサービス)をユーザ側クライアント6に提供する。
Thereafter, based on the recognized IP address and the service related to which server application program, it is referred to the data stored in the access
一方、前記ログ生成・格納処理は、各サーバアプリケーションプログラムに基づく処理毎に、前記提供処理に係るログを生成して前記第1ログ記憶部15に格納するものである。このログには、例えば、アクセス(要求)があった日時、アクセスしたユーザ側クライアント6のIPアドレス、アクセスするために入力されたID番号及びパスワード、アクセスが成功したか否か(アクセス許可されたユーザ側クライアント6からのアクセスであったか否か)といった、前記提供処理実行時の各種情報が含まれる。
On the other hand, in the log generation / storage process, a log related to the providing process is generated and stored in the first
前記ログ収集部16は、第1ログ記憶部15に、各サーバアプリケーションプログラムに基づく処理毎に格納されたログをそれぞれ収集して、収集したデータを、例えば、MySQLといったデータベース言語のデータに変換した後、変換したデータを、前記ログデータベース17に、各サーバアプリケーションプログラムに基づく処理毎に格納する。
The
前記検出パターン記憶部18には、サーバ10に対して不正なアクセスがあったときにサービス提供部13のログ生成・格納処理で生成されるログの一部を含み、不正アクセスを定義するための検出パターンが格納される。
The detection
前記危険度記憶部19には、前記検出パターン毎に、サーバ10に問題が起きる危険性を3段階で示した危険度が、例えば、図5に示すようなデータテーブルとして格納されており、このデータは、入力装置32及び画面表示装置33を介して入力,設定される。尚、この危険度は、危険度1よりも危険度2の方が、危険度2よりも危険度3の方が、サーバ10に問題が起きる危険性がより高いことを示している。
The
前記不正アクセス検出部20は、第1ログ記憶部15に格納されたログを解析して不正アクセスを検出するとともに、検出した不正アクセスの危険度を認識し、不正アクセスを検出した旨と認識した危険度などを含んだログを生成する処理を行う。
The unauthorized
具体的には、第1ログ記憶部15に、各サーバアプリケーションプログラムに基づく処理毎に格納されたログをそれぞれ解析して、検出パターン記憶部18に格納された検出パターンと一致する部分があるか否かを確認し、一致する部分があることを確認した場合に、不正なアクセスがあったと判断する。また、このとき、各サーバアプリケーションプログラムに基づく処理の内、どの処理において不正アクセスがあったのかを認識する。
Specifically, whether there is a portion in the first
そして、不正アクセスを検出すると、当該不正アクセス検出の基になった検出パターンを基に、危険度記憶部19に格納されたデータを参照して前記危険度を認識するとともに、不正アクセスを行うためにユーザ側クライアント6からサーバ10に送信されたデータを参照して、この不正アクセスを行ったユーザ側クライアント6のIPアドレスを認識する。この後、不正アクセスされたサーバアプリケーションプログラムに基づく処理、不正アクセスの検出日時、不正アクセス検出の基になった検出パターン、危険度、不正アクセスを行ったユーザ側クライアント6のIPアドレスなどの情報を含んだログを生成して前記第2ログ記憶部21に格納する。
When unauthorized access is detected, the risk level is recognized with reference to the data stored in the
前記ログ転送部22は、第2ログ記憶部21に格納されたログを、例えば、MySQLといったデータベース言語のデータに変換した後、前記ログデータベース17に転送して格納する。
The
前記対策記憶部23には、各サーバアプリケーションプログラムに基づく処理毎に、前記危険度に応じた対策(即ち、不正アクセスを検出した場合に、その対策をどのように採るか)が、例えば、図6に示すようなデータテーブルとして格納されており、このデータは、入力装置32及び画面表示装置33を介して入力,設定される。
In the
具体的には、同図6に示すように、WWWサーバとしての処理において不正アクセスがあった場合、危険度1のときには、前記管理者にメールを送信して通知し、危険度2のときには、メール送信を行うとともに、サービス提供部13によるサーバアプリケーションプログラムの実行処理を再起動させ、危険度3のときには、メール送信を行うとともに、サービス提供部13によるサーバアプリケーションプログラムの実行処理を停止させるといった内容になっている。
Specifically, as shown in FIG. 6, when there is an unauthorized access in the processing as the WWW server, when the risk is 1, the e-mail is transmitted to the administrator and notified, and when the risk is 2, Contents of sending the mail, restarting the server application program execution process by the
一方、FTPサーバとしての処理において不正アクセスがあった場合は、危険度1のときには、メール送信を行い、危険度2及び危険度3のときには、メール送信を行うとともに、サービス提供部13によるサーバアプリケーションプログラムの実行処理を停止させるといった内容になっている。
On the other hand, when there is unauthorized access in the processing as the FTP server, when the risk is 1, the mail is transmitted, and when the risk is 2 and 3, the mail is transmitted and the server application by the
また、メールサーバとしての処理において不正アクセスがあった場合、危険度1のときには、無視して現状のまま処理を実行させ、危険度2ときには、メール送信を行い、危険度3のときには、メール送信を行うとともに、サービス提供部13によるサーバアプリケーションプログラムの実行処理を停止させるといった内容になっている。
