評価値管理装置及び評価値管理プログラム、並びに端末間接続制御システム
【課題】端末の与信度を適切な与信度に更新する。
【解決手段】複数の端末の与信度を記憶する端末−与信度リスト20と、複数の端末のうちの1つの端末(例えば、端末A)から、別の端末(端末C)への接続要求があった場合に、端末Aの与信度を、端末Cの与信度に基づいて定められる値で更新する与信度計算部12と、を備えることで、普段から、与信度の低い端末(犯罪サイト(攻撃指令用ツールやウィルスなどをダウンロードできるようなサイト))にアクセスしていると考えられる、DDoS攻撃を指令するような端末(黒幕)の与信度を低く更新する。
【解決手段】複数の端末の与信度を記憶する端末−与信度リスト20と、複数の端末のうちの1つの端末(例えば、端末A)から、別の端末(端末C)への接続要求があった場合に、端末Aの与信度を、端末Cの与信度に基づいて定められる値で更新する与信度計算部12と、を備えることで、普段から、与信度の低い端末(犯罪サイト(攻撃指令用ツールやウィルスなどをダウンロードできるようなサイト))にアクセスしていると考えられる、DDoS攻撃を指令するような端末(黒幕)の与信度を低く更新する。
【発明の詳細な説明】
【技術分野】
【0001】
本件は、評価値管理装置及び評価値管理プログラム、並びに端末間接続制御システムに関する。
【背景技術】
【0002】
国や地域、企業などのネットワークが相互接続され構成される社会基盤システムにおいては、コスト削減の観点、あるいはシステム間での連携(接続)の容易化の観点から、インターネット準拠の部品(装置)で構成するシステムの適用、すなわちIP(Internet Protocol)化が進んできている。ここで、社会基盤システムには、金融システム、電力網、宇宙ステーション管制システムなどが含まれる。
【0003】
このため、最近では、社会基盤システムにおいてもインターネット上の脅威、すなわち、データの改ざん、流出、サービス妨害(DDoS攻撃)などに対するセキュリティ対策が必要となってきている。
【0004】
なお、インターネット上で行われるセキュリティ対策には、ファイアウォール、QoS(Quality of Service)、IDS(Intrusion Detection System:侵入検知システム)、トレースバック、レピュテーション(評価)などがある。
【0005】
ファイアウォールは、守るべきネットワークとその外部との通信を監視し、管理者が定義したアクセス制御ポリシーに基づいて不正アクセスをブロックする技術である。QoSは、利用者に安定した通信品質を提供するための技術であり、許容量を越える通信が発生した場合に、音声や動画などの、通信遅延が許されない通信を優先させる制御を行う技術である。IDSは、ネットワーク上を流れるパケットを分析し、ふだんの通信状況や攻撃パターンとの照合によりDDoS攻撃などの不正アクセスを検知する技術である。トレースバックは、不正アクセスを受けた際に経路上のルータの通信ログおよび、通信パケットのヘッダ情報から攻撃経路を復元する技術である。レピュテーションは、迷惑メールや危険なwebサイトの判定技術であり、監視対象サーバを通信パターンや既知の犯罪サイトとの関連など様々な要素で評価し、算出した数値と管理者が定めたポリシーによりアクセス制御を行う技術である。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2006−279338号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、上述したセキュリティ技術のいずれも、発生した攻撃に対する対応策に過ぎない。また、DDoS攻撃の場合、一般的に、攻撃の実行者は、攻撃用プログラムに感染した数十〜数百万台の端末(「ボット」と呼ばれる)であり、攻撃を指令した端末(黒幕(「ハーダー」とも呼ばれる))の所在は分からない。このため、上述したトレースバック技術であっても、攻撃経路を復元できるのは実際の攻撃者(ボット)までである。したがって、ボットが発見されても、黒幕(ハーダー)は、再度別の端末をボットにして何度も攻撃を実行することができる。
【0008】
なお、攻撃が発生する前に行う対策として、特許文献1のような技術がある。この技術は、LAN(Local Area Network)に接続された各端末の脆弱度を求め、当該脆弱度を他のLANと交換することで、安全性の低いLANへの接続を制限するものである。しかるに、この技術を用いたとしても、黒幕を特定できるわけではないので、DDoS攻撃を完全に防ぐことは難しい。
【0009】
更に、社会基盤システムは、通常のインターネット環境と比べ、被害の回復に多くのコストを要するため、基本的には、DDoS攻撃を成功させてはならない。また、社会基盤システムは、24時間365日安定稼動を要求されるシステムであるため、プログラム更新や再起動が難しい。また、パッチ適用にあたっては、パッチ適用後のシステムの正常稼動を事前検証する必要があるため、多くの費用と時間がかかるおそれがある。
【0010】
そこで本件は上記の課題に鑑みてなされたものであり、複数の端末それぞれの不正接続に関する評価値を適切に管理することが可能な評価値管理装置及び評価値管理プログラムを提供することを目的とする。また、本件は、端末間の接続を適切に制御することが可能な端末間接続制御システムを提供することを目的とする。
【課題を解決するための手段】
【0011】
本明細書に記載の評価値管理装置は、複数の端末それぞれの不正接続に関する評価値を管理する評価値管理装置であって、前記複数の端末の不正接続に関する評価値を記憶する記憶部と、前記複数の端末のうちの1つである第1の端末から、前記複数の端末のうちの別の端末である第2の端末への接続要求があった場合に、前記記憶部に記憶されている前記第1の端末の評価値を、前記第2の端末の評価値に基づいて定められる値で更新する更新部と、を備える評価値管理装置である。
【0012】
本明細書に記載の端末間接続制御システムは、本明細書に記載の評価値管理装置と、前記第1の端末から前記第2の端末への接続要求を受け付け、前記記憶部に記憶されている評価値に基づいて、前記第1の端末から前記第2の端末への接続可否を判断し、当該判断結果に基づいて、前記第1の端末と前記第2の端末との接続を制御する接続制御装置と、を備えている。
【0013】
本明細書に記載の評価値管理プログラムは、複数の端末それぞれの不正接続に関する評価値を管理する評価値管理プログラムであって、前記複数の端末のうちの1つである第1の端末から、前記複数の端末のうちの別の端末である第2の端末への接続要求があったか否かを判断し、前記接続要求があった場合に、前記記憶部に記憶されている前記第1の端末の評価値を、前記第2の端末の評価値に基づいて定められる値で更新する、処理をコンピュータに実行させる評価値管理プログラムである。
【発明の効果】
【0014】
本明細書に記載の評価値管理装置及び評価値管理プログラムは、複数の端末それぞれの不正接続に関する評価値を適切に管理することができるという効果を奏する。また、本明細書に記載の端末間接続制御システムは、端末間の接続を適切に制御することができるという効果を奏する。
【図面の簡単な説明】
【0015】
【図1】一実施形態に係る社会基盤システムの構成を概略的に示す図である。
【図2】図2(a)は、与信度管理サーバのハードウェア構成図であり、図2(b)は、ルータのハードウェア構成図である。
【図3】社会基盤システムの機能ブロック図である。
【図4】侵入検知装置の分析結果を示す図である。
【図5】図5(a)は、与信度更新ルールを示す図であり、図5(b)は、端末−与信度リストを示す図である。
【図6】与信度−アクセス制限ルールを示す図である。
【図7】一のルータに対して接続要求が出された場合に実行される処理を示すフローチャートである。
【図8】図8(a)は、通信ログのアップロード処理を示すフローチャートであり、図8(b)は、通信ログの分析処理を示すフローチャートであり、図8(c)は、与信度計算処理を示すフローチャートであり、図8(d)は、与信度取得処理を示すフローチャートである。
【図9】更新後の端末−与信度リストを示す図である。
【図10】指令端末抽出部の処理を示すフローチャートである。
【図11】図11(a)は、通信ログを示す図であり、図11(b)は、集計結果を示す図であり、図11(c)は、閾値リストを示す図であり、図11(d)は、要注意端末リストを示す図である。
【発明を実施するための形態】
【0016】
以下、一実施形態について、図1〜図11に基づいて詳細に説明する。図1には、端末間接続制御システムとしての社会基盤システム100の構成が概略的に示されている。社会基盤システム100は、図1に示すように、評価値管理装置としての与信度管理サーバ10と、侵入検知装置30と、接続制御装置としてのルータ40A,40B,…と、複数の端末A,B,C,D,…と、を備える。なお、社会基盤システム100は、IP化されており、与信度管理サーバ10、侵入検知装置30、及びルータ40A,40Bは、実際には、インターネットに接続されているものとする。
【0017】
与信度管理サーバ10は、複数の端末それぞれの不正接続に関する評価値である「与信度」を管理するサーバである。ここで、例えば、DDoS攻撃の黒幕は、普段から、ポートスキャンを頻繁に実行したり自身のIPアドレスを詐称するなどして不正な通信を行うことが多い。このため、黒幕の与信度は、一般の端末と比較して低くなるように設定されている(この点については後述する)。侵入検知装置30は、与信度管理サーバ10に接続されており、複数の端末A,B,C,D…の通信ログを与信度管理サーバ10から受け取り、各端末がどのような振る舞いを示していたかを分析する。そして、侵入検知装置30は、分析結果を与信度管理サーバ10に返す。ルータ40A,40B,…(以下、「ルータ40A,40B」と表記する)は、各端末からの接続要求を受け付けるとともに、与信度管理サーバ10で管理されている与信度に基づいて、端末間の接続を制御する。複数の端末は、社会基盤システム100においてユーザにより使用される端末であり、PC(Personal Computer)等を含む。
【0018】
以下、上記各装置について、より詳細に説明する。
【0019】
