JP7037628B2 - Unauthorized access detector, unauthorized access detection method and computer program - Google Patents
Unauthorized access detector, unauthorized access detection method and computer program Download PDFInfo
- Publication number
- JP7037628B2 JP7037628B2 JP2020211266A JP2020211266A JP7037628B2 JP 7037628 B2 JP7037628 B2 JP 7037628B2 JP 2020211266 A JP2020211266 A JP 2020211266A JP 2020211266 A JP2020211266 A JP 2020211266A JP 7037628 B2 JP7037628 B2 JP 7037628B2
- Authority
- JP
- Japan
- Prior art keywords
- access
- value
- identifier
- score
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Description
この発明は、データ処理技術に関し、特に不正アクセスを検出する技術に関する。 The present invention relates to a data processing technique, and more particularly to a technique for detecting unauthorized access.
近年、サーバ等に対する不正アクセスによる被害の認知件数が高い水準にある。被害の内訳としては、インターネットバンキングの不正送金と、他人へのなりすましが占める割合が大きい。不正アクセスに対するこれまでの防御手段としては、ファイヤーウォールやWAF(Web Application Firewall)が存在する(例えば特許文献1参照)。 In recent years, the number of cases of damage caused by unauthorized access to servers and the like has been at a high level. The breakdown of the damage is that illegal remittances from Internet banking and spoofing to others account for a large proportion. As conventional defense measures against unauthorized access, there are firewalls and WAFs (Web Application Firewalls) (see, for example, Patent Document 1).
不正アクセスの手口は年々巧妙化しており、従来の不正アクセス対策では、正常なアクセスと不正アクセスを見分けることは困難なことがあった。本発明は、こうした課題に鑑みてなされたものであり、主たる目的は、不正アクセスを精度よく検出する技術を提供することである。 The method of unauthorized access has become more sophisticated year by year, and it has sometimes been difficult to distinguish between normal access and unauthorized access with conventional measures against unauthorized access. The present invention has been made in view of these problems, and a main object thereof is to provide a technique for accurately detecting unauthorized access.
上記課題を解決するために、本発明のある態様の不正アクセス検出装置は、所定の装置に対する通信網を介したアクセスに関するデータを取得する取得部と、取得部により取得されたデータに基づいて、装置におけるアクセスの重要度を示す第1指標値と、アクセスが不正である可能性の高さを示す第2指標値を導出する導出部と、導出部により導出された第1指標値と第2指標値に基づいて、アクセスの危険度を判定する判定部と、を備える。 In order to solve the above problems, the unauthorized access detection device of a certain aspect of the present invention is based on an acquisition unit that acquires data related to access to a predetermined device via a communication network and data acquired by the acquisition unit. A derivation unit that derives a first index value indicating the importance of access in the device, a second index value indicating the high possibility that access is invalid, and a first index value and a second index value derived by the derivation unit. A determination unit for determining the risk of access based on the index value is provided.
本発明の別の態様もまた、不正アクセス検出装置である。この装置は、通信網を介して所定の装置になされたアクセスに関するデータを取得する取得部と、取得部により取得されたデータに基づいて、アクセスが不正である可能性の高さを示す指標値を導出する導出部と、導出部により導出された指標値に基づいて、アクセスの危険度を判定する判定部と、を備える。アクセスに関するデータには複数種類の識別子が含まれ、導出部は、識別子ごとにその値に基づいてアクセスが不正である可能性の高さを検出し、識別子ごとに検出した可能性の高さを集計してアクセスの指標値を導出する。 Another aspect of the present invention is also an unauthorized access detection device. This device has an acquisition unit that acquires data related to access made to a predetermined device via a communication network, and an index value indicating the high possibility that access is unauthorized based on the data acquired by the acquisition unit. It is provided with a derivation unit for deriving the data and a determination unit for determining the risk of access based on the index value derived by the derivation unit. The data related to access includes multiple types of identifiers, and the derivator detects the high possibility that access is invalid based on the value of each identifier, and the high possibility that it is detected for each identifier. Aggregate and derive access index values.
本発明のさらに別の態様は、不正アクセス検出方法である。この方法は、所定の装置に対する通信網を介したアクセスに関するデータを取得するステップと、取得するステップで取得されたデータに基づいて、装置におけるアクセスの重要度を示す第1指標値と、アクセスが不正である可能性の高さを示す第2指標値を導出するステップと、導出するステップで導出された第1指標値と第2指標値に基づいて、アクセスの危険度を判定するステップと、をコンピュータが実行する。 Yet another aspect of the present invention is an unauthorized access detection method. In this method, the first index value indicating the importance of access in the device and the access are based on the step of acquiring the data related to the access to the predetermined device via the communication network and the data acquired in the acquisition step. A step of deriving a second index value indicating the high possibility of fraud, a step of determining the risk of access based on the first index value and the second index value derived in the deriving step, and a step of determining the risk of access. Is executed by the computer.
なお、以上の構成要素の任意の組合せ、本発明の表現をシステム、コンピュータプログラム、コンピュータプログラムを格納した記録媒体などの間で変換したものもまた、本発明の態様として有効である。 It should be noted that any combination of the above components and a conversion of the expression of the present invention between a system, a computer program, a recording medium in which the computer program is stored, and the like are also effective as aspects of the present invention.
本発明によれば、不正アクセスを精度よく検出することができる。 According to the present invention, unauthorized access can be detected with high accuracy.
本発明の実施例を説明する前にまず概要を説明する。本実施例における不正アクセスは、アクセス制御(例えばパスワード認証等)がなされているサーバに、ネットワークを通じて、他人の識別符号、または識別符号以外の情報や指令を入力して本来制限されている機能を不正に利用する行為である。以下の説明における「ウェブアクセス」は、所定のサーバに対する通信網を介したリモートアクセスであり、正当な権限を持つユーザの正当なアクセスと、不正者による不正アクセスの両方を含む。 Before explaining the embodiment of the present invention, the outline will be described first. Unauthorized access in this embodiment is a function that is originally restricted by inputting information or a command other than another person's identification code or identification code into a server for which access control (for example, password authentication, etc.) is performed through the network. It is an act of illegal use. "Web access" in the following description is remote access to a predetermined server via a communication network, and includes both legitimate access by a user with legitimate authority and unauthorized access by a fraudulent person.
様々な種類の不正アクセスが存在するが、特に、他人の正しいアカウント情報(ユーザID、パスワード等)を不正に入手し、そのアカウント情報を使用したなりすましログインや不正取引、リスト型アカウントハッキング等は、従来の不正アクセス対策では、正当なアクセスと判別することが難しかった。また、短期間に大量の不正アクセスが自動実行されるのではなく、低頻度の不正アクセス(例えば1回/時間等)が長期的に実行される場合、不正アクセスを正当なアクセスと判別することが一層困難であった。 There are various types of unauthorized access, but in particular, spoofing login, unauthorized transactions, list-type account hacking, etc. that illegally obtain the correct account information (user ID, password, etc.) of another person and use that account information With conventional measures against unauthorized access, it was difficult to determine that the access was legitimate. In addition, if a large amount of unauthorized access is not automatically executed in a short period of time, but a low frequency unauthorized access (for example, once / hour) is executed for a long period of time, the unauthorized access should be determined as a legitimate access. Was even more difficult.
