JP4550558B2 - アクセス制御設定システム - Google Patents
アクセス制御設定システム Download PDFInfo
- Publication number
- JP4550558B2 JP4550558B2 JP2004339105A JP2004339105A JP4550558B2 JP 4550558 B2 JP4550558 B2 JP 4550558B2 JP 2004339105 A JP2004339105 A JP 2004339105A JP 2004339105 A JP2004339105 A JP 2004339105A JP 4550558 B2 JP4550558 B2 JP 4550558B2
- Authority
- JP
- Japan
- Prior art keywords
- domain
- access control
- file
- resource
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Description
本発明は、セキュアOSのアクセス制御ログを利用したアクセス制御設定システムに関する。
現在広く使われているOS(Operating System)のアクセス制御は、リソースの所有者がそのリソースへのアクセス(操作)権限を設定する。また、全ての権限をもつ特権というものが存在する。それに対して、セキュアOSとは、全権を持つ特権を排除し、実際の処理を実行するプロセス毎にドメイン(リソースへのアクセス権限)を割り当て、各プロセスはそれに割り当てられたドメイン内でリソースにアクセスできるようにしたOSである。
セキュアOSのこの機能により、権限のないリソースに対するプロセスからの全てのアクセス及び権限のあるリソースアクセス以外の当該リソースに対するプロセスからの全てのアクセスが排除(拒否)されることが保証される。従って、プログラムにセキュリティホール(欠陥)があり、攻撃者にプロセスが乗っ取られたとしても、このプロセスからアクセス権限がないリソースへのアクセスは排除されるため、その被害を最小限にすることができる。
また、ドメインをプロセスに割り当てる際には、「ドメイン遷移」というメカニズムが使用されている。ドメインAが割り当てられているプロセスPが子プロセスQを生成した場合、この生成された子プロセスQのドメインは、デフォルトでは、親のプロセスPと同じドメインAのままである。しかし、ドメイン遷移を行なうことにより、子プロセスQのドメインを変えることができる。
ここで、ドメイン遷移とは、生成された子プロセスに、生成されたときにデフォルトとして割り当てられているドメインとは異なるドメインを割り当てる機能のことであり、予めドメイン遷移を設定しておくことでこの機能が有効になる。ドメイン遷移の例としては、「ドメインAを割り当てられたプロセスPが子プロセスQを生成した場合、生成された子プロセスQにドメインBを割り当てる」というものである。この例では、子プロセスQにドメインBが割り当てられ、親プロセスPのドメインAとは異なったドメインが割り当てられたことなる。
セキュアOSは、プロセスのリソースに対するアクセス結果をアクセス制御ログファイルにログとして出力することができる。そこで、アクセス制御ログファイルを解析することにより、セキュアOSの運用管理に活用することができる。
アクセス制御ログファイルを利用して、システムの運用管理に活用する技術の一例として、ログをキーワードでマッチングし、障害に対する対処方法をテキストで表示する技術が知られている(例えば、特許文献1参照)。
また、他の例として、ログの統計情報を取り、システムの運用に活用することができるようにした技術が提案されている(例えば、特許文献2参照)。
特開平8−314763号公報
特平平10―312323号公報
セキュアOSからは、あるドメインが割り当てられているプロセスがリソースにアクセスして拒否された場合、項目「拒否―ドメイン―プロセス―リソース―操作」の組からなる情報が、ログとして、アクセス制御ログファイルに出力される。例えば、「ドメインhttpd_t」が割り当てられている「プロセス/sbin/httpd」がリソースである「ファイル/var/www」に対して操作「読み込み」をしたところ、これが拒否された場合、「拒否―ドメインhttpd_t―プロセス/sbin/httpd―ファイル/var/www―読み込み」というログがアクセス制御ログファイルに出力される。従って、このログから、「ドメインhttpd_t」には、「ファイル/var/www」に対して「読み込み可」という設定を追加することが必要なことが分かる。
なお、アクセスが許可された場合でも、ログが出力される。例えば、「許可―ドメインhttpd_t―プロセス/sbin/httpd―ファイル/var/www―読み込み」というログは、「ドメインhttpd_t」が割り当てられている「プロセス/sbin/httpd」が「ファイル/var/www」に対して「読み込みが許可された」ということを意味している。
実際に、セキュアOSにおいて、アクセス制御の設定(アクセス制御設定)、即ち、ドメインの設定(ドメイン設定)とドメイン遷移の設定(ドメイン遷移設定)をする場合には、システムをテスト稼動し、プロセスのリソースに対するアクセスが拒否されたとき、このアクセス結果のログを見て、このプロセスに対してこのアクセスを許可するドメインの設定とドメイン遷移の設定をすることでアクセス制御設定を行なう。
アクセス制御ログファイルを利用してアクセス制御設定を自動化しようとする場合、上記特許文献1に記載の技術は、キーワードマッチングを利用して、アクセスが拒否されたログを抽出し、そのログに対応するアクセス制御設定を単に提示するだけに留まる。このため、この特許文献1に記載の技術では、可読性の高いドメイン設定やドメイン遷移を考慮したアクセス制御の設定をすることはできない。
また、上記特許文献2に記載の技術は、ログの統計情報を表示するだけであるので、ログからアクセス制御を設定することはできない。
このように従来の技術では、アクセス制御ログファイルから可読性が高いドメイン設定やドメイン遷移を考慮したセキュアOSにおけるアクセス制御を設定することはできなかった。
本発明の目的は、かかる問題を解消し、セキュアOSのアクセス制御ログファイルを利用して、可読性が高いドメイン設定やドメイン遷移を考慮したアクセス制御を設定することができるようにしたアクセス制御設定システムを提供することにある。
上記目的を達成するために、本発明は、プロセス毎に指定されたリソースに対するアクセス制御設定を可能としたアクセス制御設定システムであって、プロセス毎にドメインを割り当て、割り当てたドメインの範囲でプロセスからのリソースに対するアクセスを許可することにより、プロセス毎にリソースに対するアクセス制御を行なうアクセス制御手段と、各ドメイン間の階層関係を表わしたドメイン遷移設定ファイルを基に、ドメインをノードとして、階層関係をツリー構造で表わすドメイン遷移図を描画して表示し、指定されたリソースへの操作が拒否されたプロセスを、ドメイン遷移図での該当するドメインのノード内に、選択可能に描画するドメイン遷移図作成手段と、ドメインのノード内のプロセスを選択することにより、プロセスのドメイン遷移をドメイン遷移設定ファイルに反映させる設定生成手段とを備え、リソースへの操作が拒否されたプロセスに対して、割り当てられたドメインとは異なるドメインに遷移させるものである。
また、プロセス毎のリソースに対する操作が許可されたか、または拒否されたかのアクセス結果を含むログを作成し、アクセス制御ログファイルに出力するログ形成・出力手段と、アクセス制御ログファイルにおいて、リソースに対する操作が拒否されたプロセス毎に、アクセス制御ログファイルから抽出されたログでの「リソース−操作」の組に対する重要度を、予め各「リソース−操作」の組に対して重要度が設定された重要度テーブルを基に、求め、かつ求めた重要度を加算してプロセスに対するドメイン生成推奨度とするドメイン生成推奨度計算手段とを備え、ドメイン遷移図作成手段が、ドメイン遷移図でのノードに描画された当するプロセスにドメイン生成推奨度を描画するとともに、ドメイン生成推奨度が描画されたプロセスを含むノードに色付けをするものである。
また、ドメイン遷移図でのドメインのノード内に描画されたプロセスの1つのプロセスPが選択されることにより、プロセスPに対して、プロセスPを含むノードのドメインDを基に、新たなドメインDNを生成し、ドメインDNをドメインDから遷移されたものとしてドメイン遷移設定ファイルに登録することにより、ドメイン遷移を設定し、かつドメイン設定ファイルに登録することにより、アクセス制御可能なドメインとして設定するものである。
こまた、ドメインDとプロセスPとの組「ドメインD−プロセスP」を表わすログをアクセス制御ログファイルから抽出し、マクロ毎にリソースと操作との組を定義したマクロ定義ファイルでの抽出したログでの「リソース−操作」の組と一致する組数を求め、求めた一致の組数が予め設定された閾値を超えるとき、ログでの「リソース−操作」の組に対する新たなドメインDNに対するドメイン記述文をログでの「リソース−操作」の組に共有のマクロで記述した記述文とするものである。
本発明によると、新たにドメインの付与対象となるプロセスが一目で認識することができ、プロセスに新たに割り当てられたドメインを含め、全体のドメイン遷移を明確にかつ容易に把握することができる。
また、マクロを使用してドメイン設定の記述ができるため、ドメイン設定の可読性も高めることができる。
以下、本発明の実施形態を図面を用いて説明する。
図1は本発明よるアクセス制御設定システムの一実施形態の全体構成を概略的に示す図であって、1はサーバ、10はセキュアOS、20は設定ファイル、30はアクセス制御ログファイル、40は設定ツール、50はディスプレイ、Aはオペレータである。
同図において、サーバ1には、セキュアOS10や設定ファイル20,アクセス制御ログファイル30,設定ツール40などが搭載されてされており、また、ディスプレイ50を備えている。