図2(a)には、与信度管理サーバ10のハードウェア構成図が示されている。図2(a)に示すように、与信度管理サーバ10は、コンピュータとしてのCPU(Central Processing Unit)90、ROM(Read Only Memory)92、RAM(Random Access Memory)94、記憶部(ここではHDD(Hard Disk Drive))96、入出力部97等を備えており、与信度管理サーバ10の構成各部は、バス98に接続されている。入出力部97には、可搬型記憶媒体用ドライブ99が接続されている。与信度管理サーバ10では、ROM92あるいはHDD96に格納されているプログラム、又は可搬型記憶媒体用ドライブ99が可搬型記憶媒体91から読み出したプログラムをCPU90が実行することにより、図3の各部の機能が実現される。また、入出力部97には、表示部等が接続されているものとする。
【0020】
図2(b)には、ルータ40A,40Bのハードウェア構成図が示されている。図2(b)に示すように、ルータ40A,40Bは、CPU190、ROM192、RAM194、記憶部(ここではHDD)196、入出力部97等を備えており、各部は、バス198に接続されている。ルータ40A,40Bでは、ROM192あるいはHDD196に格納されているプログラムをCPU190が実行することにより、図3の各部の機能が実現される。
【0021】
図3には、社会基盤システム100(特に、与信度管理サーバ10、ルータ40A(40B))の機能ブロック図が示されている。
【0022】
図3に示すように、与信度管理サーバ10は、更新部としての与信度計算部12、通信ログ収集部14、及び抽出部としての指令端末抽出部16、としての機能を有する。なお、図3では、与信度管理サーバ10のHDD96に格納されている、記憶部としての端末−与信度リスト20と、与信度更新ルール22と、通信ログ24についても図示されている。
【0023】
与信度計算部12は、侵入検知装置30の分析結果と、与信度更新ルール22とを用いて、端末−与信度リスト20を更新する。ここで、侵入検知装置30の分析結果は、図4に示すような内容である。具体的には、分析結果には、端末名と、その端末の分析結果の内容とが含まれる。分析結果の内容としては、例えば、「正常」、「パッチ未適用」、「ポートスキャン実行」などのほか、接続要求を出した端末名などが含まれる。
【0024】
与信度更新ルール22は、図5(a)に示すようなルールである。具体的には与信度更新ルール22には、更新ルールの種類と、その更新ルールを満たす場合の与信度更新内容とが対応付けられている。与信度更新ルール22では、例えば、セキュリティパッチが未適用である場合には、その端末の与信度を1だけ下げる旨規定されている。また、与信度更新ルール22では、ポートスキャンを実行した場合に、その端末の与信度を5だけ下げ、ブラックリスト上の端末への接続要求を出した場合に、その端末の与信度を100だけ下げることが規定されている。また、与信度更新ルール22では、接続先の与信度が接続元の与信度よりも低い場合には、与信度の差分の1/所定数(ここでは、1/5)を接続元の与信度から差し引くことが規定されている。
【0025】
端末−与信度リスト20は、図5(b)に示すようなリストである。具体的には、端末−与信度リスト20では、端末名とその端末の与信度とが対応付けられている。なお、与信度は、0以下(0から−∞)の値をとるものとする。また、与信度は、時間の経過に応じて、回復(0に近づくように値が変動)するようにしてもよい。なお、与信度を0以下の値としているのは、不正接続などの行為を、与信度に対して適切に反映させるためである。すなわち、与信度が0よりも大きい値をとると、不正接続を行っているにも拘らず与信度が正の値をとるなどして、不正接続行為が与信度に適切に現れないおそれがあるからである。
【0026】
通信ログ収集部14は、ルータ40A(40B)から送信されてくる通信ログを収集して、通信ログ24に記録する。なお、通信ログ24は、図11(a)に示すような内容(項目「Time(時刻)」「Source(接続元)」「Destination(接続先)」「Protocol(プロトコル)」「Info(情報)」を含んだ内容)となっている。
【0027】
図3に戻り、指令端末抽出部16は、通信ログ24に基づいて、DDoS攻撃を指令する指令端末(黒幕)の可能性が高い端末(以下、「要注意端末」と呼ぶ)を抽出し、外部に出力する。なお、要注意端末の抽出方法については、後述する。また、出力方法としては、例えば、表示装置に要注意端末のリストを表示するなどの方法を採用することができる。
【0028】
ルータ40A(40B)は、図3に示すように、与信度更新部50及び通信制御部60として機能する。与信度更新部50は、与信度取得部52と、通信ログ報告部54とを有する。なお、図3では、ルータ40A(40B)のHDD196に格納されている通信ログ58についても図示されている。
【0029】
通信制御部60は、アクセス制御実施部62を有する。なお、図3では、ルータ40A(40B)のHDD196に格納されている端末−与信度リスト(ローカル)66と、与信度−アクセス制限ルール68についても図示されている。
【0030】
与信度取得部52は、与信度管理サーバ10の端末−与信度リスト20から最新の与信度を取得して、通信制御部60の端末−与信度リスト(ローカル)66を更新する。
【0031】
通信ログ報告部54は、通信ログ58から通信ログを取得し、与信度管理サーバ10の通信ログ収集部14に対して通信ログを送信(報告)する。アクセス制御実施部62は、端末からの接続要求を受け付け、他のルータのアクセス制御実施部に対して接続要求を送信する。また、他のルータのアクセス制御実施部から接続要求が送信されてきたときには、端末−与信度リスト(ローカル)66と、与信度−アクセス制限ルール68と、に基づいて、接続を許可するか否かを判断する。接続を許可する旨の判断を行った場合には、端末間の接続を実行する。
【0032】
ここで、与信度−アクセス制限ルール68は、図6に示すようなルールである。すなわち、与信度−アクセス制限ルール68は、図6に示すように、接続元の端末の与信度と接続先の端末の与信度との差分(与信度差分(x))の範囲と、その範囲におけるアクセス制限ルールとが定義されている。
【0033】
次に、上記のように構成される社会基盤システム100における処理について図7〜図11に基づいて詳細に説明する。
【0034】
図7は、通信制御部60(より具体的には、アクセス制御実施部62)の処理を示すフローチャートである。なお、図7の処理は、ルータ40A、40B…のいずれのルータにおいても行われる処理であり、一のルータに接続されている端末から、当該一のルータに対して他の端末との接続要求が送信されてきた場合に、実行される処理である。ここでは、端末Aから、ルータ40Aに対して、端末Cに対する接続要求が出された場合を例にとり、説明する。なお、以下においては、説明の便宜上、端末Cが接続されているルータ40Bの各部の符号には、記号「’」を付して表記するものとする。
【0035】
まず、図7のステップS10では、ルータ40Aのアクセス制御実施部62が、端末Aから送信されてきた端末Cとの接続要求を取得する。次いで、ステップS12では、アクセス制御実施部62が、自己(ルータ40A)の端末−与信度リスト(ローカル)66から、端末Aの与信度を取得する。ここでは、端末−与信度リスト(ローカル)66が、図5(b)と同一のリストであるものとする。したがって、ステップS12では、アクセス制御実施部62は、端末Aの与信度として「0」を取得することになる。
【0036】
次いで、ステップS14では、アクセス制御実施部62が、別のルータ(ルータ40B)に対して接続要求を行う際に用いる接続要求パケットにヘッダ情報として端末Aの与信度「0」を追加する。
【0037】
次いで、ステップS16では、アクセス制御実施部62が、接続要求パケットを端末C宛てに送信する。次いで、ステップS18では、ルータ40Bのアクセス制御実施部62’が、接続要求パケットから端末Aの与信度「0」を取得する。次いで、ステップS20では、アクセス制御実施部62’が、ルータ40Bの端末−与信度リスト66’から端末Cの与信度を取得する。この場合、端末−与信度リスト66’も、与信度管理サーバ10の端末−与信度リスト20と同一の内容(図5(b)参照)であるので、アクセス制御実施部62’は、端末Cの与信度として、「0」を取得することができる。
【0038】
次いで、ステップS22では、アクセス制御実施部62’が端末Aと端末Cの与信度の差を計算する。ここでは、与信度の差は0(=(Aの与信度)−(Cの与信度)=0−0)となる。次いで、ステップS24では、アクセス制御実施部62’が、与信度−アクセス制限ルール68’を参照して、端末Aに対するアクセス制限の内容を決定する。与信度−アクセス制限ルール68’は、図6の与信度−アクセス制御ルール68と同一である。この場合、与信度の差が0であり、図6の最下段に記載されている範囲(−5≦x)を満たすので、アクセス制御実施部62’は、アクセス制限を、「全ての通信を許可する」に決定することになる。
【0039】
次いで、ステップS26では、アクセス制御実施部62’は、アクセス制限の範囲(全ての通信を許可)で、端末Aと端末Cの通信を許可する。以上により、図7の全処理が終了する。
【0040】
なお、上記においては、端末Aから端末Cに対して接続要求が出された場合について説明したが、端末Bから端末Cに対して接続要求が出された場合には、以下のようなアクセス制限がなされる。
【0041】
すなわち、端末Bから端末Cに対して接続要求が出された場合、与信度の差は、(Bの与信度)−(Cの与信度)=−6となる。この場合、アクセス制限は、図6より「web通信のみ許可」となるので、アクセス制御実施部62’は、端末Bと端末Cとの間での通信をWeb通信(ポート80の通信)のみ許可する。同様に、与信度の差が、−10未満になった場合には、アクセス制御実施部62’は全ての通信を拒否する。このように、本実施形態では、接続元の端末の与信度と接続先の端末の与信度との差が所定数(ここでは5)よりも低い場合に、一の端末と他の端末との通信を制限することとしている。これにより、与信度の低い端末(例えば黒幕と推定される端末)から与信度の高い端末(例えばボットと推定される端末)へのアクセスを制限することができる。
【0042】
次に、図8(a)〜図8(d)に基づいて、各端末の与信度の更新に関する処理について詳細に説明する。なお、以下の4つの処理(通信ログのアップロード、通信ログの分析、与信度計算、与信度取得)は、非同期で行われる。また、これらの処理は、上述した図7の処理に対しても、非同期で行われる処理である。
【0043】
(通信ログのアップロード)
まず、図8(a)に基づいて、通信ログのアップロードの処理について説明する。