実施例の不正アクセス検出装置は、サーバに対するウェブアクセスのアイデンティティ(すなわちID)の振る舞いに基づいて、当該ウェブアクセスが不正アクセスか否かを判定する。具体的には、今回のウェブアクセスのデータに含まれる複数種類のIDそれぞれが使用された、過去からの複数回のウェブアクセスの態様に基づいて、今回のウェブアクセスが不正なものか否かを判定する。さらに、実施例の不正アクセス検出装置は、所定の対象装置に対するウェブアクセスを、対象装置における当該ウェブアクセスの重要度(以下「BI(Business Impact)」とも呼ぶ。)と、当該ウェブアクセスが不正である可能性の高さ(以下「FP(Fraud Probability)」とも呼ぶ。)の2軸で評価し、当該アクセスの危険度を判定する。これにより不正アクセスを精度よく検出する。 The unauthorized access detection device of the embodiment determines whether or not the web access is unauthorized access based on the behavior of the identity (that is, ID) of the web access to the server. Specifically, whether or not this web access is fraudulent based on the mode of multiple web accesses from the past in which each of the multiple types of IDs included in the data of this web access was used. judge. Further, in the unauthorized access detection device of the embodiment, the web access to the predetermined target device is defined as the importance of the web access in the target device (hereinafter, also referred to as “BI (Business Impact)”) and the web access is unauthorized. Evaluate with two axes of high probability (hereinafter, also referred to as "FP (Fraud Probability)"), and determine the degree of danger of the access. As a result, unauthorized access is detected with high accuracy.
図1は、実施例の情報システムの構成を示す。情報システム10は、対象サーバ12、ユーザ端末14で総称されるユーザ端末14a、ユーザ端末14b、ユーザ端末14c、管理者端末18、不正アクセス検出装置20を備える。これらの装置は、LAN・WAN・インターネット等を含む通信網16を介して互いに接続される。
FIG. 1 shows the configuration of the information system of the embodiment. The
対象サーバ12は、通信販売、インターネットバンキング等のウェブサイトをインターネット上に公開する情報処理装置である。実施例の対象サーバ12は、ウェブサーバの機能を含み、ユーザ端末14からのウェブアクセス(HTTP要求)を受け付け、所定のサービスを提供するためのウェブページをユーザ端末14へ提供する。
The
ユーザ端末14は、ウェブブラウザソフトウェアがインストールされた情報処理装置であり、ウェブクライアントとして機能する。ユーザ端末14は、PC、タブレット端末、スマートフォンであってもよい。ユーザ端末14a、ユーザ端末14b、ユーザ端末14cを操作するユーザは、対象サーバ12のウェブサイトへのログインが許可されたユーザ(すなわち正当な権限を有するユーザ)かもしれないし、他人のアカウントを不正使用する等、対象サーバ12に対して不正アクセスを試みるユーザかもしれない。
The
管理者端末18は、ウェブブラウザソフトウェアがインストールされた情報処理装置であり、ウェブクライアントとして機能する。管理者端末18は、PC、タブレット端末、スマートフォンであってもよく、対象サーバ12の管理者により操作される。
The
不正アクセス検出装置20は、対象サーバ12に対するウェブアクセスの属性情報を、ログファイルまたはAPI(Application Programming Interface)経由で受け付けると、ウェブアクセスごとのリスク判定を実行する。言い換えれば、ユーザ端末14から対象サーバ12への複数のウェブアクセスの中に存在する不正アクセスを検出する。不正アクセス検出装置20は、リスクの判定結果をAPIレスポンスとして対象サーバ12へ提供し、また、リスクの判定結果を含む統計情報を管理者端末18へ提供する。
When the unauthorized
図2は、図1の不正アクセス検出装置20の機能構成を示すブロック図である。不正アクセス検出装置20は、制御部22、記憶部24、通信部26を備える。制御部22は、ユーザ端末14から対象サーバ12への不正アクセスを検出するためのデータ処理を実行する。記憶部24は、制御部22により参照または更新されるデータを記憶する記憶領域である。通信部26は、所定の通信プロトコルにしたがって外部装置と通信する。制御部22は、通信部26を介して対象サーバ12および管理者端末18とデータを送受する。
FIG. 2 is a block diagram showing a functional configuration of the unauthorized
本明細書のブロック図において示される各ブロックは、ハードウェア的には、コンピュータのCPU・メモリをはじめとする素子や機械装置で実現でき、ソフトウェア的にはコンピュータプログラム等によって実現されるが、ここでは、それらの連携によって実現される機能ブロックを描いている。したがって、これらの機能ブロックはハードウェア、ソフトウェアの組合せによっていろいろなかたちで実現できることは、当業者には理解されるところである。 Each block shown in the block diagram of the present specification can be realized by an element or a mechanical device such as a CPU / memory of a computer in terms of hardware, and can be realized by a computer program or the like in terms of software. Now, I'm drawing a functional block realized by their cooperation. Therefore, it is understood by those skilled in the art that these functional blocks can be realized in various forms by combining hardware and software.
例えば、制御部22の各ブロックの機能はコンピュータプログラムとして実装され、そのコンピュータプログラムが不正アクセス検出装置20のストレージにインストールされてもよい。そして、不正アクセス検出装置20のCPUが、そのコンピュータプログラムをメインメモリへ読み出して実行することにより制御部22の各ブロックの機能が発揮されてもよい。記憶部24は、不正アクセス検出装置20のメインメモリやストレージにより実現されてもよい。
For example, the function of each block of the
記憶部24は、BL/WL保持部28、アドレス情報保持部30、規則保持部32、第1判定結果保持部34、第2判定結果保持部36、累積スコア保持部38を含む。このうちBL/WL保持部28、アドレス情報保持部30、第1判定結果保持部34、累積スコア保持部38は、高頻度で使用されるデータが格納され、高速のレスポンスが要求されるため、NoSQL型データストア(実施例ではキーバリューストア)として構成される。第2判定結果保持部36は、低頻度で読み込みが発生するデータが格納され、通常のDBMS(実施例ではRDBMS)として構成される。
The
BL/WL保持部28は、ブラックリストおよびホワイトリストのデータを保持する。図3は、BL/WL保持部28のデータ構造の例を示す。図3では、キーとしてIPアドレス情報(例えばIPアドレス(またはネットワークアドレス)+サブネットマスク長)が設定されている。また、値としてホワイトリストの識別子(図3では「ホワイト」)またはブラックリストの識別子(図3では「ブラック」)が設定されている。ホワイトリストの識別子に対応付けられたキーのリストがホワイトリストに相当し、ブラックリストの識別子に対応付けられたキーのリストがブラックリストに相当する。
The BL /
例えば、ブラックリストでは、不正者により使用されたことが判明したIPアドレス、ネットワークアドレス、デバイスID(後述)、またはユーザIDが記録されてもよい。また、ホワイトリストでは、正当な権限を有するユーザが固定的に使用するIPアドレス、ネットワークアドレス、デバイスID、またはユーザIDが記録されてもよい。 For example, a blacklist may record an IP address, network address, device ID (discussed below), or user ID that has been found to have been used by an unauthorized person. Further, in the whitelist, an IP address, a network address, a device ID, or a user ID that is fixedly used by a user having a legitimate authority may be recorded.