セキュアOS10は、設定ファイル20を参照してプロセスのリソースへのアクセス制御を行なうものであって、リソースへのアクセス(操作)が行なわれた結果、そのアクセスが拒否されても、また、許可されても、このプロセスに対してかかるアクセス結果を含むログを作成し、アクセス制御ログファイル30に出力する。
オペレータAが設定ツール40を用いてディスプレイ50での所定の画面操作を行なうと(編集操作)、アクセス制御ログファイル30から所定のログが読み込まれ、セキュアOS10でのドメインの設定及びドメイン遷移の設定によるアクセス制御設定が行なわれる。この設定結果は、設定ファイル20に登録される。これにより、所望のプロセスのドメインの設定及びドメイン遷移の設定が行なわれ、このプロセスに対しては、新たなドメインが付与されたことになる。
図2は図1におけるサーバ1の一具体例を示す機能構成図であって、11はアクセス制御機能、12はドメイン制御機能、13はログ出力機能、21はドメイン設定ファイル、22はドメイン遷移設定ファイル、23はマクロ定義ファイル、24はドメイン記述文ファイル、41はドメイン遷移図作成機能、42はドメイン生成推奨度計算機能、43は設定生成機能、60は重要度テーブル、70は推奨度テーブル、80はマクロ―閾値テーブル、90はマクロ展開機能であり、図1に対応する部分には同一符号を付けている。
同図において、セキュアOS10は、ドメインのアクセス制御機能11とドメイン遷移機能12とログ形成・出力機能13を備えている。
アクセス制御機能11は、プロセス毎にドメイン(アクセス権限)を割り当て、割り当てたドメインの範囲でプロセスからのリソースに対する操作(アクセス)を許可することにより、プロセス毎にリソースに対するアクセス制御を行なう機能である。
なお、プロセスとは実行中の一つ一つのプログラムのことであり、あるプログラムが並列的に複数(n)の処理を実行中の場合、このプログラムでは、n個のプロセス(プロセスP1〜Pn)が実行中であるという。また、プロセス同士を識別するために、プロセスを生成したOSはプロセス毎にユニークなIDを付加する。プロセスに関しては、一般に、同一プログラム内を複数のプロセスが並列的に実行されるマルチプロセス方式であるが、この実施形態では、説明の簡略にするため、同一プログラム内では、1つのプロセスしか実行しないシングルプロセス方式を仮定する。また、この仮定の下に、プロセスをプログラムの名称で表現する。
ドメイン遷移機能12は、ドメイン遷移により、プロセスにドメインを割り当てる機能である。
ログ形成・出力機能13は、リソースに対してアクセスしたプログラムのアクセス制御機能11によるアクセス結果(リソースへの操作が許可または拒否)を含むログを作成し、これをアクセス制御ログファイル30に出力する機能である。
設定ツール40は、ドメイン遷移図作成機能41とドメイン生成推奨度計算機能42と設定生成機能43とからなり、これらの機能41〜43を用い、アクセス制御ログファイル30を基に、設定ファイル20でのドメイン設定ファイル21やドメイン遷移設定ファイル22を設定する。
ここで、ドメイン遷移図作成機能41は、ドメイン遷移によるドメインの階層関係をツリー構造などで表わすドメイン遷移図を作成する機能である。
また、ドメイン生成推奨度計算機能42は、アクセス制御ログファイル30を基にリソースへの操作が拒否されたプロセスを検出し、これらプロセスの推奨度を重要度テーブル60を基に計算し、推奨度テーブル70に登録する機能である。
また、設定生成機能43は、ドメイン遷移図作成機能41によって作成されたドメイン遷移図での選択されたドメインについて、ドメイン設定及びドメイン遷移設定を行なう機能である。
設定ファイル20は、ドメイン設定ファイル21とドメイン遷移設定ファイル22とマクロ定義ファイル23とドメイン記述文ファイル24とから構成されている。
ドメイン設定ファイル21には、アクセス制御機能11により所定のリソースに対してアクセスが許可されたプロセスのドメインが登録されるものであって、これについては、図3で説明する。
ドメイン遷移設定ファイル22には、ドメイン遷移機能12によるドメイン遷移の遷移元ドメインと遷移先ドメインとが登録されているものであって、これについては、図4で説明する。
マクロ定義ファイル23は、ドメインの設定を簡略化するために用意されたものであって、これについては、図5で説明する。
ドメイン記述文ファイル24は、ドメインの設定を記述したドメイン記述文を格納したファイルであって、これについては、図6で説明する。
重要度テーブル60は、ドメイン遷移図作成機能41によるドメイン遷移図の作成の際に用いるものであって、これについては、図8で説明する。
推奨度テーブル70は、ドメイン遷移図作成機能41とドメイン生成推奨度計算機能42で用いるものであって、これについては、図9で説明する。
マクロ―閾値テーブル80は、ドメイン設定ファイル21とドメイン遷移設定ファイル22を出力する設定生成機能43で用いるものであって、これについては、図10で説明する。
マクロ展開機能90は、マクロ定義ファイル23に格納されているマクロがドメイン記述文のマクロに一致した場合、マクロ定義ファイル23に定義されている当該マクロに関する「リソース―操作」を当該ドメイン記述文で記述のドメインの設定としてドメイン設定ファイル21に設定する機能である。
図3は図2におけるドメイン設定ファイル21の構成を示した図である。
同図において、このドメイン設定ファイル21には、アクセスするリソースでの操作が許可(allow)されたプロセスのドメインが設定されているものであって、ドメイン21aと、このドメイン21a内(アクセス権限内)のリソース21bと、このリソースに対して許可された操作21cと、これらドメイン21a,リソース21b及び操作21cをまとめて表現する「allow文」が記述される文字列表現21dとからなっている。
このドメイン設定ファイル21の、例えば、第1行目のプロセスについてみると、このプロセスの「ドメインkernel_t」は「リソース(この場合、ファイル)/sbin/init」に対して「読み込み可」という設定がなされていることになる。
文字列表現21dには、設定されるドメインを補助的な情報で記述したものであり、ドメイン21a,リソース21b及びこのリソース21bに対して許可する操作21cを文字列で表現し、この文字列を許可を表わす文字列に続けた「allow文」が記述されている。即ち、「allow文」は「allow <ドメイン> <リソース> <許可する操作>;」のように記述する。文字列表現21dには、図6で説明するように、マクロに関する情報を記述することも可能である。
なお、ドメイン設定ファイル21において、リソース21bとリソース21bへの操作21cとが記述されていないプロセスは、このプロセスからのリソースへの操作が全て不可ということになる。
図4は図2におけるドメイン遷移設定ファイル22の構成を示した図である。
ドメイン遷移は、上記のように、「ドメインAを割り当てられたプロセスPが子プロセスQを生成した場合、生成した子プロセスQにはドメインBを割り当てる」というものである。かかるドメイン遷移は、遷移元ドメインと遷移先プログラムのエントリポイントと遷移先ドメインの組を指定することにより、設定を行なう。この設定が図4に示すドメイン遷移設定ファイル22で行なわれる。
なお、エントリポイントとは、プログラムが実行される際、このプログラム内の命令の中で最初に実行される命令のアドレスをいう。プロセスPaがプログラムBのエントリポイントEbを呼び出すと、OSはプログラムBを実行するユニークなIDを付加したプロセスPbを生成する。生成されたプロセスPbはプログラムBのエントリポイントEbから実行を開始する。この場合、プロセスPaがプロセスPbを生成する(または、生成した)、またはプロセスPbはプロセスPaによって生成される(または、生成された)と表現し、この場合、プロセスPaをプロセスPbの親プロセス、プロセスPbをプロセスPaの子プロセスという。この実施形態では、説明を簡単にするために、エントリポイントEbをプログラム名称で表現する。
ドメイン遷移設定ファイル22は、図4に示すように、遷移元ドメイン22aとエントリポイント22cと遷移先ドメイン22dとから構成されている。
例えば、ドメイン遷移設定ファイル22で第2行目に記載のドメイン遷移の設定では、「ドメインinit_t」が割り当てられている「親プロセスPm(/sbin/init)」が「エントリポイント/etc/init.dプログラム」を実行し、「子プロセスPs(/etc/init.d)」を生成すると、この「子プロセスPs」には「ドメインinitrc_t」が割り当てられることになる。
デフォルトでは、生成された子プロセスPsのドメインは親プロセスPmのドメインと同じで「ドメインinit_t」であるが、このようにドメイン遷移が設定されている場合には、ドメイン遷移が起こり、上記のように、子プロセスのドメインが変化して「ドメインinitrc_t」が割り当てられることになる。
図5は図2におけるマクロ定義ファイル23の構成を示す図である。
マクロは、多数のリソースに対して許可するアクセス、即ち、ドメイン設定の記述を簡単にするものであり、また、可読性の高い(一目で認識し易い)ドメイン設定を可能とするものである。
マクロ設定とは、予めマクロ定義されている「リソース―操作」の組を、ドメイン記述文に記述されているドメイン名でドメインを設定するものである。例えば、マクロとして「can_network」が定義されている場合、「can_network(a_domain)」と記述すると、マクロcan_networkで定義されている「リソース―操作」の組をこの記述文に記述されている「ドメインa_domain」でドメイン設定する。マクロ設定でドメインを記述することによりドメイン設定の可読性が高まる。
このように、セキュアOSのアクセス制御ログファイル30(図1,図2)とマクロ設定を利用して、可読性を高めたドメインの設定やドメイン遷移の設定ができることにより、アクセス制御の設定を容易に行なうことができる。
