[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP7037628B2 - Unauthorized access detector, unauthorized access detection method and computer program - Google Patents

Unauthorized access detector, unauthorized access detection method and computer program Download PDF

Info

Publication number
JP7037628B2
JP7037628B2 JP2020211266A JP2020211266A JP7037628B2 JP 7037628 B2 JP7037628 B2 JP 7037628B2 JP 2020211266 A JP2020211266 A JP 2020211266A JP 2020211266 A JP2020211266 A JP 2020211266A JP 7037628 B2 JP7037628 B2 JP 7037628B2
Authority
JP
Japan
Prior art keywords
access
value
identifier
score
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020211266A
Other languages
Japanese (ja)
Other versions
JP2021044023A (en
Inventor
修 大島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nomura Research Institute Ltd
Original Assignee
Nomura Research Institute Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nomura Research Institute Ltd filed Critical Nomura Research Institute Ltd
Priority to JP2020211266A priority Critical patent/JP7037628B2/en
Publication of JP2021044023A publication Critical patent/JP2021044023A/en
Application granted granted Critical
Publication of JP7037628B2 publication Critical patent/JP7037628B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Description

この発明は、データ処理技術に関し、特に不正アクセスを検出する技術に関する。 The present invention relates to a data processing technique, and more particularly to a technique for detecting unauthorized access.

近年、サーバ等に対する不正アクセスによる被害の認知件数が高い水準にある。被害の内訳としては、インターネットバンキングの不正送金と、他人へのなりすましが占める割合が大きい。不正アクセスに対するこれまでの防御手段としては、ファイヤーウォールやWAF(Web Application Firewall)が存在する(例えば特許文献1参照)。 In recent years, the number of cases of damage caused by unauthorized access to servers and the like has been at a high level. The breakdown of the damage is that illegal remittances from Internet banking and spoofing to others account for a large proportion. As conventional defense measures against unauthorized access, there are firewalls and WAFs (Web Application Firewalls) (see, for example, Patent Document 1).

特開2008-117007号公報Japanese Unexamined Patent Publication No. 2008-117007

不正アクセスの手口は年々巧妙化しており、従来の不正アクセス対策では、正常なアクセスと不正アクセスを見分けることは困難なことがあった。本発明は、こうした課題に鑑みてなされたものであり、主たる目的は、不正アクセスを精度よく検出する技術を提供することである。 The method of unauthorized access has become more sophisticated year by year, and it has sometimes been difficult to distinguish between normal access and unauthorized access with conventional measures against unauthorized access. The present invention has been made in view of these problems, and a main object thereof is to provide a technique for accurately detecting unauthorized access.

上記課題を解決するために、本発明のある態様の不正アクセス検出装置は、所定の装置に対する通信網を介したアクセスに関するデータを取得する取得部と、取得部により取得されたデータに基づいて、装置におけるアクセスの重要度を示す第1指標値と、アクセスが不正である可能性の高さを示す第2指標値を導出する導出部と、導出部により導出された第1指標値と第2指標値に基づいて、アクセスの危険度を判定する判定部と、を備える。 In order to solve the above problems, the unauthorized access detection device of a certain aspect of the present invention is based on an acquisition unit that acquires data related to access to a predetermined device via a communication network and data acquired by the acquisition unit. A derivation unit that derives a first index value indicating the importance of access in the device, a second index value indicating the high possibility that access is invalid, and a first index value and a second index value derived by the derivation unit. A determination unit for determining the risk of access based on the index value is provided.

本発明の別の態様もまた、不正アクセス検出装置である。この装置は、通信網を介して所定の装置になされたアクセスに関するデータを取得する取得部と、取得部により取得されたデータに基づいて、アクセスが不正である可能性の高さを示す指標値を導出する導出部と、導出部により導出された指標値に基づいて、アクセスの危険度を判定する判定部と、を備える。アクセスに関するデータには複数種類の識別子が含まれ、導出部は、識別子ごとにその値に基づいてアクセスが不正である可能性の高さを検出し、識別子ごとに検出した可能性の高さを集計してアクセスの指標値を導出する。 Another aspect of the present invention is also an unauthorized access detection device. This device has an acquisition unit that acquires data related to access made to a predetermined device via a communication network, and an index value indicating the high possibility that access is unauthorized based on the data acquired by the acquisition unit. It is provided with a derivation unit for deriving the data and a determination unit for determining the risk of access based on the index value derived by the derivation unit. The data related to access includes multiple types of identifiers, and the derivator detects the high possibility that access is invalid based on the value of each identifier, and the high possibility that it is detected for each identifier. Aggregate and derive access index values.

本発明のさらに別の態様は、不正アクセス検出方法である。この方法は、所定の装置に対する通信網を介したアクセスに関するデータを取得するステップと、取得するステップで取得されたデータに基づいて、装置におけるアクセスの重要度を示す第1指標値と、アクセスが不正である可能性の高さを示す第2指標値を導出するステップと、導出するステップで導出された第1指標値と第2指標値に基づいて、アクセスの危険度を判定するステップと、をコンピュータが実行する。 Yet another aspect of the present invention is an unauthorized access detection method. In this method, the first index value indicating the importance of access in the device and the access are based on the step of acquiring the data related to the access to the predetermined device via the communication network and the data acquired in the acquisition step. A step of deriving a second index value indicating the high possibility of fraud, a step of determining the risk of access based on the first index value and the second index value derived in the deriving step, and a step of determining the risk of access. Is executed by the computer.

なお、以上の構成要素の任意の組合せ、本発明の表現をシステム、コンピュータプログラム、コンピュータプログラムを格納した記録媒体などの間で変換したものもまた、本発明の態様として有効である。 It should be noted that any combination of the above components and a conversion of the expression of the present invention between a system, a computer program, a recording medium in which the computer program is stored, and the like are also effective as aspects of the present invention.

本発明によれば、不正アクセスを精度よく検出することができる。 According to the present invention, unauthorized access can be detected with high accuracy.

実施例の情報システムの構成を示す図である。It is a figure which shows the structure of the information system of an Example. 図1の不正アクセス検出装置の機能構成を示すブロック図である。It is a block diagram which shows the functional structure of the unauthorized access detection apparatus of FIG. BL/WL保持部のデータ構造の例を示す図である。It is a figure which shows the example of the data structure of the BL / WL holding part. アドレス情報保持部のデータ構造の例を示す図である。It is a figure which shows the example of the data structure of the address information holding part. BIスコア判定規則のデータ構造の例を示す図である。It is a figure which shows the example of the data structure of the BI score determination rule. FPスコア判定規則のデータ構造の例を示す図である。It is a figure which shows the example of the data structure of the FP score determination rule. 第1判定結果保持部および第2判定結果保持部のデータ構造の例を示す図である。It is a figure which shows the example of the data structure of the 1st determination result holding part and the 2nd determination result holding part. 累積スコア保持部のデータ構造の例を示す図である。It is a figure which shows the example of the data structure of the cumulative score holding part. FPスコアの正規化の一例を示す図である。It is a figure which shows an example of the normalization of the FP score. 実施例のリスク判定基準を示す図である。It is a figure which shows the risk judgment criteria of an Example. 不正アクセス検出装置の動作を示すフローチャートである。It is a flowchart which shows the operation of an unauthorized access detection device.

本発明の実施例を説明する前にまず概要を説明する。本実施例における不正アクセスは、アクセス制御(例えばパスワード認証等)がなされているサーバに、ネットワークを通じて、他人の識別符号、または識別符号以外の情報や指令を入力して本来制限されている機能を不正に利用する行為である。以下の説明における「ウェブアクセス」は、所定のサーバに対する通信網を介したリモートアクセスであり、正当な権限を持つユーザの正当なアクセスと、不正者による不正アクセスの両方を含む。 Before explaining the embodiment of the present invention, the outline will be described first. Unauthorized access in this embodiment is a function that is originally restricted by inputting information or a command other than another person's identification code or identification code into a server for which access control (for example, password authentication, etc.) is performed through the network. It is an act of illegal use. "Web access" in the following description is remote access to a predetermined server via a communication network, and includes both legitimate access by a user with legitimate authority and unauthorized access by a fraudulent person.

様々な種類の不正アクセスが存在するが、特に、他人の正しいアカウント情報(ユーザID、パスワード等)を不正に入手し、そのアカウント情報を使用したなりすましログインや不正取引、リスト型アカウントハッキング等は、従来の不正アクセス対策では、正当なアクセスと判別することが難しかった。また、短期間に大量の不正アクセスが自動実行されるのではなく、低頻度の不正アクセス(例えば1回/時間等)が長期的に実行される場合、不正アクセスを正当なアクセスと判別することが一層困難であった。 There are various types of unauthorized access, but in particular, spoofing login, unauthorized transactions, list-type account hacking, etc. that illegally obtain the correct account information (user ID, password, etc.) of another person and use that account information With conventional measures against unauthorized access, it was difficult to determine that the access was legitimate. In addition, if a large amount of unauthorized access is not automatically executed in a short period of time, but a low frequency unauthorized access (for example, once / hour) is executed for a long period of time, the unauthorized access should be determined as a legitimate access. Was even more difficult.

実施例の不正アクセス検出装置は、サーバに対するウェブアクセスのアイデンティティ(すなわちID)の振る舞いに基づいて、当該ウェブアクセスが不正アクセスか否かを判定する。具体的には、今回のウェブアクセスのデータに含まれる複数種類のIDそれぞれが使用された、過去からの複数回のウェブアクセスの態様に基づいて、今回のウェブアクセスが不正なものか否かを判定する。さらに、実施例の不正アクセス検出装置は、所定の対象装置に対するウェブアクセスを、対象装置における当該ウェブアクセスの重要度(以下「BI(Business Impact)」とも呼ぶ。)と、当該ウェブアクセスが不正である可能性の高さ(以下「FP(Fraud Probability)」とも呼ぶ。)の2軸で評価し、当該アクセスの危険度を判定する。これにより不正アクセスを精度よく検出する。 The unauthorized access detection device of the embodiment determines whether or not the web access is unauthorized access based on the behavior of the identity (that is, ID) of the web access to the server. Specifically, whether or not this web access is fraudulent based on the mode of multiple web accesses from the past in which each of the multiple types of IDs included in the data of this web access was used. judge. Further, in the unauthorized access detection device of the embodiment, the web access to the predetermined target device is defined as the importance of the web access in the target device (hereinafter, also referred to as “BI (Business Impact)”) and the web access is unauthorized. Evaluate with two axes of high probability (hereinafter, also referred to as "FP (Fraud Probability)"), and determine the degree of danger of the access. As a result, unauthorized access is detected with high accuracy.

図1は、実施例の情報システムの構成を示す。情報システム10は、対象サーバ12、ユーザ端末14で総称されるユーザ端末14a、ユーザ端末14b、ユーザ端末14c、管理者端末18、不正アクセス検出装置20を備える。これらの装置は、LAN・WAN・インターネット等を含む通信網16を介して互いに接続される。 FIG. 1 shows the configuration of the information system of the embodiment. The information system 10 includes a target server 12, a user terminal 14a, a user terminal 14b, a user terminal 14c, an administrator terminal 18, and an unauthorized access detection device 20, which are collectively referred to as a user terminal 14. These devices are connected to each other via a communication network 16 including a LAN, WAN, the Internet, and the like.

