JP2003178024A - 不正アクセス追跡方法、そのプログラム及びそのプログラムが記録された記録媒体 - Google Patents

不正アクセス追跡方法、そのプログラム及びそのプログラムが記録された記録媒体

Info

Publication number
JP2003178024A
JP2003178024A JP2001376271A JP2001376271A JP2003178024A JP 2003178024 A JP2003178024 A JP 2003178024A JP 2001376271 A JP2001376271 A JP 2001376271A JP 2001376271 A JP2001376271 A JP 2001376271A JP 2003178024 A JP2003178024 A JP 2003178024A
Authority
JP
Japan
Prior art keywords
address
monitoring
unauthorized access
agent
tracking
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001376271A
Other languages
English (en)
Inventor
Yoshisato Furukawa
嘉識 古川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Comware Corp
Original Assignee
NTT Comware Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Comware Corp filed Critical NTT Comware Corp
Priority to JP2001376271A priority Critical patent/JP2003178024A/ja
Publication of JP2003178024A publication Critical patent/JP2003178024A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

(57)【要約】 【課題】 IPアドレスを詐称して不正アクセスした犯
人のコンピュータのMACアドレスを取得することがで
きる不正アクセス追跡方法を提供する。 【解決手段】 監視サーバ2でMIB監視エージェント
13が、監視対象である管理情報ベース(MIB)31
の更新を検出するとともに、当該更新において記録され
たIPアドレスとMACアドレスのペアを、更新時刻に
対応づけて当該監視エージェント13の監視ログ133
に記録しておき、不正アクセス追跡に際しては、不正ア
クセスの時刻と当該不正アクセスに使用されたIPアド
レスとを入力したMACアドレス追跡エージェント12
が、監視サーバ2に移動し、当該追跡エージェントが、
監視ログ133から、当該不正アクセスの時刻以前でか
つ最後に記録された更新時刻と当該IPアドレスとに対
応づけられたMACアドレスを取得し、該取得したMA
Cアドレスを記録し、MACアドレス追跡エージェント
12が、コンソール4に移動してMACアドレスを出力
する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、社内ネットワーク
等で不正アクセスを行った犯人のコンピュータをつきと
める技術に係り、特に、IPアドレスを詐称して不正ア
クセスした犯人のコンピュータのMACアドレスを取得
することができる不正アクセス追跡方法、そのプログラ
ム及びそのプログラムが記録された記録媒体に関する。
【0002】
【従来の技術】近年にあっては、サーバへの不正アクセ
スが急増しており、その犯人の追跡の重要性を増してい
る。なお、犯人の追跡とは、犯人の使用したコンピュー
タを特定等することであり、追跡という言葉が便宜的に
使われる。
【0003】従来は、各種ログから、不正アクセスに使
用されたIPアドレスを特定し、そのIPアドレスをも
つコンピュータを犯人のものとすることができた。
【0004】
【発明が解決しようとする課題】しかし、IPアドレス
は詐称が容易であるため、突き止めたIPアドレスか
ら、実際のアクセス元コンピュータを必ずしも特定でき
なかった。つまり、IPアドレスは、DHCPサーバや
管理者から割り当てられたものが通常正当なものとされ
るが、これをコンピュータの設定変更で詐称することは
容易であり、IPアドレスが衝突しない限り機能的に不
都合は生じない。しかも、IPアドレスからコンピュー