図2に戻り、アドレス情報保持部30は、IPアドレスと地理情報との対応関係を保持する。図4は、アドレス情報保持部30のデータ構造の例を示す。実施例のアドレス情報保持部30は、対象サーバ12に対するウェブアクセスの接続元IPアドレスをキーとし、国・都市・緯度・経度を値として、両者を対応づけたレコードを保持する。接続元IPアドレスは、対象サーバ12で受信されたIPパケットに設定された送信元IPアドレスであってもよい。典型的には、ユーザ端末14のIPアドレスであってもよく、ユーザ端末14と対象サーバ12との通信を中継するプロキシサーバやルータ等のIPアドレスであってもよい。
Returning to FIG. 2, the address
図2に戻り、規則保持部32は、BIの高さを示すBIスコアを決定するための規則(言い換えれば基準)であるBIスコア判定規則と、FPの高さを示すFPスコアを決定するための規則であるFPスコア判定規則を保持する。BIスコア判定規則とFPスコア判定規則は、高速アクセスを可能にするために半導体メモリ内に格納されてもよく、後述のBIスコア導出部46、FPスコア導出部48を実装したコンピュータプログラム内にアルゴリズムとして組み込まれてもよい。
Returning to FIG. 2, the
図5は、BIスコア判定規則のデータ構造の例を示す。BIスコア判定規則は、判定条件と、判定条件が満たされた場合のBIスコアを対応づけて保持する。判定条件は、アクセス先URL、GETまたはPOSTのパラメータ属性等が規定されてもよい。また、BIスコアは、対象サーバ12において重要な処理またはトランザクションほど大きい値が設定される。例えば、対象サーバ12によりサービスを提供する企業のビジネスに与える影響が大きい処理またはトランザクションほど大きい値が設定されてよい。
FIG. 5 shows an example of the data structure of the BI score determination rule. The BI score determination rule holds the determination condition and the BI score when the determination condition is satisfied in association with each other. As the determination condition, the access destination URL, the parameter attribute of GET or POST, and the like may be specified. Further, the BI score is set to a value as large as the important processing or transaction in the
図5の1番目のレコードは、ユーザ端末14から対象サーバ12へのアクセスが、ログイン認証を実行するURLに対するPOST送信である場合に、BIスコアを「10」とすることを示している。また、図5の4番目のレコードは、送信画面における送金実行用のURLに対するPOST送信であり、かつ、送金金額のパラメータの値が50万円未満の場合に、BIスコアに「90」とすることを示している。
The first record in FIG. 5 shows that the BI score is set to "10" when the access from the
図6は、FPスコア判定規則のデータ構造の例を示す。FPスコア判定規則は、判定条件(図6では識別対象およびルール内容)と、判定条件が満たされた場合に加算すべきFPスコア(値は不図示)を対応づけて保持する。図6における識別対象は、アクセスのデータに含まれる複数種類の識別子のうち少なくとも1つである。識別対象は、例えば、国(IPアドレスにより特定される国)、IPアドレス、UA(User Agent)、ユーザID(ログイン要求で指定されたユーザID)、デバイスIDを含む。デバイスIDは、特定のユーザ端末14を一意に識別可能な識別子であり、ユーザ端末14のウェブブラウザ種類およびバージョン、言語設定、インストール済フォント、画面解像度、色深度、CPU種別、タイムゾーン等の組み合わせに基づいて生成された情報である。
FIG. 6 shows an example of the data structure of the FP score determination rule. The FP score determination rule holds the determination condition (identification target and rule content in FIG. 6) in association with the FP score (value is not shown) to be added when the determination condition is satisfied. The identification target in FIG. 6 is at least one of a plurality of types of identifiers included in the access data. The identification target includes, for example, a country (country specified by an IP address), an IP address, a UA (User Agent), a user ID (user ID specified in a login request), and a device ID. The device ID is an identifier that can uniquely identify a
図6の「ルール内容」は、識別対象である識別子の値(およびその識別子に紐付く別の識別子の値)、および/または、識別対象である識別子の値に紐付く過去のリクエスト履歴(アクセス履歴)の態様を定めたものである。図6の「FPスコア」は、対象サーバ12が提供するウェブサイトの種類や業務内容に基づいて判定条件ごとに予め定められる。具体的には、複数の判定条件の中で、充足された場合に不正アクセスの疑いが強いものほど大きなFPスコアが設定される。
The “rule content” in FIG. 6 is the value of the identifier to be identified (and the value of another identifier associated with that identifier) and / or the past request history (access) associated with the value of the identifier to be identified. It defines the aspect of history). The “FP score” in FIG. 6 is predetermined for each determination condition based on the type of website provided by the
図6の項番2は、ウェブアクセスのデータに含まれる接続元IPアドレスが、ブラックリストで指定されたIPアドレスに合致する場合、所定のFPスコアを加算するように規定するものである。図6の項番17は、特定のユーザIDを指定したログイン試行アクセスについて、単位時間あたりの上記ログイン試行アクセスが含む接続元IPアドレスの個数(ユニーク数)が所定値以上の場合、所定のFPスコアを加算するように規定するものである。ここでの単位時間は5分でもよく、所定値は5個でもよい。図6の項番20は、同じデバイスIDを含むログイン試行アクセスについて、単位時間あたりの上記ログイン試行アクセスが含むユーザIDの個数(ユニーク数)が所定値以上の場合、所定のFPスコアを加算するように規定する。
なお、図6に示すFPスコア判定規則によると、正しいユーザIDとパスワードを使用した不正アクセスであっても、その不正アクセスを精度よく検出できる。例えば、図6の項番10、11はログイン回数(ログイン成功回数)が基準であり、図6の項番12、13はログイン失敗回数が基準である。これに加えて、図6の項番17~20は、ログイン認証を実行するURLへのアクセス回数であり、ログインが成功か失敗かに関わらないログイン試行回数が基準であるため、仮にログインに成功したウェブアクセスであっても不正アクセスとして検出され得る。
According to the FP score determination rule shown in FIG. 6, even if an unauthorized access is performed using a correct user ID and password, the unauthorized access can be detected with high accuracy. For example,
図2に戻り、第1判定結果保持部34および第2判定結果保持部36は、リスク判定結果を保持する。図7は、第1判定結果保持部34および第2判定結果保持部36のデータ構造の例を示す。レコード群60は、1つのウェブアクセスあたりに記録される複数のレコードである。アクセス属性62は、ウェブアクセスの属性値であり、複数種類の識別子の値(IPアドレス、ユーザID、デバイスID)を含む。リスク判定結果64は、アクセス属性62に基づくリスク判定結果であり、BIスコア、FPスコア、リスクランクを含む。
Returning to FIG. 2, the first determination
なお、第1判定結果保持部34は、1つのウェブアクセスあたりに記録されたレコード群60を、アクセス日時(例えばアクセス属性62のTime)から30日間のみ保持する。その一方、第2判定結果保持部36は、1つのウェブアクセスあたりに記録されたレコード群60を、管理者による明示的な削除がない限り永続的に保持する。
The first determination