Further, when there is an unauthorized access in the process as the mail server, when the risk is 1, the process is ignored and the process is executed as it is. When the risk is 2, the mail is transmitted. When the risk is 3, the mail is transmitted. And the execution of the server application program by the
前記不正アクセス通知部24及び不正アクセス対策部25は、不正アクセス検出部20における処理を監視し、当該不正アクセス検出部20がログを生成して第2ログ記憶部21に格納したのを確認すると、この第2ログ記憶部21に格納されたログに含まれる、不正アクセスされたサーバアプリケーションプログラムに基づく処理と危険度とを基に、対策記憶部23に格納されたデータを参照して、当該危険度に応じた対策を行う。
When the unauthorized
即ち、不正アクセス通知部24は、前記危険度に応じた対策がメール送信である場合には、図7に示すような警告メールを生成して管理者側クライアント5に送信する。この警告メールには、同図7に示すように、例えば、不正アクセスされたサーバアプリケーションプログラムに基づく処理、不正アクセスを検出した日時、検出した不正アクセスの危険度、不正アクセス検出の基になった検出パターンから認識される不正アクセスの手口、第2ログ記憶部21に格納されたログなどに関する情報が含まれている。
That is, the unauthorized
一方、前記不正アクセス対策部25は、前記危険度に応じた対策が、サービス提供部13によるサーバアプリケーションプログラムの実行処理を再起動させることである場合には、再起動させるための信号を前記起動制御部12に送信して、当該起動制御部12による制御の下、サービス提供部13における、該当するサーバアプリケーションプログラムの実行処理を再起動させる。
On the other hand, when the countermeasure corresponding to the degree of risk is to restart the server application program execution process by the
また、前記危険度に応じた対策が、サービス提供部13によるサーバアプリケーションプログラムの実行処理を停止させることである場合には、停止させるための信号を起動制御部12に直接送信したり、起動データ記憶部11に格納されたデータを起動から停止に変更して、当該起動制御部12による制御の下、サービス提供部13における、該当するサーバアプリケーションプログラムの実行処理を停止させる。
If the measure corresponding to the degree of risk is to stop the execution processing of the server application program by the
更に、不正アクセス対策部25は、不正アクセスの危険度に関係無く、不正アクセスが検出されたことを認識すると、第2ログ記憶部21に格納されたログから、不正アクセスを行ったユーザ側クライアント6のIPアドレスを認識して、不正アクセスされたサーバアプリケーションプログラムに基づく処理に関し、アクセスデータ記憶部14に格納されたデータを、当該IPアドレスのユーザ側クライアント6からの要求を受け付け不許可に設定する。
Furthermore, when the unauthorized
尚、不正アクセス通知部24及び不正アクセス対策部25は、前記危険度に応じた対策が、無視して現状のまま処理を実行させることである場合には、上述したメール送信、実行処理の再起動や停止を行う処理は実行しない。
The unauthorized
前記集計データ生成部26は、管理者側クライアント5からのデータ生成・送信要求を受け付けると、ログデータベース17に格納されたデータを基に、例えば、所定の期間(1日、1週間、1ヶ月)における不正アクセス件数や正常なアクセス件数などについて、各サーバアプリケーションプログラムに基づく処理毎に集計したデータを生成したり、各サーバアプリケーションプログラムに基づく処理で検出された不正アクセスの件数を危険度毎に集計したデータを生成して管理者側クライアント5に送信し、これを当該管理者側クライアント5の適宜画面表示装置に画面表示させる。
When receiving the data generation / transmission request from the administrator-
以上のように構成された本例の監視システム1によれば、ユーザ側クライアント6からサーバ10に対して要求があり、これがサービス提供部13によって認識されると、まず、要求を受け付け可能なユーザ側クライアント6であるか否かが判断され、受け付け可能なユーザ側クライアント6である場合にのみ、当該要求に対応したサービスがユーザ側クライアント6に提供される。また、このとき、当該サービス提供部13の処理に係るログが生成されて第1ログ記憶部15に格納される。
According to the
第1ログ記憶部15に格納されたログは、ログ収集部16により収集され、データベース言語のデータに変換された後、ログデータベース17に格納されるとともに、不正アクセス検出部20により解析されて、検出パターン記憶部18に格納された検出パターンを基に不正アクセスの検出が行われる。
The log stored in the first
そして、不正アクセス検出部20により不正アクセスが検出されると、危険度記憶部19に格納されたデータを基に、検出された不正アクセスの危険度が認識されるとともに、不正アクセスされたサーバアプリケーションプログラムに基づく処理や、不正アクセスを行ったユーザ側クライアント6のIPアドレスなどが認識され、ついで、認識されたこれらの情報や、不正アクセスの検出日時、不正アクセス検出の基になった検出パターンなどに関する情報を含んだログが生成されて、第2ログ記憶部21に格納される。
When unauthorized access is detected by the unauthorized
この後、第2ログ記憶部21に格納されたログは、第1ログ記憶部15に格納されたログと同様に、ログ転送部22によって、データベース言語のデータに変換された後、ログデータベース17に格納される。