タを特定できないので、不正アクセスの犯人にとっては
都合がよい。
【0005】IPアドレスの詐称対策としては、セキュ
リティ機能つきのハブが使用される。このハブに、IP
アドレスとMACアドレスの組をコンピュータごとに設
定しておけば、この組からはずれたコンピュータからの
アクセス要求を拒否するというフィルタリングを行うこ
とができる。
【0006】しかしながら、企業といった組織では、社
員の異動に伴いコンピュータを交換することが多くな
り、この場合はハブのセキュリティの再設定が必要にな
るが、その作業が繁雑なため、設定がされないことが多
い。そのため、詐称したIPアドレスでの不正アクセス
対策は必ずしも万全ではなかった。
【0007】そこで、詐称したIPアドレスから犯人の
コンピュータのMACアドレスを得ることができれば、
ハブの問題が解決できるばかりでなく、コンピュータの
MACアドレスを変更することは通常不可能であるから
言い逃れができなくなり、しがたって、そのメリットは
非常に大きい。
【0008】そこで本発明は、上記の従来の課題に鑑み
てなされたものであり、その目的とするところは、IP
アドレスを詐称して不正アクセスした犯人のコンピュー
タのMACアドレスを取得することができる不正アクセ
ス追跡方法を提供することにある。
【0009】
【課題を解決するための手段】上記従来の課題を解決す
るために、請求項1の本発明は、不正アクセスに使用さ
れたIPアドレスからアクセス元のコンピュータのMA
Cアドレスを入手する不正アクセス追跡方法であって、
監視サーバで監視エージェントが、監視対象である管理
情報ベースの更新を検出するとともに、当該更新におい
て記録されたIPアドレスとMACアドレスのペアを、
更新時刻に対応づけて当該監視エージェントの監視ログ
に記録しておき、不正アクセス追跡に際しては、不正ア
クセスの時刻と当該不正アクセスに使用されたIPアド
レスとを入力した追跡エージェントが、前記監視サーバ
に移動し、当該追跡エージェントが、前記監視エージェ
ントの監視ログから、当該不正アクセスの時刻以前でか
つ最後に記録された更新時刻と当該IPアドレスとに対
応づけられたMACアドレスを取得し、該取得したMA
Cアドレスを当該追跡エージェントの追跡ログに記録
し、当該追跡エージェントが、予め定められたコンピュ
ータに移動して当該MACアドレスの記録された追跡ロ
グを出力することを特徴とする不正アクセス追跡方法を
もって解決手段とする。
【0010】請求項1の本発明によれば、不正アクセス
に使用されたIPアドレスからアクセス元のコンピュー
タのMACアドレスを入手するために、監視サーバで監
視エージェントが、監視対象である管理情報ベースの更
新を検出するとともに、当該更新において記録されたI
PアドレスとMACアドレスのペアを、更新時刻に対応
づけて当該監視エージェントの監視ログに記録してお
き、不正アクセス追跡に際しては、不正アクセスの時刻
と当該不正アクセスに使用されたIPアドレスとを入力
した追跡エージェントが、前記監視サーバに移動し、当
該追跡エージェントが、前記監視エージェントの監視ロ
グから、当該不正アクセスの時刻以前でかつ最後に記録
された更新時刻と当該IPアドレスとに対応づけられた
MACアドレスを取得し、該取得したMACアドレスを
当該追跡エージェントの追跡ログに記録し、当該追跡エ
ージェントが、予め定められたコンピュータに移動して
当該MACアドレスの記録された追跡ログを出力するの
で、IPアドレスを詐称して不正アクセスした犯人のコ
ンピュータのMACアドレスを取得することができる。
【0011】請求項2の本発明は、不正アクセスに使用
されたIPアドレスからアクセス元のコンピュータのM
ACアドレスを入手する不正アクセス追跡方法であっ
て、複数の監視サーバのそれぞれで監視エージェント
が、監視対象である管理情報ベースの更新を検出すると
ともに、当該更新において記録されたIPアドレスとM
ACアドレスのペアを、更新時刻に対応づけて当該監視
エージェントの監視ログに記録しておき、不正アクセス
追跡に際しては、不正アクセスの時刻と当該不正アクセ
スに使用されたIPアドレスとを入力した追跡エージェ
ントが、前記複数の監視サーバのそれぞれのIPアドレ
スと当該各監視サーバに割り当てられたネットワークセ
グメントのアドレスとを対応づけたテーブルから、当該
不正アクセスに使用されたIPアドレスを含むセグメン
トのアドレスに対応する監視サーバのIPアドレスを求
め、当該追跡エージェントが、当該求めたIPアドレス
をもつ監視サーバに移動し、該監視サーバにおける監視
エージェントの監視ログから、当該不正アクセスの時刻