図2に戻り、累積スコア保持部38は、少なくとも1つのウェブアクセスで指定された複数種類の識別子のそれぞれについて、FPスコアの累積値(以下「FP累積値」とも呼ぶ。)を含むデータを保持する。図8は、累積スコア保持部38のデータ構造の例を示す。累積スコア保持部38は、1つの識別子の値ごとに、型(Type)・FP累積値(SumScore)・最終アクセス日時(LastAccess)の3レコードを含む。図8では、IPアドレス「133.250.195.1」、デバイスID「E6JU9Mr・・・」、ユーザID「user0001」のそれぞれについて記録された型・FP累積値・最終アクセス日時を示している。
Returning to FIG. 2, the cumulative
図2に戻り、制御部22は、ログ取得部40、判定要求受付部42、判定結果提供部44、BIスコア導出部46、FPスコア導出部48、リスク判定部50、判定結果記録部52、累積スコア記録部54、アラート通知部56、ダッシュボード提供部58を含む。
Returning to FIG. 2, the
ログ取得部40は、ウェブアクセスに対するリスク判定をバッチ処理として実行させる場合のインタフェースである。ログ取得部40は、1つ以上のウェブアクセスのデータ(内容または属性とも言え、以下「ウェブアクセス属性」と呼ぶ。)が記録されたアクセスログを対象サーバ12から定期的に取得し、アクセスログに記録されたウェブアクセス属性を読み込む。ログ取得部40は、対象サーバ12から定期的に送信されたアクセスログを受信してもよい。
The
判定要求受付部42と判定結果提供部44は、1つのウェブアクセスに対するリスク判定をリアルタイム処理として実行させる場合のインタフェースである。判定要求受付部42は、対象サーバ12で予め定められた所定のAPIがコールされた場合に、その引数で指定された1つのウェブアクセス属性を取得する。判定結果提供部44は、上記APIのコールに対するレスポンスとして、リスク判定結果(例えば図7のリスク判定結果64)を対象サーバ12へ送信する。
The determination
実施例のウェブアクセス属性は、アクセス日時、アクセス先URL、接続元IPアドレス、ユーザID、ブラウザ種別(またはUserAgent)、デバイスIDを含む。ユーザIDは、ログイン認証画面に対してパラメータとして送信されたユーザIDでもよく、ログイン後のユーザセッションに対応付けられたユーザIDでもよい。対象サーバ12は、デバイスID取得スクリプト(例えばJavascript(登録商標)プログラム)を保持し、当該スクリプトをウェブページのデータとともにユーザ端末14へ送信してユーザ端末14のウェブブラウザで実行させることにより、ユーザ端末14からデバイスIDを取得する。
The web access attribute of the embodiment includes an access date / time, an access destination URL, a connection source IP address, a user ID, a browser type (or UserAgent), and a device ID. The user ID may be a user ID transmitted as a parameter to the login authentication screen, or may be a user ID associated with the user session after login. The
また、ウェブアクセス属性は、対象サーバ12のウェブサイトにおける業務固有のパラメータをさらに含む。例えば、ウェブアクセス属性は、GET送信またはPOST送信でパラメータとして付加されたデータをさらに含んでもよい。この場合、BIスコア判定規則とFPスコア判定規則の少なくとも一方に、業務固有のパラメータの値に基づく判定条件が設定されてもよい。例えば、インターネットバンキングのウェブサイトの場合、業務固有のパラメータとして口座番号や取引金額を含んでもよい。そして、口座番号や取引金額が判定条件を満たす場合に、BIスコアとFPスコアの少なくとも一方を加算してもよい。
In addition, the web access attribute further includes business-specific parameters on the website of the
BIスコア導出部46は、ログ取得部40または判定要求受付部42により取得されたウェブアクセス属性と、規則保持部32に保持されたBIスコア判定規則にしたがって、ウェブアクセス属性ごとのBIスコアを導出する。言い換えれば、ユーザ端末14から対象サーバ12へのウェブアクセスごとのBIスコアを導出する。
The BI
BIスコア導出部46は、1つのウェブアクセス属性に含まれるアクセス先URLと、パラメータ属性値の組み合わせが、BIスコア判定規則に定められた特定の判定条件を充足する場合、その判定条件に対応付けられたBIスコア(例えば0~100の値)を、当該ウェブアクセスのBIスコアとして決定する。図5の例では、1つのウェブアクセス属性に含まれるアクセス先URLがログイン認証URLと合致する場合、そのウェブアクセスのBIスコアを「10」に決定する。変形例として、ウェブアクセス属性が複数の判定条件を充足する場合、それら複数の判定条件に対応付けられたBIスコアの合計値を0~100の値に正規化し、正規化後の値を当該ウェブアクセスのBIスコアとして決定してもよい。
When the combination of the access destination URL included in one web access attribute and the parameter attribute value satisfies the specific determination condition defined in the BI score determination rule, the BI
FPスコア導出部48は、ログ取得部40または判定要求受付部42により取得されたウェブアクセス属性と、規則保持部32に保持されたFPスコア判定規則にしたがって、ウェブアクセス属性ごとのFPスコアを導出する。言い換えれば、ユーザ端末14から対象サーバ12へのウェブアクセスごとのFPスコアを導出する。
The FP
実施例のFPスコア導出部48は、1つのウェブアクセス属性に含まれる複数種類の識別子(例えば接続元IPアドレス、ユーザID、デバイスID)について、識別子ごとにその値に基づいてFP値を導出し、識別子ごとに導出したFP値を集計して1つのウェブアクセスのFP値を導出する。具体的には、FPスコア導出部48は、第1判定結果保持部34に保持された識別子の値(例えば接続元IPアドレスの値)が一致する過去のウェブアクセス属性を参照する。そして、過去の1つ以上のウェブアクセス属性から今回のウェブアクセス属性に基づいて特定される複数のウェブアクセスの振る舞いが、FPスコア判定規則の判定条件(例えば図6の項番9以降)に合致する場合、その判定条件に対応付けられたFPスコアを加算する。FPスコア導出部48は、1つのウェブアクセス属性に含まれる識別子ごとに(言い換えればFPスコア判定規則の判定条件ごとに)、判定条件の充足判定処理とFPスコア加算処理を繰り返す。
The FP score deriving
例えば、図6の項番2にしたがって、FPスコア導出部48は、アクセスデータに含まれる接続元IPアドレスが、BL/WL保持部28のブラックリストで指定されている場合、項番2で定められたFPスコアを加算する。また、図6の項番17にしたがって、FPスコア導出部48は、判定対象のウェブアクセスに含まれるユーザIDに対する、単位時間あたりのログイン試行IPアドレス数が所定値以上の場合、項番17で定められたFPスコアを加算する。この場合、FPスコア導出部48は、上記ユーザIDを指定したログイン試行URLへのウェブアクセスを、第1判定結果保持部34から検索してもよい。そして、検索にヒットした1つ以上のウェブアクセスにおける接続元IPアドレスのユニーク数を計数してもよい。
For example, according to
また、図6の項番20にしたがって、FPスコア導出部48は、判定対象のウェブアクセスに含まれるデバイスIDを含む所定の単位時間内の1回以上のログイン試行アクセスを特定する。そして、それらのログイン試行アクセスで指定されたユーザIDのユニーク数が所定値以上の場合、項番20で定められたFPスコアを加算する。この場合、FPスコア導出部48は、上記デバイスIDを指定したログイン試行URLへのウェブアクセスを、第1判定結果保持部34から検索してもよい。そして、検索にヒットした1つ以上のウェブアクセスで指定されたユーザIDのユニーク数を計数してもよい。
Further, according to the item No. 20 of FIG. 6, the FP score deriving
実施例のFPスコア導出部48は、1つのウェブアクセス属性に含まれる識別子ごとに(言い換えればFPスコア判定規則の判定条件ごとに)積み上げたFPスコア(ここでは「合計スコア」と呼ぶ。)を0~100の値に正規化し、最終的なFPスコアとする。図9は、FPスコアの正規化の一例を示す。FPスコア導出部48は、合計スコア(x)を予め定められたシグモイド関数66へ入力し、シグモイド関数66の出力値(0≦F(x)≦100)を最終的なFP値として決定してもよい。なお、図9のシグモイド関数66におけるa、bの値は、対象サーバ12の構築フェーズまたはチューニングフェーズにおいて、回帰分析等を使用して適宜決定・調整されてよい。
The FP score deriving
図2に戻り、リスク判定部50は、複数のウェブアクセスのそれぞれに対して導出されたBIスコアとFPスコアに基づいて、各ウェブアクセスの危険度(以下「リスクランク」とも呼ぶ。)を判定する。リスク判定部50は、各ウェブアクセスのリスクランクを含むリスク判定結果を生成する。判定結果記録部52は、リスク判定部50により生成された或るウェブアクセスに対するリスク判定結果(図7のリスク判定結果64)を、そのウェブアクセス属性のデータ(図7のアクセス属性62)と対応付けて第1判定結果保持部34と第2判定結果保持部36の両方へ格納する。