Thereafter, the log stored in the second
不正アクセス通知部24及び不正アクセス対策部25は、不正アクセス検出部20における処理を随時監視しており、第2ログ記憶部21にログが格納されたのを確認すると、このログに含まれる、不正アクセスされたサーバアプリケーションプログラムに基づく処理と危険度とを基に、対策記憶部23に格納されたデータを参照して、当該危険度に応じた対策を行う。
The unauthorized
即ち、危険度に応じて、不正アクセス通知部24により警告メールが生成されて管理者側クライアント5に送信されたり、不正アクセス対策部25により、起動制御部12を介し、サービス提供部13によるサーバアプリケーションプログラムの実行処理が再起動若しくは停止される。或いは、警告メールの生成,送信は行われず、サーバアプリケーションプログラムの実行処理も継続して行われる。
That is, a warning mail is generated by the unauthorized
また、不正アクセス対策部25により、不正アクセスを行ったユーザ側クライアント6のIPアドレスが認識されて、不正アクセスされたサーバアプリケーションプログラムに基づく処理に関し、アクセスデータ記憶部14に格納されたデータが、当該IPアドレスのユーザ側クライアント6からの要求を受け付け不許可に設定される。
In addition, the unauthorized
尚、サーバ10の管理者が、管理者側クライアント5を操作して当該サーバ10に対してデータ生成・送信要求を行い、これがサーバ10によって受け付けられると、集計データ生成部26により、ログデータベース17に格納されたデータを基に、所定の期間における不正アクセス件数や正常なアクセス件数、危険度毎の不正アクセス件数などに関する集計データが生成されて管理者側クライアント5に送信され、画面表示される。また、管理者が管理者側クライアント5を操作して、ログデータベース17に格納された過去のログを検索し、管理者側クライアント5の適宜画面表示装置に画面表示させることもできる。
The administrator of the
斯くして、本例の監視システム1によれば、不正アクセス検出部20によって不正アクセスを効率的且つ正確に検出することができるとともに、不正アクセス通知部24によって管理者側クライアント5に送信された警告メールを管理者が確認することで、不正アクセスがあったことを認識することができるので、管理者は、不正アクセスが検出された(不正アクセスがあった)後の対策を素早く採り、不正アクセスによって生じる問題を最小限に抑えることができる。また、不正アクセスの知識やログを解析する技術力がほとんどない未熟な管理者であっても、サーバの管理に精通した人と同様に、サーバの管理を十分に行うことができる。
Thus, according to the
また、不正アクセス対策部25によって、危険度に応じて予め設定した最適な対策を自動的に採ったり、不正アクセスを行ったユーザ側クライアント6からの要求を受け付けないようにアクセス制御を行うことができるので、例えば、管理者の不在中に不正アクセスがあったときや、遠隔地のサーバ10に対して不正アクセスがあったときなど、管理者がすぐに対応することができない場合に効果的である。これにより、不正アクセスの検出(発生)からその対策を採るまでの時間を最短にし、不正アクセスによってサーバ10に生じる問題を最小限に抑えることができる。
In addition, the unauthorized
通常、不正アクセスの手口は、当該不正アクセスによってサーバ10に問題が起きる危険性(危険度)の低いものから高いものまで様々なものがあり、危険度の低い不正アクセスを検出したときまでその旨を管理者に通知すると、管理者が却って混乱する恐れがある。また、危険度の低い不正アクセスは頻繁に行われているため、これを管理者に逐一通知すると、管理者がこれに煩わされて他の作業を行うことができなくなる恐れもある。本例では、上述のように、危険度に応じて対策を変えるようにしているので、このような問題を効果的に解消することができて好ましい。
Normally, there are various types of unauthorized access, ranging from low to high risk (risk) of causing a problem in the
また、第1ログ記憶部15や第2ログ記憶部21に格納されたログを、ログ収集部16やログ転送部22により、データベース言語のデータに変換してログデータベース17に格納するようにしているので、データ量を圧縮して多量のデータを格納することができ、過去のログを長期間に渡って保存することができる。また、管理者が管理者側クライアント5を操作して、ログデータベース17に格納された過去のログを検索する場合などにおいて、これを高速に行うこともできる。
The log stored in the first
以上、本発明の一実施形態について説明したが、本発明の採り得る具体的な態様は、何らこれに限定されるものではない。 As mentioned above, although one Embodiment of this invention was described, the specific aspect which this invention can take is not limited to this at all.
上例では、不正アクセス通知部24により、不正アクセスを検出した旨の警告メールを管理者側クライアント5に送信するように構成したが、これに限られるものではなく、サーバ10の画面表示装置33に警告メッセージを画面表示させたり、管理者側クライアント5やサーバ10の画面表示の一部を点滅させたり、管理者側クライアント5やサーバ10の適宜出力部からアラーム音を出力させるようにしても良い。
In the above example, the unauthorized
この場合、危険度に応じて、アラーム音の大きさを変化させたり、アラーム音の種類を変えたり、画面表示の一部の点滅間隔を変化させると、管理者は、不正アクセスの危険度を容易に認識することができるので、好ましい。 In this case, if the volume of the alarm sound is changed, the type of the alarm sound is changed, or the blinking interval of a part of the screen display is changed, the administrator can change the risk level of unauthorized access. This is preferable because it can be easily recognized.