以前でかつ最後に記録された更新時刻と当該IPアドレ
スとに対応づけられたMACアドレスを取得し、該取得
したMACアドレスを当該追跡エージェントの追跡ログ
に記録し、当該追跡エージェントが、予め定められたコ
ンピュータに移動し当該MACアドレスの記録された追
跡ログを出力することを特徴とする不正アクセス追跡方
法をもって解決手段とする。
【0012】請求項2の本発明によれば、不正アクセス
に使用されたIPアドレスからアクセス元のコンピュー
タのMACアドレスを入手するために、複数の監視サー
バのそれぞれで監視エージェントが、監視対象である管
理情報ベースの更新を検出するとともに、当該更新にお
いて記録されたIPアドレスとMACアドレスのペア
を、更新時刻に対応づけて当該監視エージェントの監視
ログに記録しておき、不正アクセス追跡に際しては、不
正アクセスの時刻と当該不正アクセスに使用されたIP
アドレスとを入力した追跡エージェントが、前記複数の
監視サーバのそれぞれのIPアドレスと当該各監視サー
バに割り当てられたネットワークセグメントのアドレス
とを対応づけたテーブルから、当該不正アクセスに使用
されたIPアドレスを含むセグメントのアドレスに対応
する監視サーバのIPアドレスを求め、当該追跡エージ
ェントが、当該求めたIPアドレスをもつ監視サーバに
移動し、該監視サーバにおける監視エージェントの監視
ログから、当該不正アクセスの時刻以前でかつ最後に記
録された更新時刻と当該IPアドレスとに対応づけられ
たMACアドレスを取得し、該取得したMACアドレス
を当該追跡エージェントの追跡ログに記録し、当該追跡
エージェントが、予め定められたコンピュータに移動し
当該MACアドレスの記録された追跡ログを出力するの
で、IPアドレスを詐称して不正アクセスした犯人のコ
ンピュータのMACアドレスを取得することができる。
【0013】請求項3の本発明は、前記監視エージェン
トまたは追跡エージェントをコンピュータで動作させる
プログラムである不正アクセス追跡プログラムをもって
解決手段とする。
【0014】請求項4の本発明は、前記監視エージェン
トまたは追跡エージェントをコンピュータで動作させる
プログラムである不正アクセス追跡プログラムが記録さ
れた記録媒体をもって解決手段とする。
【0015】請求項3または4の本発明にあっては、監
視エージェントまたは追跡エージェントをコンピュータ
で動作させるプログラムである不正アクセス追跡プログ
ラムを半導体メモリ、磁気ディスク、光ディスク、光磁
気ディスク、磁気テープなどのコンピュータ読み取り可
能な記録媒体に記録したり、インターネットなどの通信
網を介して伝送させて、広く流通させることができるよ
うにしている。
【0016】
【発明の実施の形態】以下、本発明の実施の形態を図面
を参照して説明する。図1は、本発明の不正アクセス追
跡方法を実施するためのネットワークの構成の一例を示
す図である。図1に示すように、例えば企業内のイント
ラネットにおいて、ウェブサーバ1と、監視目的で使用
される監視サーバ2と、ルータ3と、ネットワーク管理
者のコンピュータであるコンソール4とがLAN回線で
接続等されている。また、ネットワークには、サーバへ
の攻撃に使用とする犯人のコンピュータ5が接続されて
いる。なお、コンピュータ5はどのセグメントに属して
いても問題はない。ウェブサーバ1は、例えば、社員へ
の情報提供を行っており、犯人にとっては攻撃対象であ
る。なお、犯人のコンピュータ5以外のコンピュータに
ついては図示省略している。
【0017】各ルータ3、ウェブサーバ1はそれぞれ、
MIB(管理情報ベース)31を有している。これら各
ルータ3等は、IPパケットが到着したときに、そのI
PアドレスとMACアドレス(物理アドレス)のペア
(以下、アドレスペアまたはペアという)を、自分のM
IB31に書き込む。また、書き込み済みのIPアドレ
スを含むペアが到着したときは、そのペアで書き込み済
みのIPアドレスを含むペアを上書き更新する。
【0018】監視サーバ2、コンソール4は、それぞ
れ、エージェントを動作させるためのプラットフォーム
(基本プログラム)であるエージェント受容体11を動
作させている。
【0019】監視サーバ2にあっては、エージェント受
容体11がMIB監視エージェント13を動作させてい
る。MIB監視エージェント13は、監視対象として割
り当てられたMIB31を監視し、アドレスペアの更新
があったときは、そのペアを取得し、更新時刻に対応づ
けて、自分の監視ログに記録するようになっている。図
1の左のMIB監視エージェント13のように、監視対