対象サーバ12は、通信販売、インターネットバンキング等のウェブサイトをインターネット上に公開する情報処理装置である。実施例の対象サーバ12は、ウェブサーバの機能を含み、ユーザ端末14からのウェブアクセス(HTTP要求)を受け付け、所定のサービスを提供するためのウェブページをユーザ端末14へ提供する。 The target server 12 is an information processing device that publishes websites such as mail-order sales and Internet banking on the Internet. The target server 12 of the embodiment includes the function of the web server, accepts the web access (HTTP request) from the user terminal 14, and provides the user terminal 14 with a web page for providing a predetermined service.

ユーザ端末14は、ウェブブラウザソフトウェアがインストールされた情報処理装置であり、ウェブクライアントとして機能する。ユーザ端末14は、PC、タブレット端末、スマートフォンであってもよい。ユーザ端末14a、ユーザ端末14b、ユーザ端末14cを操作するユーザは、対象サーバ12のウェブサイトへのログインが許可されたユーザ(すなわち正当な権限を有するユーザ)かもしれないし、他人のアカウントを不正使用する等、対象サーバ12に対して不正アクセスを試みるユーザかもしれない。 The user terminal 14 is an information processing device in which web browser software is installed, and functions as a web client. The user terminal 14 may be a PC, a tablet terminal, or a smartphone. The user who operates the user terminal 14a, the user terminal 14b, and the user terminal 14c may be a user who is permitted to log in to the website of the target server 12 (that is, a user who has a legitimate authority), or illegally uses another person's account. It may be a user who attempts unauthorized access to the target server 12.

管理者端末18は、ウェブブラウザソフトウェアがインストールされた情報処理装置であり、ウェブクライアントとして機能する。管理者端末18は、PC、タブレット端末、スマートフォンであってもよく、対象サーバ12の管理者により操作される。 The administrator terminal 18 is an information processing device in which web browser software is installed, and functions as a web client. The administrator terminal 18 may be a PC, a tablet terminal, or a smartphone, and is operated by the administrator of the target server 12.

不正アクセス検出装置20は、対象サーバ12に対するウェブアクセスの属性情報を、ログファイルまたはAPI(Application Programming Interface)経由で受け付けると、ウェブアクセスごとのリスク判定を実行する。言い換えれば、ユーザ端末14から対象サーバ12への複数のウェブアクセスの中に存在する不正アクセスを検出する。不正アクセス検出装置20は、リスクの判定結果をAPIレスポンスとして対象サーバ12へ提供し、また、リスクの判定結果を含む統計情報を管理者端末18へ提供する。 When the unauthorized access detection device 20 receives the attribute information of the web access to the target server 12 via the log file or API (Application Programming Interface), the unauthorized access detection device 20 executes the risk determination for each web access. In other words, it detects unauthorized access that exists in a plurality of web accesses from the user terminal 14 to the target server 12. The unauthorized access detection device 20 provides the risk determination result as an API response to the target server 12, and also provides statistical information including the risk determination result to the administrator terminal 18.

図2は、図1の不正アクセス検出装置20の機能構成を示すブロック図である。不正アクセス検出装置20は、制御部22、記憶部24、通信部26を備える。制御部22は、ユーザ端末14から対象サーバ12への不正アクセスを検出するためのデータ処理を実行する。記憶部24は、制御部22により参照または更新されるデータを記憶する記憶領域である。通信部26は、所定の通信プロトコルにしたがって外部装置と通信する。制御部22は、通信部26を介して対象サーバ12および管理者端末18とデータを送受する。 FIG. 2 is a block diagram showing a functional configuration of the unauthorized access detection device 20 of FIG. The unauthorized access detection device 20 includes a control unit 22, a storage unit 24, and a communication unit 26. The control unit 22 executes data processing for detecting unauthorized access from the user terminal 14 to the target server 12. The storage unit 24 is a storage area for storing data referenced or updated by the control unit 22. The communication unit 26 communicates with the external device according to a predetermined communication protocol. The control unit 22 sends / receives data to / from the target server 12 and the administrator terminal 18 via the communication unit 26.

本明細書のブロック図において示される各ブロックは、ハードウェア的には、コンピュータのCPU・メモリをはじめとする素子や機械装置で実現でき、ソフトウェア的にはコンピュータプログラム等によって実現されるが、ここでは、それらの連携によって実現される機能ブロックを描いている。したがって、これらの機能ブロックはハードウェア、ソフトウェアの組合せによっていろいろなかたちで実現できることは、当業者には理解されるところである。 Each block shown in the block diagram of the present specification can be realized by an element or a mechanical device such as a CPU / memory of a computer in terms of hardware, and can be realized by a computer program or the like in terms of software. Now, I'm drawing a functional block realized by their cooperation. Therefore, it is understood by those skilled in the art that these functional blocks can be realized in various forms by combining hardware and software.

例えば、制御部22の各ブロックの機能はコンピュータプログラムとして実装され、そのコンピュータプログラムが不正アクセス検出装置20のストレージにインストールされてもよい。そして、不正アクセス検出装置20のCPUが、そのコンピュータプログラムをメインメモリへ読み出して実行することにより制御部22の各ブロックの機能が発揮されてもよい。記憶部24は、不正アクセス検出装置20のメインメモリやストレージにより実現されてもよい。 For example, the function of each block of the control unit 22 may be implemented as a computer program, and the computer program may be installed in the storage of the unauthorized access detection device 20. Then, the CPU of the unauthorized access detection device 20 may read the computer program into the main memory and execute the program to exert the function of each block of the control unit 22. The storage unit 24 may be realized by the main memory or storage of the unauthorized access detection device 20.

記憶部24は、BL/WL保持部28、アドレス情報保持部30、規則保持部32、第1判定結果保持部34、第2判定結果保持部36、累積スコア保持部38を含む。このうちBL/WL保持部28、アドレス情報保持部30、第1判定結果保持部34、累積スコア保持部38は、高頻度で使用されるデータが格納され、高速のレスポンスが要求されるため、NoSQL型データストア(実施例ではキーバリューストア)として構成される。第2判定結果保持部36は、低頻度で読み込みが発生するデータが格納され、通常のDBMS(実施例ではRDBMS)として構成される。 The storage unit 24 includes a BL / WL holding unit 28, an address information holding unit 30, a rule holding unit 32, a first determination result holding unit 34, a second determination result holding unit 36, and a cumulative score holding unit 38. Of these, the BL / WL holding unit 28, the address information holding unit 30, the first determination result holding unit 34, and the cumulative score holding unit 38 store frequently used data and require a high-speed response. It is configured as a NoSQL data store (key-value store in the embodiment). The second determination result holding unit 36 stores data that is read at a low frequency, and is configured as a normal DBMS (RDBMS in the embodiment).

BL/WL保持部28は、ブラックリストおよびホワイトリストのデータを保持する。図3は、BL/WL保持部28のデータ構造の例を示す。図3では、キーとしてIPアドレス情報(例えばIPアドレス(またはネットワークアドレス)+サブネットマスク長)が設定されている。また、値としてホワイトリストの識別子(図3では「ホワイト」)またはブラックリストの識別子(図3では「ブラック」)が設定されている。ホワイトリストの識別子に対応付けられたキーのリストがホワイトリストに相当し、ブラックリストの識別子に対応付けられたキーのリストがブラックリストに相当する。 The BL / WL holding unit 28 holds blacklist and whitelist data. FIG. 3 shows an example of the data structure of the BL / WL holding unit 28. In FIG. 3, IP address information (for example, IP address (or network address) + subnet mask length) is set as a key. Further, a whitelist identifier (“white” in FIG. 3) or a blacklist identifier (“black” in FIG. 3) is set as a value. The list of keys associated with the whitelist identifier corresponds to the whitelist, and the list of keys associated with the blacklist identifier corresponds to the blacklist.

例えば、ブラックリストでは、不正者により使用されたことが判明したIPアドレス、ネットワークアドレス、デバイスID(後述)、またはユーザIDが記録されてもよい。また、ホワイトリストでは、正当な権限を有するユーザが固定的に使用するIPアドレス、ネットワークアドレス、デバイスID、またはユーザIDが記録されてもよい。 For example, a blacklist may record an IP address, network address, device ID (discussed below), or user ID that has been found to have been used by an unauthorized person. Further, in the whitelist, an IP address, a network address, a device ID, or a user ID that is fixedly used by a user having a legitimate authority may be recorded.

図2に戻り、アドレス情報保持部30は、IPアドレスと地理情報との対応関係を保持する。図4は、アドレス情報保持部30のデータ構造の例を示す。実施例のアドレス情報保持部30は、対象サーバ12に対するウェブアクセスの接続元IPアドレスをキーとし、国・都市・緯度・経度を値として、両者を対応づけたレコードを保持する。接続元IPアドレスは、対象サーバ12で受信されたIPパケットに設定された送信元IPアドレスであってもよい。典型的には、ユーザ端末14のIPアドレスであってもよく、ユーザ端末14と対象サーバ12との通信を中継するプロキシサーバやルータ等のIPアドレスであってもよい。 Returning to FIG. 2, the address information holding unit 30 holds the correspondence between the IP address and the geographic information. FIG. 4 shows an example of the data structure of the address information holding unit 30. The address information holding unit 30 of the embodiment holds a record in which the IP address of the connection source for web access to the target server 12 is used as a key and the country, city, latitude, and longitude are used as values, and the two are associated with each other. The connection source IP address may be the source IP address set in the IP packet received by the target server 12. Typically, it may be the IP address of the user terminal 14, or it may be the IP address of a proxy server, a router, or the like that relays the communication between the user terminal 14 and the target server 12.

図2に戻り、規則保持部32は、BIの高さを示すBIスコアを決定するための規則(言い換えれば基準)であるBIスコア判定規則と、FPの高さを示すFPスコアを決定するための規則であるFPスコア判定規則を保持する。BIスコア判定規則とFPスコア判定規則は、高速アクセスを可能にするために半導体メモリ内に格納されてもよく、後述のBIスコア導出部46、FPスコア導出部48を実装したコンピュータプログラム内にアルゴリズムとして組み込まれてもよい。 Returning to FIG. 2, the rule holding unit 32 determines the BI score determination rule, which is a rule (in other words, a standard) for determining the BI score indicating the height of BI, and the FP score indicating the height of FP. Holds the FP score judgment rule, which is the rule of. The BI score determination rule and the FP score determination rule may be stored in the semiconductor memory in order to enable high-speed access, and the algorithm may be stored in a computer program in which the BI score derivation unit 46 and the FP score derivation unit 48 described later are implemented. It may be incorporated as.

図5は、BIスコア判定規則のデータ構造の例を示す。BIスコア判定規則は、判定条件と、判定条件が満たされた場合のBIスコアを対応づけて保持する。判定条件は、アクセス先URL、GETまたはPOSTのパラメータ属性等が規定されてもよい。また、BIスコアは、対象サーバ12において重要な処理またはトランザクションほど大きい値が設定される。例えば、対象サーバ12によりサービスを提供する企業のビジネスに与える影響が大きい処理またはトランザクションほど大きい値が設定されてよい。 FIG. 5 shows an example of the data structure of the BI score determination rule. The BI score determination rule holds the determination condition and the BI score when the determination condition is satisfied in association with each other. As the determination condition, the access destination URL, the parameter attribute of GET or POST, and the like may be specified. Further, the BI score is set to a value as large as the important processing or transaction in the target server 12. For example, a larger value may be set for a process or transaction that has a greater influence on the business of the company that provides the service by the target server 12.

