JP2003178024A - Unauthorized access tracking method, its program, and recording medium on which the program is recorded - Google Patents
Unauthorized access tracking method, its program, and recording medium on which the program is recordedInfo
- Publication number
- JP2003178024A JP2003178024A JP2001376271A JP2001376271A JP2003178024A JP 2003178024 A JP2003178024 A JP 2003178024A JP 2001376271 A JP2001376271 A JP 2001376271A JP 2001376271 A JP2001376271 A JP 2001376271A JP 2003178024 A JP2003178024 A JP 2003178024A
- Authority
- JP
- Japan
- Prior art keywords
- address
- monitoring
- unauthorized access
- agent
- tracking
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
(57)【要約】
【課題】 IPアドレスを詐称して不正アクセスした犯
人のコンピュータのMACアドレスを取得することがで
きる不正アクセス追跡方法を提供する。
【解決手段】 監視サーバ2でMIB監視エージェント
13が、監視対象である管理情報ベース(MIB)31
の更新を検出するとともに、当該更新において記録され
たIPアドレスとMACアドレスのペアを、更新時刻に
対応づけて当該監視エージェント13の監視ログ133
に記録しておき、不正アクセス追跡に際しては、不正ア
クセスの時刻と当該不正アクセスに使用されたIPアド
レスとを入力したMACアドレス追跡エージェント12
が、監視サーバ2に移動し、当該追跡エージェントが、
監視ログ133から、当該不正アクセスの時刻以前でか
つ最後に記録された更新時刻と当該IPアドレスとに対
応づけられたMACアドレスを取得し、該取得したMA
Cアドレスを記録し、MACアドレス追跡エージェント
12が、コンソール4に移動してMACアドレスを出力
する。
(57) [Summary] [Problem] To provide an unauthorized access tracking method capable of acquiring a MAC address of a computer of a criminal who has made unauthorized access by misrepresenting an IP address. SOLUTION: In a monitoring server 2, an MIB monitoring agent 13 manages a management information base (MIB) 31 to be monitored.
And updates the monitoring log 133 of the monitoring agent 13 by associating the pair of the IP address and the MAC address recorded in the update with the update time.
The MAC address tracking agent 12 inputs the time of the unauthorized access and the IP address used for the unauthorized access when tracking the unauthorized access.
Moves to the monitoring server 2, and the tracking agent
From the monitoring log 133, the MAC address associated with the updated time before the time of the unauthorized access and the last recorded update time and the IP address is acquired, and the acquired MA is acquired.
The C address is recorded, and the MAC address tracking agent 12 moves to the console 4 and outputs the MAC address.
Description
【0001】[0001]
【発明の属する技術分野】本発明は、社内ネットワーク
等で不正アクセスを行った犯人のコンピュータをつきと
める技術に係り、特に、IPアドレスを詐称して不正ア
クセスした犯人のコンピュータのMACアドレスを取得
することができる不正アクセス追跡方法、そのプログラ
ム及びそのプログラムが記録された記録媒体に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a technique for locating a computer of a criminal who has made unauthorized access in an in-house network or the like, and more particularly, to obtain a MAC address of a computer of a criminal who has illegally accessed by misrepresenting an IP address. The present invention relates to an unauthorized access tracking method, a program thereof, and a recording medium on which the program is recorded.
【0002】[0002]
【従来の技術】近年にあっては、サーバへの不正アクセ
スが急増しており、その犯人の追跡の重要性を増してい
る。なお、犯人の追跡とは、犯人の使用したコンピュー
タを特定等することであり、追跡という言葉が便宜的に
使われる。2. Description of the Related Art In recent years, the number of unauthorized access to a server has increased rapidly, and the importance of tracing the criminal has increased. The tracking of the criminal is to identify the computer used by the criminal, and the term tracking is used for convenience.
【0003】従来は、各種ログから、不正アクセスに使
用されたIPアドレスを特定し、そのIPアドレスをも
つコンピュータを犯人のものとすることができた。Conventionally, it has been possible to identify the IP address used for unauthorized access from various logs and assign the computer having the IP address to the criminal.
【0004】[0004]
【発明が解決しようとする課題】しかし、IPアドレス
は詐称が容易であるため、突き止めたIPアドレスか
ら、実際のアクセス元コンピュータを必ずしも特定でき
なかった。つまり、IPアドレスは、DHCPサーバや
管理者から割り当てられたものが通常正当なものとされ
るが、これをコンピュータの設定変更で詐称することは
容易であり、IPアドレスが衝突しない限り機能的に不
都合は生じない。しかも、IPアドレスからコンピュー
タを特定できないので、不正アクセスの犯人にとっては
都合がよい。However, since the IP address is easily misrepresented, the actual access source computer cannot always be identified from the found IP address. In other words, the IP address assigned by the DHCP server or the administrator is usually legitimate, but it is easy to misrepresent it by changing the computer settings. There is no inconvenience. Moreover, since the computer cannot be specified from the IP address, it is convenient for the criminal of unauthorized access.
【0005】IPアドレスの詐称対策としては、セキュ
リティ機能つきのハブが使用される。このハブに、IP
アドレスとMACアドレスの組をコンピュータごとに設
定しておけば、この組からはずれたコンピュータからの
アクセス要求を拒否するというフィルタリングを行うこ
とができる。As a countermeasure against IP address spoofing, a hub with a security function is used. IP to this hub
If a set of an address and a MAC address is set for each computer, it is possible to perform filtering by rejecting an access request from a computer that is out of this set.
【0006】しかしながら、企業といった組織では、社
員の異動に伴いコンピュータを交換することが多くな
り、この場合はハブのセキュリティの再設定が必要にな
るが、その作業が繁雑なため、設定がされないことが多
い。そのため、詐称したIPアドレスでの不正アクセス
対策は必ずしも万全ではなかった。However, in an organization such as a company, computers are often replaced due to the change of employees, and in this case, the security of the hub needs to be reset, but since the work is complicated, it is not set. There are many. Therefore, countermeasures against unauthorized access using a spoofed IP address are not always perfect.
【0007】そこで、詐称したIPアドレスから犯人の
コンピュータのMACアドレスを得ることができれば、
ハブの問題が解決できるばかりでなく、コンピュータの
MACアドレスを変更することは通常不可能であるから
言い逃れができなくなり、しがたって、そのメリットは
非常に大きい。If the MAC address of the criminal's computer can be obtained from the spoofed IP address,
Not only can the problem of the hub be solved, but it is usually impossible to change the MAC address of the computer, so it cannot be ruled out, and therefore the merit is very large.
【0008】そこで本発明は、上記の従来の課題に鑑み
てなされたものであり、その目的とするところは、IP
アドレスを詐称して不正アクセスした犯人のコンピュー
タのMACアドレスを取得することができる不正アクセ
ス追跡方法を提供することにある。Therefore, the present invention has been made in view of the above-mentioned conventional problems, and the purpose thereof is to
It is an object of the present invention to provide an unauthorized access tracking method capable of acquiring the MAC address of a computer of a criminal who illegally accessed by misrepresenting the address.