【0044】
図8(a)の処理では、まず、ステップS30において、通信ログ報告部54が、アップロード(通信ログの報告)のタイミングが到来したか否かを判断する。ここでの判断が肯定されると、ステップS32に移行する。ステップS32では、通信ログ報告部54が、通信ログ収集部14に対して通信ログをアップロード(報告)する。その後は、改めて、図8(a)の処理が再開されることになる。
【0045】
(通信ログの分析)
次に、図8(b)に基づいて、通信ログの分析処理について説明する。
【0046】
図8(b)の処理では、まず、ステップS40において、侵入検知装置30が、通信ログの読み出しのタイミングが到来したか否かを判断する。ここでの判断が肯定されると、ステップS42に移行する。ステップS42では、侵入検知装置30が、通信ログ24からログを取得するとともに、その内容を分析し、当該分析結果(図4参照)を与信度管理サーバ10の与信度計算部12に送信する。その後は、改めて、図8(b)の処理が再開されることになる。
【0047】
(与信度計算)
次に、図8(c)に基づいて、与信度計算処理について説明する。
【0048】
図8(c)の処理では、まず、ステップS50において、与信度計算部12が、与信度の計算のタイミングか否かを判断する。ここでの判断が肯定されると、ステップS52に移行する。ステップS52では、与信度計算部12が、端末−与信度リスト20と、与信度更新ルール22を取得する(読み出す)。次いで、ステップS54では、侵入検知装置30から送信されてきたログの分析結果を、与信度更新ルール22と照合し、端末−与信度リスト20を更新する。
【0049】
例えば、侵入検知装置30から送信されてきたログの分析結果が図4に示すものであり、ステップS52において読み出した与信度更新ルール22と端末−与信度リスト20が、図5(a)、図5(b)に示すものであったとする。この場合、端末Aについては、分析結果が、図4に示すように「正常」と、「端末Cに対して接続要求」である。すなわち、端末Aの与信度は、「正常」の点からは更新されない。また、図5(a)の最上段のルールからすると、端末C(接続先)は端末A(接続元)よりも与信度が低くないので、「端末Cに対して接続要求」点からも端末Aの与信度は更新されないこととなる(0のまま(図9参照))。
【0050】
一方、端末Bは、分析結果が、図4に示すように「パッチ未適用」、「端末Cに対して接続要求」である。すなわち、端末Bの与信度は、「パッチ未適用」の点から「−1」されるが、端末C(接続先)は端末A(接続元)よりも与信度が低くないので、「端末Cに対して接続要求」点からは更新されない。このため、端末Bの与信度は、図9に示すように、−6から−7に更新されることになる。更に、端末Cについては、分析結果が、図4に示すように「ポートスキャン実行」、「端末Bに対して接続要求」である。すなわち、端末Bの与信度は、「ポートスキャン実行」の点から「−5」される(図5(a)の上から3段目のルール参照)、また、端末B(接続先)は端末C(接続元)よりも与信度が低いので、「端末Bに対して接続要求」の点から「−1.2」(=(−6−0)/5)される(図5(a)の最上段のルール参照)。このため、端末Cの与信度は、図9に示すように、0から−6.2に更新されることになる。
【0051】
ここで、接続先の端末の与信度が接続元の与信度よりも低い場合に、接続先の与信度から、与信度の差分の1/a(ここでは、1/5)を差し引くこととしているが、値aは、実際には、以下のように決定している。
【0052】
すなわち、例えば、過去の通信ログにおいて、端末ごとに通信セッション数を集計し、上位20%の端末について通信数の平均を求め、その値をaとする。なお、「上位20%」という数字は、パレートの法則に基づくものであるが、その他の値としてもよい。
【0053】
このように、与信度の差に1/aをかけることで、(犯罪サイトなどを運営する)与信度の低い端末と意図的に(又はウィルス感染によって)頻繁に通信する端末の与信度を、前者の端末(犯罪サイトの端末)と同程度の与信度とすることができる。その一方で、何らかの理由で誤って与信度の低い端末にアクセスしてしまった端末(迷惑メールに記述されているURLなどを誤ってクリックした場合など)については、1/aだけ与信度が下がるものの、与信度の低い端末にアクセスしたことの影響を小さく抑えることができる。
【0054】
なお、端末D以降についても同様にして与信度の更新が行われるようになっている。以上のようにして図8(c)の処理が終了すると、改めて図8(c)の処理が再開されることになる。
【0055】
本実施形態では、DDoS攻撃を指令するような端末(黒幕)は、普段から犯罪サイト(攻撃指令用ツールやウィルスなどをダウンロードできるようなサイト)にアクセスしていると考えられる。このため、本実施形態では、上記のように与信度の決定要素として不正アクセス行為のほかに、通信相手の与信度を考慮するので、与信度をより適切に更新することができる。
【0056】
(与信度取得)
次に、図8(d)に基づいて、与信度取得処理について説明する。
【0057】
図8(d)の処理では、まず、ステップS60において、各ルータ40A,40Bの与信度取得部52(52’)が、与信度の取得タイミングが到来したか否かを判断する。ここでの判断が肯定されると、ステップS62に移行する。ステップS62では、与信度取得部52(52’)が、与信度管理サーバ10の端末−与信度リスト20から最新の与信度を取得するとともに、当該最新の与信度で端末−与信度リスト(ローカル)66(66’)を更新する。その後は、改めて、図8(d)の処理が再開されることになる。
【0058】
以上のような、非同期処理により、定期的に、端末−与信度リスト(ローカル)66(66’)が最新の与信度で更新されるようになっている。
【0059】
次に、図10に基づいて、指令端末抽出部16による、要注意端末リストの出力処理について説明する。この処理は、上述した図7の処理、図8の処理とは、非同期にて行われる処理である。
【0060】
図10の処理では、まず、ステップS70において、指令端末抽出部16が、各端末の与信度を、端末−与信度リスト20から取得する。次いで、ステップS71では、指令端末抽出部16が、通信ログ24(図11(a)参照)を読み出す。次いで、ステップS72では、各端末について単位時間あたりの通信相手の数を集計する。図11(b)には、ステップS72における集計結果が示されている。なお、集計結果には、ステップS70で取得された各端末の与信度も併記されている。
【0061】
次いで、ステップS74では、指令端末抽出部16が、全ての端末を集計したか否かを判断する。ここでの判断が否定された場合には、ステップS72に戻る。そして、ステップS74の判断が肯定されるまで、ステップS72、S74を繰り返す。
【0062】
一方、ステップS74の判断が肯定された場合には、ステップS76に移行し、指令端末抽出部16は、通信相手の数及び与信度の順位付けを行う。この順位付けの結果が、図11(b)において括弧付き数字として示されている。
【0063】
次いで、ステップS78では、指令端末抽出部16が、集計結果を出力する。この場合、例えば、図11(b)の表が与信度管理サーバ10の表示装置に表示される。次いで、ステップS80、S82では、指令端末抽出部16が予め保有している閾値リスト(図11(c)参照)を用いて、要注意端末リストを抽出する。具体的には、指令端末抽出部16は、ステップS80において、図11(c)に基づいて集計した端末のうち、単位時間あたりの通信相手の数が上位20%に入る端末を抽出する。次いで、ステップS82では、ステップS80で抽出された端末の中から、指令端末抽出部16は、図11(c)に基づいて、与信度が下位2.3%を下回る端末を抽出する。
【0064】
ここで、ステップS80において、集計した端末のうち、単位時間あたりの通信相手の数が上位20%に入る端末を抽出することとしているのは、各端末の単位時間あたりの通信相手の数がべき則に従うとし、さらにパレートの法則によって上位20%の端末がネットワークにおける主要な端末(つまりサーバ)と仮定したことによる。したがって、これに限らず、その他の値を設定しても良い。また、ステップS82において、与信度が下位2.3%を下回る端末を抽出することとしているのは、各端末の与信度が正規分布に従うとし、標準偏差の2倍を超えて下位に分布する端末を要注意端末であると仮定したことによる。したがって、これに限らず、その他の値を設定しても良い。
【0065】
そして、ステップS84では、ステップS82で抽出された端末を要注意端末として、当該要注意端末のリスト(図11(d)参照)を出力する。
【0066】
このように、図10の処理では、要注意端末(黒幕の可能性が高い端末)として、単位時間当たりの通信数が多く、かつ与信度が低い端末を抽出して、要注意端末のリストを作成し、出力している。このため、適切な要注意端末のリストの作成・出力が可能となる。
【0067】
本実施形態では、与信度管理サーバ10の管理者は、出力された要注意端末のリストから、黒幕と推定される端末を、ブラックリスト上に登録することができる。これにより、図5(a)に示すように、ブラックリスト上の端末を考慮した与信度の更新が可能となる。
【0068】
なお、上記において、「単位時間あたりの通信数」を要注意端末の判断に用いているが、これは、サンプリング時間を無視してしまうと、短時間の間に集中的に通信するような端末(ポータルサイトなど)と、比較的長期にわたって多数の端末と通信する黒幕との区別が難しくなるからである。
【0069】
以上、詳細に説明したように、本実施形態の与信度管理サーバ10は、複数の端末の与信度を記憶する端末−与信度リスト20と、複数の端末のうちの1つの端末(例えば、端末A)から、別の端末(端末C)への接続要求があった場合に、端末Aの与信度を、端末Cの与信度に基づいて定められる値で更新する与信度計算部12と、を備えている。このように、接続元の端末の与信度を、接続先の与信度に基づいて定められる値で更新することで、普段から、与信度の低い端末(犯罪サイト(攻撃指令用ツールやウィルスなどをダウンロードできるようなサイト))にアクセスしていると考えられる、DDoS攻撃を指令するような端末(黒幕)の与信度を低く更新、すなわち、適切な与信度に更新し、管理することができる。
【0070】