Returning to FIG. 2, the
図10は、実施例のリスク判定基準を示す。リスク判定部50は、BIスコアとFPスコアの組み合わせが領域70に該当する場合、リスクランク「低(LOW)」と判定する。また、上記組み合わせが領域72に該当すればリスクランク「中(MID)」、領域74に該当すればリスクランク「高(HIGH)」、領域76に該当すればリスクランク「重大(SEVERE)」と判定する。
FIG. 10 shows the risk criteria of the embodiment. When the combination of the BI score and the FP score corresponds to the
図10に示すように、リスク判定部50は、或るウェブアクセスのBIスコアが相対的に大きい場合、当該ウェブアクセスのFPスコアが相対的に小さくても、当該ウェブアクセスの危険度を相対的に高く判定する。また、リスク判定部50は、或るウェブアクセスのFPスコアが相対的に大きい場合、当該ウェブアクセスのBIスコアが相対的に小さくても、当該ウェブアクセスの危険度を相対的に高く判定する。言い換えれば、リスク判定部50は、FPスコアが所定値(同一の値)であるとき、BIスコアが大きくなるほど危険度を高く判定する。同様に、リスク判定部50は、BIスコアが所定値(同一の値)であるとき、FPスコアが大きくなるほど危険度を高く判定する。
As shown in FIG. 10, when the BI score of a certain web access is relatively large, the
累積スコア記録部54は、ウェブアクセスのデータに含まれる複数種類の識別子(例えばIPアドレス、デバイスID、ユーザID)について、識別子ごとにその値とFPスコアの累積値(すなわちFP累積値)とを対応付けて累積スコア保持部38に記録する。図8で示したように、実施例では、1つの識別子の値をキーとして、型・FP累積値・最終アクセス日時(擬似的にFP累積値の更新日時でもよい)を対応付けて記録する。
The cumulative
累積スコア記録部54は、複数種類の識別子(例えばIPアドレス、デバイスID、ユーザID)のそれぞれに対するBL追加基準値を保持する。BL追加基準値は、識別子の種類ごとに異なる値が設定されてよい。累積スコア記録部54は、或る識別子の値に対応付けて記録されたFPスコアの累積値が、BL追加基準値以下からBL追加基準値を超えた場合に、その識別子の値をブラックリストへ自動的に登録する。具体的には、その識別子の値をキーとし、「ブラック」を値とするレコードをBL/WL保持部28へ追加する。
The cumulative
FPスコア導出部48は、或るウェブアクセスに関するデータに含まれる識別子ごとに、識別子の値に対して予め記録されたFP累積値に基づいて当該ウェブアクセスが不正である可能性の高さを検出する。具体的には、FPスコア導出部48は、識別子の値がブラックリストに登録されていた場合、言い換えれば、累積値の値をキーとし、かつ「ブラック」を値とするレコードがBL/WL保持部28に存在する場合、FPスコアを加算する(例えば図6の項番1~5)。
The FP score deriving
また実施例では、累積スコア保持部38に保持されるFP累積値が、時間の経過とともに一定量減衰するモデルを採用する。累積スコア記録部54は、或る識別子の値と対応付けて記録したFP累積値を、その識別子の値を含む最終アクセスからの経過時間に応じて減算する。実施例では、最終アクセスからの経過時間が長くなるほど、FP累積値の減算幅を大きくする。例えば、或るIPアドレスの値(ここでは図8の「133.250.195.1」)に対応付けて記録されたFP累積値「30」について、「133.250.195.1」を接続元IPアドレスとするウェブアクセスがなされない期間が長くなるほど上記FP累積値を小さくしていく。
Further, in the embodiment, a model is adopted in which the FP cumulative value held in the cumulative
具体的には、累積スコア記録部54は、所定の単位時間あたりの減衰量dを保持する。累積スコア記録部54は、ウェブアクセス属性が受け付けられた場合に、そのウェブアクセス属性に含まれる識別子ごとに、前回更新時におけるFP累積値から、(前回更新時からの経過時間T×d)を減算する。言い換えれば、累積スコア記録部54は、以下の計算を実行して、識別子ごとのFP累積値を更新し、新たなFP累積値を累積スコア保持部38へ格納する。
新たなFP累積値 = 前回更新時のFP累積値 ー Td
Specifically, the cumulative
New FP cumulative value = FP cumulative value at the time of the previous update-Td
累積スコア記録部54は、或る識別子の値に対応付けて記録されたFP累積値が、BL追加基準値を超えた状態からBL追加基準値以下に変化した場合に、その識別子の値をブラックリストから除外する。具体的には、その識別子の値をキーとし、「ブラック」を値とするレコードをBL/WL保持部28から削除する。
When the FP cumulative value recorded in association with the value of a certain identifier changes from the state exceeding the BL additional reference value to the BL additional reference value or less, the cumulative
アラート通知部56は、所定のリスクランク以上のウェブアクセスを示すアラート情報(例えば図6のアクセス属性62およびリスク判定結果64のデータ)を管理者端末18へ通知する。通知方法は、電子メール、ファイル送信、プッシュ通知等、公知の方法でよい。アラート通知部56は、予め定められたタイミングで定期的にアラート情報を管理者端末18へ送信してもよい。また、所定のリスクランク以上のウェブアクセスが検出されたタイミング、言い換えれば、所定のリスクランク以上を示すリスク判定結果が第1判定結果保持部34、第2判定結果保持部36に記録されたタイミングで、アラート情報を送信してもよい。
The
なお、本実施形態では、所定のリスクランク以上のウェブアクセスを示すアラート情報を管理者端末18へ通知する構成であったが、その処理に代えて、またはその処理とともに、所定のリスクランク以上のウェブアクセスに対して所定の動作を実行する構成であってもよい。ここで、所定の動作とは、所定のリスクランク以上のウェブアクセスを遮断したり、所定のリスクランク以上のウェブアクセスの対象となる取引を拒否したり、追加の認証を実施することが含まれる。これにより、管理者端末18に通知することに加え、不正の取引を未然に防ぐことができる。また、所定のリスクランク以上のウェブアクセスを示すアラート情報を管理者端末18へ通知することに加え、ウェブアクセスの対象となる取引毎、図5の業務処理毎、図5の判定条件毎、図6のルールカテゴリ毎、図6のルール内容毎に、前記所定の動作を設定可能とする構成にすることもできる。
In this embodiment, alert information indicating web access of a predetermined risk rank or higher is notified to the
ダッシュボード提供部58は、リスク判定結果、およびその統計情報を表示するダッシュボードの画面データを生成して管理者端末18へ送信する。ダッシュボード提供部58は、第2判定結果保持部36に保持されたリスク判定結果を読み込んでダッシュボードの画面データを生成する。
The
以上の構成による情報システム10の動作を説明する。対象サーバ12は、通信販売やインターネットバンキング等の所定のウェブサイト(ここでは「監視対象サイト」と呼ぶ。)をインターネット上に公開する。正当な権限を有するユーザまたは不正者は、ユーザ端末14を操作して監視対象サイトへアクセスする。対象サーバ12は、監視対象サイトのウェブページをアクセス元のユーザ端末14へ提供し、ユーザ端末14のウェブブラウザは、監視対象サイトのウェブページをディスプレイに表示させる。なお、監視対象サイトのウェブページにはデバイスID取得スクリプトが含まれ、ユーザ端末14のウェブブラウザは、デバイスID取得スクリプトを実行し、自機の環境に基づいて生成したデバイスIDを対象サーバ12へ送信する。
The operation of the
この例の対象サーバ12は、ユーザ端末14からウェブアクセスを受け付けるたびに、そのウェブアクセス属性(接続元IPアドレス、ユーザID、デバイスID等)を含むリスク判定要求を不正アクセス検出装置20へ送信する。既述したように、対象サーバ12は、ユーザ端末14から受け付けたウェブアクセスの属性データをアクセスログへ逐次記録してもよい。そして、不正アクセス検出装置20に対するリスク判定要求として、定期的にアクセスログを不正アクセス検出装置20へ送信してもよい。
Each time the
図11は、不正アクセス検出装置20の動作を示すフローチャートである。対象サーバ12から送信されたリスク判定要求(ウェブアクセス属性)を判定要求受付部42が受け付けると(S10のY)、以下のS12~S38の処理が実行される。不正アクセス検出装置20は、対象サーバ12から送信されたウェブアクセス属性ごとにS12~S38の処理を繰り返し実行する。対象サーバ12からアクセスログが入力される場合、不正アクセス検出装置20は、アクセスログに記録されたウェブアクセス属性ごとにS12~S38の処理を繰り返し実行する。
FIG. 11 is a flowchart showing the operation of the unauthorized