【0009】[0009]
【課題を解決するための手段】上記従来の課題を解決す
るために、請求項1の本発明は、不正アクセスに使用さ
れたIPアドレスからアクセス元のコンピュータのMA
Cアドレスを入手する不正アクセス追跡方法であって、
監視サーバで監視エージェントが、監視対象である管理
情報ベースの更新を検出するとともに、当該更新におい
て記録されたIPアドレスとMACアドレスのペアを、
更新時刻に対応づけて当該監視エージェントの監視ログ
に記録しておき、不正アクセス追跡に際しては、不正ア
クセスの時刻と当該不正アクセスに使用されたIPアド
レスとを入力した追跡エージェントが、前記監視サーバ
に移動し、当該追跡エージェントが、前記監視エージェ
ントの監視ログから、当該不正アクセスの時刻以前でか
つ最後に記録された更新時刻と当該IPアドレスとに対
応づけられたMACアドレスを取得し、該取得したMA
Cアドレスを当該追跡エージェントの追跡ログに記録
し、当該追跡エージェントが、予め定められたコンピュ
ータに移動して当該MACアドレスの記録された追跡ロ
グを出力することを特徴とする不正アクセス追跡方法を
もって解決手段とする。In order to solve the above-mentioned conventional problems, the present invention according to claim 1 uses the IP address used for the unauthorized access from the MA of the access source computer.
A method for tracing unauthorized access to obtain a C address,
On the monitoring server, the monitoring agent detects an update of the management information base to be monitored and, at the same time, detects the IP address and MAC address pair recorded in the update,
The tracking agent is recorded in the monitoring log of the monitoring agent in association with the update time, and when tracing the unauthorized access, the tracking agent that inputs the time of the unauthorized access and the IP address used for the unauthorized access is stored in the monitoring server. The tracking agent moves, acquires from the monitoring log of the monitoring agent a MAC address associated with the update time and the last recorded update time before the time of the unauthorized access and the acquired MAC address. MA
The C-address is recorded in the trace log of the trace agent, and the trace agent moves to a predetermined computer and outputs the trace log in which the MAC address is recorded. Use it as a means.
【0010】請求項1の本発明によれば、不正アクセス
に使用されたIPアドレスからアクセス元のコンピュー
タのMACアドレスを入手するために、監視サーバで監
視エージェントが、監視対象である管理情報ベースの更
新を検出するとともに、当該更新において記録されたI
PアドレスとMACアドレスのペアを、更新時刻に対応
づけて当該監視エージェントの監視ログに記録してお
き、不正アクセス追跡に際しては、不正アクセスの時刻
と当該不正アクセスに使用されたIPアドレスとを入力
した追跡エージェントが、前記監視サーバに移動し、当
該追跡エージェントが、前記監視エージェントの監視ロ
グから、当該不正アクセスの時刻以前でかつ最後に記録
された更新時刻と当該IPアドレスとに対応づけられた
MACアドレスを取得し、該取得したMACアドレスを
当該追跡エージェントの追跡ログに記録し、当該追跡エ
ージェントが、予め定められたコンピュータに移動して
当該MACアドレスの記録された追跡ログを出力するの
で、IPアドレスを詐称して不正アクセスした犯人のコ
ンピュータのMACアドレスを取得することができる。According to the first aspect of the present invention, in order to obtain the MAC address of the access source computer from the IP address used for the unauthorized access, the monitoring agent in the monitoring server stores the management information base of the monitoring target. The update is detected and the I recorded in the update is detected.
A pair of the P address and the MAC address is recorded in the monitoring log of the monitoring agent in association with the update time, and the time of the unauthorized access and the IP address used for the unauthorized access are input when tracing the unauthorized access. The traced agent moved to the monitoring server, and the traced agent was associated with the update time recorded before the time of the unauthorized access and finally recorded from the monitor log of the monitoring agent and the IP address. Since the MAC address is acquired, the acquired MAC address is recorded in the tracking log of the tracking agent, and the tracking agent moves to a predetermined computer and outputs the tracking log recorded with the MAC address, MAC of the computer of the criminal who made an unauthorized access by spoofing the IP address It is possible to get a dress.
【0011】請求項2の本発明は、不正アクセスに使用
されたIPアドレスからアクセス元のコンピュータのM
ACアドレスを入手する不正アクセス追跡方法であっ
て、複数の監視サーバのそれぞれで監視エージェント
が、監視対象である管理情報ベースの更新を検出すると
ともに、当該更新において記録されたIPアドレスとM
ACアドレスのペアを、更新時刻に対応づけて当該監視
エージェントの監視ログに記録しておき、不正アクセス
追跡に際しては、不正アクセスの時刻と当該不正アクセ
スに使用されたIPアドレスとを入力した追跡エージェ
ントが、前記複数の監視サーバのそれぞれのIPアドレ
スと当該各監視サーバに割り当てられたネットワークセ
グメントのアドレスとを対応づけたテーブルから、当該
不正アクセスに使用されたIPアドレスを含むセグメン
トのアドレスに対応する監視サーバのIPアドレスを求
め、当該追跡エージェントが、当該求めたIPアドレス
をもつ監視サーバに移動し、該監視サーバにおける監視
エージェントの監視ログから、当該不正アクセスの時刻
以前でかつ最後に記録された更新時刻と当該IPアドレ
スとに対応づけられたMACアドレスを取得し、該取得
したMACアドレスを当該追跡エージェントの追跡ログ
に記録し、当該追跡エージェントが、予め定められたコ
ンピュータに移動し当該MACアドレスの記録された追
跡ログを出力することを特徴とする不正アクセス追跡方
法をもって解決手段とする。According to the second aspect of the present invention, the M of the computer that is the access source is determined from the IP address used for the unauthorized access.
An unauthorized access tracking method for obtaining an AC address, wherein a monitoring agent in each of a plurality of monitoring servers detects an update of a management information base to be monitored, and an IP address and M recorded in the update.
A tracking agent that records a pair of AC addresses in the monitoring log of the monitoring agent in association with the update time and inputs the time of the unauthorized access and the IP address used for the unauthorized access when tracing the unauthorized access. Corresponds to the address of the segment including the IP address used for the unauthorized access from the table in which the IP addresses of the plurality of monitoring servers are associated with the addresses of the network segments assigned to the respective monitoring servers. Obtain the IP address of the monitoring server, the tracking agent moves to the monitoring server having the obtained IP address, and is recorded from the monitoring log of the monitoring agent in the monitoring server before the time of the unauthorized access and at the end. Corresponding to the update time and the IP address That the acquired MAC address is acquired, the acquired MAC address is recorded in the tracking log of the tracking agent, the tracking agent moves to a predetermined computer, and the tracking log in which the MAC address is recorded is output. The characteristic means of tracing unauthorized access will be the solution.