また、本実施形態では、与信度計算部12は、接続元の端末の与信度が、接続先の端末の与信度よりも大きい場合(すなわち、接続先の端末の与信度が接続元の端末の与信度よりも低い場合)に、接続元の端末の与信度を、接続先の端末の与信度に基づいて定められる値で更新する。これにより、与信度の低い端末にアクセスした端末(攻撃指令用ツールやウィルスなどをダウンロードした可能性のある端舞う)の与信度を低く更新することができる。したがって、与信度をより適切に更新・管理することが可能となる。
【0071】
また、本実施形態では、指令端末抽出部16が、各端末が単位時間あたりに接続した端末の数を取得するとともに、当該数と、与信度とに基づいて、黒幕の可能性が高い端末(要注意端末)を抽出する。したがって、要注意端末そのもの又は要注意端末から選択される端末をブラックリスト上の端末として扱うことで、当該端末の排除、又は当該端末と他の端末との通信を拒否するように制御することができる。これにより、DDoS攻撃の発生を抑制することができる。
【0072】
また、本実施形態では、与信度計算部12が、端末の与信度を、各端末の通信ログに基づいて、更に更新する。したがって、普段から、ポートスキャンを頻繁に実行したり自身のIPアドレスを詐称するなどして不正な通信を行うことが多いDDoS攻撃の黒幕の与信度を低く、すなわち、適切な与信度に更新することが可能となる。
【0073】
また、本実施形態の社会基盤システム100は、上記のような適切な与信度に更新することが可能な与信度管理サーバ10と、端末間の接続要求を受け付けるとともに、各端末の与信度に基づいて端末間の接続可否を判断し、接続を制御するルータ40A,40B(アクセス制御実施部62、62’)と、を備えている。これにより、適切に更新される与信度に基づいて、端末間を適切に接続することが可能となる。
【0074】
なお、上記実施形態では、与信度更新ルール22において、与信度の更新の際に、与信度の差分の絶対値の1/5を、接続元の与信度から差し引く場合について説明したが、これに限られるものではない。すなわち、接続元の与信度に対して接続先の与信度が反映されるような値(接続先の与信度に基づいて定められる値)であれば、その他の値で、接続元の与信度が更新されるようにしてもよい。
【0075】
また、上記実施形態では、指令端末抽出部116は、単位時間あたりに通信を行った端末の数の、全端末中における順位が高く、与信度の全端末中における順位が低い端末を抽出して、要注意端末リストを作成することとした。しかしながら、これに限られるものではなく、例えば、単位時間あたりに通信を行った端末の数そのものと、与信度そのものに基づいて、要注意端末リストを作成することとしてもよい。また、単位時間あたりに通信を行った端末の数に、与信度に基づく値を積算した値から要注意端末リストを作成しても良い。すなわち、単位時間あたりに通信を行った端末の数と、与信度とに基づいていれば、その他の方法で要注意端末リストを作成することとしてもよい。
【0076】
また、本実施形態では、端末の与信度の情報を取得可能な装置が、与信度管理サーバ10とルータ40A,40Bに限られているので、端末(黒幕など)が与信度の改ざんを行うのを防止することができる。
【0077】
なお、指令端末抽出部16は、要注意端末リストを作成して出力する場合について説明したが、これに限られるものではなく、要注意端末リストを出力しなくてもよい。この場合、要注意端末リストに掲載されている端末をそのまま、ブラックリスト上の端末として扱うこととしてもよい。
【0078】
なお、上記実施形態では、端末間接続制御システムが社会基盤システムに適用された場合について説明したが、これに限らず、通常のインターネットを含むシステムに適用することも可能である。
【0079】
なお、上記の処理機能は、コンピュータによって実現することができる。その場合、処理装置が有すべき機能の処理内容を記述したプログラムが提供される。そのプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。
【0080】
プログラムを流通させる場合には、例えば、そのプログラムが記録されたDVD(Digital Versatile Disc)、CD−ROM(Compact Disc Read Only Memory)などの可搬型記録媒体の形態で販売される。また、プログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することもできる。
【0081】
プログラムを実行するコンピュータは、例えば、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、自己の記憶装置に格納する。そして、コンピュータは、自己の記憶装置からプログラムを読み取り、プログラムに従った処理を実行する。なお、コンピュータは、可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することもできる。また、コンピュータは、サーバコンピュータからプログラムが転送されるごとに、逐次、受け取ったプログラムに従った処理を実行することもできる。
【0082】
上述した実施形態は本発明の好適な実施の例である。但し、これに限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々変形実施可能である。
【0083】
なお、以上の説明に関して更に以下の付記を開示する。
(付記1) 複数の端末それぞれの不正接続に関する評価値を管理する評価値管理装置であって、前記複数の端末の不正接続に関する評価値を記憶する記憶部と、前記複数の端末のうちの1つである第1の端末から、前記複数の端末のうちの別の端末である第2の端末への接続要求があった場合に、前記記憶部に記憶されている前記第1の端末の評価値を、前記第2の端末の評価値に基づいて定められる値で更新する更新部と、を備える評価値管理装置。
(付記2) 前記更新部は、前記第2の端末の評価値が前記第1の端末の評価値よりも信頼できる度合いが低い場合に、前記記憶部に記憶されている前記第1の端末の評価値を、前記第2の端末の評価値に基づいて定められる値で更新することを特徴とする付記1に記載の評価値管理装置。
(付記3) 前記複数の端末それぞれが、単位時間あたりに接続した端末の数を取得するとともに、当該取得した数と、前記記憶部に記憶されている評価値とに基づいて不正接続に関与している可能性の高い端末を抽出する抽出部、を更に備える付記1又は2記載の評価値管理装置。
(付記4) 前記更新部は、前記記憶部に記憶されている前記複数の端末の評価値を、各端末の通信履歴情報に基づいて更に更新することを特徴とする付記1〜3のいずれかに記載の評価値管理装置。
(付記5) 付記1〜4のいずれかに記載の評価値管理装置と、前記第1の端末から前記第2の端末への接続要求を受け付け、前記記憶部に記憶されている評価値に基づいて、前記第1の端末から前記第2の端末への接続可否を判断し、当該判断結果に基づいて、前記第1の端末と前記第2の端末との接続を制御する接続制御装置と、を備える端末間接続制御システム。
(付記6) 複数の端末それぞれの不正接続に関する評価値を管理する評価値管理プログラムであって、前記複数の端末のうちの1つである第1の端末から、前記複数の端末のうちの別の端末である第2の端末への接続要求があったか否かを判断し、前記接続要求があった場合に、前記記憶部に記憶されている前記第1の端末の評価値を、前記第2の端末の評価値に基づいて定められる値で更新する、処理をコンピュータに実行させることを特徴とする評価値管理プログラム。
(付記7) 前記更新する処理では、前記第2の端末の評価値が前記第1の端末の評価値よりも信頼できる度合いが低い場合に、前記記憶部に記憶されている前記第1の端末の評価値を、前記第2の端末の評価値に基づいて定められる値で更新することを特徴とする付記6に記載の評価値管理プログラム。
(付記8) 前記複数の端末それぞれが、単位時間あたりに接続した端末の数を取得するとともに、当該取得した数と、前記記憶部に記憶されている評価値とに基づいて不正接続に関与している可能性の高い端末を抽出する処理、をコンピュータに更に実行させることを特徴とする付記6又は7記載の評価値管理プログラム。
(付記9) 前記更新する処理では、前記複数の端末の評価値を、各端末の通信履歴情報に基づいて更に更新することを特徴とする付記6〜8のいずれかに記載の評価値管理プログラム。
【符号の説明】
【0084】
10 与信度管理サーバ(評価値管理装置)
12 与信度計算部(更新部)
16 指令端末抽出部(抽出部)
20 端末−与信度リスト(記憶部)
40A,40B ルータ(接続制御装置)
90 CPU(コンピュータ)
100 社会基盤システム(端末間接続制御システム)
【技術分野】
【0001】
本件は、評価値管理装置及び評価値管理プログラム、並びに端末間接続制御システムに関する。
【背景技術】
【0002】
国や地域、企業などのネットワークが相互接続され構成される社会基盤システムにおいては、コスト削減の観点、あるいはシステム間での連携(接続)の容易化の観点から、インターネット準拠の部品(装置)で構成するシステムの適用、すなわちIP(Internet Protocol)化が進んできている。ここで、社会基盤システムには、金融システム、電力網、宇宙ステーション管制システムなどが含まれる。
【0003】
このため、最近では、社会基盤システムにおいてもインターネット上の脅威、すなわち、データの改ざん、流出、サービス妨害(DDoS攻撃)などに対するセキュリティ対策が必要となってきている。
【0004】
なお、インターネット上で行われるセキュリティ対策には、ファイアウォール、QoS(Quality of Service)、IDS(Intrusion Detection System:侵入検知システム)、トレースバック、レピュテーション(評価)などがある。
【0005】