マクロ定義ファイル23は、図5に示すように、マクロ23aとリソース23bとこのリソース23bで許可される操作23cとで構成される。マクロ23aは、リソースやその操作は異なるが、同じドメインをまとめて表わしており、図3に示すドメイン設定ファイル21と対応させると、このドメイン設定ファイル21で設定されている同じドメイン21aが1つのマクロ23aで総称されていることになる。
そこで、マクロ定義ファイル23では、「TCPソケット−作成」,「TCPソケット−データ送信」,……,「1024以上のポート−利用」といった13種の「リソース23b−操作23c」の組が同じドメインに対して許可されていることになるが、かかるドメインを「マクロ can_network」とまとめて表現しているものである。「UNIX(登録商標)ソケット−作成」,「UNIX(登録商標)ソケット−データ送信」,「UNIX(登録商標)ソケット−データ受信」といった3種の「リソース23b−操作23c」の組が許可されているドメインは「マクロ can_syslog」で表現されている。
このように、ドメインがマクロ定義された場合には、先に図3で説明したドメイン設定ファイル21では、図6(b)に示すように、マクロ定義されたドメインに対して、文字列表現21dでの記述を、ドメイン毎に「allow文」で記述する代わりに、定義された1つのマクロで記述するものである。ここで、図6(b)に示すように、第1行目から第13行目までの「ドメインhttpd_t」に対して「マクロcan_network」が定義されているとすると、これら「ドメインhttpd_t」に対して文字列表現21dが共通となり、これに定義されたマクロとドメインとからなる文字列(「マクロ(ドメイン)」)、即ち、この例では、マクロ「can_network(httpd_t)」が記述されることになる。
なお、図6(b)において、第14行目〜第24行のドメインはマクロ定義がなされていないものであり、このようなドメインに対しては、図3で説明したように、文字列表現21dには、「allow文」が記述される。
図6(a)は図2におけるドメイン記述文ファイル24の構成を示す図である。なお、図6はこのドメイン記述文ファイル24とドメイン設定ファイル21との関係を示しているものである。
ドメイン記述文ファイル24では、ドメイン設定ファイル21での文字列表現21dが記述されるものである。従って、図6(b)に示すドメイン設定ファイル21の場合、マクロ定義された「ドメインhttpd_t」に対しては、マクロ「can_network(httpd_t)」24aが記述され、マクロ定義されていないドメイン(例えば、第14行目以降の「ドメインhttpd_t」や「ドメインkernel_t」など)に対しては、「allow文」24bが記述される。
マクロ展開機能90は、ドメイン記述文ファイル24の記述を、ドメイン設定ファイル21に展開する機能である。ドメイン記述文ファイル24での記述が、記述24aとして示すように、マクロによるものであるときには、マクロ定義ファイル23(図5)を利用して、展開24cとして示すように、「リソース21b−操作21c」の組毎にドメインを展開し、文字列表現21dに定義されたマクロを記述する。また、ドメイン記述文ファイル24での記述が、記述24bとして示すように、マクロによらず直接のドメイン記述である「allow文」による場合には、展開24dとして示すように、「allow文」毎にドメインを設定し、文字列表現21dに「allow文」を記述する。
文字列表現21dから明らかなように、ドメインを「allow文」によって個々に記述するよりも、マクロを利用した記述の方が記述文の数が少なく、このため、マクロを利用した方がドメイン設定の可読性が増大する。
図7は図2におけるアクセス制御ログファイル30の構成を示す図である。
同図において、アクセス制御ログファイル30は、種別31,ドメイン32,プロセス33,リソース34及び操作35からなるログのファイルである。
種別31はアクセスが拒否されたログと許可されたログとを区別するものであり、アクセスが拒否されたログに対しては種別31を「拒否」とし、許可されたログに対しては種別31を「許可」とする。ドメイン32はセキュアOS10(図2)からのログの出力対象となったドメイン、プロセス33は同じくログの出力対象となったプロセス、リソース34はこのプロセスがアクセスしたリソース、操作35はプロセスがこのリソースに対して行なった操作である。
例えば、アクセス制御ログファイル30の第2行目のログは、「ドメインinitrc_t」が割り当てられている「プロセス/sbin/httpd」が「TCPソケット」(リソース)を「作成」(操作)しようとして「拒否」されたということを表わしている。第9行目のログは、「ドメインinitrc_t」が割り当てられている「プロセス/sbin/httpd」が「パケット」(リソース)を「送信」(操作)しようとして「許可」されたことを表わしている。
このように、アクセス制御ログファイル30には、セキュアOS10(図2)でアクセス制御されるプロセスのリソースへのアクセス結果が登録されており、アクセス制御ログファイル30から夫々のアクセス結果を認識できるものである。
図8は図2における重要度テーブル60の構成を示す図である。
同図において、この重要度テーブル60は、リソースに対する操作がどの程度重要なのかを示す重要度をリソース毎に設定するためのものであり、リソース61と、このリソースに対して許可する操作62と、その操作の重要度63から構成される。この重要度は1〜10であって、重要度テーブル60に存在しない「リソース61−操作62」の組の重要度は1とする。
図示する重要度テーブル60において、第1行目に記述される「リソース61−操作62」の組は、「passwd(パスワード)」という重要な情報を格納している「パスワード格納ファイル/etc/passwd」というリソース61に対する操作62を「読み込み」とするものであり、高い重要度の「10」が設定されている。また、第2行目に記述されるリソース「/www/index.html」に対する操作「読み込み」には、重要度63が「5」と設定されている。
図9は図2における推奨度テーブル70の構成を示す図である。
推奨度テーブル70は、図8に示す重要度テーブル60を基に求めたドメインの推奨度を登録するものであり、この推奨度は子プロセスを生成する場合の目安に用いられる。
この推奨度テーブル70は、ドメイン71とプロセス72とドメイン生成推奨度73とから構成されている。ここでは、「ドメインinitrc_t−プロセス/sbin/httpd」の組に対しては、ドメイン生成推奨度73が「12」と登録されており、「ドメインinitrc_t−プロセス/sbin/xinetd」の組に対しては、ドメイン生成推奨度73が「10」と登録されている。
図10は図2におけるマクロ―閾値テーブル80の構成を示す図である。
このマクロ―閾値テーブル80は、図5に示すマクロ定義ファイル23で定義されたマクロを用いてドメインを定義するか否かを決めるための閾値が設定されているものであり、マクロ81と閾値82とから構成されている。この設定されている閾値82を越えるとき、そのマクロはドメインとして設定されることになる。マクロ―閾値テーブル80に存在しないマクロの閾値は100%とする。
次に、この実施形態のドメイン設定,ドメイン遷移の処理の一具体例について説明する。これは、オペレータA(図1)の操作のもとに設定ツール40(図2)が実行されることにより、アクセス制御ログファイル30(図2)に格納されているリソースへの操作が「拒否」のプロセスのうち、オペレータA(図1)が選択したプロセスに対して行なわれるものである。
ここで、ドメイン設定ファイル21は図3に示すように、ドメイン遷移設定ファイル22は図4に示すように、アクセス制御ログファイル30は図7に示すように、重要度テーブル60は図8に示すように、マクロ―閾値テーブル80は図10に示すように夫々構成されているものとする。
図11は図2に示す設定ツール40によるドメイン設定及びドメイン遷移の処理の流れの全体を示すフローチャートである。
《ステップ90》
まず、ドメイン生成推奨度計算機能42(図2)の実行により、アクセス制御ログファイル30を基に、新たなドメインを割り当てた方がよいとするプロセスを抽出し、図9に示すように、推奨度テーブル70を作成する。
まず、ドメイン生成推奨度計算機能42(図2)の実行により、アクセス制御ログファイル30を基に、新たなドメインを割り当てた方がよいとするプロセスを抽出し、図9に示すように、推奨度テーブル70を作成する。
《ステップ100》
そして、ドメイン遷移図作成機能41(図2)の実行により、図4に示すドメイン遷移設定ファイル22を基に、設定されているドメイン間の関係、即ち、かかるドメインをノードとしたドメイン遷移を表わすドメイン遷移図を作成し、ディスプレイ50(図1)に表示する。このドメイン遷移図では、また、上記ステップ90で抽出された新たなドメインを割り当てた方がよいとするプロセスが存在するノード(ドメイン)を色付けして表示し、オペレータAがドメイン設定,ドメイン遷移した方がよいドメインを容易に認識できるようにしているので、オペレータは色のついているノードの1つを選択する。
そして、ドメイン遷移図作成機能41(図2)の実行により、図4に示すドメイン遷移設定ファイル22を基に、設定されているドメイン間の関係、即ち、かかるドメインをノードとしたドメイン遷移を表わすドメイン遷移図を作成し、ディスプレイ50(図1)に表示する。このドメイン遷移図では、また、上記ステップ90で抽出された新たなドメインを割り当てた方がよいとするプロセスが存在するノード(ドメイン)を色付けして表示し、オペレータAがドメイン設定,ドメイン遷移した方がよいドメインを容易に認識できるようにしているので、オペレータは色のついているノードの1つを選択する。
《ステップ110》