尚、近年では、サーバ10がデータ管理センタなどで集中管理されるのではなく、管理者の身近に置かれることも多くなってきているため、サーバ10に、警告メッセージを画面表示したり、画面表示の一部を点滅させたり、アラーム音を出力しても、前記画面表示やアラーム音に管理者は容易に気付くことができる。
In recent years, the
また、上例では、サーバ10に、入出力インターフェース31,入力装置32,画面表示装置33を設けて構成したが、これらを省略して構成することもでき、この場合には、起動データ記憶部11,アクセスデータ記憶部14,検出パターン記憶部18,危険度記憶部19及び対策記憶部23に格納される各データは、管理者側クライアント5から当該サーバ10に送信されることでそれぞれ格納される。
In the above example, the
また、図8に示すように、上記監視システム1を、サーバ41と、このサーバ41に対し不正なアクセスがあるか否かを検出して、管理者への通知及び対策を行う監視装置42と、サーバ41を管理する管理者側に配置された管理者側クライアント5と、ユーザ側に配置された複数のユーザ側クライアント6とが、インターネットなどのネットワーク7を介し相互に接続された監視システム40として構成しても良い。
As shown in FIG. 8, the
この場合、前記サーバ41は、前記起動データ記憶部11,起動制御部12,サービス提供部13,アクセスデータ記憶部14,サーバ側(第1)ログ記憶部15及びログ送信部として動作し、前記監視装置42は、ログ受信部,監視装置側ログ記憶部,前記ログ収集部16,ログデータベース17,検出パターン記憶部18,危険度記憶部19,不正アクセス検出部20,(第2)ログ記憶部21,ログ転送部22,対策記憶部23,不正アクセス通知部24,不正アクセス対策部25及び集計データ生成部26として動作する。
In this case, the
尚、監視プログラムは、サーバ41にインストールされるサーバ用プログラムと、監視装置42にインストールされる監視装置用プログラムとからなり、サーバ用プログラムは、サーバ41をログ送信部として機能させ、監視装置用プログラムは、監視装置42を、ログ受信部,監視装置側ログ記憶部,ログ収集部16,ログデータベース17,検出パターン記憶部18,危険度記憶部19,不正アクセス検出部20,(第2)ログ記憶部21,ログ転送部22,対策記憶部23,不正アクセス通知部24,不正アクセス対策部25及び集計データ生成部26として機能させる。
The monitoring program includes a server program installed in the
前記ログ送信部は、サーバ側ログ記憶部15に格納されたログを監視装置42に送信するように構成され、前記ログ受信部は、サーバ41から送信されたログを受信して監視装置側ログ記憶部に格納するように構成される。そして、ログ収集部16は、監視装置側ログ記憶部に格納されたログを収集してログデータベース17に格納し、不正アクセス検出部20は、監視装置側ログ記憶部に格納されたログを解析して不正アクセスを検出する。
The log transmission unit is configured to transmit the log stored in the server-side
また、ネットワーク7に複数のサーバ41を接続して、監視装置42が各サーバ41から送信されるログを基に不正アクセスを検出するように構成することもできる。
In addition, a plurality of
また、前記監視プログラムは、コンピュータ読み取り可能な記録媒体に格納され、当該記録媒体に格納された監視プログラムが、サーバ10,41や監視装置42によって読み出されることで、当該サーバ10,41や監視装置42が上述した如く動作するように構成されていても良い。尚、記録媒体としては、例えば、磁気ディスクや光磁気ディスク、CD−ROMなどを挙げることができるが、これらに限定されるものではない。
The monitoring program is stored in a computer-readable recording medium, and the monitoring program stored in the recording medium is read by the
1 監視システム
5 管理者側クライアント
6 ユーザ側クライアント
7 ネットワーク
10 サーバ
11 起動データ記憶部
12 起動制御部
13 サービス提供部
14 アクセスデータ記憶部
15 第1ログ記憶部
16 ログ収集部
17 ログデータベース
18 検出パターン記憶部
19 危険度記憶部
20 不正アクセス検出部
21 第2ログ記憶部
22 ログ転送部
23 対策記憶部
24 不正アクセス通知部
25 不正アクセス対策部
26 集計データ生成部
DESCRIPTION OF
Claims (20)
前記ログ記憶手段に格納されたログを解析して、予め登録された検出パターンと一致する部分がある否かを確認し、一致する部分があることを確認した場合に、不正なアクセスがあったと判断する不正アクセス検出手段と、
前記不正アクセス検出手段によって不正アクセスが検出されると、その旨を前記サーバの管理者に通知する通知手段としても機能させるための監視プログラム。 A server configured to be connectable to a client via a network, and monitors whether or not there is a request from the client, and if there is a request, first, is the client capable of accepting the request? If it is a client that can accept the request, a service that provides a service corresponding to the request to the client and a log generation process that generates a log related to the provision process Providing means, log storage means for storing a log generated by the log generation processing of the service providing means, and a state in which the service providing means is controlled to start or stop the processing in the service providing means A server comprising start control means for
Analyzing the log stored in the log storage means to check whether there is a part that matches a pre-registered detection pattern, and if there is a part that matches, there is an unauthorized access Unauthorized access detection means to determine;
When the unauthorized access is detected by the unauthorized access detection means, a monitoring program for functioning also as a notification means for notifying the administrator of the server to that effect.
前記不正アクセス検出手段は、不正アクセスを検出すると、該不正アクセス検出の基になった検出パターンと、前記危険度記憶手段に格納されたデータとから、前記危険度を認識するように構成され、
前記通知手段は、前記不正アクセス検出手段によって認識された危険度に応じて前記警告信号の出力を異ならせるように、又は、認識された危険度が一定水準よりも高いときにのみ前記警告信号を出力するように構成された請求項2記載の監視プログラム。 The monitoring program further causes the server to function as a risk storage unit that stores, for each of the detection patterns, a risk that indicates a risk that a problem may occur in the server in a plurality of stages.
The unauthorized access detection means is configured to recognize the risk level from a detection pattern based on the unauthorized access detection and data stored in the risk level storage means when detecting unauthorized access.