累積スコア記録部54は、受け付けられたウェブアクセス属性に含まれる複数種類の識別子(接続元IPアドレス、ユーザID、デバイスID等)それぞれの値について、対応するFP累積値が累積スコア保持部38に保持されていれば、最終アクセス日時から現在日時までの経過時間に応じて、各識別子の値に対応するFP累積値を減算する(S12)。S12の結果、或る識別子の値に対応付けられたFP累積値が、BL追加基準値を超えた状態からBL追加基準値以下になれば(S14のY)、その値をブラックリストから除外する(S16)。或る識別子の値に対応付けられたFP累積値が、BL追加基準値を超えた状態を継続し、または、BL追加基準値以下の状態を継続する場合(S14のN)、S16をスキップする。すなわちブラックリストの変更を抑制する。
In the cumulative
BIスコア導出部46は、今回のウェブアクセス属性(例えばアクセス先URLおよび業務固有パラメータ等)とBIスコア判定規則にしたがってBIスコアを決定する(S18)。FPスコア導出部48は、今回のウェブアクセス属性と、第1判定結果保持部34に保持された識別子の値が同一の過去のウェブアクセス属性と、FPスコア判定規則にしたがってFPスコアを決定する(S20)。S20では、今回のウェブアクセス属性に含まれる複数種類の識別子のそれぞれについてFPスコアを算出し、識別子ごとのFPスコアを集計して、今回のウェブアクセス属性のFPスコアを決定する。リスク判定部50は、BIスコアとFPスコアとに正相関するようにリスクランクを決定する(S22)。
The BI
対象サーバ12からAPIコールによってリスク判定要求が入力された場合(S24のY)、判定結果提供部44は、リスク判定結果(具体的にはBIスコア、FPスコア、リスクランク)を、APIコールに対する応答として対象サーバ12へ送信する(S26)。対象サーバ12は、リスク判定結果にしたがって、判定対象のウェブアクセスに対する処理を決定する。例えば、対象サーバ12は、リスクランクが所定の基準値を上回る場合、ウェブアクセスが示す要求を拒否することを決定し、拒否を示す応答をユーザ端末14へ送信してもよい。対象サーバ12からアクセスログによってリスク判定要求が入力された場合(S24のN)、S26をスキップする。
When a risk determination request is input from the
判定結果記録部52は、今回判定対象となったウェブアクセス属性と、当該属性に基づくリスク判定結果を対応付けて第1判定結果保持部34と第2判定結果保持部36の両方に記録する(S28)。今回のウェブアクセスのリスクランクが対象サーバ12(もしくはその管理者)との間で予め定められた閾値(例えばリスクランク「高」または「重大」)以上の場合(S30のY)、アラート通知部56は、危険度が高いウェブアクセスがあったことを示すアラート情報を管理者端末18へ送信する(S32)。今回のリスク判定結果におけるリスクランクが閾値以下であれば(S30のN)、S32をスキップする。
The determination
累積スコア記録部54は、今回判定対象となったウェブアクセス属性に含まれる複数種類の識別子について、各識別子の値に対応付けて記録されたFP累積値に対して、S20で算出されたFPスコアを加算する(S34)。S34の結果、或る識別子の値に対応付けられたFPスコアの累積値が、BL追加基準値以下の状態からBL追加基準値を超えた場合(S36のY)、その値をブラックリストへ追加登録する(S38)。或る識別子の値に対応付けられたFPスコアの累積値が、BL追加基準値を超えた状態を継続し、または、BL追加基準値以下の状態を継続する場合(S36のN)、S38をスキップする。すなわちブラックリストの変更を抑制する。
The cumulative
対象サーバ12からリスク判定要求(ウェブアクセス属性)が未入力であれば(S10のN)、S12~S38をスキップする。管理者端末18からダッシュボードの参照要求が受け付けられると(S40のY)、ダッシュボード提供部58は、第2判定結果保持部36に保持された1つ以上のウェブアクセスに対するリスク判定結果を参照し、各ウェブアクセスに対するリスク判定結果、および、それらを統計処理した結果を含むダッシュボード画面のデータを管理者端末18へ送信して表示させる(S42)。ダッシュボードの参照要求を受け付けなければ(S40のN)、S42をスキップする。
If the risk determination request (web access attribute) has not been input from the target server 12 (N in S10), S12 to S38 are skipped. When the dashboard reference request is received from the administrator terminal 18 (Y in S40), the
実施例の不正アクセス検出装置20によると、対象サーバ12に対するウェブアクセスをBIとFPの2軸で評価し、当該ウェブアクセスのリスクランクを決定する。これにより、対象サーバ12のウェブサイトに対してウェブアクセスが与える影響度合い、言い換えれば、対象サーバ12が実行する業務やビジネスに対してウェブアクセスが与える現実のリスクの大きさに即して評価したウェブアクセスの危険度を対象サーバまたは管理者へ提供できる。
According to the unauthorized
また現在、複数台の端末、複数のIPアドレス、複数のユーザIDを切り替えつつ、なりすましログインや不正取引、リスト型アカウントハッキング等が行われることがあるが、不正アクセス検出装置20では、複数種類の識別子を含むウェブアクセスに対して識別子ごとにFPスコアを積み上げていきウェブアクセスのFPスコアを決定するため、これらの不正アクセスを検出しやすくなる。例えば、正しいユーザID・パスワードを用いたアクセスであっても、(1)同じIPアドレスで多数のユーザIDへのログインが行われた場合、(2)同じユーザIDを用いたログインが(異なるIPアドレスからも含めて)多数行われた場合、(3)同じデバイスIDで多数のユーザIDへのログイン試行が行われた場合等、FPスコアの増加により不正アクセスとして検知することができる。 Currently, spoofing login, fraudulent transactions, list-type account hacking, etc. may be performed while switching between a plurality of terminals, a plurality of IP addresses, and a plurality of user IDs. Since the FP score of each identifier is accumulated for the web access including the identifier and the FP score of the web access is determined, it becomes easy to detect these unauthorized accesses. For example, even if the access is made using the correct user ID / password, (1) if many user IDs are logged in with the same IP address, (2) the login using the same user ID is (different IP). It can be detected as an unauthorized access by increasing the FP score, such as when a large number of times (including from the address) are performed, (3) when login attempts to a large number of user IDs are performed with the same device ID, and the like.
また、実施例の不正アクセス検出装置20は、識別子の値ごとにFPスコアを累積し、閾値を超えると、上記識別子の値をブラックリストへ自動登録する。これにより、同一の識別子の値を用いた過去のウェブアクセスに対して判定された不正の疑いの度合いを、今回のウェブアクセスに対するリスク判定へ反映することができる。さらにまた、不正アクセス検出装置20は、最終アクセスからの経過時間に応じてFPスコアの累積値を減算し、閾値以下になるとブラックリストから自動削除する。これにより、ブラックリストの登録数の増加を抑制でき、ブラックリストとの効率的なマッチングを実現する。また、不正アクセスで使用されなくなってから時間が経過した識別子の値はブラックリストから除外されるため、その後、正当なユーザがその識別子の値を利用する場合に、不正アクセスと誤検知してしまうことを抑制できる。
Further, the unauthorized
以上、本発明を実施例をもとに説明した。この実施例は例示であり、各構成要素や各処理プロセスの組合せにいろいろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者に理解されるところである。以下変形例を示す。 The present invention has been described above based on the examples. This embodiment is an example, and it is understood by those skilled in the art that various modifications are possible for each component and combination of each processing process, and that such modifications are also within the scope of the present invention. A modified example is shown below.