上記のドメイン遷移図の色付け表示されたノードの1つをオペレータAが選択すると、この選択されたノード内の新たなドメインを割り当てた方がよいとするプロセスを表わすドメイン生成推奨プロセス一覧画面がディスプレイ50に表示され、新たなドメインを割り当てたいプロセスをオペレータAが選択することができるようにする。
上記のドメイン遷移図の色付け表示されたノードの1つをオペレータAが選択すると、この選択されたノード内の新たなドメインを割り当てた方がよいとするプロセスを表わすドメイン生成推奨プロセス一覧画面がディスプレイ50に表示され、新たなドメインを割り当てたいプロセスをオペレータAが選択することができるようにする。
《ステップ120》
オペレータAがこのドメイン生成推奨プロセス一覧画面から所望とするプロセスを選択すると、設定生成機能43(図2)の実行により、選択されたプロセスに関する新たなドメインがドメイン設定ファイル21に自動的に設定され、また、ドメインの遷移がドメイン遷移設定ファイル22に自動的になされる。
オペレータAがこのドメイン生成推奨プロセス一覧画面から所望とするプロセスを選択すると、設定生成機能43(図2)の実行により、選択されたプロセスに関する新たなドメインがドメイン設定ファイル21に自動的に設定され、また、ドメインの遷移がドメイン遷移設定ファイル22に自動的になされる。
次に、図11における各ステップの詳細について説明する。
図12はドメイン生成推奨度計算機能42(図2)による図11におけるステップ90の処理の流れを示すフローチャートである。
この処理は、アクセス制御ログファイル30から新たなドメインを割り当てた方がよいプロセスとこのプロセスに割り当てられたドメインとの組を抽出し、これらの組毎に推奨度テーブル70(図9)を作成するものである。このために、図7に示すアクセス制御ログファイル30から設定ツール40にかかる組のログが読み取られる。
《ステップ91》
アクセス制御ログファイル30から種別31が「拒否」のログを抽出する(読み取る)。かかるログを抽出するのは、期待するアクセスが拒否されているのであれば、拒否されたアクセスを許可する設定にしなければならないため、アクセスが拒否されたログに注目する必要があるためである。図7に示すアクセス制御ログファイル30では、項目「種別」31が「拒否」となっているログは、第2〜8行目,第11行目,第13行目及び第14行目のログである。
アクセス制御ログファイル30から種別31が「拒否」のログを抽出する(読み取る)。かかるログを抽出するのは、期待するアクセスが拒否されているのであれば、拒否されたアクセスを許可する設定にしなければならないため、アクセスが拒否されたログに注目する必要があるためである。図7に示すアクセス制御ログファイル30では、項目「種別」31が「拒否」となっているログは、第2〜8行目,第11行目,第13行目及び第14行目のログである。
《ステップ92》
ステップ91で抽出したログについて、その「ドメイン32―プロセス33」(図7)の組毎に、次のステップ92a〜92bの処理を行なう。
ステップ91で抽出したログについて、その「ドメイン32―プロセス33」(図7)の組毎に、次のステップ92a〜92bの処理を行なう。
《ステップ92a》
即ち、同じ「ドメイン32―プロセス33」の組を持つ全ての抽出したログ(以下、抽出ログという)について、その抽出ログの「リソース34―操作35」を図8に示す重要度テーブル60で検索して、この抽出ログの「リソース34―操作35」と一致するこの重要度テーブル60での「リソース61―操作62」に対する重要度63を全て取得する。そして、このようにして取得した同じ「ドメイン32―プロセス33」の組を持つ全ての抽出ログの重要度63の値を加算し、この加算値をこの「ドメイン32―プロセス33」の組に対するドメイン生成推奨度とする。
即ち、同じ「ドメイン32―プロセス33」の組を持つ全ての抽出したログ(以下、抽出ログという)について、その抽出ログの「リソース34―操作35」を図8に示す重要度テーブル60で検索して、この抽出ログの「リソース34―操作35」と一致するこの重要度テーブル60での「リソース61―操作62」に対する重要度63を全て取得する。そして、このようにして取得した同じ「ドメイン32―プロセス33」の組を持つ全ての抽出ログの重要度63の値を加算し、この加算値をこの「ドメイン32―プロセス33」の組に対するドメイン生成推奨度とする。
いま、重要度テーブル60には、図8に示すように、2つの「リソース61―操作62」の組に対する重要度63が登録されているものとして、図7に示すアクセス制御ログファイル30で「種別」31が「拒否」であるために抽出される「ドメイン32―プロセス33」の組を「ドメインinitrc_t―プロセス/sbin/httpd」の組とすると、図7において、第2〜8行目及び第11行目のログが抽出の対象となるが、第2〜8行目の「リソース34―操作35」の組は図8に示す重要度テーブル60に存在しないため、夫々の組の重要度63はデフォルトの「1」とする。また、「リソース34―操作35」の組が「リソース/www/index.html−読み込み」である第11行目の抽出ログについては、図8に示す重要度テーブル60に重要度「5」として登録されている。以上のことから、この「ドメインinitrc_t―プロセス/sbin/httpd」の組のドメイン生成推奨度は1×7+5×1=12となる。
また、図7に示すアクセス制御ログファイル30で「種別」31が「拒否」であるために抽出される「ドメイン32―プロセス33」の組を「ドメインinitrc_t―プロセス/sbin/xinetd」の組とすると、図7において、第13行目及び第14行目のログが抽出の対象となるが、第13行目の「リソース34―操作35」の組は図8に示す重要度テーブル60に存在しないため、その組の重要度63はデフォルトの「1」となる。また、「リソース/etc/passwd−読み込み」の組である第14行目のログについては、図8に示す重要度テーブル60に重要度「9」として登録されている。以上のことから、この「ドメインinitrc_t―プロセス/sbin/xinetd」の組のドメイン生成推奨度は1×1+9×1=10となる。
《ステップ92b》
ステップ92aで得られた「ドメイン32―プロセス33」の組のドメイン生成推奨度を図9に示す推奨度テーブル70に「ドメイン71―プロセス72―ドメイン生成推奨度73」として登録する。上記の例では、「ドメインinitrc_t―プロセス/sbin/httpd」の組がドメイン生成推奨度「12」として登録され、「ドメインinitrc_t―プロセス/sbin/xinetd」の組がドメイン生成推奨度「10」として登録される。
ステップ92aで得られた「ドメイン32―プロセス33」の組のドメイン生成推奨度を図9に示す推奨度テーブル70に「ドメイン71―プロセス72―ドメイン生成推奨度73」として登録する。上記の例では、「ドメインinitrc_t―プロセス/sbin/httpd」の組がドメイン生成推奨度「12」として登録され、「ドメインinitrc_t―プロセス/sbin/xinetd」の組がドメイン生成推奨度「10」として登録される。
《ステップ93》
以上の処理が図7に示すアクセス制御ログファイル30からの抽出ログの「ドメイン32―プロセス33」の組毎に行なわれ、全て組の処理が終了すると、ドメイン生成推奨度計算機能42の処理(図11でのステップ90)が終了する。
以上の処理が図7に示すアクセス制御ログファイル30からの抽出ログの「ドメイン32―プロセス33」の組毎に行なわれ、全て組の処理が終了すると、ドメイン生成推奨度計算機能42の処理(図11でのステップ90)が終了する。
図13はドメイン遷移図作成機能41(図2)による図11でのステップ100の処理の流れの一具体例を示すフローチャートである。
《ステップ101》
ドメイン遷移設定ファイル22(図4)を読み込み、その遷移元ドメイン22a,エントリポイント22c及び遷移先ドメイン22dを基に、ドメインをノードとし、ドメインの階層関係を示すツリー構造を描画する。
ドメイン遷移設定ファイル22(図4)を読み込み、その遷移元ドメイン22a,エントリポイント22c及び遷移先ドメイン22dを基に、ドメインをノードとし、ドメインの階層関係を示すツリー構造を描画する。
これを図14によってこれを説明すると、図4での第1行目に記載のドメイン遷移では、親プロセスに「ドメインkernel_t」が割り当てられていて、この親プロセスから生成された子プロセスは、エントリポイントが「/sbin/init」であって、ドメイン遷移により、「ドメインinit_t」が割り当てられていることになる。そこで、図14に示すように、子プロセスに割り当てられた「ドメインinit_t」を表わす四角枠が親プロセスの「ドメインkernel_t」を表わす四角枠の下側に描画されてこれらプロセスの階層関係が形成されるとともに、子プロセスの「エントリポイント/sbin/init」が子プロセスに割り当てられた「ドメインinit_t」の枠内に描画される。ここで、ドレインを表わす枠とエントリポイントを表わす枠とは異なる形状をなしている。
また、図4での第2行目及び第3行目の記載から、「ドメインinit_t」が割り当てられた上記の子プロセスからは、さらに、この子プロセスが親プロセスとなって、エントリポイントが「/etc/init.d」と「/sbin/login」との2つの子プロセスが生成され、ドメイン遷移により、夫々に「ドメインinitrc_t」と「ドメインlogin_t」とが割り当てられている。これにより、図14に示すように、この親プロセスの「ドメインinit_t」を表わす枠の下側に「ドメインinitrc_t」の枠と「ドメインlogin_t」の枠とが描画され、「ドメインinit_t」と「ドメインinitrc_t」,「ドメインlogin_t」とのプロセスの階層関係が形成される。また、「ドメインinitrc_t」の枠内に「エントリポイント/etc/init.d」が、「ドメインlogin_t」の枠内に「エントリポイント/sbin/login」が夫々描画される。