The notification means changes the output of the warning signal according to the risk level recognized by the unauthorized access detection means, or the warning signal is output only when the recognized risk level is higher than a certain level. The monitoring program according to claim 2 configured to output.
前記不正アクセス検出手段は、不正アクセスを検出すると、該不正アクセス検出の基になった検出パターンと、前記危険度記憶手段に格納されたデータとから、前記危険度を認識するように構成され、
前記通知手段は、前記不正アクセス検出手段によって認識された危険度を含む前記警告メッセージを生成するように、又は、認識された危険度が一定水準よりも高いときにのみ、認識された危険度を含む前記警告メッセージを生成するように構成された請求項3記載の監視プログラム。 The monitoring program further causes the server to function as a risk storage unit that stores, for each of the detection patterns, a risk that indicates a risk that a problem may occur in the server in a plurality of stages.
The unauthorized access detection means is configured to recognize the risk level from a detection pattern based on the unauthorized access detection and data stored in the risk level storage means when detecting unauthorized access.
The notification means generates the warning message including the degree of risk recognized by the unauthorized access detection means, or only when the recognized risk is higher than a certain level, The monitoring program according to claim 3, wherein the monitoring program is configured to generate the warning message.
前記サーバに問題が起きる危険性を複数の段階で示した危険度を前記検出パターン毎に記憶する危険度記憶手段と、
前記サービス提供手段における処理を起動させた状態にする、停止させる、再起動させる、前記不正アクセス検出手段のログ解析により認識される不正アクセスを行ったクライアントからの要求を受け付けないようにさせるの内の少なくとも一つと前記各危険度とをそれぞれ相互に関連付けて記憶する対策記憶手段と、
前記対策記憶手段に格納されたデータを参照して前記危険度に応じた処理を実行する対策手段としても機能させ、
前記不正アクセス検出手段は、不正アクセスを検出すると、該不正アクセス検出の基になった検出パターンと、前記危険度記憶手段に格納されたデータとから、前記危険度を認識するように構成され、
前記対策手段は、前記不正アクセス検出手段によって認識された危険度を基に前記対策記憶手段に格納されたデータを参照して該危険度に応じた対策を認識し、認識した対策が前記サービス提供手段における処理を停止又は再起動させることである場合には、前記サービス提供手段における処理を停止又は再起動させるための信号を前記起動制御手段に送信し、認識した対策が不正アクセスを行ったクライアントからの要求を受け付けないようにさせることである場合には、該クライアントからの要求を受け付けないようにさせるための信号を前記サービス提供手段に送信するように構成された請求項1乃至3記載のいずれかの監視プログラム。 The monitoring program further includes the server,
A degree of risk storage means for storing a degree of risk indicating a risk of causing a problem in the server in a plurality of stages for each detection pattern;
The processing in the service providing means is activated, stopped, restarted, and the request from the client having made unauthorized access recognized by the log analysis of the unauthorized access detecting means is not accepted. Countermeasure storage means for storing each risk level in association with each other,
Function as countermeasure means for executing processing according to the degree of risk with reference to data stored in the countermeasure storage means;
The unauthorized access detection means is configured to recognize the risk level from a detection pattern based on the unauthorized access detection and data stored in the risk level storage means when detecting unauthorized access.
The countermeasure means refers to the data stored in the countermeasure storage means based on the risk recognized by the unauthorized access detection means, recognizes the countermeasure according to the risk, and the recognized countermeasure is the service provision In the case where the processing in the means is to be stopped or restarted, a signal for stopping or restarting the processing in the service providing means is transmitted to the start control means, and the recognized countermeasure is an unauthorized access 4. The device according to claim 1, wherein a signal for not accepting a request from the client is transmitted to the service providing means when the request from the client is not accepted. Any monitoring program.
前記サービス提供手段における処理を起動させた状態にする、停止させる、再起動させる、前記不正アクセス検出手段のログ解析により認識される不正アクセスを行ったクライアントからの要求を受け付けないようにさせるの内の少なくとも一つと前記各危険度とをそれぞれ相互に関連付けて記憶する対策記憶手段と、
前記不正アクセス検出手段によって認識された危険度を基に前記対策記憶手段に格納されたデータを参照して該危険度に応じた対策を認識し、認識した対策が前記サービス提供手段における処理を停止又は再起動させることである場合には、前記サービス提供手段における処理を停止又は再起動させるための信号を前記起動制御手段に送信し、認識した対策が不正アクセスを行ったクライアントからの要求を受け付けないようにさせることである場合には、該クライアントからの要求を受け付けないようにさせるための信号を前記サービス提供手段に送信する対策手段としても機能させるように構成された請求項4又は5記載の監視プログラム。 The monitoring program further includes the server,
The processing in the service providing means is activated, stopped, restarted, and the request from the client having made unauthorized access recognized by the log analysis of the unauthorized access detecting means is not accepted. Countermeasure storage means for storing each risk level in association with each other,
Based on the degree of risk recognized by the unauthorized access detection means, the data stored in the countermeasure storage means is referred to recognize a countermeasure corresponding to the risk, and the recognized countermeasure stops processing in the service providing means. Or if it is to be restarted, a signal for stopping or restarting the processing in the service providing means is transmitted to the start control means, and a request from a client that has made unauthorized access by the recognized countermeasure is accepted. 6. The method according to claim 4 or 5, wherein, in a case where the request is not received, a function for transmitting a signal for preventing the request from the client from being received to the service providing unit is also provided. Monitoring program.