象は複数のMIB31であってもよい。また、複数のM
IB監視エージェント13が1つのMIB31を監視し
てもよい。
【0020】また、コンソール4にあっては、エージェ
ント受容体11がMACアドレス追跡エージェント12
を待機させている。そして、エージェント受容体11が
動作する監視サーバ2、コンソール4の間ではMACア
ドレス追跡エージェント12が移動することができ、M
ACアドレス追跡エージェント12は、不正アクセスの
時刻と使用されたIPアドレスが入力されると、監視サ
ーバ2へと移動し、犯人のコンピュータのMACアドレ
スを入手し、そのMACアドレスをコンソール4に戻っ
てから報告するようになっている。
【0021】図2は、監視サーバ2とコンソール4の構
成を示す図である。
【0022】監視サーバ2には、エージェント受容体1
1とMIB監視エージェント13が動作している。MI
B監視エージェント13は、MIB監視機能131とア
ドレスペア記録機能132と監視ログ133を備えてい
る。MIB監視機能131は、監視対象のMIB31の
更新を監視し、更新で新たに記録されたペアを取得する
機能である。アドレスペア記録機能132は、取得した
ペアを更新時刻に対応づけて監視ログ133に記録する
機能である。
【0023】コンソール4には、エージェント受容体1
1が動作しており、MACアドレス追跡エージェント1
2が待機している。MACアドレス追跡エージェント1
2は、情報入力機能121と、テーブル検索機能122
と、サーバ移動機能123と、MACアドレス検索機能
124と、追跡ログ出力機能125と、追跡ログ126
とを備えている。
【0024】情報入力機能121は、不正アクセスの時
刻と使用されたIPアドレスを入力して追跡ログ126
に記録する機能である。テーブル検索機能122は、後
述する監視エージェント管理テーブル41から監視サー
バ2のIPアドレスを検索する機能である。サーバ移動
機能123は、エージェント自身がコンソール4と監視
サーバ2の間を移動する機能である。MACアドレス検
索機能124は、移動先の監視サーバ2で監視ログ13
3からMACアドレスを検索して追跡ログ126に記録
する機能である。追跡ログ出力機能125は、追跡ログ
126をコンソール4の表示装置等に表示する機能であ
る。
【0025】また、コンソール4は、各監視サーバ2の
アドレスが記録された監視エージェント管理テーブル4
1を備えている。
【0026】図3は、監視エージェント管理テーブル4
1を示す図である。監視エージェント管理テーブル41
は、ネットワークセグメントのネットワークアドレスN
Aと、そのネットワークセグメントを割り当てられた監
視サーバ2のIPアドレスとが対応づけて記録される。
ネットワークアドレスNAは、実際には、サブネットア
ドレスとサブネットマスクなどによって表現される。
【0027】次に、本実施の形態の作用を説明する。図
4は、本実施の形態における不正アクセスとMACアド
レス入手の様子を示すシーケンス図である。図5は、不
正アクセスの課程でのMIB31の更新の様子を示す図
である。図6は、監視ログ133に記録される内容を示
す図である。ここで、犯人のコンピュータ5のMACア
ドレスを「XX:XX:XX:XX:XX:01」と
し、正規のIPアドレスを「192.168.11.1
01」として説明する。なお、図1のネットワーク構成
では、コンピュータ5からウェブサーバ1へのアクセス
は、2つのルータ3を介してなされるが、コンピュータ
5が属するネットワークセグメントを担当する図1右の
ルータ3を例として説明する。なお、時刻については便
宜的に例示する。
【0028】まず、犯人がコンピュータ5から、正規の
IPアドレス「192.168.11.101」を使用
して、ウェブサーバ1へ10時にアクセスする(ステッ
プS1)と、ルータ3は、図5(a)に示すように、そ
の正規のIPアドレスと、コンピュータ5のMACアド
レス「XX:XX:XX:XX:XX:01」のペア
を、自分のMIB31(以下単にMIB31という)に
記録する(ステップS3)。すると、図1の右の監視サ
ーバ2(以下、単に監視サーバ2という)で動作するM
IB監視エージェント13(以下、単にMIB監視エー
ジェント13という)が、図6に示すように、MIB監
視機能131により、MIB31からこのアドレスペア
を取得し、これをアドレスペア記録機能132により、
更新時刻「10時」に対応づけて監視ログ133に記録
する(ステップS5)。なお、この更新時刻は、ネット
ワークの遅延時間を無視できれば、アドレスペアの取得
時刻で代用することができ、以下においても同様であ
る。