さらに、図4の第4行目の記載から、「ドメインinitrc_t」が割り当てられた子プロセスからは、さらに、この子プロセスが親プロセスとなって、エントリポイント「/sbin/sendmail」の子プロセスが生成され、ドメイン遷移により、「ドメインmail_server_t」が割り当てられている。これにより、図14に示すように、この親プロセスの「ドメインinitrc_t」を表わす枠の下側に「ドメインmail_server_t」の枠が描画され、「ドメインinitrc_t」と「ドメインmail_server_t」とのプロセスの階層関係が形成される。また、この「ドメインmail_server_t」の枠内に「エントリポイント/sbin/sendmail」が描画される。
このようにして、まず、図13でのステップ101の処理により、図4に示すドメイン遷移設定ファイル22で設定されているドメイン遷移が、ドメインをノードとするツリー構造をなすドメイン遷移図130の骨子として、描画される。
《ステップ102》
次に、図12におけるステップ91の処理でアクセス制御ログファイル30(図7)から読み込んだ「種別31」が「拒否」の「ドメイン32−プロセス33」の組を該当するノード内に描画する。
上記の例では、図12におけるステップ91により、アクセス制御ログファイル30の第2行目〜第8行目及び第11行目の「ドメインinitrc_t−プロセス/sbin/httpd」の組が抽出されたが、この組はドメインが「「initrc_t」であるから、「ドメインinitrc_t」のノード131内に描画される。この場合、この組の「プロセス/sbin/httpd」が、「エントリポイント/sbin/httpd」134として、このノード131内に描画されることになる。この「エントリポイント/sbin/httpd」134には、デフォルトとして、「ドメインinitrc_t」が付与されているものであり、図7に示すリソース34に対する操作35が拒否されているものである。
また、図12におけるステップ91により、アクセス制御ログファイル30の第13行目及び第14行目の「ドメインinitrc_t−プロセス/sbin/xinetd」の組も抽出されたが、この組もドメインが「「initrc_t」であるから、「ドメインinitrc_t」のノード131内に描画される。この場合、この組の「プロセス/sbin/xinetd」が、「エントリポイント/sbin/xinetd」133として、このノード131内に描画されることになる。そして、この「エントリポイント/sbin/xinetd」133にも、デフォルトとして、「ドメインinitrc_t」が付与されているものであり、図7に示すリソース34に対する操作35が拒否されているものである。
このようにして、ノード131内に2つのエントリポイント、即ち、「エントリポイント/sbin/httpd」134と「エントリポイント/sbin/xinetd」133とが描画されるが、これらのエントリポイント、即ち、プロセスは「ドメインinitrc_t」のプロセスの子プロセスであり、これを示すために、ノード131において、これら「エントリポイント/sbin/httpd」134と「エントリポイント/sbin/xinetd」133とは「ドメインinitrc_t」の「エントリポイント/etc/init.d」の下側に描画され、かつ「エントリポイント/etc/init.d」132からこれら「エントリポイント/sbin/httpd」134と「エントリポイント/sbin/xinetd」133とに向けて矢印を描画される。
《ステップ103》
次に、図13のステップ102で得られたツリー構造のノード(ドメイン)のうち、ドメインが図9に示す推奨度テーブル70に存在するノードに対して色付けをし、さらに、この推奨度テーブル70に存在するプロセスについては、そのドメイン生成推奨度の値も表示する。この推奨度テーブル70では、「ドメインinitrc_t」が登録されているので、図14に示すように、この「ドメインinitrc_t」のノード131に色付けがなされ(ここでは、点のハッチングで示す)、また、推奨度テーブル70を基に、このノード131での「エントリポイント/etc/init.d」132に対して子プロセスとなる「エントリポイント/sbin/httpd」134にドメイン生成推奨度「12」が、同じく子プロセスとなる「エントリポイント/sbin/xinetd」133にドメイン生成推奨度「10」が夫々付加される。
次に、図12におけるステップ91の処理でアクセス制御ログファイル30(図7)から読み込んだ「種別31」が「拒否」の「ドメイン32−プロセス33」の組を該当するノード内に描画する。
上記の例では、図12におけるステップ91により、アクセス制御ログファイル30の第2行目〜第8行目及び第11行目の「ドメインinitrc_t−プロセス/sbin/httpd」の組が抽出されたが、この組はドメインが「「initrc_t」であるから、「ドメインinitrc_t」のノード131内に描画される。この場合、この組の「プロセス/sbin/httpd」が、「エントリポイント/sbin/httpd」134として、このノード131内に描画されることになる。この「エントリポイント/sbin/httpd」134には、デフォルトとして、「ドメインinitrc_t」が付与されているものであり、図7に示すリソース34に対する操作35が拒否されているものである。
また、図12におけるステップ91により、アクセス制御ログファイル30の第13行目及び第14行目の「ドメインinitrc_t−プロセス/sbin/xinetd」の組も抽出されたが、この組もドメインが「「initrc_t」であるから、「ドメインinitrc_t」のノード131内に描画される。この場合、この組の「プロセス/sbin/xinetd」が、「エントリポイント/sbin/xinetd」133として、このノード131内に描画されることになる。そして、この「エントリポイント/sbin/xinetd」133にも、デフォルトとして、「ドメインinitrc_t」が付与されているものであり、図7に示すリソース34に対する操作35が拒否されているものである。
このようにして、ノード131内に2つのエントリポイント、即ち、「エントリポイント/sbin/httpd」134と「エントリポイント/sbin/xinetd」133とが描画されるが、これらのエントリポイント、即ち、プロセスは「ドメインinitrc_t」のプロセスの子プロセスであり、これを示すために、ノード131において、これら「エントリポイント/sbin/httpd」134と「エントリポイント/sbin/xinetd」133とは「ドメインinitrc_t」の「エントリポイント/etc/init.d」の下側に描画され、かつ「エントリポイント/etc/init.d」132からこれら「エントリポイント/sbin/httpd」134と「エントリポイント/sbin/xinetd」133とに向けて矢印を描画される。
《ステップ103》
次に、図13のステップ102で得られたツリー構造のノード(ドメイン)のうち、ドメインが図9に示す推奨度テーブル70に存在するノードに対して色付けをし、さらに、この推奨度テーブル70に存在するプロセスについては、そのドメイン生成推奨度の値も表示する。この推奨度テーブル70では、「ドメインinitrc_t」が登録されているので、図14に示すように、この「ドメインinitrc_t」のノード131に色付けがなされ(ここでは、点のハッチングで示す)、また、推奨度テーブル70を基に、このノード131での「エントリポイント/etc/init.d」132に対して子プロセスとなる「エントリポイント/sbin/httpd」134にドメイン生成推奨度「12」が、同じく子プロセスとなる「エントリポイント/sbin/xinetd」133にドメイン生成推奨度「10」が夫々付加される。
以上の処理結果が、図14に示すように、ドメイン遷移図130としてディスプレイ50(図1)に表示され、ドメイン遷移図作成機能41によるこの処理100が終了する。
このように、ドメイン遷移図130では、ドメインの階層関係がドメインをノードとするツリー構造で表示されるので、この階層関係を一目で認識できて見易いものとなるし、また、ドメイン遷移の対象となるプロセスが該当するノード内に、このノードのエントリポイントと階層関係で描画されるので、しかも、かかるエントリポイントを含むノードが色付けされているので、かかるドメイン遷移の対象となるプロセスを簡単に認識することができ、ユーザに対して可読性が向上してドメイン遷移のための操作が容易となる。
次に、このドメイン遷移図130において、オペレータAが色付けされたノードのいずれか、この場合、「ドメインinitrc_t」のノード131を選択すると、図15に示すようなドメイン推奨プロセス一覧画面140がディスプレイ50(図1)に表示される。
このドメイン推奨プロセス一覧画面140では、図14に示すドメイン遷移図130の色付けされた「ドメインinitrc_t」のノード131内での「エントリポイント/sbin/httpd」134及び「エントリポイント/sbin/xinetd」133のドメイン生成推奨度が登録される。
即ち、ドメイン推奨プロセス一覧画面140では、図14に示すドメイン遷移図130で選択されたノードの「ドメイン名」141が表示され、また、このノード(の枠内)に含まれるエントリポイント名によって表わされる「プロセス」142とその「ドメイン生成推奨度」143との一覧が表示される。