ファイアウォールは、守るべきネットワークとその外部との通信を監視し、管理者が定義したアクセス制御ポリシーに基づいて不正アクセスをブロックする技術である。QoSは、利用者に安定した通信品質を提供するための技術であり、許容量を越える通信が発生した場合に、音声や動画などの、通信遅延が許されない通信を優先させる制御を行う技術である。IDSは、ネットワーク上を流れるパケットを分析し、ふだんの通信状況や攻撃パターンとの照合によりDDoS攻撃などの不正アクセスを検知する技術である。トレースバックは、不正アクセスを受けた際に経路上のルータの通信ログおよび、通信パケットのヘッダ情報から攻撃経路を復元する技術である。レピュテーションは、迷惑メールや危険なwebサイトの判定技術であり、監視対象サーバを通信パターンや既知の犯罪サイトとの関連など様々な要素で評価し、算出した数値と管理者が定めたポリシーによりアクセス制御を行う技術である。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2006−279338号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、上述したセキュリティ技術のいずれも、発生した攻撃に対する対応策に過ぎない。また、DDoS攻撃の場合、一般的に、攻撃の実行者は、攻撃用プログラムに感染した数十〜数百万台の端末(「ボット」と呼ばれる)であり、攻撃を指令した端末(黒幕(「ハーダー」とも呼ばれる))の所在は分からない。このため、上述したトレースバック技術であっても、攻撃経路を復元できるのは実際の攻撃者(ボット)までである。したがって、ボットが発見されても、黒幕(ハーダー)は、再度別の端末をボットにして何度も攻撃を実行することができる。
【0008】
なお、攻撃が発生する前に行う対策として、特許文献1のような技術がある。この技術は、LAN(Local Area Network)に接続された各端末の脆弱度を求め、当該脆弱度を他のLANと交換することで、安全性の低いLANへの接続を制限するものである。しかるに、この技術を用いたとしても、黒幕を特定できるわけではないので、DDoS攻撃を完全に防ぐことは難しい。
【0009】
更に、社会基盤システムは、通常のインターネット環境と比べ、被害の回復に多くのコストを要するため、基本的には、DDoS攻撃を成功させてはならない。また、社会基盤システムは、24時間365日安定稼動を要求されるシステムであるため、プログラム更新や再起動が難しい。また、パッチ適用にあたっては、パッチ適用後のシステムの正常稼動を事前検証する必要があるため、多くの費用と時間がかかるおそれがある。
【0010】
そこで本件は上記の課題に鑑みてなされたものであり、複数の端末それぞれの不正接続に関する評価値を適切に管理することが可能な評価値管理装置及び評価値管理プログラムを提供することを目的とする。また、本件は、端末間の接続を適切に制御することが可能な端末間接続制御システムを提供することを目的とする。
【課題を解決するための手段】
【0011】
本明細書に記載の評価値管理装置は、複数の端末それぞれの不正接続に関する評価値を管理する評価値管理装置であって、前記複数の端末の不正接続に関する評価値を記憶する記憶部と、前記複数の端末のうちの1つである第1の端末から、前記複数の端末のうちの別の端末である第2の端末への接続要求があった場合に、前記記憶部に記憶されている前記第1の端末の評価値を、前記第2の端末の評価値に基づいて定められる値で更新する更新部と、を備える評価値管理装置である。
【0012】
本明細書に記載の端末間接続制御システムは、本明細書に記載の評価値管理装置と、前記第1の端末から前記第2の端末への接続要求を受け付け、前記記憶部に記憶されている評価値に基づいて、前記第1の端末から前記第2の端末への接続可否を判断し、当該判断結果に基づいて、前記第1の端末と前記第2の端末との接続を制御する接続制御装置と、を備えている。
【0013】
本明細書に記載の評価値管理プログラムは、複数の端末それぞれの不正接続に関する評価値を管理する評価値管理プログラムであって、前記複数の端末のうちの1つである第1の端末から、前記複数の端末のうちの別の端末である第2の端末への接続要求があったか否かを判断し、前記接続要求があった場合に、前記記憶部に記憶されている前記第1の端末の評価値を、前記第2の端末の評価値に基づいて定められる値で更新する、処理をコンピュータに実行させる評価値管理プログラムである。
【発明の効果】
【0014】
本明細書に記載の評価値管理装置及び評価値管理プログラムは、複数の端末それぞれの不正接続に関する評価値を適切に管理することができるという効果を奏する。また、本明細書に記載の端末間接続制御システムは、端末間の接続を適切に制御することができるという効果を奏する。
【図面の簡単な説明】
【0015】
【図1】一実施形態に係る社会基盤システムの構成を概略的に示す図である。
【図2】図2(a)は、与信度管理サーバのハードウェア構成図であり、図2(b)は、ルータのハードウェア構成図である。
【図3】社会基盤システムの機能ブロック図である。
【図4】侵入検知装置の分析結果を示す図である。
【図5】図5(a)は、与信度更新ルールを示す図であり、図5(b)は、端末−与信度リストを示す図である。
【図6】与信度−アクセス制限ルールを示す図である。
【図7】一のルータに対して接続要求が出された場合に実行される処理を示すフローチャートである。
【図8】図8(a)は、通信ログのアップロード処理を示すフローチャートであり、図8(b)は、通信ログの分析処理を示すフローチャートであり、図8(c)は、与信度計算処理を示すフローチャートであり、図8(d)は、与信度取得処理を示すフローチャートである。
【図9】更新後の端末−与信度リストを示す図である。
【図10】指令端末抽出部の処理を示すフローチャートである。
【図11】図11(a)は、通信ログを示す図であり、図11(b)は、集計結果を示す図であり、図11(c)は、閾値リストを示す図であり、図11(d)は、要注意端末リストを示す図である。
【発明を実施するための形態】
【0016】
以下、一実施形態について、図1〜図11に基づいて詳細に説明する。図1には、端末間接続制御システムとしての社会基盤システム100の構成が概略的に示されている。社会基盤システム100は、図1に示すように、評価値管理装置としての与信度管理サーバ10と、侵入検知装置30と、接続制御装置としてのルータ40A,40B,…と、複数の端末A,B,C,D,…と、を備える。なお、社会基盤システム100は、IP化されており、与信度管理サーバ10、侵入検知装置30、及びルータ40A,40Bは、実際には、インターネットに接続されているものとする。
【0017】
与信度管理サーバ10は、複数の端末それぞれの不正接続に関する評価値である「与信度」を管理するサーバである。ここで、例えば、DDoS攻撃の黒幕は、普段から、ポートスキャンを頻繁に実行したり自身のIPアドレスを詐称するなどして不正な通信を行うことが多い。このため、黒幕の与信度は、一般の端末と比較して低くなるように設定されている(この点については後述する)。侵入検知装置30は、与信度管理サーバ10に接続されており、複数の端末A,B,C,D…の通信ログを与信度管理サーバ10から受け取り、各端末がどのような振る舞いを示していたかを分析する。そして、侵入検知装置30は、分析結果を与信度管理サーバ10に返す。ルータ40A,40B,…(以下、「ルータ40A,40B」と表記する)は、各端末からの接続要求を受け付けるとともに、与信度管理サーバ10で管理されている与信度に基づいて、端末間の接続を制御する。複数の端末は、社会基盤システム100においてユーザにより使用される端末であり、PC(Personal Computer)等を含む。
【0018】
以下、上記各装置について、より詳細に説明する。
【0019】
図2(a)には、与信度管理サーバ10のハードウェア構成図が示されている。図2(a)に示すように、与信度管理サーバ10は、コンピュータとしてのCPU(Central Processing Unit)90、ROM(Read Only Memory)92、RAM(Random Access Memory)94、記憶部(ここではHDD(Hard Disk Drive))96、入出力部97等を備えており、与信度管理サーバ10の構成各部は、バス98に接続されている。入出力部97には、可搬型記憶媒体用ドライブ99が接続されている。与信度管理サーバ10では、ROM92あるいはHDD96に格納されているプログラム、又は可搬型記憶媒体用ドライブ99が可搬型記憶媒体91から読み出したプログラムをCPU90が実行することにより、図3の各部の機能が実現される。また、入出力部97には、表示部等が接続されているものとする。
【0020】
図2(b)には、ルータ40A,40Bのハードウェア構成図が示されている。図2(b)に示すように、ルータ40A,40Bは、CPU190、ROM192、RAM194、記憶部(ここではHDD)196、入出力部97等を備えており、各部は、バス198に接続されている。ルータ40A,40Bでは、ROM192あるいはHDD196に格納されているプログラムをCPU190が実行することにより、図3の各部の機能が実現される。
【0021】
図3には、社会基盤システム100(特に、与信度管理サーバ10、ルータ40A(40B))の機能ブロック図が示されている。
【0022】
図3に示すように、与信度管理サーバ10は、更新部としての与信度計算部12、通信ログ収集部14、及び抽出部としての指令端末抽出部16、としての機能を有する。なお、図3では、与信度管理サーバ10のHDD96に格納されている、記憶部としての端末−与信度リスト20と、与信度更新ルール22と、通信ログ24についても図示されている。
【0023】
与信度計算部12は、侵入検知装置30の分析結果と、与信度更新ルール22とを用いて、端末−与信度リスト20を更新する。ここで、侵入検知装置30の分析結果は、図4に示すような内容である。具体的には、分析結果には、端末名と、その端末の分析結果の内容とが含まれる。分析結果の内容としては、例えば、「正常」、「パッチ未適用」、「ポートスキャン実行」などのほか、接続要求を出した端末名などが含まれる。
【0024】
与信度更新ルール22は、図5(a)に示すようなルールである。具体的には与信度更新ルール22には、更新ルールの種類と、その更新ルールを満たす場合の与信度更新内容とが対応付けられている。与信度更新ルール22では、例えば、セキュリティパッチが未適用である場合には、その端末の与信度を1だけ下げる旨規定されている。また、与信度更新ルール22では、ポートスキャンを実行した場合に、その端末の与信度を5だけ下げ、ブラックリスト上の端末への接続要求を出した場合に、その端末の与信度を100だけ下げることが規定されている。また、与信度更新ルール22では、接続先の与信度が接続元の与信度よりも低い場合には、与信度の差分の1/所定数(ここでは、1/5)を接続元の与信度から差し引くことが規定されている。
【0025】