【0012】請求項2の本発明によれば、不正アクセス
に使用されたIPアドレスからアクセス元のコンピュー
タのMACアドレスを入手するために、複数の監視サー
バのそれぞれで監視エージェントが、監視対象である管
理情報ベースの更新を検出するとともに、当該更新にお
いて記録されたIPアドレスとMACアドレスのペア
を、更新時刻に対応づけて当該監視エージェントの監視
ログに記録しておき、不正アクセス追跡に際しては、不
正アクセスの時刻と当該不正アクセスに使用されたIP
アドレスとを入力した追跡エージェントが、前記複数の
監視サーバのそれぞれのIPアドレスと当該各監視サー
バに割り当てられたネットワークセグメントのアドレス
とを対応づけたテーブルから、当該不正アクセスに使用
されたIPアドレスを含むセグメントのアドレスに対応
する監視サーバのIPアドレスを求め、当該追跡エージ
ェントが、当該求めたIPアドレスをもつ監視サーバに
移動し、該監視サーバにおける監視エージェントの監視
ログから、当該不正アクセスの時刻以前でかつ最後に記
録された更新時刻と当該IPアドレスとに対応づけられ
たMACアドレスを取得し、該取得したMACアドレス
を当該追跡エージェントの追跡ログに記録し、当該追跡
エージェントが、予め定められたコンピュータに移動し
当該MACアドレスの記録された追跡ログを出力するの
で、IPアドレスを詐称して不正アクセスした犯人のコ
ンピュータのMACアドレスを取得することができる。According to the second aspect of the present invention, in order to obtain the MAC address of the access source computer from the IP address used for the unauthorized access, the monitoring agent in each of the plurality of monitoring servers is a monitoring target. When an update of the management information base is detected, the pair of the IP address and the MAC address recorded in the update is recorded in the monitoring log of the monitoring agent in association with the update time. Time of access and IP used for the unauthorized access
The tracing agent, which has input the address, selects the IP address used for the unauthorized access from the table in which the IP addresses of the plurality of monitoring servers are associated with the addresses of the network segments assigned to the respective monitoring servers. The IP address of the monitoring server corresponding to the address of the containing segment is obtained, the tracking agent moves to the monitoring server having the obtained IP address, and from the monitoring log of the monitoring agent in the monitoring server, before the time of the unauthorized access. The MAC address associated with the last recorded update time and the IP address is acquired, the acquired MAC address is recorded in the tracking log of the tracking agent, and the tracking agent is predetermined. Move to the computer and Since outputs the recorded tracking logs can acquire the MAC address of the computer of the criminal who unauthorized access spoofed IP address.
【0013】請求項3の本発明は、前記監視エージェン
トまたは追跡エージェントをコンピュータで動作させる
プログラムである不正アクセス追跡プログラムをもって
解決手段とする。A third aspect of the present invention provides a solution means by an unauthorized access tracking program which is a program for operating the monitoring agent or the tracking agent on a computer.
【0014】請求項4の本発明は、前記監視エージェン
トまたは追跡エージェントをコンピュータで動作させる
プログラムである不正アクセス追跡プログラムが記録さ
れた記録媒体をもって解決手段とする。A fourth aspect of the present invention provides a solving means using a recording medium in which an unauthorized access tracking program, which is a program for operating the monitoring agent or the tracking agent on a computer, is recorded.
【0015】請求項3または4の本発明にあっては、監
視エージェントまたは追跡エージェントをコンピュータ
で動作させるプログラムである不正アクセス追跡プログ
ラムを半導体メモリ、磁気ディスク、光ディスク、光磁
気ディスク、磁気テープなどのコンピュータ読み取り可
能な記録媒体に記録したり、インターネットなどの通信
網を介して伝送させて、広く流通させることができるよ
うにしている。According to the present invention of claim 3 or 4, an unauthorized access tracking program, which is a program for operating a monitoring agent or a tracking agent on a computer, is stored in a semiconductor memory, a magnetic disk, an optical disk, a magneto-optical disk, a magnetic tape or the like. It is recorded on a computer-readable recording medium or transmitted via a communication network such as the Internet so that it can be widely distributed.
【0016】[0016]
【発明の実施の形態】以下、本発明の実施の形態を図面
を参照して説明する。図1は、本発明の不正アクセス追
跡方法を実施するためのネットワークの構成の一例を示
す図である。図1に示すように、例えば企業内のイント
ラネットにおいて、ウェブサーバ1と、監視目的で使用
される監視サーバ2と、ルータ3と、ネットワーク管理
者のコンピュータであるコンソール4とがLAN回線で
接続等されている。また、ネットワークには、サーバへ
の攻撃に使用とする犯人のコンピュータ5が接続されて
いる。なお、コンピュータ5はどのセグメントに属して
いても問題はない。ウェブサーバ1は、例えば、社員へ
の情報提供を行っており、犯人にとっては攻撃対象であ
る。なお、犯人のコンピュータ5以外のコンピュータに
ついては図示省略している。BEST MODE FOR CARRYING OUT THE INVENTION Embodiments of the present invention will be described below with reference to the drawings. FIG. 1 is a diagram showing an example of the configuration of a network for implementing the unauthorized access tracking method of the present invention. As shown in FIG. 1, for example, in an intranet of a company, a web server 1, a monitoring server 2 used for monitoring purposes, a router 3, and a console 4 which is a computer of a network administrator are connected by a LAN line, etc. Has been done. Also, the computer 5 of the criminal used to attack the server is connected to the network. It should be noted that it does not matter which segment the computer 5 belongs to. The web server 1, for example, provides information to employees and is an attack target for criminals. Computers other than the criminal computer 5 are omitted in the drawing.
【0017】各ルータ3、ウェブサーバ1はそれぞれ、
MIB(管理情報ベース)31を有している。これら各
ルータ3等は、IPパケットが到着したときに、そのI
PアドレスとMACアドレス(物理アドレス)のペア
(以下、アドレスペアまたはペアという)を、自分のM
IB31に書き込む。また、書き込み済みのIPアドレ
スを含むペアが到着したときは、そのペアで書き込み済
みのIPアドレスを含むペアを上書き更新する。Each router 3 and web server 1 respectively
It has a MIB (Management Information Base) 31. Each of these routers 3 and the like receives the I packet when the IP packet arrives.
A pair of a P address and a MAC address (physical address) (hereinafter referred to as an address pair or a pair) is defined as M
Write to IB31. When a pair including the written IP address arrives, the pair including the written IP address is overwritten and updated.
【0018】監視サーバ2、コンソール4は、それぞ
れ、エージェントを動作させるためのプラットフォーム
(基本プログラム)であるエージェント受容体11を動
作させている。The monitoring server 2 and the console 4 each operate an agent acceptor 11 which is a platform (basic program) for operating an agent.