いま、図14におけるノード131が選択されたとすると、ドメイン推奨プロセス一覧画面140では、このノード131の「ドメインinitrc_t」が「ドメイン」141として表示され、この選択されたノード131の「エントリポイント/etc/init.d」132の下位階層(子プロセス)となり、かつ図9に示す推奨度テーブル70に登録されているプロセスの「エントリポイント/sbin/httpd」134と「エントリポイント/sbin/xinetd」133とが「プロセス」142として表示され、これら「エントリポイント/sbin/httpd」134と「エントリポイント/sbin/xinetd」133との推奨度テーブル70(図9)に登録されている「ドメイン生成推奨度」が「ドメイン生成推奨度」143として表示される。ここでは、図14でのノード131が選択され、かつこのノード131でのエントリポイント134,133については、図9に示す推奨度テーブル70にドメイン生成推奨度が「12」,「10」と登録されているので、ドメイン推奨プロセス一覧画面140では、「エントリポイント/sbin/httpd」134について、「プロセス」142が「/sbin/httpd」で、かつ「ドメイン生成推奨度」143が「12」のプロセスとして表示され、「エントリポイント/sbin/xinetd」133について、「プロセス」142が「/sbin/xinetd」で、かつ「ドメイン生成推奨度」143が「10」のプロセスとして表示される。
図15に示すドメイン生成推奨プロセス一覧画面140から新たなドメインを生成し、そのドメインを割り当てたいプロセスをオペレータAが選択することができる(図11でのステップ110)。
例えば、図15において、オペレータAがドメイン生成推奨プロセス一覧画面140での第1行目の「プロセス/sbin/httpd」を選択すると、設定生成機能43(図2)が起動し、図16に示すように処理が行なわれて新たなドメインが生成され、この「プロセス/sbin/httpd」、従って、図14のドメイン遷移図130で選択された「エントリポイント/sbin/httpd」134のプロセスにこの生成した新たなドメインを割り当てるドメイン遷移設定が行なわれる。また、図14において、「エントリポイント/sbin/httpd」134または「エントリポイント/sbin/xinetd」133を直接選択することにより、図16に示す処理が行なわれて新たなドメインが生成され、これを選択されたエントリポイント(プロセス)に割り当てるようにすることも可能である。
図16は設定生成機能43(図2)による図11でのステップ120の処理の流れの一具体例を示すフローチャートである。
《ステップ121》
オペレータAが図15のドメイン生成推奨一覧画面140で、例えば、第1行目に示す「プロセス/sbin/httpd」を選択すると、設定ツール40(図1,図2)に、この「プロセス/sbin/httpd」に対するドメイン生成推奨一覧画面140でのドメイン141としての「initrc_t」がドメインDとして入力され、「/sbin/httpd」142がプロセスPとして入力される。
オペレータAが図15のドメイン生成推奨一覧画面140で、例えば、第1行目に示す「プロセス/sbin/httpd」を選択すると、設定ツール40(図1,図2)に、この「プロセス/sbin/httpd」に対するドメイン生成推奨一覧画面140でのドメイン141としての「initrc_t」がドメインDとして入力され、「/sbin/httpd」142がプロセスPとして入力される。
《ステップ122》
そして、このプロセスPの名称「/sbin/httpd」を基に、新たなドメインDNの名称を自動的に生成し、ドメインDからドメインDNに遷移するドメインの遷移をドメイン遷移設定ファイル22に、図4に示すように、設定する。ここで、新たなドメインDNの名称は、プロセスPの名称に「_t」という文字列を付与したものになる。プロセスPが「/sbin/httpd」である場合には、新たなドメインDNは「httpd_t」となる。従って、ドメイン遷移設定ファイル22には、図4に示すのと同様、「遷移元ドメインinitrc_t―エントリポイント/sbin/httpd―遷移先ドメインhttpd_t」が新たに設定されることになる。
そして、このプロセスPの名称「/sbin/httpd」を基に、新たなドメインDNの名称を自動的に生成し、ドメインDからドメインDNに遷移するドメインの遷移をドメイン遷移設定ファイル22に、図4に示すように、設定する。ここで、新たなドメインDNの名称は、プロセスPの名称に「_t」という文字列を付与したものになる。プロセスPが「/sbin/httpd」である場合には、新たなドメインDNは「httpd_t」となる。従って、ドメイン遷移設定ファイル22には、図4に示すのと同様、「遷移元ドメインinitrc_t―エントリポイント/sbin/httpd―遷移先ドメインhttpd_t」が新たに設定されることになる。
このドメイン遷移により、図14に示すドメイン遷移図130が図17に示すドメイン遷移図130’に変更される。このドメイン遷移図130’では、図14におけるドメインがデフォルトの「ドメインinitrc_t」である「エントリポイント/sbin/httpd」134の子プロセスがドメイン遷移し、新たな「ドメインhttpd_t」135のプロセスとして「ドメインinitrc_t」の下側に同じ色付けで描画される。この「ドメインhttpd_t」135のエントリポイントはもとの「エントリポイント/sbin/httpd」である。
このようにして、ドメイン遷移があったことも、また、新たにドメイン遷移したドメインも明確に表示され、可読性が向上してドメイン遷移の認識が容易に、かつ確実に行なうことができる。
《ステップ123》
次に、この新たなドメインDNをドメイン設定ファイル21(図2,図3)に設定するために、アクセス制御ログファイル30(図7)から「ドメイン32―プロセス33」の組が「ドメインD―プロセスP」と一致するログを抽出する。ここでは、上記の例から、ドメインDが「ドメインinitrc_t」、プロセス(エントリポイント)は「エントリポイント/sbin/httpd」であるから、「ドメインD―プロセスP」は「ドメインinitrc_t−プロセス/sbin/httpd」であり、これと一致する図7でのアクセス制御ログファイル30での「ドメイン32―プロセス33」の組のログは第2行目〜第11行目のログであり、これらのログが抽出されることになる。このように、アクセス制御ログファイル30からの抽出されたログを図18に示す。これら抽出ログのプロセスに新たなドメインDNである「ドメインhttpd_t」が設定されることになる。
次に、この新たなドメインDNをドメイン設定ファイル21(図2,図3)に設定するために、アクセス制御ログファイル30(図7)から「ドメイン32―プロセス33」の組が「ドメインD―プロセスP」と一致するログを抽出する。ここでは、上記の例から、ドメインDが「ドメインinitrc_t」、プロセス(エントリポイント)は「エントリポイント/sbin/httpd」であるから、「ドメインD―プロセスP」は「ドメインinitrc_t−プロセス/sbin/httpd」であり、これと一致する図7でのアクセス制御ログファイル30での「ドメイン32―プロセス33」の組のログは第2行目〜第11行目のログであり、これらのログが抽出されることになる。このように、アクセス制御ログファイル30からの抽出されたログを図18に示す。これら抽出ログのプロセスに新たなドメインDNである「ドメインhttpd_t」が設定されることになる。
《ステップ124》
次に、ドメイン設定をマクロで行なうかどうかを決めるために、マクロ定義ファイル23(図5)を読み込む。
次に、ドメイン設定をマクロで行なうかどうかを決めるために、マクロ定義ファイル23(図5)を読み込む。
《ステップ125》
そして、マクロ定義ファイル23で定義された「マクロ」23a毎に、次のステップ125a〜125bの処理を行なう。図5で示すマクロ定義ファイル23の場合、まず、「マクロcan_network」について処理を行ない、次に、「マクロcan_syslog」について処理を行なうことになる。この処理は、図18に示すように抽出したログで示すプロセスに新たな「ドメインhttpd_t」を設定する場合、「マクロcan_network」でドメイン設定するか、「マクロcan_syslog」でドメイン設定するか、あるいは個々の「リソース−操作」の組毎にドメイン設定するかを決めるものである。
そして、マクロ定義ファイル23で定義された「マクロ」23a毎に、次のステップ125a〜125bの処理を行なう。図5で示すマクロ定義ファイル23の場合、まず、「マクロcan_network」について処理を行ない、次に、「マクロcan_syslog」について処理を行なうことになる。この処理は、図18に示すように抽出したログで示すプロセスに新たな「ドメインhttpd_t」を設定する場合、「マクロcan_network」でドメイン設定するか、「マクロcan_syslog」でドメイン設定するか、あるいは個々の「リソース−操作」の組毎にドメイン設定するかを決めるものである。
《ステップ125a》
マクロ定義ファイル23の「リソース23b―操作23c」の組と図18に示す抽出ログの「リソース34―操作35」とを比較し、一致している抽出ログの個数をカウントする。抽出ログに同一の「リソース34―操作35」の組がある場合、これら抽出ログ毎に上記のカウントを行なってもよいし、カウントは1つの抽出ログに対して行なうのみとしてもよく、システムの都合によってどちらかを採用すればよい。「マクロcan_network」については、図18の第1行目〜第9行目の抽出ログが一致しているので、カウント値(即ち、一致個数)は「9」となる。また、「マクロcan_syslog」については、一致する抽出ログがないので、カウント値(一致個数)は「0」である。
マクロ定義ファイル23の「リソース23b―操作23c」の組と図18に示す抽出ログの「リソース34―操作35」とを比較し、一致している抽出ログの個数をカウントする。抽出ログに同一の「リソース34―操作35」の組がある場合、これら抽出ログ毎に上記のカウントを行なってもよいし、カウントは1つの抽出ログに対して行なうのみとしてもよく、システムの都合によってどちらかを採用すればよい。「マクロcan_network」については、図18の第1行目〜第9行目の抽出ログが一致しているので、カウント値(即ち、一致個数)は「9」となる。また、「マクロcan_syslog」については、一致する抽出ログがないので、カウント値(一致個数)は「0」である。