端末−与信度リスト20は、図5(b)に示すようなリストである。具体的には、端末−与信度リスト20では、端末名とその端末の与信度とが対応付けられている。なお、与信度は、0以下(0から−∞)の値をとるものとする。また、与信度は、時間の経過に応じて、回復(0に近づくように値が変動)するようにしてもよい。なお、与信度を0以下の値としているのは、不正接続などの行為を、与信度に対して適切に反映させるためである。すなわち、与信度が0よりも大きい値をとると、不正接続を行っているにも拘らず与信度が正の値をとるなどして、不正接続行為が与信度に適切に現れないおそれがあるからである。
【0026】
通信ログ収集部14は、ルータ40A(40B)から送信されてくる通信ログを収集して、通信ログ24に記録する。なお、通信ログ24は、図11(a)に示すような内容(項目「Time(時刻)」「Source(接続元)」「Destination(接続先)」「Protocol(プロトコル)」「Info(情報)」を含んだ内容)となっている。
【0027】
図3に戻り、指令端末抽出部16は、通信ログ24に基づいて、DDoS攻撃を指令する指令端末(黒幕)の可能性が高い端末(以下、「要注意端末」と呼ぶ)を抽出し、外部に出力する。なお、要注意端末の抽出方法については、後述する。また、出力方法としては、例えば、表示装置に要注意端末のリストを表示するなどの方法を採用することができる。
【0028】
ルータ40A(40B)は、図3に示すように、与信度更新部50及び通信制御部60として機能する。与信度更新部50は、与信度取得部52と、通信ログ報告部54とを有する。なお、図3では、ルータ40A(40B)のHDD196に格納されている通信ログ58についても図示されている。
【0029】
通信制御部60は、アクセス制御実施部62を有する。なお、図3では、ルータ40A(40B)のHDD196に格納されている端末−与信度リスト(ローカル)66と、与信度−アクセス制限ルール68についても図示されている。
【0030】
与信度取得部52は、与信度管理サーバ10の端末−与信度リスト20から最新の与信度を取得して、通信制御部60の端末−与信度リスト(ローカル)66を更新する。
【0031】
通信ログ報告部54は、通信ログ58から通信ログを取得し、与信度管理サーバ10の通信ログ収集部14に対して通信ログを送信(報告)する。アクセス制御実施部62は、端末からの接続要求を受け付け、他のルータのアクセス制御実施部に対して接続要求を送信する。また、他のルータのアクセス制御実施部から接続要求が送信されてきたときには、端末−与信度リスト(ローカル)66と、与信度−アクセス制限ルール68と、に基づいて、接続を許可するか否かを判断する。接続を許可する旨の判断を行った場合には、端末間の接続を実行する。
【0032】
ここで、与信度−アクセス制限ルール68は、図6に示すようなルールである。すなわち、与信度−アクセス制限ルール68は、図6に示すように、接続元の端末の与信度と接続先の端末の与信度との差分(与信度差分(x))の範囲と、その範囲におけるアクセス制限ルールとが定義されている。
【0033】
次に、上記のように構成される社会基盤システム100における処理について図7〜図11に基づいて詳細に説明する。
【0034】
図7は、通信制御部60(より具体的には、アクセス制御実施部62)の処理を示すフローチャートである。なお、図7の処理は、ルータ40A、40B…のいずれのルータにおいても行われる処理であり、一のルータに接続されている端末から、当該一のルータに対して他の端末との接続要求が送信されてきた場合に、実行される処理である。ここでは、端末Aから、ルータ40Aに対して、端末Cに対する接続要求が出された場合を例にとり、説明する。なお、以下においては、説明の便宜上、端末Cが接続されているルータ40Bの各部の符号には、記号「’」を付して表記するものとする。
【0035】
まず、図7のステップS10では、ルータ40Aのアクセス制御実施部62が、端末Aから送信されてきた端末Cとの接続要求を取得する。次いで、ステップS12では、アクセス制御実施部62が、自己(ルータ40A)の端末−与信度リスト(ローカル)66から、端末Aの与信度を取得する。ここでは、端末−与信度リスト(ローカル)66が、図5(b)と同一のリストであるものとする。したがって、ステップS12では、アクセス制御実施部62は、端末Aの与信度として「0」を取得することになる。
【0036】
次いで、ステップS14では、アクセス制御実施部62が、別のルータ(ルータ40B)に対して接続要求を行う際に用いる接続要求パケットにヘッダ情報として端末Aの与信度「0」を追加する。
【0037】
次いで、ステップS16では、アクセス制御実施部62が、接続要求パケットを端末C宛てに送信する。次いで、ステップS18では、ルータ40Bのアクセス制御実施部62’が、接続要求パケットから端末Aの与信度「0」を取得する。次いで、ステップS20では、アクセス制御実施部62’が、ルータ40Bの端末−与信度リスト66’から端末Cの与信度を取得する。この場合、端末−与信度リスト66’も、与信度管理サーバ10の端末−与信度リスト20と同一の内容(図5(b)参照)であるので、アクセス制御実施部62’は、端末Cの与信度として、「0」を取得することができる。
【0038】
次いで、ステップS22では、アクセス制御実施部62’が端末Aと端末Cの与信度の差を計算する。ここでは、与信度の差は0(=(Aの与信度)−(Cの与信度)=0−0)となる。次いで、ステップS24では、アクセス制御実施部62’が、与信度−アクセス制限ルール68’を参照して、端末Aに対するアクセス制限の内容を決定する。与信度−アクセス制限ルール68’は、図6の与信度−アクセス制御ルール68と同一である。この場合、与信度の差が0であり、図6の最下段に記載されている範囲(−5≦x)を満たすので、アクセス制御実施部62’は、アクセス制限を、「全ての通信を許可する」に決定することになる。
【0039】
次いで、ステップS26では、アクセス制御実施部62’は、アクセス制限の範囲(全ての通信を許可)で、端末Aと端末Cの通信を許可する。以上により、図7の全処理が終了する。
【0040】
なお、上記においては、端末Aから端末Cに対して接続要求が出された場合について説明したが、端末Bから端末Cに対して接続要求が出された場合には、以下のようなアクセス制限がなされる。
【0041】
すなわち、端末Bから端末Cに対して接続要求が出された場合、与信度の差は、(Bの与信度)−(Cの与信度)=−6となる。この場合、アクセス制限は、図6より「web通信のみ許可」となるので、アクセス制御実施部62’は、端末Bと端末Cとの間での通信をWeb通信(ポート80の通信)のみ許可する。同様に、与信度の差が、−10未満になった場合には、アクセス制御実施部62’は全ての通信を拒否する。このように、本実施形態では、接続元の端末の与信度と接続先の端末の与信度との差が所定数(ここでは5)よりも低い場合に、一の端末と他の端末との通信を制限することとしている。これにより、与信度の低い端末(例えば黒幕と推定される端末)から与信度の高い端末(例えばボットと推定される端末)へのアクセスを制限することができる。
【0042】
次に、図8(a)〜図8(d)に基づいて、各端末の与信度の更新に関する処理について詳細に説明する。なお、以下の4つの処理(通信ログのアップロード、通信ログの分析、与信度計算、与信度取得)は、非同期で行われる。また、これらの処理は、上述した図7の処理に対しても、非同期で行われる処理である。
【0043】
(通信ログのアップロード)
まず、図8(a)に基づいて、通信ログのアップロードの処理について説明する。
【0044】
図8(a)の処理では、まず、ステップS30において、通信ログ報告部54が、アップロード(通信ログの報告)のタイミングが到来したか否かを判断する。ここでの判断が肯定されると、ステップS32に移行する。ステップS32では、通信ログ報告部54が、通信ログ収集部14に対して通信ログをアップロード(報告)する。その後は、改めて、図8(a)の処理が再開されることになる。
【0045】
(通信ログの分析)
次に、図8(b)に基づいて、通信ログの分析処理について説明する。
【0046】
図8(b)の処理では、まず、ステップS40において、侵入検知装置30が、通信ログの読み出しのタイミングが到来したか否かを判断する。ここでの判断が肯定されると、ステップS42に移行する。ステップS42では、侵入検知装置30が、通信ログ24からログを取得するとともに、その内容を分析し、当該分析結果(図4参照)を与信度管理サーバ10の与信度計算部12に送信する。その後は、改めて、図8(b)の処理が再開されることになる。
【0047】
(与信度計算)
次に、図8(c)に基づいて、与信度計算処理について説明する。
【0048】
図8(c)の処理では、まず、ステップS50において、与信度計算部12が、与信度の計算のタイミングか否かを判断する。ここでの判断が肯定されると、ステップS52に移行する。ステップS52では、与信度計算部12が、端末−与信度リスト20と、与信度更新ルール22を取得する(読み出す)。次いで、ステップS54では、侵入検知装置30から送信されてきたログの分析結果を、与信度更新ルール22と照合し、端末−与信度リスト20を更新する。
【0049】
例えば、侵入検知装置30から送信されてきたログの分析結果が図4に示すものであり、ステップS52において読み出した与信度更新ルール22と端末−与信度リスト20が、図5(a)、図5(b)に示すものであったとする。この場合、端末Aについては、分析結果が、図4に示すように「正常」と、「端末Cに対して接続要求」である。すなわち、端末Aの与信度は、「正常」の点からは更新されない。また、図5(a)の最上段のルールからすると、端末C(接続先)は端末A(接続元)よりも与信度が低くないので、「端末Cに対して接続要求」点からも端末Aの与信度は更新されないこととなる(0のまま(図9参照))。
【0050】
一方、端末Bは、分析結果が、図4に示すように「パッチ未適用」、「端末Cに対して接続要求」である。すなわち、端末Bの与信度は、「パッチ未適用」の点から「−1」されるが、端末C(接続先)は端末A(接続元)よりも与信度が低くないので、「端末Cに対して接続要求」点からは更新されない。このため、端末Bの与信度は、図9に示すように、−6から−7に更新されることになる。更に、端末Cについては、分析結果が、図4に示すように「ポートスキャン実行」、「端末Bに対して接続要求」である。すなわち、端末Bの与信度は、「ポートスキャン実行」の点から「−5」される(図5(a)の上から3段目のルール参照)、また、端末B(接続先)は端末C(接続元)よりも与信度が低いので、「端末Bに対して接続要求」の点から「−1.2」(=(−6−0)/5)される(図5(a)の最上段のルール参照)。このため、端末Cの与信度は、図9に示すように、0から−6.2に更新されることになる。