図5の1番目のレコードは、ユーザ端末14から対象サーバ12へのアクセスが、ログイン認証を実行するURLに対するPOST送信である場合に、BIスコアを「10」とすることを示している。また、図5の4番目のレコードは、送信画面における送金実行用のURLに対するPOST送信であり、かつ、送金金額のパラメータの値が50万円未満の場合に、BIスコアに「90」とすることを示している。 The first record in FIG. 5 shows that the BI score is set to "10" when the access from the user terminal 14 to the target server 12 is a POST transmission to the URL for executing login authentication. Further, the fourth record in FIG. 5 is a POST transmission to the URL for remittance execution on the transmission screen, and when the value of the remittance amount parameter is less than 500,000 yen, the BI score is set to "90". It is shown that.

図6は、FPスコア判定規則のデータ構造の例を示す。FPスコア判定規則は、判定条件(図6では識別対象およびルール内容)と、判定条件が満たされた場合に加算すべきFPスコア(値は不図示)を対応づけて保持する。図6における識別対象は、アクセスのデータに含まれる複数種類の識別子のうち少なくとも1つである。識別対象は、例えば、国(IPアドレスにより特定される国)、IPアドレス、UA(User Agent)、ユーザID(ログイン要求で指定されたユーザID)、デバイスIDを含む。デバイスIDは、特定のユーザ端末14を一意に識別可能な識別子であり、ユーザ端末14のウェブブラウザ種類およびバージョン、言語設定、インストール済フォント、画面解像度、色深度、CPU種別、タイムゾーン等の組み合わせに基づいて生成された情報である。 FIG. 6 shows an example of the data structure of the FP score determination rule. The FP score determination rule holds the determination condition (identification target and rule content in FIG. 6) in association with the FP score (value is not shown) to be added when the determination condition is satisfied. The identification target in FIG. 6 is at least one of a plurality of types of identifiers included in the access data. The identification target includes, for example, a country (country specified by an IP address), an IP address, a UA (User Agent), a user ID (user ID specified in a login request), and a device ID. The device ID is an identifier that can uniquely identify a specific user terminal 14, and is a combination of the web browser type and version of the user terminal 14, language setting, installed font, screen resolution, color depth, CPU type, time zone, and the like. Information generated based on.

図6の「ルール内容」は、識別対象である識別子の値(およびその識別子に紐付く別の識別子の値)、および/または、識別対象である識別子の値に紐付く過去のリクエスト履歴(アクセス履歴)の態様を定めたものである。図6の「FPスコア」は、対象サーバ12が提供するウェブサイトの種類や業務内容に基づいて判定条件ごとに予め定められる。具体的には、複数の判定条件の中で、充足された場合に不正アクセスの疑いが強いものほど大きなFPスコアが設定される。 The “rule content” in FIG. 6 is the value of the identifier to be identified (and the value of another identifier associated with that identifier) and / or the past request history (access) associated with the value of the identifier to be identified. It defines the aspect of history). The “FP score” in FIG. 6 is predetermined for each determination condition based on the type of website provided by the target server 12 and the business content. Specifically, among a plurality of determination conditions, the one with a stronger suspicion of unauthorized access when satisfied, the larger the FP score is set.

図6の項番2は、ウェブアクセスのデータに含まれる接続元IPアドレスが、ブラックリストで指定されたIPアドレスに合致する場合、所定のFPスコアを加算するように規定するものである。図6の項番17は、特定のユーザIDを指定したログイン試行アクセスについて、単位時間あたりの上記ログイン試行アクセスが含む接続元IPアドレスの個数(ユニーク数)が所定値以上の場合、所定のFPスコアを加算するように規定するものである。ここでの単位時間は5分でもよく、所定値は5個でもよい。図6の項番20は、同じデバイスIDを含むログイン試行アクセスについて、単位時間あたりの上記ログイン試行アクセスが含むユーザIDの個数(ユニーク数)が所定値以上の場合、所定のFPスコアを加算するように規定する。 Item 2 of FIG. 6 stipulates that a predetermined FP score is added when the connection source IP address included in the web access data matches the IP address specified in the blacklist. Item No. 17 in FIG. 6 shows a predetermined FP when the number of connection source IP addresses (unique number) included in the login trial access per unit time is a predetermined value or more for the login trial access in which a specific user ID is specified. It stipulates that scores should be added. The unit time here may be 5 minutes, and the predetermined value may be 5. Item No. 20 in FIG. 6 adds a predetermined FP score to the login trial access including the same device ID when the number of user IDs (unique number) included in the login trial access per unit time is equal to or more than a predetermined value. To stipulate.

なお、図6に示すFPスコア判定規則によると、正しいユーザIDとパスワードを使用した不正アクセスであっても、その不正アクセスを精度よく検出できる。例えば、図6の項番10、11はログイン回数(ログイン成功回数)が基準であり、図6の項番12、13はログイン失敗回数が基準である。これに加えて、図6の項番17~20は、ログイン認証を実行するURLへのアクセス回数であり、ログインが成功か失敗かに関わらないログイン試行回数が基準であるため、仮にログインに成功したウェブアクセスであっても不正アクセスとして検出され得る。 According to the FP score determination rule shown in FIG. 6, even if an unauthorized access is performed using a correct user ID and password, the unauthorized access can be detected with high accuracy. For example, items 10 and 11 in FIG. 6 are based on the number of logins (number of successful logins), and items 12 and 13 in FIG. 6 are based on the number of login failures. In addition to this, items 17 to 20 in FIG. 6 are the number of accesses to the URL for executing login authentication, and the number of login attempts regardless of whether the login is successful or unsuccessful is the standard, so that the login is tentatively successful. Even if the web access is accessed, it can be detected as unauthorized access.

図2に戻り、第1判定結果保持部34および第2判定結果保持部36は、リスク判定結果を保持する。図7は、第1判定結果保持部34および第2判定結果保持部36のデータ構造の例を示す。レコード群60は、1つのウェブアクセスあたりに記録される複数のレコードである。アクセス属性62は、ウェブアクセスの属性値であり、複数種類の識別子の値(IPアドレス、ユーザID、デバイスID)を含む。リスク判定結果64は、アクセス属性62に基づくリスク判定結果であり、BIスコア、FPスコア、リスクランクを含む。 Returning to FIG. 2, the first determination result holding unit 34 and the second determination result holding unit 36 hold the risk determination result. FIG. 7 shows an example of the data structure of the first determination result holding unit 34 and the second determination result holding unit 36. The record group 60 is a plurality of records recorded per one web access. The access attribute 62 is an attribute value of web access, and includes values of a plurality of types of identifiers (IP address, user ID, device ID). The risk determination result 64 is a risk determination result based on the access attribute 62, and includes a BI score, an FP score, and a risk rank.

なお、第1判定結果保持部34は、1つのウェブアクセスあたりに記録されたレコード群60を、アクセス日時(例えばアクセス属性62のTime)から30日間のみ保持する。その一方、第2判定結果保持部36は、1つのウェブアクセスあたりに記録されたレコード群60を、管理者による明示的な削除がない限り永続的に保持する。 The first determination result holding unit 34 holds the record group 60 recorded per one web access only for 30 days from the access date and time (for example, Time of the access attribute 62). On the other hand, the second determination result holding unit 36 permanently holds the record group 60 recorded per one web access unless it is explicitly deleted by the administrator.

図2に戻り、累積スコア保持部38は、少なくとも1つのウェブアクセスで指定された複数種類の識別子のそれぞれについて、FPスコアの累積値(以下「FP累積値」とも呼ぶ。)を含むデータを保持する。図8は、累積スコア保持部38のデータ構造の例を示す。累積スコア保持部38は、1つの識別子の値ごとに、型(Type)・FP累積値(SumScore)・最終アクセス日時(LastAccess)の3レコードを含む。図8では、IPアドレス「133.250.195.1」、デバイスID「E6JU9Mr・・・」、ユーザID「user0001」のそれぞれについて記録された型・FP累積値・最終アクセス日時を示している。 Returning to FIG. 2, the cumulative score holding unit 38 holds data including the cumulative value of the FP score (hereinafter, also referred to as “FP cumulative value”) for each of the plurality of types of identifiers specified by at least one web access. do. FIG. 8 shows an example of the data structure of the cumulative score holding unit 38. The cumulative score holding unit 38 includes three records of type (Type), FP cumulative value (SumScore), and last access date / time (LastAccess) for each value of one identifier. FIG. 8 shows the type, FP cumulative value, and last access date and time recorded for each of the IP address “133.250.195.1”, the device ID “E6JU9Mr ...”, and the user ID “user0001”.

図2に戻り、制御部22は、ログ取得部40、判定要求受付部42、判定結果提供部44、BIスコア導出部46、FPスコア導出部48、リスク判定部50、判定結果記録部52、累積スコア記録部54、アラート通知部56、ダッシュボード提供部58を含む。 Returning to FIG. 2, the control unit 22 includes a log acquisition unit 40, a determination request reception unit 42, a determination result providing unit 44, a BI score derivation unit 46, an FP score derivation unit 48, a risk determination unit 50, and a determination result recording unit 52. It includes a cumulative score recording unit 54, an alert notification unit 56, and a dashboard providing unit 58.

ログ取得部40は、ウェブアクセスに対するリスク判定をバッチ処理として実行させる場合のインタフェースである。ログ取得部40は、1つ以上のウェブアクセスのデータ(内容または属性とも言え、以下「ウェブアクセス属性」と呼ぶ。)が記録されたアクセスログを対象サーバ12から定期的に取得し、アクセスログに記録されたウェブアクセス属性を読み込む。ログ取得部40は、対象サーバ12から定期的に送信されたアクセスログを受信してもよい。 The log acquisition unit 40 is an interface for executing a risk determination for web access as a batch process. The log acquisition unit 40 periodically acquires an access log in which one or more web access data (also referred to as content or attribute, hereinafter referred to as "web access attribute") is recorded from the target server 12, and the access log. Read the web access attributes recorded in. The log acquisition unit 40 may receive the access log periodically transmitted from the target server 12.

判定要求受付部42と判定結果提供部44は、1つのウェブアクセスに対するリスク判定をリアルタイム処理として実行させる場合のインタフェースである。判定要求受付部42は、対象サーバ12で予め定められた所定のAPIがコールされた場合に、その引数で指定された1つのウェブアクセス属性を取得する。判定結果提供部44は、上記APIのコールに対するレスポンスとして、リスク判定結果(例えば図7のリスク判定結果64)を対象サーバ12へ送信する。 The determination request receiving unit 42 and the determination result providing unit 44 are interfaces for executing risk determination for one web access as real-time processing. The determination request receiving unit 42 acquires one web access attribute specified by the argument when a predetermined API predetermined by the target server 12 is called. The determination result providing unit 44 transmits a risk determination result (for example, the risk determination result 64 in FIG. 7) to the target server 12 as a response to the API call.