《ステップ125b》
次に、夫々のマクロに関して、上記の一致個数をn、マクロ定義ファイル23に定義されているマクロの「リソース―操作」の定義数をmとして、
「リソース―操作」当りの一致個数N=一致個数n÷定義数m
を求め、図10に示すマクロ−閾値テーブル80を基に、「リソース―操作」当りの一致個数Nを閾値82と比較し、「リソース―操作」当りの個数Nがこの閾値82を越えるドメインDNに対しては、マクロを用いてドメイン設定を行なうようにする。
次に、夫々のマクロに関して、上記の一致個数をn、マクロ定義ファイル23に定義されているマクロの「リソース―操作」の定義数をmとして、
「リソース―操作」当りの一致個数N=一致個数n÷定義数m
を求め、図10に示すマクロ−閾値テーブル80を基に、「リソース―操作」当りの一致個数Nを閾値82と比較し、「リソース―操作」当りの個数Nがこの閾値82を越えるドメインDNに対しては、マクロを用いてドメイン設定を行なうようにする。
上記の場合、「マクロcan_network」については、
「一致個数」÷「定義組数」=9÷13=69%
であって、マクロ―閾値テーブル80での「マクロcan_network」に対する閾値60%より大であるから、これら「リソース―操作」のドメイン設定にマクロを利用する。この場合、図6で示すように、「can_network(httpd_t)」という記述24aを図6(a)に示すドメイン記述文ファイル24に登録する。「マクロcan_syslog」については、一致個数n=0であるので、この「マクロcan_syslog」を利用してのドメイン設定は行なわない。
「一致個数」÷「定義組数」=9÷13=69%
であって、マクロ―閾値テーブル80での「マクロcan_network」に対する閾値60%より大であるから、これら「リソース―操作」のドメイン設定にマクロを利用する。この場合、図6で示すように、「can_network(httpd_t)」という記述24aを図6(a)に示すドメイン記述文ファイル24に登録する。「マクロcan_syslog」については、一致個数n=0であるので、この「マクロcan_syslog」を利用してのドメイン設定は行なわない。
《ステップ126》
マクロ定義ファイル23(図5)で定義される全てのマクロについて以上の処理が行なわれると、次の処理へと進む。
マクロ定義ファイル23(図5)で定義される全てのマクロについて以上の処理が行なわれると、次の処理へと進む。
《ステップ127》
上記ステップ125bの処理でマクロによる記述ができなかったプロセスについて、直接のドメイン記述である「allow文」による記述をドメイン記述文ファイル24に登録する。図18に示す抽出ログのうち、第10行目の「/www/index.html―読み込み」の組に対しては、マクロ定義ファイル23にマクロが定義されていないので、「allow」文による記述24bである「allow httpd_t /www/index/html read」をドメイン記述文ファイル24に登録する。
上記ステップ125bの処理でマクロによる記述ができなかったプロセスについて、直接のドメイン記述である「allow文」による記述をドメイン記述文ファイル24に登録する。図18に示す抽出ログのうち、第10行目の「/www/index.html―読み込み」の組に対しては、マクロ定義ファイル23にマクロが定義されていないので、「allow」文による記述24bである「allow httpd_t /www/index/html read」をドメイン記述文ファイル24に登録する。
以上のステップ125a,127の処理によると、ドメイン記述文ファイル24に登録される内容は
can_network(httpd_t)
allow httpd_t/var/www read;
の2行となる。ここで、ドメイン記述文「can_network(httpd_t)」は、「(httpd_t)」の記述から、「ドメインhttpd_t」の記述文であることが明確である。このように、マクロを用いることにより、生成されたドメインに対する「リソース―操作」の組が多数あっても、新たに設定されるドメイン記述文が簡単なものとなり、ドメイン記述ファイル24をディスプレイ50(図1)に表示してプロセスを確認する場合には、非常に簡潔となって見易いものであり、可読性が向上する。
《ステップ128》
次に、マクロ展開機能90(図2)により、ドメイン記述文ファイル(図6)24の記述24aを、マクロ定義ファイル23(図5)を利用して、図6に展開24cとして示すように、ドメイン設定ファイル21(図3,図6(b))に複数のドメインに展開して設定し、その文字列表現21dに記述24aと同じものを設定する。また、ドメイン記述文ファイル24の記述24bの「allow文」は、図6に展開24dとして示すように、ドメイン設定ファイル21に設定する。
can_network(httpd_t)
allow httpd_t/var/www read;
の2行となる。ここで、ドメイン記述文「can_network(httpd_t)」は、「(httpd_t)」の記述から、「ドメインhttpd_t」の記述文であることが明確である。このように、マクロを用いることにより、生成されたドメインに対する「リソース―操作」の組が多数あっても、新たに設定されるドメイン記述文が簡単なものとなり、ドメイン記述ファイル24をディスプレイ50(図1)に表示してプロセスを確認する場合には、非常に簡潔となって見易いものであり、可読性が向上する。
《ステップ128》
次に、マクロ展開機能90(図2)により、ドメイン記述文ファイル(図6)24の記述24aを、マクロ定義ファイル23(図5)を利用して、図6に展開24cとして示すように、ドメイン設定ファイル21(図3,図6(b))に複数のドメインに展開して設定し、その文字列表現21dに記述24aと同じものを設定する。また、ドメイン記述文ファイル24の記述24bの「allow文」は、図6に展開24dとして示すように、ドメイン設定ファイル21に設定する。
以上のようにして、ドメイン記述文ファイル(図6)24やドメイン設定ファイル21へのドメイン設定が行なわれ、図16に示す処理(図11でのステップ120の処理)が終了する。
このように、デフォルトのドメインから新たに生成された「ドメインhttpd_t」がドメイン遷移設定ファイル22(図2,図4)に登録されることにより、この「ドメインhttpd_t」のドメイン遷移が設定され、また、ドメイン記述文ファイル24を介してドメイン設定ファイル21(図2,図3)に登録されることにより、この「ドメインhttpd_t」がセキュアOS10(図1,図2)によってアクセス制御可能に設定されることになる。
そして、このように、親プロセスのドメインとしてのデフォルトのドメインから子プロセスのドメインが生成されるドメイン遷移が行なわれるので、親プロセスのアクセス制御の権限が子プロセスに分割されるので、ドメインの権限の細分化が実現し、1つのドメインに多くの権限を与えることによるセキュリティの問題を解消できることになる。
A オペレータ
1 サーバ
10 セキュアOS
20 設定ファイル
30 アクセス制御ログファイル
40 設定ツール
50 ディスプレイ
11 アクセス制御機能
12 ドメイン制御機能
13 ログ出力機能
21 ドメイン設定ファイル
22 ドメイン遷移設定ファイル
23 マクロ定義ファイル
24 ドメイン記述文ファイル
41 ドメイン遷移図作成機能
42 ドメイン生成推奨度計算機能
43 設定生成機能
60 重要度テーブル
70 推奨度テーブル
80 マクロ―閾値テーブル
90 マクロ展開機能
130,130’ ドメイン遷移図
131 ノード(ドメイン)
132〜134 エントリポイント
135 ドメイン
136 エントリポイント
140 ドメイン生成推奨プロセス一覧画面
1 サーバ
10 セキュアOS
20 設定ファイル
30 アクセス制御ログファイル
40 設定ツール
50 ディスプレイ
11 アクセス制御機能
12 ドメイン制御機能
13 ログ出力機能
21 ドメイン設定ファイル
22 ドメイン遷移設定ファイル
23 マクロ定義ファイル
24 ドメイン記述文ファイル
41 ドメイン遷移図作成機能
42 ドメイン生成推奨度計算機能
43 設定生成機能
60 重要度テーブル
70 推奨度テーブル
80 マクロ―閾値テーブル
90 マクロ展開機能
130,130’ ドメイン遷移図
131 ノード(ドメイン)
132〜134 エントリポイント
135 ドメイン
136 エントリポイント
140 ドメイン生成推奨プロセス一覧画面
Claims (4)
- プロセス毎に指定されたリソースに対するアクセス制御設定を可能としたアクセス制御設定システムであって、
プロセス毎にドメインを割り当て、割り当てたドメインの範囲で該プロセスからのリソースに対するアクセスを許可することにより、該プロセス毎にリソースに対するアクセス制御を行なうアクセス制御手段と、
各ドメイン間の階層関係を表わしたドメイン遷移設定ファイルを基に、該ドメインをノードとして、該階層関係をツリー構造で表わすドメイン遷移図を描画して表示し、指定されたリソースへの操作が拒否されたプロセスを、該ドメイン遷移図での該当するドメインのノード内に、選択可能に描画するドメイン遷移図作成手段と、
該ドメインのノード内の該プロセスを選択することにより、該プロセスのドメイン遷移をドメイン遷移設定ファイルに反映させる設定生成手段と
を備え、
該リソースへの操作が拒否された該プロセスに対して、該割り当てられたドメインとは異なるドメインに遷移させることを特徴とするアクセス制御設定システム。 - 請求項1において、
前記プロセス毎のリソースに対する操作が許可されたか、または拒否されたかのアクセス結果を含むログを作成し、アクセス制御ログファイルに出力するログ形成・出力手段と、