【0051】
ここで、接続先の端末の与信度が接続元の与信度よりも低い場合に、接続先の与信度から、与信度の差分の1/a(ここでは、1/5)を差し引くこととしているが、値aは、実際には、以下のように決定している。
【0052】
すなわち、例えば、過去の通信ログにおいて、端末ごとに通信セッション数を集計し、上位20%の端末について通信数の平均を求め、その値をaとする。なお、「上位20%」という数字は、パレートの法則に基づくものであるが、その他の値としてもよい。
【0053】
このように、与信度の差に1/aをかけることで、(犯罪サイトなどを運営する)与信度の低い端末と意図的に(又はウィルス感染によって)頻繁に通信する端末の与信度を、前者の端末(犯罪サイトの端末)と同程度の与信度とすることができる。その一方で、何らかの理由で誤って与信度の低い端末にアクセスしてしまった端末(迷惑メールに記述されているURLなどを誤ってクリックした場合など)については、1/aだけ与信度が下がるものの、与信度の低い端末にアクセスしたことの影響を小さく抑えることができる。
【0054】
なお、端末D以降についても同様にして与信度の更新が行われるようになっている。以上のようにして図8(c)の処理が終了すると、改めて図8(c)の処理が再開されることになる。
【0055】
本実施形態では、DDoS攻撃を指令するような端末(黒幕)は、普段から犯罪サイト(攻撃指令用ツールやウィルスなどをダウンロードできるようなサイト)にアクセスしていると考えられる。このため、本実施形態では、上記のように与信度の決定要素として不正アクセス行為のほかに、通信相手の与信度を考慮するので、与信度をより適切に更新することができる。
【0056】
(与信度取得)
次に、図8(d)に基づいて、与信度取得処理について説明する。
【0057】
図8(d)の処理では、まず、ステップS60において、各ルータ40A,40Bの与信度取得部52(52’)が、与信度の取得タイミングが到来したか否かを判断する。ここでの判断が肯定されると、ステップS62に移行する。ステップS62では、与信度取得部52(52’)が、与信度管理サーバ10の端末−与信度リスト20から最新の与信度を取得するとともに、当該最新の与信度で端末−与信度リスト(ローカル)66(66’)を更新する。その後は、改めて、図8(d)の処理が再開されることになる。
【0058】
以上のような、非同期処理により、定期的に、端末−与信度リスト(ローカル)66(66’)が最新の与信度で更新されるようになっている。
【0059】
次に、図10に基づいて、指令端末抽出部16による、要注意端末リストの出力処理について説明する。この処理は、上述した図7の処理、図8の処理とは、非同期にて行われる処理である。
【0060】
図10の処理では、まず、ステップS70において、指令端末抽出部16が、各端末の与信度を、端末−与信度リスト20から取得する。次いで、ステップS71では、指令端末抽出部16が、通信ログ24(図11(a)参照)を読み出す。次いで、ステップS72では、各端末について単位時間あたりの通信相手の数を集計する。図11(b)には、ステップS72における集計結果が示されている。なお、集計結果には、ステップS70で取得された各端末の与信度も併記されている。
【0061】
次いで、ステップS74では、指令端末抽出部16が、全ての端末を集計したか否かを判断する。ここでの判断が否定された場合には、ステップS72に戻る。そして、ステップS74の判断が肯定されるまで、ステップS72、S74を繰り返す。
【0062】
一方、ステップS74の判断が肯定された場合には、ステップS76に移行し、指令端末抽出部16は、通信相手の数及び与信度の順位付けを行う。この順位付けの結果が、図11(b)において括弧付き数字として示されている。
【0063】
次いで、ステップS78では、指令端末抽出部16が、集計結果を出力する。この場合、例えば、図11(b)の表が与信度管理サーバ10の表示装置に表示される。次いで、ステップS80、S82では、指令端末抽出部16が予め保有している閾値リスト(図11(c)参照)を用いて、要注意端末リストを抽出する。具体的には、指令端末抽出部16は、ステップS80において、図11(c)に基づいて集計した端末のうち、単位時間あたりの通信相手の数が上位20%に入る端末を抽出する。次いで、ステップS82では、ステップS80で抽出された端末の中から、指令端末抽出部16は、図11(c)に基づいて、与信度が下位2.3%を下回る端末を抽出する。
【0064】
ここで、ステップS80において、集計した端末のうち、単位時間あたりの通信相手の数が上位20%に入る端末を抽出することとしているのは、各端末の単位時間あたりの通信相手の数がべき則に従うとし、さらにパレートの法則によって上位20%の端末がネットワークにおける主要な端末(つまりサーバ)と仮定したことによる。したがって、これに限らず、その他の値を設定しても良い。また、ステップS82において、与信度が下位2.3%を下回る端末を抽出することとしているのは、各端末の与信度が正規分布に従うとし、標準偏差の2倍を超えて下位に分布する端末を要注意端末であると仮定したことによる。したがって、これに限らず、その他の値を設定しても良い。
【0065】
そして、ステップS84では、ステップS82で抽出された端末を要注意端末として、当該要注意端末のリスト(図11(d)参照)を出力する。
【0066】
このように、図10の処理では、要注意端末(黒幕の可能性が高い端末)として、単位時間当たりの通信数が多く、かつ与信度が低い端末を抽出して、要注意端末のリストを作成し、出力している。このため、適切な要注意端末のリストの作成・出力が可能となる。
【0067】
本実施形態では、与信度管理サーバ10の管理者は、出力された要注意端末のリストから、黒幕と推定される端末を、ブラックリスト上に登録することができる。これにより、図5(a)に示すように、ブラックリスト上の端末を考慮した与信度の更新が可能となる。
【0068】
なお、上記において、「単位時間あたりの通信数」を要注意端末の判断に用いているが、これは、サンプリング時間を無視してしまうと、短時間の間に集中的に通信するような端末(ポータルサイトなど)と、比較的長期にわたって多数の端末と通信する黒幕との区別が難しくなるからである。
【0069】
以上、詳細に説明したように、本実施形態の与信度管理サーバ10は、複数の端末の与信度を記憶する端末−与信度リスト20と、複数の端末のうちの1つの端末(例えば、端末A)から、別の端末(端末C)への接続要求があった場合に、端末Aの与信度を、端末Cの与信度に基づいて定められる値で更新する与信度計算部12と、を備えている。このように、接続元の端末の与信度を、接続先の与信度に基づいて定められる値で更新することで、普段から、与信度の低い端末(犯罪サイト(攻撃指令用ツールやウィルスなどをダウンロードできるようなサイト))にアクセスしていると考えられる、DDoS攻撃を指令するような端末(黒幕)の与信度を低く更新、すなわち、適切な与信度に更新し、管理することができる。
【0070】
また、本実施形態では、与信度計算部12は、接続元の端末の与信度が、接続先の端末の与信度よりも大きい場合(すなわち、接続先の端末の与信度が接続元の端末の与信度よりも低い場合)に、接続元の端末の与信度を、接続先の端末の与信度に基づいて定められる値で更新する。これにより、与信度の低い端末にアクセスした端末(攻撃指令用ツールやウィルスなどをダウンロードした可能性のある端舞う)の与信度を低く更新することができる。したがって、与信度をより適切に更新・管理することが可能となる。
【0071】
また、本実施形態では、指令端末抽出部16が、各端末が単位時間あたりに接続した端末の数を取得するとともに、当該数と、与信度とに基づいて、黒幕の可能性が高い端末(要注意端末)を抽出する。したがって、要注意端末そのもの又は要注意端末から選択される端末をブラックリスト上の端末として扱うことで、当該端末の排除、又は当該端末と他の端末との通信を拒否するように制御することができる。これにより、DDoS攻撃の発生を抑制することができる。
【0072】
また、本実施形態では、与信度計算部12が、端末の与信度を、各端末の通信ログに基づいて、更に更新する。したがって、普段から、ポートスキャンを頻繁に実行したり自身のIPアドレスを詐称するなどして不正な通信を行うことが多いDDoS攻撃の黒幕の与信度を低く、すなわち、適切な与信度に更新することが可能となる。
【0073】
また、本実施形態の社会基盤システム100は、上記のような適切な与信度に更新することが可能な与信度管理サーバ10と、端末間の接続要求を受け付けるとともに、各端末の与信度に基づいて端末間の接続可否を判断し、接続を制御するルータ40A,40B(アクセス制御実施部62、62’)と、を備えている。これにより、適切に更新される与信度に基づいて、端末間を適切に接続することが可能となる。
【0074】
なお、上記実施形態では、与信度更新ルール22において、与信度の更新の際に、与信度の差分の絶対値の1/5を、接続元の与信度から差し引く場合について説明したが、これに限られるものではない。すなわち、接続元の与信度に対して接続先の与信度が反映されるような値(接続先の与信度に基づいて定められる値)であれば、その他の値で、接続元の与信度が更新されるようにしてもよい。
【0075】
また、上記実施形態では、指令端末抽出部116は、単位時間あたりに通信を行った端末の数の、全端末中における順位が高く、与信度の全端末中における順位が低い端末を抽出して、要注意端末リストを作成することとした。しかしながら、これに限られるものではなく、例えば、単位時間あたりに通信を行った端末の数そのものと、与信度そのものに基づいて、要注意端末リストを作成することとしてもよい。また、単位時間あたりに通信を行った端末の数に、与信度に基づく値を積算した値から要注意端末リストを作成しても良い。すなわち、単位時間あたりに通信を行った端末の数と、与信度とに基づいていれば、その他の方法で要注意端末リストを作成することとしてもよい。
【0076】
また、本実施形態では、端末の与信度の情報を取得可能な装置が、与信度管理サーバ10とルータ40A,40Bに限られているので、端末(黒幕など)が与信度の改ざんを行うのを防止することができる。
【0077】