実施例のウェブアクセス属性は、アクセス日時、アクセス先URL、接続元IPアドレス、ユーザID、ブラウザ種別(またはUserAgent)、デバイスIDを含む。ユーザIDは、ログイン認証画面に対してパラメータとして送信されたユーザIDでもよく、ログイン後のユーザセッションに対応付けられたユーザIDでもよい。対象サーバ12は、デバイスID取得スクリプト(例えばJavascript(登録商標)プログラム)を保持し、当該スクリプトをウェブページのデータとともにユーザ端末14へ送信してユーザ端末14のウェブブラウザで実行させることにより、ユーザ端末14からデバイスIDを取得する。 The web access attribute of the embodiment includes an access date / time, an access destination URL, a connection source IP address, a user ID, a browser type (or UserAgent), and a device ID. The user ID may be a user ID transmitted as a parameter to the login authentication screen, or may be a user ID associated with the user session after login. The target server 12 holds a device ID acquisition script (for example, a Javascript (registered trademark) program), transmits the script to the user terminal 14 together with the data of the web page, and executes the script on the web browser of the user terminal 14. Acquire the device ID from the terminal 14.

また、ウェブアクセス属性は、対象サーバ12のウェブサイトにおける業務固有のパラメータをさらに含む。例えば、ウェブアクセス属性は、GET送信またはPOST送信でパラメータとして付加されたデータをさらに含んでもよい。この場合、BIスコア判定規則とFPスコア判定規則の少なくとも一方に、業務固有のパラメータの値に基づく判定条件が設定されてもよい。例えば、インターネットバンキングのウェブサイトの場合、業務固有のパラメータとして口座番号や取引金額を含んでもよい。そして、口座番号や取引金額が判定条件を満たす場合に、BIスコアとFPスコアの少なくとも一方を加算してもよい。 In addition, the web access attribute further includes business-specific parameters on the website of the target server 12. For example, the web access attribute may further include data added as a parameter in the GET transmission or the POST transmission. In this case, a determination condition based on the value of a business-specific parameter may be set in at least one of the BI score determination rule and the FP score determination rule. For example, in the case of an Internet banking website, the account number and transaction amount may be included as business-specific parameters. Then, when the account number and the transaction amount satisfy the determination condition, at least one of the BI score and the FP score may be added.

BIスコア導出部46は、ログ取得部40または判定要求受付部42により取得されたウェブアクセス属性と、規則保持部32に保持されたBIスコア判定規則にしたがって、ウェブアクセス属性ごとのBIスコアを導出する。言い換えれば、ユーザ端末14から対象サーバ12へのウェブアクセスごとのBIスコアを導出する。 The BI score derivation unit 46 derives the BI score for each web access attribute according to the web access attribute acquired by the log acquisition unit 40 or the determination request reception unit 42 and the BI score determination rule held in the rule holding unit 32. do. In other words, the BI score for each web access from the user terminal 14 to the target server 12 is derived.

BIスコア導出部46は、1つのウェブアクセス属性に含まれるアクセス先URLと、パラメータ属性値の組み合わせが、BIスコア判定規則に定められた特定の判定条件を充足する場合、その判定条件に対応付けられたBIスコア(例えば0~100の値)を、当該ウェブアクセスのBIスコアとして決定する。図5の例では、1つのウェブアクセス属性に含まれるアクセス先URLがログイン認証URLと合致する場合、そのウェブアクセスのBIスコアを「10」に決定する。変形例として、ウェブアクセス属性が複数の判定条件を充足する場合、それら複数の判定条件に対応付けられたBIスコアの合計値を0~100の値に正規化し、正規化後の値を当該ウェブアクセスのBIスコアとして決定してもよい。 When the combination of the access destination URL included in one web access attribute and the parameter attribute value satisfies the specific determination condition defined in the BI score determination rule, the BI score derivation unit 46 associates the access destination URL with the determination condition. The obtained BI score (for example, a value of 0 to 100) is determined as the BI score of the web access. In the example of FIG. 5, when the access destination URL included in one web access attribute matches the login authentication URL, the BI score of the web access is determined to be "10". As a modification, when the web access attribute satisfies a plurality of judgment conditions, the total value of the BI scores associated with the plurality of judgment conditions is normalized to a value of 0 to 100, and the normalized value is used as the web. It may be determined as the BI score of access.

FPスコア導出部48は、ログ取得部40または判定要求受付部42により取得されたウェブアクセス属性と、規則保持部32に保持されたFPスコア判定規則にしたがって、ウェブアクセス属性ごとのFPスコアを導出する。言い換えれば、ユーザ端末14から対象サーバ12へのウェブアクセスごとのFPスコアを導出する。 The FP score derivation unit 48 derives the FP score for each web access attribute according to the web access attribute acquired by the log acquisition unit 40 or the determination request reception unit 42 and the FP score determination rule held in the rule holding unit 32. do. In other words, the FP score for each web access from the user terminal 14 to the target server 12 is derived.

実施例のFPスコア導出部48は、1つのウェブアクセス属性に含まれる複数種類の識別子(例えば接続元IPアドレス、ユーザID、デバイスID)について、識別子ごとにその値に基づいてFP値を導出し、識別子ごとに導出したFP値を集計して1つのウェブアクセスのFP値を導出する。具体的には、FPスコア導出部48は、第1判定結果保持部34に保持された識別子の値(例えば接続元IPアドレスの値)が一致する過去のウェブアクセス属性を参照する。そして、過去の1つ以上のウェブアクセス属性から今回のウェブアクセス属性に基づいて特定される複数のウェブアクセスの振る舞いが、FPスコア判定規則の判定条件(例えば図6の項番9以降)に合致する場合、その判定条件に対応付けられたFPスコアを加算する。FPスコア導出部48は、1つのウェブアクセス属性に含まれる識別子ごとに(言い換えればFPスコア判定規則の判定条件ごとに)、判定条件の充足判定処理とFPスコア加算処理を繰り返す。 The FP score deriving unit 48 of the embodiment derives FP values for each of a plurality of types of identifiers (for example, connection source IP address, user ID, device ID) included in one web access attribute based on the values of each identifier. , The FP values derived for each identifier are aggregated to derive the FP value for one web access. Specifically, the FP score deriving unit 48 refers to the past web access attribute that matches the value of the identifier (for example, the value of the connection source IP address) held in the first determination result holding unit 34. Then, the behavior of a plurality of web access specified based on the current web access attribute from one or more past web access attributes matches the judgment condition of the FP score judgment rule (for example, item 9 or later in FIG. 6). If so, the FP score associated with the determination condition is added. The FP score deriving unit 48 repeats the determination condition satisfaction determination process and the FP score addition process for each identifier included in one web access attribute (in other words, for each determination condition of the FP score determination rule).

例えば、図6の項番2にしたがって、FPスコア導出部48は、アクセスデータに含まれる接続元IPアドレスが、BL/WL保持部28のブラックリストで指定されている場合、項番2で定められたFPスコアを加算する。また、図6の項番17にしたがって、FPスコア導出部48は、判定対象のウェブアクセスに含まれるユーザIDに対する、単位時間あたりのログイン試行IPアドレス数が所定値以上の場合、項番17で定められたFPスコアを加算する。この場合、FPスコア導出部48は、上記ユーザIDを指定したログイン試行URLへのウェブアクセスを、第1判定結果保持部34から検索してもよい。そして、検索にヒットした1つ以上のウェブアクセスにおける接続元IPアドレスのユニーク数を計数してもよい。 For example, according to item 2 of FIG. 6, the FP score deriving unit 48 determines the connection source IP address included in the access data in item 2 when the connection source IP address is specified in the blacklist of the BL / WL holding unit 28. Add the obtained FP scores. Further, according to item No. 17 of FIG. 6, when the number of login trial IP addresses per unit time for the user ID included in the web access to be determined is equal to or more than a predetermined value, the FP score derivation unit 48 uses item No. 17. Add the specified FP score. In this case, the FP score deriving unit 48 may search the web access to the login trial URL designated by the user ID from the first determination result holding unit 34. Then, the unique number of the connection source IP address in one or more web accesses that hit the search may be counted.

また、図6の項番20にしたがって、FPスコア導出部48は、判定対象のウェブアクセスに含まれるデバイスIDを含む所定の単位時間内の1回以上のログイン試行アクセスを特定する。そして、それらのログイン試行アクセスで指定されたユーザIDのユニーク数が所定値以上の場合、項番20で定められたFPスコアを加算する。この場合、FPスコア導出部48は、上記デバイスIDを指定したログイン試行URLへのウェブアクセスを、第1判定結果保持部34から検索してもよい。そして、検索にヒットした1つ以上のウェブアクセスで指定されたユーザIDのユニーク数を計数してもよい。 Further, according to the item No. 20 of FIG. 6, the FP score deriving unit 48 identifies one or more login trial accesses within a predetermined unit time including the device ID included in the web access to be determined. Then, when the unique number of the user IDs specified in those login trial access is equal to or more than a predetermined value, the FP score defined in the item No. 20 is added. In this case, the FP score deriving unit 48 may search the web access to the login trial URL specifying the device ID from the first determination result holding unit 34. Then, the unique number of the user ID specified by one or more web accesses that hit the search may be counted.

実施例のFPスコア導出部48は、1つのウェブアクセス属性に含まれる識別子ごとに(言い換えればFPスコア判定規則の判定条件ごとに)積み上げたFPスコア(ここでは「合計スコア」と呼ぶ。)を0~100の値に正規化し、最終的なFPスコアとする。図9は、FPスコアの正規化の一例を示す。FPスコア導出部48は、合計スコア(x)を予め定められたシグモイド関数66へ入力し、シグモイド関数66の出力値(0≦F(x)≦100)を最終的なFP値として決定してもよい。なお、図9のシグモイド関数66におけるa、bの値は、対象サーバ12の構築フェーズまたはチューニングフェーズにおいて、回帰分析等を使用して適宜決定・調整されてよい。 The FP score deriving unit 48 of the embodiment calculates the FP score (referred to here as “total score”) accumulated for each identifier included in one web access attribute (in other words, for each judgment condition of the FP score judgment rule). Normalize to a value from 0 to 100 and use it as the final FP score. FIG. 9 shows an example of normalization of the FP score. The FP score deriving unit 48 inputs the total score (x) into the predetermined sigmoid function 66, and determines the output value (0 ≦ F (x) ≦ 100) of the sigmoid function 66 as the final FP value. May be good. The values of a and b in the sigmoid function 66 of FIG. 9 may be appropriately determined and adjusted by using regression analysis or the like in the construction phase or tuning phase of the target server 12.

図2に戻り、リスク判定部50は、複数のウェブアクセスのそれぞれに対して導出されたBIスコアとFPスコアに基づいて、各ウェブアクセスの危険度(以下「リスクランク」とも呼ぶ。)を判定する。リスク判定部50は、各ウェブアクセスのリスクランクを含むリスク判定結果を生成する。判定結果記録部52は、リスク判定部50により生成された或るウェブアクセスに対するリスク判定結果(図7のリスク判定結果64)を、そのウェブアクセス属性のデータ(図7のアクセス属性62)と対応付けて第1判定結果保持部34と第2判定結果保持部36の両方へ格納する。 Returning to FIG. 2, the risk determination unit 50 determines the risk level (hereinafter, also referred to as “risk rank”) of each web access based on the BI score and the FP score derived for each of the plurality of web accesses. do. The risk determination unit 50 generates a risk determination result including the risk rank of each web access. The determination result recording unit 52 corresponds the risk determination result (risk determination result 64 in FIG. 7) for a certain web access generated by the risk determination unit 50 with the data of the web access attribute (access attribute 62 in FIG. 7). It is attached and stored in both the first determination result holding unit 34 and the second determination result holding unit 36.