【0029】そして、コンピュータ5において、正規の
IPアドレスが不正なIPアドレス「192.168.
11.104」に書き換えられ(ステップS7)、11
時にウェブサーバ1へのアクセスがなされる(ステップ
S9)と、ルータ3は、図5(b)に示すように、不正
なIPアドレスとMACアドレス「XX:XX:XX:
XX:XX:01」のペアで、正規のIPアドレスを含
むペアを更新する(ステップS11)。すると、MIB
監視エージェント13が、図6に示すように、更新され
たアドレスペアを取得し、これを更新時刻「11時」に
対応づけて監視ログ133に記録する(ステップS1
3)。
【0030】なおルータ3は、これ以降の不正アクセス
のときはMIB31の更新を行わない。したがってMI
B31の内容は、図5(b)のままである。
【0031】そして、コンピュータ5において、不正な
IPアドレスが正規のIPアドレス「192.168.
11.101」に戻され(ステップS15)、そして1
2時にウェブサーバ1へのアクセスがなされる(ステッ
プS17)と、ルータ3は、図5(c)に示すように、
その正規のIPアドレスを含むペアで、不正なIPアド
レスを含むペアを更新する(ステップS19)。する
と、MIB監視エージェント13が、図6に示すよう
に、更新されたアドレスペアを取得し、これを更新時刻
「12時」に対応づけて監視ログ133に記録する(ス
テップS21)。
【0032】ここで、ステップS9からステップS17
までの間に、犯人のコンピュータ5からなされた不正ア
クセスによりウェブサーバ1が被害を受けたこととす
る。そして、所定の追跡処理が行われた結果、不正アク
セスに使用されたIPアドレス「192.168.1
1.104」と不正アクセスの時刻「11時10分」が
得られ、これがコンソール4からMACアドレス追跡エ
ージェント12に入力されたこととする(ステップS3
1)。
【0033】MACアドレス追跡エージェント12は、
情報入力機能121により、このIPアドレスと不正ア
クセスの時刻を追跡ログ126に記録した上で、テーブ
ル検索機能122により監視エージェント管理テーブル
41を検索して、移動先となる監視サーバ2のIPアド
レスを求める(ステップS33)。つまり、監視エージ
ェント管理テーブル41を参照して、IPアドレス「1
92.168.11.104」を含むネットワークセグ
メントのネットワークアドレスを求め、これに対応する
監視サーバ2のIPアドレスを求めるのである。
【0034】そして、MACアドレス追跡エージェント
12は、サーバ移動機能123により、監視サーバ2へ
移動する(ステップS35)。続いて、MACアドレス
追跡エージェント12は、MACアドレス検索機能12
4により、監視ログ133を参照して、犯人のコンピュ
ータ5のMACアドレスを検索する(ステップS3
7)。つまり、MACアドレス追跡エージェント12
は、まず、監視ログ133から、不正アクセスの時刻
「11時10分」以前でかつ、最後に記録された更新時
刻を求める。ここでは、更新時刻「11時」が求まる。
そして、その更新時刻と不正アクセスに使用されたIP
アドレス、つまり「192.168.11.104」と
に対応づけられたMACアドレス「XX:XX:XX:
XX:XX:01」を取得し、得られたMACアドレス
を追跡ログ126に記録する。
【0035】そしてMACアドレス追跡エージェント1
2は、コンソール4へと戻り(ステップS39)、最後
に、不正なIPアドレス「192.168.11.10
4」、不正アクセスの時刻「11時10分」及びMAC
アドレス「XX:XX:XX:XX:XX:01」を含
んだ追跡ログ126を表示装置等に出力する(ステップ
S41)。なお、例えば監視サーバ2やエージェント受
容体11が障害などで動作していない場合には、MAC
アドレスが入手できないが、その場合であっても、MA
Cアドレス追跡エージェント12は追跡不可であること
を示す追跡ログ126を出力する。
【0036】さて、上記実施例では、入力された不正I
Pアドレスに対し、監視サーバ2のIPアドレスが1つ
求まるとして説明したが、図1の左のMIB監視エージ
ェント13のように、複数のMIB31を監視対象とし
ている場合は、これら複数のMIB31で更新されたア
ドレスペアと不正アクセスの時刻とが、1つの監視ログ
133に記録されるので、一方のMIB31にしか不正
の記録が残らない不正アクセスの場合であっても、他方
のMIB31から生成した監視ログ133から、犯人の
コンピュータのMACアドレスを入手することができ
る。
【0037】また、複数のMIB監視エージェント13