なお、指令端末抽出部16は、要注意端末リストを作成して出力する場合について説明したが、これに限られるものではなく、要注意端末リストを出力しなくてもよい。この場合、要注意端末リストに掲載されている端末をそのまま、ブラックリスト上の端末として扱うこととしてもよい。
【0078】
なお、上記実施形態では、端末間接続制御システムが社会基盤システムに適用された場合について説明したが、これに限らず、通常のインターネットを含むシステムに適用することも可能である。
【0079】
なお、上記の処理機能は、コンピュータによって実現することができる。その場合、処理装置が有すべき機能の処理内容を記述したプログラムが提供される。そのプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。
【0080】
プログラムを流通させる場合には、例えば、そのプログラムが記録されたDVD(Digital Versatile Disc)、CD−ROM(Compact Disc Read Only Memory)などの可搬型記録媒体の形態で販売される。また、プログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することもできる。
【0081】
プログラムを実行するコンピュータは、例えば、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、自己の記憶装置に格納する。そして、コンピュータは、自己の記憶装置からプログラムを読み取り、プログラムに従った処理を実行する。なお、コンピュータは、可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することもできる。また、コンピュータは、サーバコンピュータからプログラムが転送されるごとに、逐次、受け取ったプログラムに従った処理を実行することもできる。
【0082】
上述した実施形態は本発明の好適な実施の例である。但し、これに限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々変形実施可能である。
【0083】
なお、以上の説明に関して更に以下の付記を開示する。
(付記1) 複数の端末それぞれの不正接続に関する評価値を管理する評価値管理装置であって、前記複数の端末の不正接続に関する評価値を記憶する記憶部と、前記複数の端末のうちの1つである第1の端末から、前記複数の端末のうちの別の端末である第2の端末への接続要求があった場合に、前記記憶部に記憶されている前記第1の端末の評価値を、前記第2の端末の評価値に基づいて定められる値で更新する更新部と、を備える評価値管理装置。
(付記2) 前記更新部は、前記第2の端末の評価値が前記第1の端末の評価値よりも信頼できる度合いが低い場合に、前記記憶部に記憶されている前記第1の端末の評価値を、前記第2の端末の評価値に基づいて定められる値で更新することを特徴とする付記1に記載の評価値管理装置。
(付記3) 前記複数の端末それぞれが、単位時間あたりに接続した端末の数を取得するとともに、当該取得した数と、前記記憶部に記憶されている評価値とに基づいて不正接続に関与している可能性の高い端末を抽出する抽出部、を更に備える付記1又は2記載の評価値管理装置。
(付記4) 前記更新部は、前記記憶部に記憶されている前記複数の端末の評価値を、各端末の通信履歴情報に基づいて更に更新することを特徴とする付記1〜3のいずれかに記載の評価値管理装置。
(付記5) 付記1〜4のいずれかに記載の評価値管理装置と、前記第1の端末から前記第2の端末への接続要求を受け付け、前記記憶部に記憶されている評価値に基づいて、前記第1の端末から前記第2の端末への接続可否を判断し、当該判断結果に基づいて、前記第1の端末と前記第2の端末との接続を制御する接続制御装置と、を備える端末間接続制御システム。
(付記6) 複数の端末それぞれの不正接続に関する評価値を管理する評価値管理プログラムであって、前記複数の端末のうちの1つである第1の端末から、前記複数の端末のうちの別の端末である第2の端末への接続要求があったか否かを判断し、前記接続要求があった場合に、前記記憶部に記憶されている前記第1の端末の評価値を、前記第2の端末の評価値に基づいて定められる値で更新する、処理をコンピュータに実行させることを特徴とする評価値管理プログラム。
(付記7) 前記更新する処理では、前記第2の端末の評価値が前記第1の端末の評価値よりも信頼できる度合いが低い場合に、前記記憶部に記憶されている前記第1の端末の評価値を、前記第2の端末の評価値に基づいて定められる値で更新することを特徴とする付記6に記載の評価値管理プログラム。
(付記8) 前記複数の端末それぞれが、単位時間あたりに接続した端末の数を取得するとともに、当該取得した数と、前記記憶部に記憶されている評価値とに基づいて不正接続に関与している可能性の高い端末を抽出する処理、をコンピュータに更に実行させることを特徴とする付記6又は7記載の評価値管理プログラム。
(付記9) 前記更新する処理では、前記複数の端末の評価値を、各端末の通信履歴情報に基づいて更に更新することを特徴とする付記6〜8のいずれかに記載の評価値管理プログラム。
【符号の説明】
【0084】
10 与信度管理サーバ(評価値管理装置)
12 与信度計算部(更新部)
16 指令端末抽出部(抽出部)
20 端末−与信度リスト(記憶部)
40A,40B ルータ(接続制御装置)
90 CPU(コンピュータ)
100 社会基盤システム(端末間接続制御システム)
【特許請求の範囲】
【請求項1】
複数の端末それぞれの不正接続に関する評価値を管理する評価値管理装置であって、
前記複数の端末の不正接続に関する評価値を記憶する記憶部と、
前記複数の端末のうちの1つである第1の端末から、前記複数の端末のうちの別の端末である第2の端末への接続要求があった場合に、前記記憶部に記憶されている前記第1の端末の評価値を、前記第2の端末の評価値に基づいて定められる値で更新する更新部と、を備える評価値管理装置。
【請求項2】
前記更新部は、前記第2の端末の評価値が前記第1の端末の評価値よりも信頼できる度合いが低い場合に、前記記憶部に記憶されている前記第1の端末の評価値を、前記第2の端末の評価値に基づいて定められる値で更新することを特徴とする請求項1に記載の評価値管理装置。
【請求項3】
前記複数の端末それぞれが、単位時間あたりに接続した端末の数を取得するとともに、当該取得した数と、前記記憶部に記憶されている評価値とに基づいて不正接続に関与している可能性の高い端末を抽出する抽出部、を更に備える請求項1又は2記載の評価値管理装置。
【請求項4】
前記更新部は、前記記憶部に記憶されている前記複数の端末の評価値を、各端末の通信履歴情報に基づいて更に更新することを特徴とする請求項1〜3のいずれか一項に記載の評価値管理装置。
【請求項5】
請求項1〜4のいずれか一項に記載の評価値管理装置と、
前記第1の端末から前記第2の端末への接続要求を受け付け、前記記憶部に記憶されている評価値に基づいて、前記第1の端末から前記第2の端末への接続可否を判断し、当該判断結果に基づいて、前記第1の端末と前記第2の端末との接続を制御する接続制御装置と、を備える端末間接続制御システム。
【請求項6】
複数の端末それぞれの不正接続に関する評価値を管理する評価値管理プログラムであって、
前記複数の端末のうちの1つである第1の端末から、前記複数の端末のうちの別の端末である第2の端末への接続要求があったか否かを判断し、
前記接続要求があった場合に、前記記憶部に記憶されている前記第1の端末の評価値を、前記第2の端末の評価値に基づいて定められる値で更新する、処理をコンピュータに実行させることを特徴とする評価値管理プログラム。
【請求項1】
複数の端末それぞれの不正接続に関する評価値を管理する評価値管理装置であって、
前記複数の端末の不正接続に関する評価値を記憶する記憶部と、
前記複数の端末のうちの1つである第1の端末から、前記複数の端末のうちの別の端末である第2の端末への接続要求があった場合に、前記記憶部に記憶されている前記第1の端末の評価値を、前記第2の端末の評価値に基づいて定められる値で更新する更新部と、を備える評価値管理装置。
【請求項2】
前記更新部は、前記第2の端末の評価値が前記第1の端末の評価値よりも信頼できる度合いが低い場合に、前記記憶部に記憶されている前記第1の端末の評価値を、前記第2の端末の評価値に基づいて定められる値で更新することを特徴とする請求項1に記載の評価値管理装置。
【請求項3】
前記複数の端末それぞれが、単位時間あたりに接続した端末の数を取得するとともに、当該取得した数と、前記記憶部に記憶されている評価値とに基づいて不正接続に関与している可能性の高い端末を抽出する抽出部、を更に備える請求項1又は2記載の評価値管理装置。
【請求項4】
前記更新部は、前記記憶部に記憶されている前記複数の端末の評価値を、各端末の通信履歴情報に基づいて更に更新することを特徴とする請求項1〜3のいずれか一項に記載の評価値管理装置。
【請求項5】
請求項1〜4のいずれか一項に記載の評価値管理装置と、
前記第1の端末から前記第2の端末への接続要求を受け付け、前記記憶部に記憶されている評価値に基づいて、前記第1の端末から前記第2の端末への接続可否を判断し、当該判断結果に基づいて、前記第1の端末と前記第2の端末との接続を制御する接続制御装置と、を備える端末間接続制御システム。
【請求項6】
複数の端末それぞれの不正接続に関する評価値を管理する評価値管理プログラムであって、
前記複数の端末のうちの1つである第1の端末から、前記複数の端末のうちの別の端末である第2の端末への接続要求があったか否かを判断し、
前記接続要求があった場合に、前記記憶部に記憶されている前記第1の端末の評価値を、前記第2の端末の評価値に基づいて定められる値で更新する、処理をコンピュータに実行させることを特徴とする評価値管理プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2012−113566(P2012−113566A)
【公開日】平成24年6月14日(2012.6.14)
【国際特許分類】
【出願番号】特願2010−262841(P2010−262841)
【出願日】平成22年11月25日(2010.11.25)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成24年6月14日(2012.6.14)
【国際特許分類】
【出願日】平成22年11月25日(2010.11.25)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]