【0019】監視サーバ2にあっては、エージェント受
容体11がMIB監視エージェント13を動作させてい
る。MIB監視エージェント13は、監視対象として割
り当てられたMIB31を監視し、アドレスペアの更新
があったときは、そのペアを取得し、更新時刻に対応づ
けて、自分の監視ログに記録するようになっている。図
1の左のMIB監視エージェント13のように、監視対
象は複数のMIB31であってもよい。また、複数のM
IB監視エージェント13が1つのMIB31を監視し
てもよい。In the monitoring server 2, the agent acceptor 11 operates the MIB monitoring agent 13. The MIB monitoring agent 13 monitors the MIB 31 assigned as a monitoring target, and when an address pair is updated, the MIB monitoring agent 13 acquires the pair, records it in the monitoring log in association with the update time. ing. As in the MIB monitoring agent 13 on the left side of FIG. 1, the monitoring target may be a plurality of MIBs 31. In addition, a plurality of M
The IB monitoring agent 13 may monitor one MIB 31.
【0020】また、コンソール4にあっては、エージェ
ント受容体11がMACアドレス追跡エージェント12
を待機させている。そして、エージェント受容体11が
動作する監視サーバ2、コンソール4の間ではMACア
ドレス追跡エージェント12が移動することができ、M
ACアドレス追跡エージェント12は、不正アクセスの
時刻と使用されたIPアドレスが入力されると、監視サ
ーバ2へと移動し、犯人のコンピュータのMACアドレ
スを入手し、そのMACアドレスをコンソール4に戻っ
てから報告するようになっている。In the console 4, the agent acceptor 11 is the MAC address tracing agent 12
Is waiting. The MAC address tracing agent 12 can move between the monitoring server 2 and the console 4 on which the agent acceptor 11 operates, and M
When the time of the unauthorized access and the IP address used are input, the AC address tracking agent 12 moves to the monitoring server 2, obtains the MAC address of the criminal's computer, and returns the MAC address to the console 4. It is supposed to be reported from.
【0021】図2は、監視サーバ2とコンソール4の構
成を示す図である。FIG. 2 is a diagram showing the configurations of the monitoring server 2 and the console 4.
【0022】監視サーバ2には、エージェント受容体1
1とMIB監視エージェント13が動作している。MI
B監視エージェント13は、MIB監視機能131とア
ドレスペア記録機能132と監視ログ133を備えてい
る。MIB監視機能131は、監視対象のMIB31の
更新を監視し、更新で新たに記録されたペアを取得する
機能である。アドレスペア記録機能132は、取得した
ペアを更新時刻に対応づけて監視ログ133に記録する
機能である。The monitoring server 2 includes an agent acceptor 1
1 and the MIB monitoring agent 13 are operating. MI
The B monitoring agent 13 includes a MIB monitoring function 131, an address pair recording function 132, and a monitoring log 133. The MIB monitoring function 131 is a function of monitoring the update of the MIB 31 to be monitored and acquiring a pair newly recorded in the update. The address pair recording function 132 is a function of recording the acquired pair in the monitoring log 133 in association with the update time.
【0023】コンソール4には、エージェント受容体1
1が動作しており、MACアドレス追跡エージェント1
2が待機している。MACアドレス追跡エージェント1
2は、情報入力機能121と、テーブル検索機能122
と、サーバ移動機能123と、MACアドレス検索機能
124と、追跡ログ出力機能125と、追跡ログ126
とを備えている。On the console 4, the agent acceptor 1
1 is running and MAC address tracking agent 1
Two are waiting. MAC address tracking agent 1
2 is an information input function 121 and a table search function 122.
A server move function 123, a MAC address search function 124, a tracking log output function 125, and a tracking log 126.
It has and.
【0024】情報入力機能121は、不正アクセスの時
刻と使用されたIPアドレスを入力して追跡ログ126
に記録する機能である。テーブル検索機能122は、後
述する監視エージェント管理テーブル41から監視サー
バ2のIPアドレスを検索する機能である。サーバ移動
機能123は、エージェント自身がコンソール4と監視
サーバ2の間を移動する機能である。MACアドレス検
索機能124は、移動先の監視サーバ2で監視ログ13
3からMACアドレスを検索して追跡ログ126に記録
する機能である。追跡ログ出力機能125は、追跡ログ
126をコンソール4の表示装置等に表示する機能であ
る。The information input function 121 inputs the time of the unauthorized access and the IP address used to trace the log 126.
It is a function to record in. The table search function 122 is a function of searching the IP address of the monitoring server 2 from the monitoring agent management table 41 described later. The server moving function 123 is a function for the agent itself to move between the console 4 and the monitoring server 2. The MAC address search function 124 uses the monitoring log 13 in the monitoring server 2 of the moving destination.
It is a function of searching the MAC address from 3 and recording it in the tracking log 126. The tracking log output function 125 is a function of displaying the tracking log 126 on the display device or the like of the console 4.
【0025】また、コンソール4は、各監視サーバ2の
アドレスが記録された監視エージェント管理テーブル4
1を備えている。Further, the console 4 has a monitoring agent management table 4 in which the addresses of the respective monitoring servers 2 are recorded.
1 is provided.
【0026】図3は、監視エージェント管理テーブル4
1を示す図である。監視エージェント管理テーブル41
は、ネットワークセグメントのネットワークアドレスN
Aと、そのネットワークセグメントを割り当てられた監
視サーバ2のIPアドレスとが対応づけて記録される。
ネットワークアドレスNAは、実際には、サブネットア
ドレスとサブネットマスクなどによって表現される。FIG. 3 shows the monitoring agent management table 4
It is a figure which shows 1. Monitoring agent management table 41
Is the network address N of the network segment
A and the IP address of the monitoring server 2 to which the network segment is assigned are recorded in association with each other.
The network address NA is actually represented by a subnet address and a subnet mask.
【0027】次に、本実施の形態の作用を説明する。図
4は、本実施の形態における不正アクセスとMACアド
レス入手の様子を示すシーケンス図である。図5は、不
正アクセスの課程でのMIB31の更新の様子を示す図
である。図6は、監視ログ133に記録される内容を示
す図である。ここで、犯人のコンピュータ5のMACア
ドレスを「XX:XX:XX:XX:XX:01」と
し、正規のIPアドレスを「192.168.11.1
01」として説明する。なお、図1のネットワーク構成
では、コンピュータ5からウェブサーバ1へのアクセス
は、2つのルータ3を介してなされるが、コンピュータ
5が属するネットワークセグメントを担当する図1右の
ルータ3を例として説明する。なお、時刻については便
宜的に例示する。Next, the operation of this embodiment will be described. FIG. 4 is a sequence diagram showing a state of unauthorized access and acquisition of a MAC address in this embodiment. FIG. 5 is a diagram showing how the MIB 31 is updated in the course of unauthorized access. FIG. 6 is a diagram showing the contents recorded in the monitoring log 133. Here, the MAC address of the criminal's computer 5 is "XX: XX: XX: XX: XX: 01", and the legitimate IP address is "192.168.11.1".
01 ”. In the network configuration of FIG. 1, the computer 5 accesses the web server 1 through the two routers 3, but the router 3 on the right side of FIG. 1 in charge of the network segment to which the computer 5 belongs is described as an example. To do. The time is illustrated for convenience.