が1つのMIB31を監視している場合は、上記と異な
るMACアドレスの入手方法を実施することができる。
以下に相違点を説明する。
【0038】まず、MACアドレス追跡エージェント1
2が、これら複数のMIB監視エージェント13のいる
監視サーバ2を巡回することができる。つまり、ステッ
プS33の検索処理では、複数の監視サーバ2のIPア
ドレスが求まるので、それら監視サーバ2で、ステップ
S37のようにMACアドレスを検索しながら巡回を行
い、最後にコンソール4へと戻ればよい。
【0039】また、複数のMACアドレス追跡エージェ
ント12をコンソール4で動作させておき、各MACア
ドレス追跡エージェント12が、複数の監視サーバ2の
それぞれに移動してMACアドレスを入手するようにも
できる。かかる処理によれば、いずれかのMACアドレ
ス追跡エージェント12が、ネットワークの途中で処理
不能となっても、処理可能な他のMACアドレス追跡エ
ージェント12により犯人のコンピュータのMACアド
レスを入手することができる。
【0040】また、上記実施例では、MACアドレス追
跡エージェント12が、コンソール4へ戻るようにした
が、他のコンピュータを戻る場所として設定しておい
て、MACアドレスを取得したら、そのコンピュータへ
戻り報告を行うようにしてもよい。
【0041】以上説明したように、本実施例の不正アク
セス追跡方法によれば、不正アクセスに使用されたIP
アドレスからアクセス元のコンピュータのMACアドレ
スを入手するために、複数の監視サーバのそれぞれでM
IB監視エージェント13が、監視対象である管理情報
ベース(MIB)の更新を検出するとともに、当該更新
において記録されたIPアドレスとMACアドレスのペ
アを、更新時刻に対応づけて当該監視エージェントの監
視ログに記録しておき、不正アクセス追跡に際しては、
不正アクセスの時刻と当該不正アクセスに使用されたI
Pアドレスとを入力した追跡エージェントが、複数の監
視サーバのそれぞれのIPアドレスと当該各監視サーバ
に割り当てられたネットワークセグメントのアドレスと
を対応づけた監視エージェント管理テーブル41から、
当該不正アクセスに使用されたIPアドレスを含むセグ
メントのアドレスに対応する監視サーバのIPアドレス
を求め、当該追跡エージェントが、当該求めたIPアド
レスをもつ監視サーバに移動し、該監視サーバにおける
監視エージェントの監視ログから、当該不正アクセスの
時刻以前でかつ最後に記録された更新時刻と当該IPア
ドレスとに対応づけられたMACアドレスを取得し、該
取得したMACアドレスを当該追跡エージェントの追跡
ログに記録し、当該追跡エージェントが、予め定められ
たコンソール4に移動し当該MACアドレスの記録され
た追跡ログを出力するので、IPアドレスを詐称して不
正アクセスした犯人のコンピュータのMACアドレスを
取得することができる。
【0042】なお、上記説明したエージェント受容体1
1、MACアドレス追跡エージェント12、MIB監視
エージェント13をコンピュータで動作させるためのプ
ログラムは、半導体メモリ、磁気ディスク、光ディス
ク、光磁気ディスク、磁気テープなどのコンピュータ読
み取り可能な記録媒体に記録したり、インターネットな
どの通信網を介して伝送させて、広く流通させることが
できる。
【0043】また、上記実施例では、不正アクセスの対
象を1つのウェブサーバとして、このサーバに対する3
回のアクセスを例に説明したが、FTPサーバやTEL
NETサーバなどの他の種類のサーバが不正アクセスの
対象であっても、または、各回のアクセス対象が異なっ
ても、同様の作用効果を得ることができる。
【0044】
【発明の効果】以上説明したように、本発明によれば、
IPアドレスからMACアドレスを取得することができ
るので、IPアドレスを詐称して不正アクセスした犯人
のコンピュータを特定することができる。
【図面の簡単な説明】
【図1】本発明の不正アクセス追跡方法を実施するため
のネットワークの構成の一例を示す図である。
【図2】監視サーバ2とコンソール4の構成を示す図で
ある。
【図3】監視エージェント管理テーブル41を示す図で
ある。
【図4】不正アクセスとMACアドレス入手の様子を示
すシーケンス図である。
【図5】不正アクセスの課程でのMIB31の更新の様
子を示す図である。
【図6】監視ログ133に記録される内容を示す図であ
る。
【符号の説明】
1 ウェブサーバ 2 監視サーバ 3 ルータ 4 管理者のコンピュータ 5 犯人のコンピュータ 11 エージェント受容体 12 MACアドレス追跡エージェント 13 MIB監視エージェント