第1変形例を説明する。実施例では言及していないが、FPスコア判定規則は、対象サーバ12に対して1つのユーザ端末14からなされた複数回のウェブアクセスに所定の関係がある場合にFPスコアを加算することを定めてもよい。例えば、対象サーバ12のウェブサイトがロイヤリティプログラム(ポイントプログラム)を提供するウェブサイトである場合に、識別対象「ユーザID」、ルール内容「ポイント交換(モノとの引き替え)のウェブページのURLを指定したHTTP要求から、退会のウェブページのURLを指定したHTTP要求までの時間が所定時間(例えば3分)以内であること」が規定されてもよい。
The first modification will be described. Although not mentioned in the examples, the FP score determination rule stipulates that the FP score is added to the
本発明者は、ロイヤリティプログラムを提供するウェブサイトに対する不正アクセスを調査する中で、ポイント交換を実行後、証拠隠滅のためにすぐに退会するという振る舞いが多いことを発見した。本変形例の態様によると、時間的に前後する複数回のウェブアクセスの関係に着目してFPスコアを加算することにより、不正アクセスの検出精度を一層高めることができる。 In investigating unauthorized access to websites that provide loyalty programs, the inventor found that there are many behaviors of withdrawing immediately due to the destruction of evidence after performing point exchange. According to the embodiment of this modification, the detection accuracy of unauthorized access can be further improved by adding the FP score by paying attention to the relationship of a plurality of times of web access before and after the time.
第2変形例を説明する。実施例の不正アクセス検出装置20は、対象サーバ12に対する不正アクセスを検出したが、変形例として、不正アクセス検出装置20は、自装置に対する外部装置からの不正アクセスを検出してもよい。不正アクセスを検出した場合には、自装置のユーザへその旨を通知してもよく、外部装置からの不正アクセスを遮断するための処理(例えば通信の無効化処理、パーソナルファイアウォールの設定処理等)を実行してもよい。
The second modification will be described. The unauthorized
本変形例の不正アクセス検出装置20は、一般的なPC、タブレット端末、スマートフォン等の情報端末であってもよく、図2に示した機能ブロックが実装されたコンピュータプログラムが情報端末にインストールされて実行されることにより、実施例の不正アクセス検出装置20と同様の処理を実行してもよい。本変形例の不正アクセス検出装置20に保持されるBIスコア判定規則は、例えば、外部装置からのアクセスが重要なシステムコールを発生させるアクセスに対して高いBIスコアが設定されてもよい。また、FPスコア判定規則は、例えば、管理者権限の乗っ取りやハッキングの典型的なパターンに対して高いFPスコアが設定されてもよい。
The unauthorized
上述した実施例および変形例の任意の組み合わせもまた本発明の実施の形態として有用である。組み合わせによって生じる新たな実施の形態は、組み合わされる実施例および変形例それぞれの効果をあわせもつ。請求項に記載の各構成要件が果たすべき機能は、実施例および変形例において示された各構成要素の単体もしくはそれらの連携によって実現されることも当業者には理解されるところである。 Any combination of the examples and modifications described above is also useful as an embodiment of the invention. The new embodiments resulting from the combination have the effects of each of the combined examples and variants. It is also understood by those skilled in the art that the functions to be fulfilled by each of the constituent elements described in the claims are realized by a single component or a cooperation thereof shown in the examples and modifications.
20 不正アクセス検出装置、 40 ログ取得部、 42 判定要求受付部、 44 判定結果提供部、 46 BIスコア導出部、 48 FPスコア導出部、 50 リスク判定部、 52 判定結果記録部、 54 累積スコア記録部。 20 Unauthorized access detection device, 40 Log acquisition unit, 42 Judgment request reception unit, 44 Judgment result provision unit, 46 BI score derivation unit, 48 FP score derivation unit, 50 Risk judgment unit, 52 Judgment result recording unit, 54 Cumulative score recording Department.
Claims (8)
前記取得部により取得されたデータに基づいて、前記装置における前記アクセスの重要度を示すビジネスインパクト指標値と、前記アクセスが不正である可能性の高さを示す不正可能性指標値を導出する導出部と、
前記導出部により導出されたビジネスインパクト指標値と不正可能性指標値に基づいて、前記アクセスの危険度を判定する判定部と、
記録部と、
を備え、
前記導出部は、前記アクセスのデータに含まれる識別子の値が所定のブラックリストで指定された値に合致する場合、前記不正可能性指標値を加算し、
前記記録部は、或る値の識別子を含むアクセスに対して前記導出部により導出された不正可能性指標値の累積値を記録し、
前記記録部は、前記累積値が基準値超になった場合、前記或る値の識別子を前記ブラックリストに追加することを特徴とする不正アクセス検出装置。 An acquisition unit that acquires data related to access to a predetermined device via a communication network, and
Based on the data acquired by the acquisition unit, a derivation that derives a business impact index value indicating the importance of the access in the device and a fraud possibility index value indicating the high possibility that the access is unauthorized. Department and
A determination unit that determines the degree of risk of access based on the business impact index value and fraud possibility index value derived by the derivation unit.
Recording section and
Equipped with
When the value of the identifier included in the access data matches the value specified in the predetermined blacklist, the derivation unit adds the fraud possibility index value.
The recording unit records the cumulative value of the fraudulent possibility index value derived by the derivation unit for the access including the identifier of a certain value.
The recording unit is an unauthorized access detection device, characterized in that, when the cumulative value exceeds a reference value, an identifier of the certain value is added to the blacklist.
前記記録部は、前記累積値が所定値以下になった場合、前記或る値の識別子を前記ブラックリストから除外することを特徴とする請求項1に記載の不正アクセス検出装置。 The recording unit subtracts the cumulative value according to the elapsed time since the last access including the identifier of the certain value is made.
The unauthorized access detection device according to claim 1, wherein the recording unit excludes an identifier of a certain value from the blacklist when the cumulative value becomes a predetermined value or less.
前記導出部は、識別子ごとにその値に基づいて前記アクセスが不正である可能性の高さを検出し、識別子ごとに検出した前記可能性の高さを集計して前記アクセスの不正可能性指標値を導出することを特徴とする請求項1または2に記載の不正アクセス検出装置。 The data related to the access includes multiple types of identifiers,
The derivation unit detects the high possibility that the access is fraudulent based on the value of each identifier, and aggregates the high possibility that the access is detected for each identifier, and is an index of the fraudulent possibility of the access. The unauthorized access detection device according to claim 1 or 2, wherein a value is derived.
前記導出部は、或るアクセスに関するデータに含まれる識別子ごとに、識別子の値に対して予め記録された不正可能性の累積値に基づいて前記或るアクセスが不正である可能性の高さを検出し、識別子ごとに検出した前記可能性の高さを集計して前記或るアクセスの不正可能性指標値を導出することを特徴とする請求項3または4に記載の不正アクセス検出装置。 The recording unit records the value of the identifier and the cumulative value of the fraudulent possibility index value derived by the derivation unit in association with each other for each of a plurality of types of identifiers included in the access data.