図10は、実施例のリスク判定基準を示す。リスク判定部50は、BIスコアとFPスコアの組み合わせが領域70に該当する場合、リスクランク「低(LOW)」と判定する。また、上記組み合わせが領域72に該当すればリスクランク「中(MID)」、領域74に該当すればリスクランク「高(HIGH)」、領域76に該当すればリスクランク「重大(SEVERE)」と判定する。 FIG. 10 shows the risk criteria of the embodiment. When the combination of the BI score and the FP score corresponds to the region 70, the risk determination unit 50 determines that the risk rank is “LOW”. Further, if the above combination corresponds to the area 72, the risk rank is "medium (MID)", if the combination corresponds to the area 74, the risk rank is "high (HIGH)", and if the combination corresponds to the area 76, the risk rank is "serious (SEVERE)". judge.

図10に示すように、リスク判定部50は、或るウェブアクセスのBIスコアが相対的に大きい場合、当該ウェブアクセスのFPスコアが相対的に小さくても、当該ウェブアクセスの危険度を相対的に高く判定する。また、リスク判定部50は、或るウェブアクセスのFPスコアが相対的に大きい場合、当該ウェブアクセスのBIスコアが相対的に小さくても、当該ウェブアクセスの危険度を相対的に高く判定する。言い換えれば、リスク判定部50は、FPスコアが所定値(同一の値)であるとき、BIスコアが大きくなるほど危険度を高く判定する。同様に、リスク判定部50は、BIスコアが所定値(同一の値)であるとき、FPスコアが大きくなるほど危険度を高く判定する。 As shown in FIG. 10, when the BI score of a certain web access is relatively large, the risk determination unit 50 relatively determines the risk level of the web access even if the FP score of the web access is relatively small. Judge high. Further, when the FP score of a certain web access is relatively high, the risk determination unit 50 determines that the risk of the web access is relatively high even if the BI score of the web access is relatively small. In other words, when the FP score is a predetermined value (same value), the risk determination unit 50 determines that the higher the BI score, the higher the risk level. Similarly, when the BI score is a predetermined value (same value), the risk determination unit 50 determines that the higher the FP score, the higher the degree of risk.

累積スコア記録部54は、ウェブアクセスのデータに含まれる複数種類の識別子(例えばIPアドレス、デバイスID、ユーザID)について、識別子ごとにその値とFPスコアの累積値(すなわちFP累積値)とを対応付けて累積スコア保持部38に記録する。図8で示したように、実施例では、1つの識別子の値をキーとして、型・FP累積値・最終アクセス日時(擬似的にFP累積値の更新日時でもよい)を対応付けて記録する。 The cumulative score recording unit 54 records the values of a plurality of types of identifiers (for example, IP address, device ID, user ID) included in the web access data for each identifier and the cumulative value of the FP score (that is, the cumulative value of the FP). It is recorded in the cumulative score holding unit 38 in association with each other. As shown in FIG. 8, in the embodiment, the type, the FP cumulative value, and the last access date / time (may be a pseudo FP cumulative value update date / time) are recorded in association with each other using the value of one identifier as a key.

累積スコア記録部54は、複数種類の識別子(例えばIPアドレス、デバイスID、ユーザID)のそれぞれに対するBL追加基準値を保持する。BL追加基準値は、識別子の種類ごとに異なる値が設定されてよい。累積スコア記録部54は、或る識別子の値に対応付けて記録されたFPスコアの累積値が、BL追加基準値以下からBL追加基準値を超えた場合に、その識別子の値をブラックリストへ自動的に登録する。具体的には、その識別子の値をキーとし、「ブラック」を値とするレコードをBL/WL保持部28へ追加する。 The cumulative score recording unit 54 holds a BL additional reference value for each of a plurality of types of identifiers (for example, IP address, device ID, user ID). The BL additional reference value may be set to a different value for each type of identifier. When the cumulative value of the FP score recorded in association with the value of a certain identifier exceeds the BL addition reference value from the BL addition reference value or less, the cumulative score recording unit 54 blacklists the identifier value. Register automatically. Specifically, a record having the value of the identifier as a key and "black" as a value is added to the BL / WL holding unit 28.

FPスコア導出部48は、或るウェブアクセスに関するデータに含まれる識別子ごとに、識別子の値に対して予め記録されたFP累積値に基づいて当該ウェブアクセスが不正である可能性の高さを検出する。具体的には、FPスコア導出部48は、識別子の値がブラックリストに登録されていた場合、言い換えれば、累積値の値をキーとし、かつ「ブラック」を値とするレコードがBL/WL保持部28に存在する場合、FPスコアを加算する(例えば図6の項番1~5)。 The FP score deriving unit 48 detects the high possibility that the web access is invalid based on the FP cumulative value recorded in advance for the value of the identifier for each identifier included in the data related to a certain web access. do. Specifically, when the identifier value is registered in the blacklist, the FP score derivation unit 48 holds BL / WL for a record in which the cumulative value is used as a key and "black" is used as a value. If present in part 28, the FP score is added (eg, items 1-5 in FIG. 6).

また実施例では、累積スコア保持部38に保持されるFP累積値が、時間の経過とともに一定量減衰するモデルを採用する。累積スコア記録部54は、或る識別子の値と対応付けて記録したFP累積値を、その識別子の値を含む最終アクセスからの経過時間に応じて減算する。実施例では、最終アクセスからの経過時間が長くなるほど、FP累積値の減算幅を大きくする。例えば、或るIPアドレスの値(ここでは図8の「133.250.195.1」)に対応付けて記録されたFP累積値「30」について、「133.250.195.1」を接続元IPアドレスとするウェブアクセスがなされない期間が長くなるほど上記FP累積値を小さくしていく。 Further, in the embodiment, a model is adopted in which the FP cumulative value held in the cumulative score holding unit 38 is attenuated by a certain amount with the passage of time. The cumulative score recording unit 54 subtracts the FP cumulative value recorded in association with the value of a certain identifier according to the elapsed time from the last access including the value of the identifier. In the embodiment, the longer the elapsed time from the last access, the larger the subtraction range of the FP cumulative value. For example, for the FP cumulative value "30" recorded in association with the value of a certain IP address (here, "133.250.195.1" in FIG. 8), "133.250.195.1" is connected. The longer the period during which web access using the original IP address is not performed, the smaller the cumulative FP value.

具体的には、累積スコア記録部54は、所定の単位時間あたりの減衰量dを保持する。累積スコア記録部54は、ウェブアクセス属性が受け付けられた場合に、そのウェブアクセス属性に含まれる識別子ごとに、前回更新時におけるFP累積値から、(前回更新時からの経過時間T×d)を減算する。言い換えれば、累積スコア記録部54は、以下の計算を実行して、識別子ごとのFP累積値を更新し、新たなFP累積値を累積スコア保持部38へ格納する。
新たなFP累積値 = 前回更新時のFP累積値 ー Td
Specifically, the cumulative score recording unit 54 holds the attenuation amount d per predetermined unit time. When the web access attribute is accepted, the cumulative score recording unit 54 calculates (elapsed time T × d from the previous update) from the FP cumulative value at the time of the previous update for each identifier included in the web access attribute. Subtract. In other words, the cumulative score recording unit 54 executes the following calculation, updates the FP cumulative value for each identifier, and stores the new FP cumulative value in the cumulative score holding unit 38.
New FP cumulative value = FP cumulative value at the time of the previous update-Td

累積スコア記録部54は、或る識別子の値に対応付けて記録されたFP累積値が、BL追加基準値を超えた状態からBL追加基準値以下に変化した場合に、その識別子の値をブラックリストから除外する。具体的には、その識別子の値をキーとし、「ブラック」を値とするレコードをBL/WL保持部28から削除する。 When the FP cumulative value recorded in association with the value of a certain identifier changes from the state exceeding the BL additional reference value to the BL additional reference value or less, the cumulative score recording unit 54 blacklists the value of the identifier. Exclude from the list. Specifically, the record whose value is "black" and whose identifier value is used as a key is deleted from the BL / WL holding unit 28.

アラート通知部56は、所定のリスクランク以上のウェブアクセスを示すアラート情報(例えば図6のアクセス属性62およびリスク判定結果64のデータ)を管理者端末18へ通知する。通知方法は、電子メール、ファイル送信、プッシュ通知等、公知の方法でよい。アラート通知部56は、予め定められたタイミングで定期的にアラート情報を管理者端末18へ送信してもよい。また、所定のリスクランク以上のウェブアクセスが検出されたタイミング、言い換えれば、所定のリスクランク以上を示すリスク判定結果が第1判定結果保持部34、第2判定結果保持部36に記録されたタイミングで、アラート情報を送信してもよい。 The alert notification unit 56 notifies the administrator terminal 18 of alert information (for example, data of the access attribute 62 and the risk determination result 64 in FIG. 6) indicating web access of a predetermined risk rank or higher. The notification method may be a known method such as e-mail, file transmission, push notification, or the like. The alert notification unit 56 may periodically transmit alert information to the administrator terminal 18 at a predetermined timing. Further, the timing at which web access of a predetermined risk rank or higher is detected, in other words, the timing at which the risk determination result indicating the predetermined risk rank or higher is recorded in the first determination result holding unit 34 and the second determination result holding unit 36. You may send alert information with.

なお、本実施形態では、所定のリスクランク以上のウェブアクセスを示すアラート情報を管理者端末18へ通知する構成であったが、その処理に代えて、またはその処理とともに、所定のリスクランク以上のウェブアクセスに対して所定の動作を実行する構成であってもよい。ここで、所定の動作とは、所定のリスクランク以上のウェブアクセスを遮断したり、所定のリスクランク以上のウェブアクセスの対象となる取引を拒否したり、追加の認証を実施することが含まれる。これにより、管理者端末18に通知することに加え、不正の取引を未然に防ぐことができる。また、所定のリスクランク以上のウェブアクセスを示すアラート情報を管理者端末18へ通知することに加え、ウェブアクセスの対象となる取引毎、図5の業務処理毎、図5の判定条件毎、図6のルールカテゴリ毎、図6のルール内容毎に、前記所定の動作を設定可能とする構成にすることもできる。 In this embodiment, alert information indicating web access of a predetermined risk rank or higher is notified to the administrator terminal 18, but instead of or in combination with the processing, the risk rank or higher is higher than the predetermined risk rank. It may be configured to perform a predetermined operation for web access. Here, the predetermined operation includes blocking web access of a predetermined risk rank or higher, rejecting a transaction subject to web access of a predetermined risk rank or higher, or performing additional authentication. .. As a result, in addition to notifying the administrator terminal 18, it is possible to prevent fraudulent transactions. Further, in addition to notifying the administrator terminal 18 of alert information indicating web access of a predetermined risk rank or higher, each transaction targeted for web access, each business process in FIG. 5, each judgment condition in FIG. 5, and the figure. It is also possible to configure the predetermined operation to be set for each of the rule categories of 6 and each of the rule contents of FIG.