【0028】まず、犯人がコンピュータ5から、正規の
IPアドレス「192.168.11.101」を使用
して、ウェブサーバ1へ10時にアクセスする(ステッ
プS1)と、ルータ3は、図5(a)に示すように、そ
の正規のIPアドレスと、コンピュータ5のMACアド
レス「XX:XX:XX:XX:XX:01」のペア
を、自分のMIB31(以下単にMIB31という)に
記録する(ステップS3)。すると、図1の右の監視サ
ーバ2(以下、単に監視サーバ2という)で動作するM
IB監視エージェント13(以下、単にMIB監視エー
ジェント13という)が、図6に示すように、MIB監
視機能131により、MIB31からこのアドレスペア
を取得し、これをアドレスペア記録機能132により、
更新時刻「10時」に対応づけて監視ログ133に記録
する(ステップS5)。なお、この更新時刻は、ネット
ワークの遅延時間を無視できれば、アドレスペアの取得
時刻で代用することができ、以下においても同様であ
る。First, when the criminal uses the regular IP address "192.168.11.101" from the computer 5 to access the web server 1 at 10 o'clock (step S1), the router 3 causes the router 3 to operate as shown in FIG. As shown in a), the pair of the regular IP address and the MAC address “XX: XX: XX: XX: XX: 01” of the computer 5 is recorded in its own MIB31 (hereinafter simply referred to as MIB31) (step). S3). Then, the M running on the monitoring server 2 on the right side of FIG. 1 (hereinafter simply referred to as the monitoring server 2)
As shown in FIG. 6, the IB monitoring agent 13 (hereinafter, simply referred to as the MIB monitoring agent 13) acquires this address pair from the MIB 31 by the MIB monitoring function 131 and uses the address pair recording function 132 to acquire the address pair.
The data is recorded in the monitoring log 133 in association with the update time "10 o'clock" (step S5). The update time can be substituted with the acquisition time of the address pair if the delay time of the network can be ignored, and the same applies to the following.
【0029】そして、コンピュータ5において、正規の
IPアドレスが不正なIPアドレス「192.168.
11.104」に書き換えられ(ステップS7)、11
時にウェブサーバ1へのアクセスがなされる(ステップ
S9)と、ルータ3は、図5(b)に示すように、不正
なIPアドレスとMACアドレス「XX:XX:XX:
XX:XX:01」のペアで、正規のIPアドレスを含
むペアを更新する(ステップS11)。すると、MIB
監視エージェント13が、図6に示すように、更新され
たアドレスペアを取得し、これを更新時刻「11時」に
対応づけて監視ログ133に記録する(ステップS1
3)。Then, in the computer 5, the legitimate IP address is an illegal IP address "192.168.68."
11.104 ”(step S7), 11
When the web server 1 is sometimes accessed (step S9), the router 3 causes an illegal IP address and MAC address "XX: XX: XX:" as shown in FIG. 5B.
The pair including the regular IP address is updated with the pair “XX: XX: 01” (step S11). Then MIB
As shown in FIG. 6, the monitoring agent 13 acquires the updated address pair and records it in the monitoring log 133 in association with the update time “11:00” (step S1).
3).
【0030】なおルータ3は、これ以降の不正アクセス
のときはMIB31の更新を行わない。したがってMI
B31の内容は、図5(b)のままである。Note that the router 3 does not update the MIB 31 in the case of unauthorized access thereafter. Therefore MI
The content of B31 remains as it is in FIG.
【0031】そして、コンピュータ5において、不正な
IPアドレスが正規のIPアドレス「192.168.
11.101」に戻され(ステップS15)、そして1
2時にウェブサーバ1へのアクセスがなされる(ステッ
プS17)と、ルータ3は、図5(c)に示すように、
その正規のIPアドレスを含むペアで、不正なIPアド
レスを含むペアを更新する(ステップS19)。する
と、MIB監視エージェント13が、図6に示すよう
に、更新されたアドレスペアを取得し、これを更新時刻
「12時」に対応づけて監視ログ133に記録する(ス
テップS21)。Then, in the computer 5, the illegal IP address is the legitimate IP address "192.168.68."
11.101 ”(step S15), and 1
When the web server 1 is accessed at 2 o'clock (step S17), the router 3 is
The pair including the illegal IP address is updated with the pair including the legitimate IP address (step S19). Then, the MIB monitoring agent 13 acquires the updated address pair and records it in the monitoring log 133 in association with the update time "12:00" as shown in FIG. 6 (step S21).
【0032】ここで、ステップS9からステップS17
までの間に、犯人のコンピュータ5からなされた不正ア
クセスによりウェブサーバ1が被害を受けたこととす
る。そして、所定の追跡処理が行われた結果、不正アク
セスに使用されたIPアドレス「192.168.1
1.104」と不正アクセスの時刻「11時10分」が
得られ、これがコンソール4からMACアドレス追跡エ
ージェント12に入力されたこととする(ステップS3
1)。Here, steps S9 to S17
In the meantime, it is assumed that the web server 1 is damaged by the unauthorized access from the criminal's computer 5. Then, as a result of performing the predetermined tracking processing, the IP address “192.168.1” used for the unauthorized access is obtained.
1.104 ”and the unauthorized access time“ 11:10 ”are obtained and are input to the MAC address tracing agent 12 from the console 4 (step S3).
1).
【0033】MACアドレス追跡エージェント12は、
情報入力機能121により、このIPアドレスと不正ア
クセスの時刻を追跡ログ126に記録した上で、テーブ
ル検索機能122により監視エージェント管理テーブル
41を検索して、移動先となる監視サーバ2のIPアド
レスを求める(ステップS33)。つまり、監視エージ
ェント管理テーブル41を参照して、IPアドレス「1
92.168.11.104」を含むネットワークセグ
メントのネットワークアドレスを求め、これに対応する
監視サーバ2のIPアドレスを求めるのである。The MAC address tracking agent 12 is
The information input function 121 records this IP address and the time of unauthorized access in the tracking log 126, and then the table search function 122 searches the monitoring agent management table 41 to find the IP address of the monitoring server 2 that is the migration destination. Obtained (step S33). That is, referring to the monitoring agent management table 41, the IP address “1
The network address of the network segment including “192.168.11.104” is obtained, and the IP address of the corresponding monitoring server 2 is obtained.
【0034】そして、MACアドレス追跡エージェント
12は、サーバ移動機能123により、監視サーバ2へ
移動する(ステップS35)。続いて、MACアドレス
追跡エージェント12は、MACアドレス検索機能12
4により、監視ログ133を参照して、犯人のコンピュ
ータ5のMACアドレスを検索する(ステップS3
7)。つまり、MACアドレス追跡エージェント12
は、まず、監視ログ133から、不正アクセスの時刻
「11時10分」以前でかつ、最後に記録された更新時
刻を求める。ここでは、更新時刻「11時」が求まる。
そして、その更新時刻と不正アクセスに使用されたIP
アドレス、つまり「192.168.11.104」と
に対応づけられたMACアドレス「XX:XX:XX:
XX:XX:01」を取得し、得られたMACアドレス
を追跡ログ126に記録する。Then, the MAC address tracing agent 12 moves to the monitoring server 2 by the server moving function 123 (step S35). Subsequently, the MAC address tracking agent 12 uses the MAC address search function 12
4, the MAC address of the criminal computer 5 is searched by referring to the monitoring log 133 (step S3).