Claims (4)

    【特許請求の範囲】
  1. 【請求項1】 不正アクセスに使用されたIPアドレス
    からアクセス元のコンピュータのMACアドレスを入手
    する不正アクセス追跡方法であって、 監視サーバで監視エージェントが、監視対象である管理
    情報ベースの更新を検出するとともに、当該更新におい
    て記録されたIPアドレスとMACアドレスのペアを、
    更新時刻に対応づけて当該監視エージェントの監視ログ
    に記録しておき、 不正アクセス追跡に際しては、 不正アクセスの時刻と当該不正アクセスに使用されたI
    Pアドレスとを入力した追跡エージェントが、前記監視
    サーバに移動し、 当該追跡エージェントが、前記監視エージェントの監視
    ログから、当該不正アクセスの時刻以前でかつ最後に記
    録された更新時刻と当該IPアドレスとに対応づけられ
    たMACアドレスを取得し、該取得したMACアドレス
    を当該追跡エージェントの追跡ログに記録し、 当該追跡エージェントが、予め定められたコンピュータ
    に移動して当該MACアドレスの記録された追跡ログを
    出力することを特徴とする不正アクセス追跡方法。
  2. 【請求項2】 不正アクセスに使用されたIPアドレス
    からアクセス元のコンピュータのMACアドレスを入手
    する不正アクセス追跡方法であって、 複数の監視サーバのそれぞれで監視エージェントが、監
    視対象である管理情報ベースの更新を検出するととも
    に、当該更新において記録されたIPアドレスとMAC
    アドレスのペアを、更新時刻に対応づけて当該監視エー
    ジェントの監視ログに記録しておき、 不正アクセス追跡に際しては、 不正アクセスの時刻と当該不正アクセスに使用されたI
    Pアドレスとを入力した追跡エージェントが、前記複数
    の監視サーバのそれぞれのIPアドレスと当該各監視サ
    ーバに割り当てられたネットワークセグメントのアドレ
    スとを対応づけたテーブルから、当該不正アクセスに使
    用されたIPアドレスを含むセグメントのアドレスに対
    応する監視サーバのIPアドレスを求め、 当該追跡エージェントが、当該求めたIPアドレスをも
    つ監視サーバに移動し、該監視サーバにおける監視エー
    ジェントの監視ログから、当該不正アクセスの時刻以前
    でかつ最後に記録された更新時刻と当該IPアドレスと
    に対応づけられたMACアドレスを取得し、該取得した
    MACアドレスを当該追跡エージェントの追跡ログに記
    録し、 当該追跡エージェントが、予め定められたコンピュータ
    に移動し当該MACアドレスの記録された追跡ログを出
    力することを特徴とする不正アクセス追跡方法。
  3. 【請求項3】 前記監視エージェントまたは追跡エージ
    ェントをコンピュータで動作させるプログラムである不
    正アクセス追跡プログラム。
  4. 【請求項4】 前記監視エージェントまたは追跡エージ
    ェントをコンピュータで動作させるプログラムである不
    正アクセス追跡プログラムが記録された記録媒体。
JP2001376271A 2001-12-10 2001-12-10 不正アクセス追跡方法、そのプログラム及びそのプログラムが記録された記録媒体 Pending JP2003178024A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001376271A JP2003178024A (ja) 2001-12-10 2001-12-10 不正アクセス追跡方法、そのプログラム及びそのプログラムが記録された記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001376271A JP2003178024A (ja) 2001-12-10 2001-12-10 不正アクセス追跡方法、そのプログラム及びそのプログラムが記録された記録媒体