ダッシュボード提供部58は、リスク判定結果、およびその統計情報を表示するダッシュボードの画面データを生成して管理者端末18へ送信する。ダッシュボード提供部58は、第2判定結果保持部36に保持されたリスク判定結果を読み込んでダッシュボードの画面データを生成する。 The dashboard providing unit 58 generates dashboard screen data for displaying the risk determination result and the statistical information thereof, and transmits the screen data to the administrator terminal 18. The dashboard providing unit 58 reads the risk determination result held in the second determination result holding unit 36 and generates the screen data of the dashboard.

以上の構成による情報システム10の動作を説明する。対象サーバ12は、通信販売やインターネットバンキング等の所定のウェブサイト(ここでは「監視対象サイト」と呼ぶ。)をインターネット上に公開する。正当な権限を有するユーザまたは不正者は、ユーザ端末14を操作して監視対象サイトへアクセスする。対象サーバ12は、監視対象サイトのウェブページをアクセス元のユーザ端末14へ提供し、ユーザ端末14のウェブブラウザは、監視対象サイトのウェブページをディスプレイに表示させる。なお、監視対象サイトのウェブページにはデバイスID取得スクリプトが含まれ、ユーザ端末14のウェブブラウザは、デバイスID取得スクリプトを実行し、自機の環境に基づいて生成したデバイスIDを対象サーバ12へ送信する。 The operation of the information system 10 with the above configuration will be described. The target server 12 publishes a predetermined website (here, referred to as a “monitoring target site”) such as mail-order sales and Internet banking on the Internet. A user with legitimate authority or an unauthorized person operates the user terminal 14 to access the monitored site. The target server 12 provides the web page of the monitored site to the access source user terminal 14, and the web browser of the user terminal 14 displays the web page of the monitored site on the display. The web page of the monitored site includes a device ID acquisition script, and the web browser of the user terminal 14 executes the device ID acquisition script and transfers the device ID generated based on the environment of the own machine to the target server 12. Send.

この例の対象サーバ12は、ユーザ端末14からウェブアクセスを受け付けるたびに、そのウェブアクセス属性(接続元IPアドレス、ユーザID、デバイスID等)を含むリスク判定要求を不正アクセス検出装置20へ送信する。既述したように、対象サーバ12は、ユーザ端末14から受け付けたウェブアクセスの属性データをアクセスログへ逐次記録してもよい。そして、不正アクセス検出装置20に対するリスク判定要求として、定期的にアクセスログを不正アクセス検出装置20へ送信してもよい。 Each time the target server 12 in this example receives web access from the user terminal 14, it transmits a risk determination request including its web access attribute (connection source IP address, user ID, device ID, etc.) to the unauthorized access detection device 20. .. As described above, the target server 12 may sequentially record the attribute data of the web access received from the user terminal 14 in the access log. Then, as a risk determination request for the unauthorized access detection device 20, the access log may be periodically transmitted to the unauthorized access detection device 20.

図11は、不正アクセス検出装置20の動作を示すフローチャートである。対象サーバ12から送信されたリスク判定要求(ウェブアクセス属性)を判定要求受付部42が受け付けると(S10のY)、以下のS12~S38の処理が実行される。不正アクセス検出装置20は、対象サーバ12から送信されたウェブアクセス属性ごとにS12~S38の処理を繰り返し実行する。対象サーバ12からアクセスログが入力される場合、不正アクセス検出装置20は、アクセスログに記録されたウェブアクセス属性ごとにS12~S38の処理を繰り返し実行する。 FIG. 11 is a flowchart showing the operation of the unauthorized access detection device 20. When the judgment request receiving unit 42 receives the risk judgment request (web access attribute) transmitted from the target server 12 (Y in S10), the following processes S12 to S38 are executed. The unauthorized access detection device 20 repeatedly executes the processes of S12 to S38 for each web access attribute transmitted from the target server 12. When the access log is input from the target server 12, the unauthorized access detection device 20 repeatedly executes the processes S12 to S38 for each web access attribute recorded in the access log.

累積スコア記録部54は、受け付けられたウェブアクセス属性に含まれる複数種類の識別子(接続元IPアドレス、ユーザID、デバイスID等)それぞれの値について、対応するFP累積値が累積スコア保持部38に保持されていれば、最終アクセス日時から現在日時までの経過時間に応じて、各識別子の値に対応するFP累積値を減算する(S12)。S12の結果、或る識別子の値に対応付けられたFP累積値が、BL追加基準値を超えた状態からBL追加基準値以下になれば(S14のY)、その値をブラックリストから除外する(S16)。或る識別子の値に対応付けられたFP累積値が、BL追加基準値を超えた状態を継続し、または、BL追加基準値以下の状態を継続する場合(S14のN)、S16をスキップする。すなわちブラックリストの変更を抑制する。 In the cumulative score recording unit 54, the corresponding FP cumulative value is stored in the cumulative score holding unit 38 for each value of a plurality of types of identifiers (connection source IP address, user ID, device ID, etc.) included in the accepted web access attribute. If it is retained, the FP cumulative value corresponding to the value of each identifier is subtracted according to the elapsed time from the last access date and time to the current date and time (S12). As a result of S12, if the FP cumulative value associated with the value of a certain identifier exceeds the BL addition reference value and becomes less than or equal to the BL addition reference value (Y in S14), that value is excluded from the blacklist. (S16). When the FP cumulative value associated with the value of a certain identifier continues to exceed the BL addition reference value or continues to be below the BL addition reference value (N in S14), S16 is skipped. .. That is, the change of the blacklist is suppressed.

BIスコア導出部46は、今回のウェブアクセス属性(例えばアクセス先URLおよび業務固有パラメータ等)とBIスコア判定規則にしたがってBIスコアを決定する(S18)。FPスコア導出部48は、今回のウェブアクセス属性と、第1判定結果保持部34に保持された識別子の値が同一の過去のウェブアクセス属性と、FPスコア判定規則にしたがってFPスコアを決定する(S20)。S20では、今回のウェブアクセス属性に含まれる複数種類の識別子のそれぞれについてFPスコアを算出し、識別子ごとのFPスコアを集計して、今回のウェブアクセス属性のFPスコアを決定する。リスク判定部50は、BIスコアとFPスコアとに正相関するようにリスクランクを決定する(S22)。 The BI score derivation unit 46 determines the BI score according to the current web access attributes (for example, access destination URL and business-specific parameters, etc.) and the BI score determination rule (S18). The FP score derivation unit 48 determines the FP score according to the web access attribute of this time, the past web access attribute having the same identifier value held in the first determination result holding unit 34, and the FP score determination rule (the FP score determination rule). S20). In S20, the FP score is calculated for each of the plurality of types of identifiers included in the current web access attribute, the FP score for each identifier is aggregated, and the FP score of the current web access attribute is determined. The risk determination unit 50 determines the risk rank so as to have a positive correlation between the BI score and the FP score (S22).

対象サーバ12からAPIコールによってリスク判定要求が入力された場合(S24のY)、判定結果提供部44は、リスク判定結果(具体的にはBIスコア、FPスコア、リスクランク)を、APIコールに対する応答として対象サーバ12へ送信する(S26)。対象サーバ12は、リスク判定結果にしたがって、判定対象のウェブアクセスに対する処理を決定する。例えば、対象サーバ12は、リスクランクが所定の基準値を上回る場合、ウェブアクセスが示す要求を拒否することを決定し、拒否を示す応答をユーザ端末14へ送信してもよい。対象サーバ12からアクセスログによってリスク判定要求が入力された場合(S24のN)、S26をスキップする。 When a risk determination request is input from the target server 12 by an API call (Y in S24), the determination result providing unit 44 inputs the risk determination result (specifically, BI score, FP score, risk rank) to the API call. It is transmitted to the target server 12 as a response (S26). The target server 12 determines the processing for the web access to be determined according to the risk determination result. For example, the target server 12 may decide to reject the request indicated by the web access when the risk rank exceeds a predetermined reference value, and may send a response indicating the rejection to the user terminal 14. When a risk determination request is input from the target server 12 by the access log (N in S24), S26 is skipped.

判定結果記録部52は、今回判定対象となったウェブアクセス属性と、当該属性に基づくリスク判定結果を対応付けて第1判定結果保持部34と第2判定結果保持部36の両方に記録する(S28)。今回のウェブアクセスのリスクランクが対象サーバ12(もしくはその管理者)との間で予め定められた閾値(例えばリスクランク「高」または「重大」)以上の場合(S30のY)、アラート通知部56は、危険度が高いウェブアクセスがあったことを示すアラート情報を管理者端末18へ送信する(S32)。今回のリスク判定結果におけるリスクランクが閾値以下であれば(S30のN)、S32をスキップする。 The determination result recording unit 52 records the web access attribute targeted for determination this time and the risk determination result based on the attribute in both the first determination result holding unit 34 and the second determination result holding unit 36 ( S28). When the risk rank of this web access is equal to or higher than a predetermined threshold value (for example, risk rank "high" or "serious") with the target server 12 (or its administrator) (Y in S30), the alert notification unit. 56 transmits alert information indicating that there is a high-risk web access to the administrator terminal 18 (S32). If the risk rank in the current risk determination result is equal to or less than the threshold value (N in S30), S32 is skipped.

累積スコア記録部54は、今回判定対象となったウェブアクセス属性に含まれる複数種類の識別子について、各識別子の値に対応付けて記録されたFP累積値に対して、S20で算出されたFPスコアを加算する(S34)。S34の結果、或る識別子の値に対応付けられたFPスコアの累積値が、BL追加基準値以下の状態からBL追加基準値を超えた場合(S36のY)、その値をブラックリストへ追加登録する(S38)。或る識別子の値に対応付けられたFPスコアの累積値が、BL追加基準値を超えた状態を継続し、または、BL追加基準値以下の状態を継続する場合(S36のN)、S38をスキップする。すなわちブラックリストの変更を抑制する。 The cumulative score recording unit 54 has the FP score calculated in S20 with respect to the FP cumulative value recorded in association with the value of each identifier for a plurality of types of identifiers included in the web access attribute to be determined this time. Is added (S34). As a result of S34, when the cumulative value of the FP score associated with the value of a certain identifier exceeds the BL addition reference value from the state below the BL addition reference value (Y in S36), the value is added to the blacklist. Register (S38). When the cumulative value of the FP score associated with the value of a certain identifier continues to exceed the BL addition reference value or continues to be below the BL addition reference value (N in S36), S38 is set. skip. That is, the change of the blacklist is suppressed.