7). That is, the MAC address tracking agent 12
First, from the monitoring log 133, the update time recorded before the unauthorized access time “11:10” and finally recorded is obtained. Here, the update time "11 o'clock" is obtained.
Then, the update time and the IP used for the unauthorized access
The MAC address "XX: XX: XX: associated with the address, that is," 192.168.11.104 "
XX: XX: 01 ”is acquired, and the obtained MAC address is recorded in the tracking log 126.
【0035】そしてMACアドレス追跡エージェント1
2は、コンソール4へと戻り(ステップS39)、最後
に、不正なIPアドレス「192.168.11.10
4」、不正アクセスの時刻「11時10分」及びMAC
アドレス「XX:XX:XX:XX:XX:01」を含
んだ追跡ログ126を表示装置等に出力する(ステップ
S41)。なお、例えば監視サーバ2やエージェント受
容体11が障害などで動作していない場合には、MAC
アドレスが入手できないが、その場合であっても、MA
Cアドレス追跡エージェント12は追跡不可であること
を示す追跡ログ126を出力する。MAC address tracing agent 1
2 returns to the console 4 (step S39), and finally, the illegal IP address “192.168.11.10.
4 ”, time of unauthorized access“ 11:10 ”and MAC
The tracking log 126 including the address "XX: XX: XX: XX: XX: 01" is output to the display device or the like (step S41). If the monitoring server 2 or the agent acceptor 11 is not operating due to a failure, for example, the MAC
The address is not available, but the MA
The C address trace agent 12 outputs a trace log 126 indicating that the trace is impossible.
【0036】さて、上記実施例では、入力された不正I
Pアドレスに対し、監視サーバ2のIPアドレスが1つ
求まるとして説明したが、図1の左のMIB監視エージ
ェント13のように、複数のMIB31を監視対象とし
ている場合は、これら複数のMIB31で更新されたア
ドレスペアと不正アクセスの時刻とが、1つの監視ログ
133に記録されるので、一方のMIB31にしか不正
の記録が残らない不正アクセスの場合であっても、他方
のMIB31から生成した監視ログ133から、犯人の
コンピュータのMACアドレスを入手することができ
る。In the above embodiment, the input illegal I
Although it has been described that one IP address of the monitoring server 2 is obtained for the P address, when a plurality of MIBs 31 are monitored as in the MIB monitoring agent 13 on the left of FIG. Since the generated address pair and the time of the unauthorized access are recorded in one monitoring log 133, even in the case of the unauthorized access in which the unauthorized record remains in only one MIB 31, the monitoring generated from the other MIB 31. The MAC address of the criminal's computer can be obtained from the log 133.
【0037】また、複数のMIB監視エージェント13
が1つのMIB31を監視している場合は、上記と異な
るMACアドレスの入手方法を実施することができる。
以下に相違点を説明する。Further, a plurality of MIB monitoring agents 13
When monitoring one MIB 31, a method of obtaining a MAC address different from the above can be implemented.
The differences will be described below.
【0038】まず、MACアドレス追跡エージェント1
2が、これら複数のMIB監視エージェント13のいる
監視サーバ2を巡回することができる。つまり、ステッ
プS33の検索処理では、複数の監視サーバ2のIPア
ドレスが求まるので、それら監視サーバ2で、ステップ
S37のようにMACアドレスを検索しながら巡回を行
い、最後にコンソール4へと戻ればよい。First, the MAC address tracing agent 1
2 can circulate the monitoring server 2 including the plurality of MIB monitoring agents 13. In other words, in the search process of step S33, the IP addresses of the plurality of monitoring servers 2 are obtained. Therefore, if the monitoring servers 2 perform the search while searching for the MAC address as in step S37, and finally return to the console 4. Good.
【0039】また、複数のMACアドレス追跡エージェ
ント12をコンソール4で動作させておき、各MACア
ドレス追跡エージェント12が、複数の監視サーバ2の
それぞれに移動してMACアドレスを入手するようにも
できる。かかる処理によれば、いずれかのMACアドレ
ス追跡エージェント12が、ネットワークの途中で処理
不能となっても、処理可能な他のMACアドレス追跡エ
ージェント12により犯人のコンピュータのMACアド
レスを入手することができる。It is also possible to operate a plurality of MAC address tracking agents 12 on the console 4 so that each MAC address tracking agent 12 moves to each of the plurality of monitoring servers 2 to obtain a MAC address. According to this processing, even if one of the MAC address tracking agents 12 becomes unprocessable in the middle of the network, another MAC address tracking agent 12 that can be processed can obtain the MAC address of the criminal's computer. .
【0040】また、上記実施例では、MACアドレス追
跡エージェント12が、コンソール4へ戻るようにした
が、他のコンピュータを戻る場所として設定しておい
て、MACアドレスを取得したら、そのコンピュータへ
戻り報告を行うようにしてもよい。In the above embodiment, the MAC address tracing agent 12 is set to return to the console 4. However, if another computer is set as a return place and the MAC address is acquired, the computer returns to the computer and reports it. May be performed.
【0041】以上説明したように、本実施例の不正アク
セス追跡方法によれば、不正アクセスに使用されたIP
アドレスからアクセス元のコンピュータのMACアドレ
スを入手するために、複数の監視サーバのそれぞれでM
IB監視エージェント13が、監視対象である管理情報
ベース(MIB)の更新を検出するとともに、当該更新
において記録されたIPアドレスとMACアドレスのペ
アを、更新時刻に対応づけて当該監視エージェントの監
視ログに記録しておき、不正アクセス追跡に際しては、
不正アクセスの時刻と当該不正アクセスに使用されたI
Pアドレスとを入力した追跡エージェントが、複数の監
視サーバのそれぞれのIPアドレスと当該各監視サーバ
に割り当てられたネットワークセグメントのアドレスと
を対応づけた監視エージェント管理テーブル41から、
当該不正アクセスに使用されたIPアドレスを含むセグ
メントのアドレスに対応する監視サーバのIPアドレス
を求め、当該追跡エージェントが、当該求めたIPアド
レスをもつ監視サーバに移動し、該監視サーバにおける
監視エージェントの監視ログから、当該不正アクセスの
時刻以前でかつ最後に記録された更新時刻と当該IPア
ドレスとに対応づけられたMACアドレスを取得し、該
取得したMACアドレスを当該追跡エージェントの追跡
ログに記録し、当該追跡エージェントが、予め定められ
たコンソール4に移動し当該MACアドレスの記録され
た追跡ログを出力するので、IPアドレスを詐称して不
正アクセスした犯人のコンピュータのMACアドレスを
取得することができる。As described above, according to the unauthorized access tracking method of this embodiment, the IP used for unauthorized access is
In order to obtain the MAC address of the access source computer from the address, M of each of the plurality of monitoring servers
The IB monitoring agent 13 detects the update of the management information base (MIB) to be monitored, and associates the pair of the IP address and the MAC address recorded in the update with the update time to monitor the monitoring log of the monitoring agent. Please record in the
Time of unauthorized access and I used for the unauthorized access
The tracking agent, which has input the P address, uses the monitoring agent management table 41 in which the IP addresses of the plurality of monitoring servers are associated with the addresses of the network segments assigned to the respective monitoring servers.