前記サーバ側ログ記憶手段に格納されたログを前記監視装置に送信する送信手段としても機能させるためのサーバ用プログラムと、
前記監視装置を、
前記サーバの送信手段から送信されたログを受信する受信手段と、
前記受信手段によって受信されたログを記憶する監視装置側ログ記憶手段と、
前記監視装置側ログ記憶手段に格納されたログを解析して、予め登録された検出パターンと一致する部分がある否かを確認し、一致する部分があることを確認した場合に、不正なアクセスがあったと判断する不正アクセス検出手段と、
前記不正アクセス検出手段によって不正アクセスが検出されると、その旨を前記サーバの管理者に通知する通知手段として機能させるための監視装置用プログラムとからなる監視プログラム。 A server configured to be connectable to a client and a monitoring device via a network, and monitors whether or not there is a request from the client at any time, and when there is such a request, first a client that can accept the request If the client is an acceptable client, a log generation process for providing a service corresponding to the request to the client and generating a log related to the provision process is performed. A service providing unit that performs processing, a server-side log storage unit that stores a log generated by a log generation process of the service providing unit, and a state in which the service providing unit is controlled to start processing in the service providing unit Or a server provided with a startup control means for bringing the server into a stopped state;
A server program for causing a log stored in the server-side log storage means to function as a transmission means for transmitting to the monitoring device;
The monitoring device;
Receiving means for receiving a log transmitted from the transmitting means of the server;
Monitoring device side log storage means for storing the log received by the receiving means;
Analyzing the log stored in the monitoring device side log storage means to check whether there is a part that matches the pre-registered detection pattern, and if it is confirmed that there is a part that matches, unauthorized access Unauthorized access detection means for determining that there has been,
When an unauthorized access is detected by the unauthorized access detection means, a monitoring program comprising a monitoring device program for functioning as a notification means for notifying the server administrator to that effect.
前記不正アクセス検出手段は、不正アクセスを検出すると、該不正アクセス検出の基になった検出パターンと、前記危険度記憶手段に格納されたデータとから、前記危険度を認識するように構成され、
前記通知手段は、前記不正アクセス検出手段によって認識された危険度に応じて前記警告信号の出力を異ならせるように、又は、認識された危険度が一定水準よりも高いときにのみ前記警告信号を出力するように構成された請求項10記載の監視プログラム。 The monitoring device program causes the monitoring device to further function as a risk storage unit that stores, for each detection pattern, a risk indicating the risk of a problem occurring in the server in a plurality of stages.
The unauthorized access detection means is configured to recognize the risk level from a detection pattern based on the unauthorized access detection and data stored in the risk level storage means when detecting unauthorized access.
The notification means changes the output of the warning signal according to the risk level recognized by the unauthorized access detection means, or the warning signal is output only when the recognized risk level is higher than a certain level. The monitoring program according to claim 10 configured to output.
前記不正アクセス検出手段は、不正アクセスを検出すると、該不正アクセス検出の基になった検出パターンと、前記危険度記憶手段に格納されたデータとから、前記危険度を認識するように構成され、
前記通知手段は、前記不正アクセス検出手段によって認識された危険度を含む前記警告メッセージを生成するように、又は、認識された危険度が一定水準よりも高いときにのみ、認識された危険度を含む前記警告メッセージを生成するように構成された請求項11記載の監視プログラム。 The monitoring device program causes the monitoring device to further function as a risk storage unit that stores, for each detection pattern, a risk indicating the risk of a problem occurring in the server in a plurality of stages.
The unauthorized access detection means is configured to recognize the risk level from a detection pattern based on the unauthorized access detection and data stored in the risk level storage means when detecting unauthorized access.
The notification means generates the warning message including the degree of risk recognized by the unauthorized access detection means, or only when the recognized risk is higher than a certain level, The monitoring program according to claim 11, wherein the monitoring program is configured to generate the warning message.
前記サーバに問題が起きる危険性を複数の段階で示した危険度を前記検出パターン毎に記憶する危険度記憶手段と、
前記サービス提供手段における処理を起動させた状態にする、停止させる、再起動させる、前記不正アクセス検出手段のログ解析により認識される不正アクセスを行ったクライアントからの要求を受け付けないようにさせるの内の少なくとも一つと前記各危険度とをそれぞれ相互に関連付けて記憶する対策記憶手段と、
前記対策記憶手段に格納されたデータを参照して前記危険度に応じた処理を実行する対策手段としても機能させ、
前記不正アクセス検出手段は、不正アクセスを検出すると、該不正アクセス検出の基になった検出パターンと、前記危険度記憶手段に格納されたデータとから、前記危険度を認識するように構成され、
前記対策手段は、前記不正アクセス検出手段によって認識された危険度を基に前記対策記憶手段に格納されたデータを参照して該危険度に応じた対策を認識し、認識した対策が前記サービス提供手段における処理を停止又は再起動させることである場合には、前記サービス提供手段における処理を停止又は再起動させるための信号を前記起動制御手段に送信し、認識した対策が不正アクセスを行ったクライアントからの要求を受け付けないようにさせることである場合には、該クライアントからの要求を受け付けないようにさせるための信号を前記サービス提供手段に送信するように構成された請求項9乃至11記載のいずれかの監視プログラム。 The monitoring device program further includes the monitoring device,
A degree of risk storage means for storing a degree of risk indicating a risk of causing a problem in the server in a plurality of stages for each detection pattern;
The processing in the service providing means is activated, stopped, restarted, and the request from the client having made unauthorized access recognized by the log analysis of the unauthorized access detecting means is not accepted. Countermeasure storage means for storing each risk level in association with each other,
Function as countermeasure means for executing processing according to the degree of risk with reference to data stored in the countermeasure storage means;
The unauthorized access detection means is configured to recognize the risk level from a detection pattern based on the unauthorized access detection and data stored in the risk level storage means when detecting unauthorized access.