対象サーバ12からリスク判定要求(ウェブアクセス属性)が未入力であれば(S10のN)、S12~S38をスキップする。管理者端末18からダッシュボードの参照要求が受け付けられると(S40のY)、ダッシュボード提供部58は、第2判定結果保持部36に保持された1つ以上のウェブアクセスに対するリスク判定結果を参照し、各ウェブアクセスに対するリスク判定結果、および、それらを統計処理した結果を含むダッシュボード画面のデータを管理者端末18へ送信して表示させる(S42)。ダッシュボードの参照要求を受け付けなければ(S40のN)、S42をスキップする。 If the risk determination request (web access attribute) has not been input from the target server 12 (N in S10), S12 to S38 are skipped. When the dashboard reference request is received from the administrator terminal 18 (Y in S40), the dashboard providing unit 58 refers to the risk determination result for one or more web accesses held in the second determination result holding unit 36. Then, the data of the dashboard screen including the risk determination result for each web access and the result of statistically processing them are transmitted to the administrator terminal 18 and displayed (S42). If the dashboard reference request is not accepted (N in S40), S42 is skipped.

実施例の不正アクセス検出装置20によると、対象サーバ12に対するウェブアクセスをBIとFPの2軸で評価し、当該ウェブアクセスのリスクランクを決定する。これにより、対象サーバ12のウェブサイトに対してウェブアクセスが与える影響度合い、言い換えれば、対象サーバ12が実行する業務やビジネスに対してウェブアクセスが与える現実のリスクの大きさに即して評価したウェブアクセスの危険度を対象サーバまたは管理者へ提供できる。 According to the unauthorized access detection device 20 of the embodiment, the web access to the target server 12 is evaluated on the two axes of BI and FP, and the risk rank of the web access is determined. As a result, the degree of influence of web access on the website of the target server 12, in other words, the magnitude of the actual risk given by web access to the business or business executed by the target server 12 was evaluated. The risk of web access can be provided to the target server or administrator.

また現在、複数台の端末、複数のIPアドレス、複数のユーザIDを切り替えつつ、なりすましログインや不正取引、リスト型アカウントハッキング等が行われることがあるが、不正アクセス検出装置20では、複数種類の識別子を含むウェブアクセスに対して識別子ごとにFPスコアを積み上げていきウェブアクセスのFPスコアを決定するため、これらの不正アクセスを検出しやすくなる。例えば、正しいユーザID・パスワードを用いたアクセスであっても、(1)同じIPアドレスで多数のユーザIDへのログインが行われた場合、(2)同じユーザIDを用いたログインが(異なるIPアドレスからも含めて)多数行われた場合、(3)同じデバイスIDで多数のユーザIDへのログイン試行が行われた場合等、FPスコアの増加により不正アクセスとして検知することができる。 Currently, spoofing login, fraudulent transactions, list-type account hacking, etc. may be performed while switching between a plurality of terminals, a plurality of IP addresses, and a plurality of user IDs. Since the FP score of each identifier is accumulated for the web access including the identifier and the FP score of the web access is determined, it becomes easy to detect these unauthorized accesses. For example, even if the access is made using the correct user ID / password, (1) if many user IDs are logged in with the same IP address, (2) the login using the same user ID is (different IP). It can be detected as an unauthorized access by increasing the FP score, such as when a large number of times (including from the address) are performed, (3) when login attempts to a large number of user IDs are performed with the same device ID, and the like.

また、実施例の不正アクセス検出装置20は、識別子の値ごとにFPスコアを累積し、閾値を超えると、上記識別子の値をブラックリストへ自動登録する。これにより、同一の識別子の値を用いた過去のウェブアクセスに対して判定された不正の疑いの度合いを、今回のウェブアクセスに対するリスク判定へ反映することができる。さらにまた、不正アクセス検出装置20は、最終アクセスからの経過時間に応じてFPスコアの累積値を減算し、閾値以下になるとブラックリストから自動削除する。これにより、ブラックリストの登録数の増加を抑制でき、ブラックリストとの効率的なマッチングを実現する。また、不正アクセスで使用されなくなってから時間が経過した識別子の値はブラックリストから除外されるため、その後、正当なユーザがその識別子の値を利用する場合に、不正アクセスと誤検知してしまうことを抑制できる。 Further, the unauthorized access detection device 20 of the embodiment accumulates the FP score for each value of the identifier, and when the threshold value is exceeded, the value of the identifier is automatically registered in the blacklist. As a result, the degree of suspicion of fraud determined for past web access using the same identifier value can be reflected in the risk determination for this web access. Furthermore, the unauthorized access detection device 20 subtracts the cumulative value of the FP score according to the elapsed time from the last access, and automatically deletes it from the blacklist when it becomes equal to or less than the threshold value. As a result, an increase in the number of registered blacklists can be suppressed, and efficient matching with the blacklist is realized. In addition, since the value of the identifier that has not been used for unauthorized access for a long time is excluded from the blacklist, if a legitimate user subsequently uses the value of the identifier, it will be falsely detected as unauthorized access. It can be suppressed.

以上、本発明を実施例をもとに説明した。この実施例は例示であり、各構成要素や各処理プロセスの組合せにいろいろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者に理解されるところである。以下変形例を示す。 The present invention has been described above based on the examples. This embodiment is an example, and it is understood by those skilled in the art that various modifications are possible for each component and combination of each processing process, and that such modifications are also within the scope of the present invention. A modified example is shown below.

第1変形例を説明する。実施例では言及していないが、FPスコア判定規則は、対象サーバ12に対して1つのユーザ端末14からなされた複数回のウェブアクセスに所定の関係がある場合にFPスコアを加算することを定めてもよい。例えば、対象サーバ12のウェブサイトがロイヤリティプログラム(ポイントプログラム)を提供するウェブサイトである場合に、識別対象「ユーザID」、ルール内容「ポイント交換(モノとの引き替え)のウェブページのURLを指定したHTTP要求から、退会のウェブページのURLを指定したHTTP要求までの時間が所定時間(例えば3分)以内であること」が規定されてもよい。 The first modification will be described. Although not mentioned in the examples, the FP score determination rule stipulates that the FP score is added to the target server 12 when there is a predetermined relationship between a plurality of web accesses made from one user terminal 14. You may. For example, when the website of the target server 12 is a website that provides a loyalty program (point program), specify the identification target "user ID" and the URL of the web page of the rule content "point exchange (exchange for goods)". It may be stipulated that the time from the HTTP request made to the HTTP request specifying the URL of the withdrawal web page is within a predetermined time (for example, 3 minutes). "

本発明者は、ロイヤリティプログラムを提供するウェブサイトに対する不正アクセスを調査する中で、ポイント交換を実行後、証拠隠滅のためにすぐに退会するという振る舞いが多いことを発見した。本変形例の態様によると、時間的に前後する複数回のウェブアクセスの関係に着目してFPスコアを加算することにより、不正アクセスの検出精度を一層高めることができる。 In investigating unauthorized access to websites that provide loyalty programs, the inventor found that there are many behaviors of withdrawing immediately due to the destruction of evidence after performing point exchange. According to the embodiment of this modification, the detection accuracy of unauthorized access can be further improved by adding the FP score by paying attention to the relationship of a plurality of times of web access before and after the time.

第2変形例を説明する。実施例の不正アクセス検出装置20は、対象サーバ12に対する不正アクセスを検出したが、変形例として、不正アクセス検出装置20は、自装置に対する外部装置からの不正アクセスを検出してもよい。不正アクセスを検出した場合には、自装置のユーザへその旨を通知してもよく、外部装置からの不正アクセスを遮断するための処理(例えば通信の無効化処理、パーソナルファイアウォールの設定処理等)を実行してもよい。 The second modification will be described. The unauthorized access detection device 20 of the embodiment detects unauthorized access to the target server 12, but as a modification, the unauthorized access detection device 20 may detect unauthorized access to its own device from an external device. When an unauthorized access is detected, the user of the own device may be notified to that effect, and processing for blocking unauthorized access from an external device (for example, communication invalidation processing, personal firewall setting processing, etc.) May be executed.

本変形例の不正アクセス検出装置20は、一般的なPC、タブレット端末、スマートフォン等の情報端末であってもよく、図2に示した機能ブロックが実装されたコンピュータプログラムが情報端末にインストールされて実行されることにより、実施例の不正アクセス検出装置20と同様の処理を実行してもよい。本変形例の不正アクセス検出装置20に保持されるBIスコア判定規則は、例えば、外部装置からのアクセスが重要なシステムコールを発生させるアクセスに対して高いBIスコアが設定されてもよい。また、FPスコア判定規則は、例えば、管理者権限の乗っ取りやハッキングの典型的なパターンに対して高いFPスコアが設定されてもよい。 The unauthorized access detection device 20 of this modification may be an information terminal such as a general PC, tablet terminal, or smartphone, and a computer program on which the functional block shown in FIG. 2 is mounted is installed in the information terminal. By being executed, the same processing as that of the unauthorized access detection device 20 of the embodiment may be executed. In the BI score determination rule held in the unauthorized access detection device 20 of this modification, for example, a high BI score may be set for an access that causes a system call in which access from an external device is important. Further, in the FP score determination rule, for example, a high FP score may be set for a typical pattern of hijacking or hacking of administrator authority.

上述した実施例および変形例の任意の組み合わせもまた本発明の実施の形態として有用である。組み合わせによって生じる新たな実施の形態は、組み合わされる実施例および変形例それぞれの効果をあわせもつ。請求項に記載の各構成要件が果たすべき機能は、実施例および変形例において示された各構成要素の単体もしくはそれらの連携によって実現されることも当業者には理解されるところである。 Any combination of the examples and modifications described above is also useful as an embodiment of the invention. The new embodiments resulting from the combination have the effects of each of the combined examples and variants. It is also understood by those skilled in the art that the functions to be fulfilled by each of the constituent elements described in the claims are realized by a single component or a cooperation thereof shown in the examples and modifications.

20 不正アクセス検出装置、 40 ログ取得部、 42 判定要求受付部、 44 判定結果提供部、 46 BIスコア導出部、 48 FPスコア導出部、 50 リスク判定部、 52 判定結果記録部、 54 累積スコア記録部。 20 Unauthorized access detection device, 40 Log acquisition unit, 42 Judgment request reception unit, 44 Judgment result provision unit, 46 BI score derivation unit, 48 FP score derivation unit, 50 Risk judgment unit, 52 Judgment result recording unit, 54 Cumulative score recording Department.