The IP address of the monitoring server corresponding to the address of the segment including the IP address used for the unauthorized access is obtained, the tracking agent moves to the monitoring server having the obtained IP address, and the monitoring agent of the monitoring server From the monitoring log, the MAC address associated with the update time last recorded before the time of the unauthorized access and the relevant IP address is acquired, and the acquired MAC address is recorded in the tracking log of the tracking agent. , The tracking agent moves to a predetermined console 4 and outputs a tracking log in which the MAC address is recorded, so that the MAC address of the computer of the criminal who illegally accessed by misrepresenting the IP address can be acquired. .
【0042】なお、上記説明したエージェント受容体1
1、MACアドレス追跡エージェント12、MIB監視
エージェント13をコンピュータで動作させるためのプ
ログラムは、半導体メモリ、磁気ディスク、光ディス
ク、光磁気ディスク、磁気テープなどのコンピュータ読
み取り可能な記録媒体に記録したり、インターネットな
どの通信網を介して伝送させて、広く流通させることが
できる。The agent acceptor 1 described above is used.
1. A program for operating the MAC address tracking agent 12 and the MIB monitoring agent 13 on a computer is recorded on a computer-readable recording medium such as a semiconductor memory, a magnetic disk, an optical disk, a magneto-optical disk, a magnetic tape, or the Internet. It can be widely distributed by being transmitted via a communication network such as.
【0043】また、上記実施例では、不正アクセスの対
象を1つのウェブサーバとして、このサーバに対する3
回のアクセスを例に説明したが、FTPサーバやTEL
NETサーバなどの他の種類のサーバが不正アクセスの
対象であっても、または、各回のアクセス対象が異なっ
ても、同様の作用効果を得ることができる。Further, in the above embodiment, the target of unauthorized access is one web server, and the number of servers for this server is three.
The explanation has been given by taking an example of access once, but the FTP server or TEL
Even if another type of server such as a NET server is the target of unauthorized access, or the target of each access is different, the same effect can be obtained.
【0044】[0044]
【発明の効果】以上説明したように、本発明によれば、
IPアドレスからMACアドレスを取得することができ
るので、IPアドレスを詐称して不正アクセスした犯人
のコンピュータを特定することができる。As described above, according to the present invention,
Since the MAC address can be obtained from the IP address, it is possible to identify the computer of the criminal who illegally accessed by misrepresenting the IP address.
【図1】本発明の不正アクセス追跡方法を実施するため
のネットワークの構成の一例を示す図である。FIG. 1 is a diagram showing an example of a network configuration for implementing an unauthorized access tracking method of the present invention.
【図2】監視サーバ2とコンソール4の構成を示す図で
ある。FIG. 2 is a diagram showing a configuration of a monitoring server 2 and a console 4.
【図3】監視エージェント管理テーブル41を示す図で
ある。FIG. 3 is a diagram showing a monitoring agent management table 41.
【図4】不正アクセスとMACアドレス入手の様子を示
すシーケンス図である。FIG. 4 is a sequence diagram showing a state of unauthorized access and acquisition of a MAC address.
【図5】不正アクセスの課程でのMIB31の更新の様
子を示す図である。FIG. 5 is a diagram showing how the MIB 31 is updated in the course of unauthorized access.
【図6】監視ログ133に記録される内容を示す図であ
る。FIG. 6 is a diagram showing contents recorded in a monitoring log 133.
1 ウェブサーバ 2 監視サーバ 3 ルータ 4 管理者のコンピュータ 5 犯人のコンピュータ 11 エージェント受容体 12 MACアドレス追跡エージェント 13 MIB監視エージェント 1 Web server 2 monitoring server 3 routers 4 Administrator's computer 5 Criminal's computer 11 Agent Receptor 12 MAC address tracking agent 13 MIB monitoring agent
Claims (4)
からアクセス元のコンピュータのMACアドレスを入手
する不正アクセス追跡方法であって、 監視サーバで監視エージェントが、監視対象である管理
情報ベースの更新を検出するとともに、当該更新におい
て記録されたIPアドレスとMACアドレスのペアを、
更新時刻に対応づけて当該監視エージェントの監視ログ
に記録しておき、 不正アクセス追跡に際しては、 不正アクセスの時刻と当該不正アクセスに使用されたI
Pアドレスとを入力した追跡エージェントが、前記監視
サーバに移動し、 当該追跡エージェントが、前記監視エージェントの監視
ログから、当該不正アクセスの時刻以前でかつ最後に記
録された更新時刻と当該IPアドレスとに対応づけられ
たMACアドレスを取得し、該取得したMACアドレス
を当該追跡エージェントの追跡ログに記録し、 当該追跡エージェントが、予め定められたコンピュータ
に移動して当該MACアドレスの記録された追跡ログを
出力することを特徴とする不正アクセス追跡方法。1. A method for tracing an unauthorized access, which obtains a MAC address of an access source computer from an IP address used for unauthorized access, wherein a monitoring agent in a monitoring server detects an update of a management information base to be monitored. In addition, the pair of IP address and MAC address recorded in the update is
It is recorded in the monitoring log of the monitoring agent in association with the update time, and when tracing unauthorized access, the time of the unauthorized access and the I used for the unauthorized access are recorded.
The tracking agent that has entered the P address moves to the monitoring server, and the tracking agent displays the update time and the last recorded IP address before the time of the unauthorized access from the monitoring log of the monitoring agent. The MAC address associated with is acquired, the acquired MAC address is recorded in the tracking log of the tracking agent, and the tracking agent moves to a predetermined computer and the tracking log in which the MAC address is recorded. An unauthorized access tracking method characterized by outputting.