The countermeasure means refers to the data stored in the countermeasure storage means based on the risk recognized by the unauthorized access detection means, recognizes the countermeasure according to the risk, and the recognized countermeasure is the service provision In the case where the processing in the means is to be stopped or restarted, a signal for stopping or restarting the processing in the service providing means is transmitted to the start control means, and the recognized countermeasure is an unauthorized access 12. The apparatus according to claim 9, wherein a signal for not accepting a request from the client is transmitted to the service providing means when the request from the client is not accepted. Any monitoring program.
前記サービス提供手段における処理を起動させた状態にする、停止させる、再起動させる、前記不正アクセス検出手段のログ解析により認識される不正アクセスを行ったクライアントからの要求を受け付けないようにさせるの内の少なくとも一つと前記各危険度とをそれぞれ相互に関連付けて記憶する対策記憶手段と、
前記不正アクセス検出手段によって認識された危険度を基に前記対策記憶手段に格納されたデータを参照して該危険度に応じた対策を認識し、認識した対策が前記サービス提供手段における処理を停止又は再起動させることである場合には、前記サービス提供手段における処理を停止又は再起動させるための信号を前記起動制御手段に送信し、認識した対策が不正アクセスを行ったクライアントからの要求を受け付けないようにさせることである場合には、該クライアントからの要求を受け付けないようにさせるための信号を前記サービス提供手段に送信する対策手段としても機能させるように構成された請求項12又は13記載の監視プログラム。 The monitoring device program further includes the monitoring device,
The processing in the service providing means is activated, stopped, restarted, and the request from the client having made unauthorized access recognized by the log analysis of the unauthorized access detecting means is not accepted. Countermeasure storage means for storing each risk level in association with each other,
Based on the degree of risk recognized by the unauthorized access detection means, the data stored in the countermeasure storage means is referred to recognize a countermeasure corresponding to the risk, and the recognized countermeasure stops processing in the service providing means. Or if it is to be restarted, a signal for stopping or restarting the processing in the service providing means is transmitted to the start control means, and a request from a client that has made unauthorized access by the recognized countermeasure is accepted. 14. The apparatus according to claim 12 or 13, wherein, in a case where the request is not received, a function for transmitting a signal for preventing the request from the client from being received to the service providing means is also provided. Monitoring program.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004343444A JP2006155124A (en) | 2004-11-29 | 2004-11-29 | Monitoring program, computer-readable recording medium with the program memorized thereon, and server and monitoring apparatus with the program stored therein |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004343444A JP2006155124A (en) | 2004-11-29 | 2004-11-29 | Monitoring program, computer-readable recording medium with the program memorized thereon, and server and monitoring apparatus with the program stored therein |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006155124A true JP2006155124A (en) | 2006-06-15 |
Family
ID=36633361
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004343444A Pending JP2006155124A (en) | 2004-11-29 | 2004-11-29 | Monitoring program, computer-readable recording medium with the program memorized thereon, and server and monitoring apparatus with the program stored therein |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006155124A (en) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100826780B1 (en) | 2006-08-22 | 2008-04-30 | 에스케이 텔레콤주식회사 | System and Method for Monitoring of User Terminal, Apparatus for the Same and Security Agent |
| JP2008250728A (en) * | 2007-03-30 | 2008-10-16 | Yahoo Japan Corp | Information leakage monitoring system and information leakage monitoring method |
| JP2008287722A (en) * | 2007-05-16 | 2008-11-27 | Beijing Kingsoft Software Co Ltd | Risk level analysis device and risk level analysis method |
| JP2009043020A (en) * | 2007-08-08 | 2009-02-26 | Nomura Research Institute Ltd | Log analysis support device |
| JP2009043019A (en) * | 2007-08-08 | 2009-02-26 | Nomura Research Institute Ltd | Log analysis support device |
| JP2009099095A (en) * | 2007-10-19 | 2009-05-07 | Casio Comput Co Ltd | Electronic apparatus and program |
| JP2010123014A (en) * | 2008-11-21 | 2010-06-03 | Nomura Research Institute Ltd | Server unauthorized-operation monitoring system |
| JP2011210060A (en) * | 2010-03-30 | 2011-10-20 | Fujitsu Ltd | Log check device, program, and processing method |
| JP2012083909A (en) * | 2010-10-08 | 2012-04-26 | Kddi Corp | Application characteristic analysis device and program |
| KR101629740B1 (en) * | 2015-05-22 | 2016-06-21 | 연세대학교 산학협력단 | Apparatus and Method of Information Storage with Independent Operating System |
| JP2018160170A (en) * | 2017-03-23 | 2018-10-11 | 富士通株式会社 | Output program, information processing apparatus, output method, generating program, and generating method |
| JP2020013532A (en) * | 2018-06-29 | 2020-01-23 | エーオー カスペルスキー ラブAo Kaspersky Lab | Systems and methods for detecting malicious activity in computer system |
| JP2020017138A (en) * | 2018-07-26 | 2020-01-30 | デジタルア−ツ株式会社 | Information processing apparatus, information processing method, and information processing program |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002318734A (en) * | 2001-04-18 | 2002-10-31 | Teamgia:Kk | Method and system for processing communication log |
| JP2004213476A (en) * | 2003-01-07 | 2004-07-29 | Nri & Ncc Co Ltd | Injustice access detection device |
-