Claims (8)

所定の装置に対する通信網を介したアクセスに関するデータを取得する取得部と、
前記取得部により取得されたデータに基づいて、前記装置における前記アクセスの重要度を示すビジネスインパクト指標値と、前記アクセスが不正である可能性の高さを示す不正可能性指標値を導出する導出部と、
前記導出部により導出されたビジネスインパクト指標値と不正可能性指標値に基づいて、前記アクセスの危険度を判定する判定部と、
記録部と、
を備え、
前記導出部は、前記アクセスのデータに含まれる識別子の値が所定のブラックリストで指定された値に合致する場合、前記不正可能性指標値を加算し、
前記記録部は、或る値の識別子を含むアクセスに対して前記導出部により導出された不正可能性指標値の累積値を記録し、
前記記録部は、前記累積値が基準値超になった場合、前記或る値の識別子を前記ブラックリストに追加することを特徴とする不正アクセス検出装置。
An acquisition unit that acquires data related to access to a predetermined device via a communication network, and
Based on the data acquired by the acquisition unit, a derivation that derives a business impact index value indicating the importance of the access in the device and a fraud possibility index value indicating the high possibility that the access is unauthorized. Department and
A determination unit that determines the degree of risk of access based on the business impact index value and fraud possibility index value derived by the derivation unit.
Recording section and
Equipped with
When the value of the identifier included in the access data matches the value specified in the predetermined blacklist, the derivation unit adds the fraud possibility index value.
The recording unit records the cumulative value of the fraudulent possibility index value derived by the derivation unit for the access including the identifier of a certain value.
The recording unit is an unauthorized access detection device, characterized in that, when the cumulative value exceeds a reference value, an identifier of the certain value is added to the blacklist.
前記記録部は、前記或る値の識別子を含むアクセスが最後になされてからの経過時間に応じて前記累積値を減算し、
前記記録部は、前記累積値が所定値以下になった場合、前記或る値の識別子を前記ブラックリストから除外することを特徴とする請求項1に記載の不正アクセス検出装置。
The recording unit subtracts the cumulative value according to the elapsed time since the last access including the identifier of the certain value is made.
The unauthorized access detection device according to claim 1, wherein the recording unit excludes an identifier of a certain value from the blacklist when the cumulative value becomes a predetermined value or less.
前記アクセスに関するデータには複数種類の識別子が含まれ、
前記導出部は、識別子ごとにその値に基づいて前記アクセスが不正である可能性の高さを検出し、識別子ごとに検出した前記可能性の高さを集計して前記アクセスの不正可能性指標値を導出することを特徴とする請求項1または2に記載の不正アクセス検出装置。
The data related to the access includes multiple types of identifiers,
The derivation unit detects the high possibility that the access is fraudulent based on the value of each identifier, and aggregates the high possibility that the access is detected for each identifier, and is an index of the fraudulent possibility of the access. The unauthorized access detection device according to claim 1 or 2, wherein a value is derived.
前記導出部は、識別子の値が一致する過去のアクセスに関するデータを参照し、過去からの複数回のアクセスの態様が所定の条件を満たす場合に、前記アクセスが不正である可能性が高いことを検出する処理を、前記アクセスに関するデータに含まれる識別子ごとに実行することを特徴とする請求項3に記載の不正アクセス検出装置。 The derivation unit refers to data on past accesses with matching identifier values, and if the mode of multiple accesses from the past satisfies a predetermined condition, it is highly likely that the access is invalid. The unauthorized access detection device according to claim 3, wherein the detection process is executed for each identifier included in the data related to the access. 前記記録部は、アクセスに関するデータに含まれる複数種類の識別子ごとに、識別子の値と、前記導出部により導出された不正可能性指標値の累積値とを対応付けて記録し、
前記導出部は、或るアクセスに関するデータに含まれる識別子ごとに、識別子の値に対して予め記録された不正可能性の累積値に基づいて前記或るアクセスが不正である可能性の高さを検出し、識別子ごとに検出した前記可能性の高さを集計して前記或るアクセスの不正可能性指標値を導出することを特徴とする請求項3または4に記載の不正アクセス検出装置。
The recording unit records the value of the identifier and the cumulative value of the fraudulent possibility index value derived by the derivation unit in association with each other for each of a plurality of types of identifiers included in the access data.
For each identifier contained in the data related to a certain access, the derivation unit determines the high possibility that the certain access is fraudulent based on the cumulative value of the fraudulent possibility recorded in advance with respect to the value of the identifier. The unauthorized access detection device according to claim 3 or 4, wherein the unauthorized access detection device according to claim 3 or 4, wherein the unauthorized access detection device according to claim 3 or 4, wherein the unauthorized access detection device according to claim 3 or 4, wherein the unauthorized access detection device according to claim 3 or 4, wherein the unauthorized access detection device according to claim 3 or 4 is characterized in that the detection is performed and the high possibility detected for each identifier is aggregated to derive the fraud possibility index value of the certain access.
前記記録部は、或る識別子の値と対応付けて記録した不正可能性指標値の累積値を、その識別子の値を含む最終アクセスからの経過時間に応じて減算することを特徴とする請求項5に記載の不正アクセス検出装置。 The claim is characterized in that the recording unit subtracts the cumulative value of the fraudulent index value recorded in association with the value of a certain identifier according to the elapsed time from the last access including the value of the identifier. The unauthorized access detection device according to 5. 所定の装置に対する通信網を介したアクセスに関するデータを取得するステップと、
前記取得するステップで取得されたデータに基づいて、前記装置における前記アクセスの重要度を示すビジネスインパクト指標値と、前記アクセスが不正である可能性の高さを示す不正可能性指標値を導出するステップと、
前記導出するステップで導出されたビジネスインパクト指標値と不正可能性指標値に基づいて、前記アクセスの危険度を判定するステップと、
をコンピュータが実行し、
前記導出するステップは、前記アクセスのデータに含まれる識別子の値が所定のブラックリストで指定された値に合致する場合、前記不正可能性指標値を加算し、
或る値の識別子を含むアクセスに対して前記導出するステップで導出された不正可能性指標値の累積値を記録するステップと、
前記累積値が基準値超になった場合、前記或る値の識別子を前記ブラックリストに追加するステップと、
を前記コンピュータがさらに実行することを特徴とする不正アクセス検出方法。
A step to acquire data related to access to a predetermined device via a communication network, and
Based on the data acquired in the acquired step, a business impact index value indicating the importance of the access in the device and a fraud possibility index value indicating the high possibility that the access is unauthorized are derived. Steps and
Based on the business impact index value and fraud possibility index value derived in the derivation step, the step of determining the risk of access and the step
The computer runs,
In the derivation step, when the value of the identifier included in the access data matches the value specified in the predetermined blacklist, the fraud possibility index value is added.
A step of recording the cumulative value of the fraudulent index value derived in the above-described derivation step for an access including an identifier of a certain value, and a step of recording the cumulative value.
When the cumulative value exceeds the reference value, the step of adding the identifier of the certain value to the blacklist and
An unauthorized access detection method, characterized in that the computer further executes the above.
所定の装置に対する通信網を介したアクセスに関するデータを取得する機能と、
前記取得する機能により取得されたデータに基づいて、前記装置における前記アクセスの重要度を示すビジネスインパクト指標値と、前記アクセスが不正である可能性の高さを示す不正可能性指標値を導出する機能と、
前記導出する機能により導出されたビジネスインパクト指標値と不正可能性指標値に基づいて、前記アクセスの危険度を判定する機能と、
をコンピュータに実現させ、
前記導出する機能は、前記アクセスのデータに含まれる識別子の値が所定のブラックリストで指定された値に合致する場合、前記不正可能性指標値を加算し、
或る値の識別子を含むアクセスに対して前記導出する機能により導出された不正可能性指標値の累積値を記録する機能と、
前記累積値が基準値超になった場合、前記或る値の識別子を前記ブラックリストに追加する機能と、
を前記コンピュータにさらに実現させるためのコンピュータプログラム。
A function to acquire data related to access to a predetermined device via a communication network, and
Based on the data acquired by the acquired function, a business impact index value indicating the importance of the access in the device and a fraud possibility index value indicating the high possibility that the access is unauthorized are derived. Functions and
A function to determine the risk of access based on the business impact index value and the fraud possibility index value derived by the derived function, and
To the computer,
When the value of the identifier included in the access data matches the value specified in the predetermined blacklist, the derivation function adds the fraud possibility index value.
A function to record the cumulative value of the fraudulent possibility index value derived by the above-derived function for an access including an identifier of a certain value, and a function to record the cumulative value.
A function to add an identifier of a certain value to the blacklist when the cumulative value exceeds the reference value, and
A computer program for further realizing the above-mentioned computer.
JP2020211266A 2020-12-21 2020-12-21 Unauthorized access detector, unauthorized access detection method and computer program Active JP7037628B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2020211266A JP7037628B2 (en) 2020-12-21 2020-12-21 Unauthorized access detector, unauthorized access detection method and computer program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020211266A JP7037628B2 (en) 2020-12-21 2020-12-21 Unauthorized access detector, unauthorized access detection method and computer program

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2016175539A Division JP6835507B2 (en) 2016-09-08 2016-09-08 Unauthorized access detector, unauthorized access detection method and computer program

Publications (2)

Publication Number Publication Date
JP2021044023A JP2021044023A (en) 2021-03-18
JP7037628B2 true JP7037628B2 (en) 2022-03-16

Family

ID=74864179

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020211266A Active JP7037628B2 (en) 2020-12-21 2020-12-21 Unauthorized access detector, unauthorized access detection method and computer program

Country Status (1)

Country Link
JP (1) JP7037628B2 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007514333A (en) 2003-09-12 2007-05-31 アールエスエイ セキュリティー インコーポレーテッド System and method for risk-based authentication
JP2010097467A (en) 2008-10-17 2010-04-30 Nomura Research Institute Ltd Risk-based authentication system and risk-based authentication method
WO2015136800A1 (en) 2014-03-13 2015-09-17 株式会社日立ソリューションズ Authentication device, authentication system and authentication method

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007514333A (en) 2003-09-12 2007-05-31 アールエスエイ セキュリティー インコーポレーテッド System and method for risk-based authentication
JP2010097467A (en) 2008-10-17 2010-04-30 Nomura Research Institute Ltd Risk-based authentication system and risk-based authentication method
WO2015136800A1 (en) 2014-03-13 2015-09-17 株式会社日立ソリューションズ Authentication device, authentication system and authentication method

Also Published As

Publication number Publication date
JP2021044023A (en) 2021-03-18

Similar Documents

Publication Publication Date Title
US20220129532A1 (en) Biometric identification platform
US11171925B2 (en) Evaluating and modifying countermeasures based on aggregate transaction status
US11388193B2 (en) Systems and methods for detecting online fraud
US8850567B1 (en) Unauthorized URL requests detection
EP3125147B1 (en) System and method for identifying a phishing website
US9083733B2 (en) Anti-phishing domain advisor and method thereof
US11902307B2 (en) Method and apparatus for network fraud detection and remediation through analytics
US10728279B2 (en) Detection of remote fraudulent activity in a client-server-system
CN103701795B (en) The recognition methods of the attack source of Denial of Service attack and device
US20130185802A1 (en) Online Fraud Detection Dynamic Scoring Aggregation Systems and Methods
JP6113678B2 (en) Authentication apparatus, authentication system, and authentication method
KR102024142B1 (en) A access control system for detecting and controlling abnormal users by users’ pattern of server access
US10542044B2 (en) Authentication incident detection and management
US10587650B2 (en) Communications security
CN107682345B (en) IP address detection method and device and electronic equipment
US11223602B2 (en) IP address access based on security level and access history
Kaur et al. Browser fingerprinting as user tracking technology
CN109889485A (en) A kind of user's abnormal operation behavioral value method, system and storage medium
JP6835507B2 (en) Unauthorized access detector, unauthorized access detection method and computer program
US10599725B2 (en) Systems, devices, and methods for improved RDAP traffic analysis and mitigation
JP7037628B2 (en) Unauthorized access detector, unauthorized access detection method and computer program
JP6842951B2 (en) Unauthorized access detectors, programs and methods
JP5743822B2 (en) Information leakage prevention device and restriction information generation device
CN113923039A (en) Attack equipment identification method and device, electronic equipment and readable storage medium
JP7403565B2 (en) Fraud detection device, fraud detection method, and fraud detection program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201221

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220222

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220304

R150 Certificate of patent or registration of utility model

Ref document number: 7037628

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150