からアクセス元のコンピュータのMACアドレスを入手
する不正アクセス追跡方法であって、 複数の監視サーバのそれぞれで監視エージェントが、監
視対象である管理情報ベースの更新を検出するととも
に、当該更新において記録されたIPアドレスとMAC
アドレスのペアを、更新時刻に対応づけて当該監視エー
ジェントの監視ログに記録しておき、 不正アクセス追跡に際しては、 不正アクセスの時刻と当該不正アクセスに使用されたI
Pアドレスとを入力した追跡エージェントが、前記複数
の監視サーバのそれぞれのIPアドレスと当該各監視サ
ーバに割り当てられたネットワークセグメントのアドレ
スとを対応づけたテーブルから、当該不正アクセスに使
用されたIPアドレスを含むセグメントのアドレスに対
応する監視サーバのIPアドレスを求め、 当該追跡エージェントが、当該求めたIPアドレスをも
つ監視サーバに移動し、該監視サーバにおける監視エー
ジェントの監視ログから、当該不正アクセスの時刻以前
でかつ最後に記録された更新時刻と当該IPアドレスと
に対応づけられたMACアドレスを取得し、該取得した
MACアドレスを当該追跡エージェントの追跡ログに記
録し、 当該追跡エージェントが、予め定められたコンピュータ
に移動し当該MACアドレスの記録された追跡ログを出
力することを特徴とする不正アクセス追跡方法。2. A method for tracing an unauthorized access, wherein a MAC address of a computer as an access source is obtained from an IP address used for unauthorized access, wherein a monitoring agent in each of a plurality of monitoring servers is a management information base to be monitored. Detected the update, and the IP address and MAC recorded in the update
The address pair is recorded in the monitoring log of the monitoring agent in association with the update time. When tracing unauthorized access, the unauthorized access time and the I used for the unauthorized access are recorded.
The IP address used for the unauthorized access from the table in which the tracing agent that has input the P address associates the IP addresses of the plurality of monitoring servers with the addresses of the network segments assigned to the respective monitoring servers. The IP address of the monitoring server corresponding to the address of the segment that contains is detected, the tracking agent moves to the monitoring server with the calculated IP address, and the unauthorized access time is displayed from the monitoring log of the monitoring agent on the monitoring server. The MAC address associated with the previous and last recorded update time and the IP address is acquired, and the acquired MAC address is recorded in the tracking log of the tracking agent. Computer and move to the MAC Unauthorized access tracking method and outputting the recorded tracking logs less.
ェントをコンピュータで動作させるプログラムである不
正アクセス追跡プログラム。3. An unauthorized access tracking program, which is a program for operating the monitoring agent or the tracking agent on a computer.
ェントをコンピュータで動作させるプログラムである不
正アクセス追跡プログラムが記録された記録媒体。4. A recording medium on which an unauthorized access tracking program, which is a program for operating the monitoring agent or the tracking agent on a computer, is recorded.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001376271A JP2003178024A (en) | 2001-12-10 | 2001-12-10 | Unauthorized access tracking method, its program, and recording medium on which the program is recorded |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001376271A JP2003178024A (en) | 2001-12-10 | 2001-12-10 | Unauthorized access tracking method, its program, and recording medium on which the program is recorded |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003178024A true JP2003178024A (en) | 2003-06-27 |
Family
ID=19184499
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001376271A Pending JP2003178024A (en) | 2001-12-10 | 2001-12-10 | Unauthorized access tracking method, its program, and recording medium on which the program is recorded |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003178024A (en) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000124952A (en) * | 1998-10-15 | 2000-04-28 | Ntt Data Corp | Electronic data tracking method and system, recording medium |
| JP2006279691A (en) * | 2005-03-30 | 2006-10-12 | Fujitsu Ltd | Unauthorized access search method and apparatus |
| JP2010033539A (en) * | 2008-07-30 | 2010-02-12 | Korea Electronics Telecommun | Reverse tracking system for web base using reverse cashing proxy |
| US8068414B2 (en) * | 2004-08-09 | 2011-11-29 | Cisco Technology, Inc. | Arrangement for tracking IP address usage based on authenticated link identifier |
| JP2013520940A (en) * | 2010-02-24 | 2013-06-06 | クゥアルコム・インコーポレイテッド | Method and wireless device for managing participation in multiple wireless networks and managing multiple identities |
| CN118171324A (en) * | 2024-05-13 | 2024-06-11 | 山东琅清碳和技术服务有限公司 | Scientific and technological information data query system based on big data |
-
2001
- 2001-12-10 JP JP2001376271A patent/JP2003178024A/en active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000124952A (en) * | 1998-10-15 | 2000-04-28 | Ntt Data Corp | Electronic data tracking method and system, recording medium |
| US8068414B2 (en) * | 2004-08-09 | 2011-11-29 | Cisco Technology, Inc. | Arrangement for tracking IP address usage based on authenticated link identifier |
| JP2006279691A (en) * | 2005-03-30 | 2006-10-12 | Fujitsu Ltd | Unauthorized access search method and apparatus |
| JP2010033539A (en) * | 2008-07-30 | 2010-02-12 | Korea Electronics Telecommun | Reverse tracking system for web base using reverse cashing proxy |
| JP2013520940A (en) * | 2010-02-24 | 2013-06-06 | クゥアルコム・インコーポレイテッド | Method and wireless device for managing participation in multiple wireless networks and managing multiple identities |
| CN118171324A (en) * | 2024-05-13 | 2024-06-11 | 山东琅清碳和技术服务有限公司 | Scientific and technological information data query system based on big data |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11716344B2 (en) | Elastic asset-based licensing model for use in a vulnerability management system | |
| US20250119444A1 (en) | Rule-Based Network-Threat Detection | |
| RU2461050C2 (en) | Network group name for virtual machines | |
| CN104219330B (en) | It is a kind of that the method and system for carrying out record screen audit are acted on behalf of based on WEB | |
| US20200344254A1 (en) | Computer-implemented system and method for creating an environment for detecting malicious content | |
| US8055751B2 (en) | IP network management based on automatically acquired network entity status information | |
| US7953868B2 (en) | Method and system for preventing web crawling detection | |
| US8139497B2 (en) | Method and system using ARP cache data to enhance accuracy of asset inventories | |
| US20030005092A1 (en) | Method for locating and recovering devices which are connected to the internet or to an internet-connected network | |
| CN104113447B (en) | Monitor the method, apparatus and system of domain name mapping pollution | |
| KR20000076842A (en) | System and method for configuring network-attached terminals | |
| US11133977B2 (en) | Anonymizing action implementation data obtained from incident analysis systems | |
| TW201512990A (en) | Method for managing topology of virtual machines and management system using for the same | |
| CN106686007A (en) | An active traffic analysis method for discovering controlled rerouting nodes in the intranet | |
| WO2017096888A1 (en) | Method and device for implementing domain name system | |
| US8146146B1 (en) | Method and apparatus for integrated network security alert information retrieval | |
| US20120250522A1 (en) | Inferred Discovery of a Data Communications Device | |
| WO2021139240A1 (en) | Domain name compression method and product related thereto | |
| CN101551813A (en) | Network connection apparatus, search equipment and method for collecting search engine data source | |
| WO2024234861A1 (en) | Threat event sourcing method and related device | |
| JP2003178024A (en) | Unauthorized access tracking method, its program, and recording medium on which the program is recorded | |
| US10817592B1 (en) | Content tracking system that dynamically tracks and identifies pirated content exchanged over a network | |
| TWI521932B (en) | Method for managing internet protocol addresses in network | |
| US20170366447A1 (en) | Network Failover and Loop Detection in Hierarchical Networks | |
| US12182288B2 (en) | Remediating storage of sensitive data on hardware device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20040601 |