2004
- 2004-11-29 JP JP2004343444A patent/JP2006155124A/en active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002318734A (en) * | 2001-04-18 | 2002-10-31 | Teamgia:Kk | Method and system for processing communication log |
| JP2004213476A (en) * | 2003-01-07 | 2004-07-29 | Nri & Ncc Co Ltd | Injustice access detection device |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100826780B1 (en) | 2006-08-22 | 2008-04-30 | 에스케이 텔레콤주식회사 | System and Method for Monitoring of User Terminal, Apparatus for the Same and Security Agent |
| JP2008250728A (en) * | 2007-03-30 | 2008-10-16 | Yahoo Japan Corp | Information leakage monitoring system and information leakage monitoring method |
| JP2008287722A (en) * | 2007-05-16 | 2008-11-27 | Beijing Kingsoft Software Co Ltd | Risk level analysis device and risk level analysis method |
| JP2009043020A (en) * | 2007-08-08 | 2009-02-26 | Nomura Research Institute Ltd | Log analysis support device |
| JP2009043019A (en) * | 2007-08-08 | 2009-02-26 | Nomura Research Institute Ltd | Log analysis support device |
| JP2009099095A (en) * | 2007-10-19 | 2009-05-07 | Casio Comput Co Ltd | Electronic apparatus and program |
| JP2010123014A (en) * | 2008-11-21 | 2010-06-03 | Nomura Research Institute Ltd | Server unauthorized-operation monitoring system |
| JP2011210060A (en) * | 2010-03-30 | 2011-10-20 | Fujitsu Ltd | Log check device, program, and processing method |
| JP2012083909A (en) * | 2010-10-08 | 2012-04-26 | Kddi Corp | Application characteristic analysis device and program |
| KR101629740B1 (en) * | 2015-05-22 | 2016-06-21 | 연세대학교 산학협력단 | Apparatus and Method of Information Storage with Independent Operating System |
| JP2018160170A (en) * | 2017-03-23 | 2018-10-11 | 富士通株式会社 | Output program, information processing apparatus, output method, generating program, and generating method |
| JP2020013532A (en) * | 2018-06-29 | 2020-01-23 | エーオー カスペルスキー ラブAo Kaspersky Lab | Systems and methods for detecting malicious activity in computer system |
| JP7264631B2 (en) | 2018-06-29 | 2023-04-25 | エーオー カスペルスキー ラブ | System and method for detecting fraud in computer systems |
| JP2020017138A (en) * | 2018-07-26 | 2020-01-30 | デジタルア−ツ株式会社 | Information processing apparatus, information processing method, and information processing program |
| WO2020022456A1 (en) * | 2018-07-26 | 2020-01-30 | デジタルアーツ株式会社 | Information processing device, information processing method, and information processing program |
| CN112424778A (en) * | 2018-07-26 | 2021-02-26 | 电子技巧股份有限公司 | Information processing device, information processing method, and information processing program |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9893963B2 (en) | Dynamic baseline determination for distributed transaction | |
| JP2006155124A (en) | Monitoring program, computer-readable recording medium with the program memorized thereon, and server and monitoring apparatus with the program stored therein | |
| JP2001325644A (en) | Burglar monitoring system for automatic transaction device | |
| US7908361B2 (en) | Computer maintenance support system and analysis server | |
| JP4383413B2 (en) | Unauthorized operation determination system, unauthorized operation determination method, and unauthorized operation determination program | |
| JP2006350869A (en) | Terminal device, server, safety confirmation system, safety confirmation method, control program, and readable storage medium | |
| JP2023503736A (en) | Scene detection method and apparatus, electronic equipment, computer storage medium | |
| US9461879B2 (en) | Apparatus and method for system error monitoring | |
| US10176033B1 (en) | Large-scale event detector | |
| JP2017156863A (en) | Monitoring system and program | |
| JP2007074096A (en) | Unauthorized access prevention means | |
| JP6636605B1 (en) | History monitoring method, monitoring processing device, and monitoring processing program | |
| JP2003330758A (en) | Fault information notifying system with concentration function and program for functioning machine as fault information notifying system with concentration function | |
| JP2005149267A (en) | Evidence screen storage program, evidence screen storage method, and evidence screen storage system | |
| WO2017149951A1 (en) | Server, store-side device, management system, information provision method, and program | |
| CN112180783B (en) | Information monitoring management method and device based on Internet | |
| CN111711642A (en) | Protocol request processing method and device, electronic equipment and storage medium | |
| JP2016218844A (en) | Monitoring device | |
| CN115277230B (en) | Method, device, equipment and storage medium for monitoring server login abnormality | |
| US12052291B1 (en) | Dynamic application security posture change based on physical vulnerability | |
| US20240022585A1 (en) | Detecting and responding to malicious acts directed towards machine learning model | |
| JP2005012365A (en) | Information providing service operating state monitor system and information providing service operating state monitor method | |
| JP2008129960A (en) | Security system, security device, security system control method and security system control program | |
| JP2009116617A (en) | Operation monitoring system | |
| CN115061880A (en) | Dynamic risk monitoring method, equipment and computer readable medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20071030 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100406 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100729 |