Publications (1)

Publication Number Publication Date
JP2003178024A true JP2003178024A (ja) 2003-06-27

Family

ID=19184499

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001376271A Pending JP2003178024A (ja) 2001-12-10 2001-12-10 不正アクセス追跡方法、そのプログラム及びそのプログラムが記録された記録媒体

Country Status (1)

Country Link
JP (1) JP2003178024A (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000124952A (ja) * 1998-10-15 2000-04-28 Ntt Data Corp 電子データの追跡方法及びシステム、記録媒体
JP2006279691A (ja) * 2005-03-30 2006-10-12 Fujitsu Ltd 不正アクセス探索方法及び装置
JP2010033539A (ja) * 2008-07-30 2010-02-12 Korea Electronics Telecommun リバースキャッシングプロキシを用いたウェブ基盤の逆追跡システム
US8068414B2 (en) * 2004-08-09 2011-11-29 Cisco Technology, Inc. Arrangement for tracking IP address usage based on authenticated link identifier
JP2013520940A (ja) * 2010-02-24 2013-06-06 クゥアルコム・インコーポレイテッド 複数のワイアレスネットワークへの参加及び複数の識別を管理するための方法及びワイアレスデバイス
CN118171324A (zh) * 2024-05-13 2024-06-11 山东琅清碳和技术服务有限公司 一种基于大数据的科技信息数据查询系统

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000124952A (ja) * 1998-10-15 2000-04-28 Ntt Data Corp 電子データの追跡方法及びシステム、記録媒体
US8068414B2 (en) * 2004-08-09 2011-11-29 Cisco Technology, Inc. Arrangement for tracking IP address usage based on authenticated link identifier
JP2006279691A (ja) * 2005-03-30 2006-10-12 Fujitsu Ltd 不正アクセス探索方法及び装置
JP2010033539A (ja) * 2008-07-30 2010-02-12 Korea Electronics Telecommun リバースキャッシングプロキシを用いたウェブ基盤の逆追跡システム
JP2013520940A (ja) * 2010-02-24 2013-06-06 クゥアルコム・インコーポレイテッド 複数のワイアレスネットワークへの参加及び複数の識別を管理するための方法及びワイアレスデバイス
CN118171324A (zh) * 2024-05-13 2024-06-11 山东琅清碳和技术服务有限公司 一种基于大数据的科技信息数据查询系统

Similar Documents

Publication Publication Date Title
US11716344B2 (en) Elastic asset-based licensing model for use in a vulnerability management system
US20250119444A1 (en) Rule-Based Network-Threat Detection
RU2461050C2 (ru) Сетевое имя группы для виртуальных машин
CN104219330B (zh) 一种基于web代理进行录屏审计的方法及系统
US20200344254A1 (en) Computer-implemented system and method for creating an environment for detecting malicious content
US8055751B2 (en) IP network management based on automatically acquired network entity status information
US7953868B2 (en) Method and system for preventing web crawling detection
US8139497B2 (en) Method and system using ARP cache data to enhance accuracy of asset inventories
US20030005092A1 (en) Method for locating and recovering devices which are connected to the internet or to an internet-connected network
CN104113447B (zh) 监测域名解析污染的方法、装置及系统
KR20000076842A (ko) 네트워크-부착 단말기를 구성하는 시스템 및 방법
US11133977B2 (en) Anonymizing action implementation data obtained from incident analysis systems
TW201512990A (zh) 虛擬機器的拓樸架構管理方法及其系統
CN106686007A (zh) 一种发现内网被控重路由节点的主动流量分析方法
WO2017096888A1 (zh) 域名解析系统的实现方法及装置
US8146146B1 (en) Method and apparatus for integrated network security alert information retrieval
US20120250522A1 (en) Inferred Discovery of a Data Communications Device
WO2021139240A1 (zh) 一种域名压缩方法及其相关产品
CN101551813A (zh) 网络连接设备、搜索设备及搜集搜索引擎数据源的方法
WO2024234861A1 (zh) 威胁事件溯源方法及相关设备
JP2003178024A (ja) 不正アクセス追跡方法、そのプログラム及びそのプログラムが記録された記録媒体
US10817592B1 (en) Content tracking system that dynamically tracks and identifies pirated content exchanged over a network
TWI521932B (zh) 管理網路中的網際網路協定位址的方法
US20170366447A1 (en) Network Failover and Loop Detection in Hierarchical Networks
US12182288B2 (en) Remediating storage of sensitive data on hardware device

Legal Events

Date Code Title Description
A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20040601