該アクセス制御ログファイルにおいて、前記リソースに対する操作が拒否された前記プロセス毎に、該アクセス制御ログファイルから抽出されたログでの「リソース−操作」の組に対する重要度を、予め各「リソース−操作」の組に対して重要度が設定された重要度テーブルを基に、求め、かつ求めた該重要度を加算して前記プロセスに対するドメイン生成推奨度とするドメイン生成推奨度計算手段と
を備え、
前記ドメイン遷移図作成手段が、前記ドメイン遷移図での前記ノードに描画された該当する前記プロセスに該ドメイン生成推奨度を描画するとともに、該ドメイン生成推奨度が描画された前記プロセスを含む前記ノードに色付けをすることを特徴とするアクセス制御設定システム。 - 請求項1または2において、
前記ドメイン遷移図での前記ドメインのノード内に描画された前記プロセスの1つのプロセスPが選択されることにより、該プロセスPに対して、該プロセスPを含む前記ノードのドメインDを基に、新たなドメインDNを生成し、該ドメインDNを該ドメインDから遷移されたものとして前記ドメイン遷移設定ファイルに登録することにより、ドメイン遷移を設定し、かつドメイン設定ファイルに登録することにより、アクセス制御可能なドメインとして設定することを特徴とするアクセス制御設定システム。 - 請求項3において、
前記ドメインDと前記プロセスPとの組「ドメインD−プロセスP」を表わすログを前記アクセス制御ログファイルから抽出し、
マクロ毎にリソースと操作との組を定義したマクロ定義ファイルでの抽出した該ログでの「リソース−操作」の組と一致する組数を求め、求めた一致の組数が予め設定された閾値を超えるとき、該ログでの「リソース−操作」の組に対する前記新たなドメインDNに対するドメイン記述文を該ログでの「リソース−操作」の組に共有のマクロで記述した記述文とすることを特徴とするアクセス制御設定システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004339105A JP4550558B2 (ja) | 2004-11-24 | 2004-11-24 | アクセス制御設定システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004339105A JP4550558B2 (ja) | 2004-11-24 | 2004-11-24 | アクセス制御設定システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006146788A JP2006146788A (ja) | 2006-06-08 |
| JP4550558B2 true JP4550558B2 (ja) | 2010-09-22 |
Family
ID=36626369
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004339105A Expired - Fee Related JP4550558B2 (ja) | 2004-11-24 | 2004-11-24 | アクセス制御設定システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4550558B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4882550B2 (ja) * | 2006-07-03 | 2012-02-22 | 富士ゼロックス株式会社 | オブジェクト管理システム及びオブジェクト管理方法、並びにコンピュータ・プログラム |
| JP5014191B2 (ja) * | 2008-02-13 | 2012-08-29 | 株式会社リコー | 機器及び操作権限判定方法 |
| JP5483249B2 (ja) * | 2009-03-03 | 2014-05-07 | 日本電気株式会社 | HTTP要求処理システム、Webサーバ、HTTP要求処理方法、及びHTTP要求処理プログラム |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5551037A (en) * | 1993-11-19 | 1996-08-27 | Lucent Technologies Inc. | Apparatus and methods for visualizing operation of a system of processes |
-
2004
- 2004-11-24 JP JP2004339105A patent/JP4550558B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006146788A (ja) | 2006-06-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5462254B2 (ja) | コンピューティングプロセスのための最小特権アクセスの付与 | |
| Dalton et al. | Analyzing attack trees using generalized stochastic petri nets | |
| JP2020030866A (ja) | 機密情報処理方法、装置、及び、サーバ、ならびに、セキュリティ決定システム | |
| US8156559B2 (en) | Systematic approach to uncover GUI logic flaws | |
| KR19980063709A (ko) | 인터넷 방화벽 상에서의 ip 터널링에 대한 웹 기초형 관리 | |
| WO2017034917A1 (en) | Object-relation user interface for viewing security configurations of network security devices | |
| CN107733863A (zh) | 一种分布式hadoop环境下的日志调试方法和装置 | |
| US20160359898A1 (en) | Computer network attribute bilateral inheritance | |
| CN105825137B (zh) | 一种确定敏感数据扩散行为的方法及装置 | |
| US12021694B2 (en) | Virtualized network functions | |
| JP2004158007A (ja) | コンピュータアクセス権限 | |
| CN103235918A (zh) | 可信文件的收集方法及*** | |
| Eggert et al. | The complexity of intransitive noninterference | |
| Buinevich et al. | Method and algorithms of visual audit of program interaction. | |
| JP2019020794A (ja) | 文書管理装置、文書管理システム及びプログラム | |
| Zhu et al. | Detecting privilege escalation attacks through instrumenting web application source code | |
| JP4550558B2 (ja) | アクセス制御設定システム | |
| JP2007109016A (ja) | アクセスポリシ生成システム、アクセスポリシ生成方法及びアクセスポリシ生成用プログラム | |
| JP4390263B2 (ja) | セキュアosにおけるプロセスのアクセス権限可視化表示方法 | |
| CN110569987A (zh) | 自动化运维方法、运维设备、存储介质及装置 | |
| Van Der Meyden | Architectural refinement and notions of intransitive noninterference | |
| CN105184150B (zh) | 一种语句预处理方法、装置以及语句的解释方法、装置 | |
| CN110995747A (zh) | 一种分布式存储安全性分析方法 | |
| Ahn et al. | Systematic policy analysis for high-assurance services in SELinux | |
| Chawla et al. | VMGuard: State-based proactive verification of virtual network isolation with application to NFV |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070612 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100329 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100406 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100603 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100622 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100708 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130716 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130716 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20160716 Year of fee payment: 6 |
|
| LAPS | Cancellation because of no payment of annual fees |