For each identifier contained in the data related to a certain access, the derivation unit determines the high possibility that the certain access is fraudulent based on the cumulative value of the fraudulent possibility recorded in advance with respect to the value of the identifier. The unauthorized access detection device according to claim 3 or 4, wherein the unauthorized access detection device according to claim 3 or 4, wherein the unauthorized access detection device according to claim 3 or 4, wherein the unauthorized access detection device according to claim 3 or 4, wherein the unauthorized access detection device according to claim 3 or 4, wherein the unauthorized access detection device according to claim 3 or 4 is characterized in that the detection is performed and the high possibility detected for each identifier is aggregated to derive the fraud possibility index value of the certain access.
前記取得するステップで取得されたデータに基づいて、前記装置における前記アクセスの重要度を示すビジネスインパクト指標値と、前記アクセスが不正である可能性の高さを示す不正可能性指標値を導出するステップと、
前記導出するステップで導出されたビジネスインパクト指標値と不正可能性指標値に基づいて、前記アクセスの危険度を判定するステップと、
をコンピュータが実行し、
前記導出するステップは、前記アクセスのデータに含まれる識別子の値が所定のブラックリストで指定された値に合致する場合、前記不正可能性指標値を加算し、
或る値の識別子を含むアクセスに対して前記導出するステップで導出された不正可能性指標値の累積値を記録するステップと、
前記累積値が基準値超になった場合、前記或る値の識別子を前記ブラックリストに追加するステップと、
を前記コンピュータがさらに実行することを特徴とする不正アクセス検出方法。 A step to acquire data related to access to a predetermined device via a communication network, and
Based on the data acquired in the acquired step, a business impact index value indicating the importance of the access in the device and a fraud possibility index value indicating the high possibility that the access is unauthorized are derived. Steps and
Based on the business impact index value and fraud possibility index value derived in the derivation step, the step of determining the risk of access and the step
The computer runs,
In the derivation step, when the value of the identifier included in the access data matches the value specified in the predetermined blacklist, the fraud possibility index value is added.
A step of recording the cumulative value of the fraudulent index value derived in the above-described derivation step for an access including an identifier of a certain value, and a step of recording the cumulative value.
When the cumulative value exceeds the reference value, the step of adding the identifier of the certain value to the blacklist and
An unauthorized access detection method, characterized in that the computer further executes the above.
前記取得する機能により取得されたデータに基づいて、前記装置における前記アクセスの重要度を示すビジネスインパクト指標値と、前記アクセスが不正である可能性の高さを示す不正可能性指標値を導出する機能と、
前記導出する機能により導出されたビジネスインパクト指標値と不正可能性指標値に基づいて、前記アクセスの危険度を判定する機能と、
をコンピュータに実現させ、
前記導出する機能は、前記アクセスのデータに含まれる識別子の値が所定のブラックリストで指定された値に合致する場合、前記不正可能性指標値を加算し、
或る値の識別子を含むアクセスに対して前記導出する機能により導出された不正可能性指標値の累積値を記録する機能と、
前記累積値が基準値超になった場合、前記或る値の識別子を前記ブラックリストに追加する機能と、
を前記コンピュータにさらに実現させるためのコンピュータプログラム。 A function to acquire data related to access to a predetermined device via a communication network, and
Based on the data acquired by the acquired function, a business impact index value indicating the importance of the access in the device and a fraud possibility index value indicating the high possibility that the access is unauthorized are derived. Functions and
A function to determine the risk of access based on the business impact index value and the fraud possibility index value derived by the derived function, and
To the computer,
When the value of the identifier included in the access data matches the value specified in the predetermined blacklist, the derivation function adds the fraud possibility index value.
A function to record the cumulative value of the fraudulent possibility index value derived by the above-derived function for an access including an identifier of a certain value, and a function to record the cumulative value.
A function to add an identifier of a certain value to the blacklist when the cumulative value exceeds the reference value, and
A computer program for further realizing the above-mentioned computer.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020211266A JP7037628B2 (en) | 2020-12-21 | 2020-12-21 | Unauthorized access detector, unauthorized access detection method and computer program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020211266A JP7037628B2 (en) | 2020-12-21 | 2020-12-21 | Unauthorized access detector, unauthorized access detection method and computer program |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016175539A Division JP6835507B2 (en) | 2016-09-08 | 2016-09-08 | Unauthorized access detector, unauthorized access detection method and computer program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2021044023A JP2021044023A (en) | 2021-03-18 |
JP7037628B2 true JP7037628B2 (en) | 2022-03-16 |
Family
ID=74864179
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020211266A Active JP7037628B2 (en) | 2020-12-21 | 2020-12-21 | Unauthorized access detector, unauthorized access detection method and computer program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7037628B2 (en) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007514333A (en) | 2003-09-12 | 2007-05-31 | アールエスエイ セキュリティー インコーポレーテッド | System and method for risk-based authentication |
JP2010097467A (en) | 2008-10-17 | 2010-04-30 | Nomura Research Institute Ltd | Risk-based authentication system and risk-based authentication method |
WO2015136800A1 (en) | 2014-03-13 | 2015-09-17 | 株式会社日立ソリューションズ | Authentication device, authentication system and authentication method |
-
2020
- 2020-12-21 JP JP2020211266A patent/JP7037628B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007514333A (en) | 2003-09-12 | 2007-05-31 | アールエスエイ セキュリティー インコーポレーテッド | System and method for risk-based authentication |
JP2010097467A (en) | 2008-10-17 | 2010-04-30 | Nomura Research Institute Ltd | Risk-based authentication system and risk-based authentication method |
WO2015136800A1 (en) | 2014-03-13 | 2015-09-17 | 株式会社日立ソリューションズ | Authentication device, authentication system and authentication method |
Also Published As
Publication number | Publication date |
---|---|
JP2021044023A (en) | 2021-03-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220129532A1 (en) | Biometric identification platform | |
US11171925B2 (en) | Evaluating and modifying countermeasures based on aggregate transaction status | |
US11388193B2 (en) | Systems and methods for detecting online fraud | |
US8850567B1 (en) | Unauthorized URL requests detection | |
EP3125147B1 (en) | System and method for identifying a phishing website | |
US9083733B2 (en) | Anti-phishing domain advisor and method thereof | |
US11902307B2 (en) | Method and apparatus for network fraud detection and remediation through analytics | |
US10728279B2 (en) | Detection of remote fraudulent activity in a client-server-system | |
CN103701795B (en) | The recognition methods of the attack source of Denial of Service attack and device | |
US20130185802A1 (en) | Online Fraud Detection Dynamic Scoring Aggregation Systems and Methods | |
JP6113678B2 (en) | Authentication apparatus, authentication system, and authentication method | |
KR102024142B1 (en) | A access control system for detecting and controlling abnormal users by users’ pattern of server access | |
US10542044B2 (en) | Authentication incident detection and management | |
US10587650B2 (en) | Communications security | |
CN107682345B (en) | IP address detection method and device and electronic equipment | |
US11223602B2 (en) | IP address access based on security level and access history | |
Kaur et al. | Browser fingerprinting as user tracking technology | |
CN109889485A (en) | A kind of user's abnormal operation behavioral value method, system and storage medium | |
JP6835507B2 (en) | Unauthorized access detector, unauthorized access detection method and computer program | |
US10599725B2 (en) | Systems, devices, and methods for improved RDAP traffic analysis and mitigation | |
JP7037628B2 (en) | Unauthorized access detector, unauthorized access detection method and computer program | |
JP6842951B2 (en) | Unauthorized access detectors, programs and methods | |
JP5743822B2 (en) | Information leakage prevention device and restriction information generation device | |
CN113923039A (en) | Attack equipment identification method and device, electronic equipment and readable storage medium | |
JP7403565B2 (en) | Fraud detection device, fraud detection method, and fraud detection program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201221 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220222 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220304 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7037628 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |