本發(fā)明涉及檢測(cè)裝置、檢測(cè)方法以及檢測(cè)程序。

背景技術(shù)：

以往，作為從惡意地利用Web應(yīng)用的漏洞的攻擊中保護(hù)Web應(yīng)用的安全對(duì)策之一，引入了WAF(Web Application Firewall：Web應(yīng)用防火墻)。WAF配置在客戶端與服務(wù)器之間，保持已知的非法訪問(wèn)的簽名。而且，WAF在對(duì)服務(wù)器中繼從客戶端發(fā)送的請(qǐng)求時(shí)，通過(guò)阻斷與簽名匹配的請(qǐng)求而防止對(duì)服務(wù)器的攻擊。

現(xiàn)有技術(shù)文獻(xiàn)

非專利文獻(xiàn)

非專利文獻(xiàn)1：“Web Application Firewall(WAF)読本”、[平成26年6月24日檢索]、因特網(wǎng)＜URL：http：//www.ipa.go.jp/security/vuln/waf.html＞

技術(shù)實(shí)現(xiàn)要素：

發(fā)明要解決的課題

然而，在以往的技術(shù)中，存在無(wú)法檢測(cè)對(duì)服務(wù)器的未知的非法訪問(wèn)這樣的問(wèn)題。例如，在上述的WAF中，由于需要保持已知的非法訪問(wèn)的簽名，因此無(wú)法應(yīng)對(duì)襲擊不為人知的漏洞的攻擊(零時(shí)差攻擊)。當(dāng)進(jìn)行這樣的攻擊時(shí)，服務(wù)器被攻擊者入侵而有時(shí)被遠(yuǎn)程操作。由于服務(wù)器具有對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)，因此攻擊者對(duì)服務(wù)器進(jìn)行遠(yuǎn)程操作來(lái)訪問(wèn)數(shù)據(jù)庫(kù)，從而有可能導(dǎo)致數(shù)據(jù)庫(kù)的數(shù)據(jù)泄漏、篡改。

因此，本發(fā)明的目的在于，檢測(cè)通過(guò)來(lái)自攻擊者的攻擊而從服務(wù)器對(duì)數(shù)據(jù)庫(kù)進(jìn)行的非法訪問(wèn)。

用于解決課題的手段

為了解決上述的課題并達(dá)成目的，所公開(kāi)的檢測(cè)裝置的特征在于，具有：第1獲取部，其獲取第1請(qǐng)求信息，其中該第1請(qǐng)求信息與從用戶所操作的終端向提供業(yè)務(wù)(service)的業(yè)務(wù)服務(wù)器發(fā)送的第1請(qǐng)求相關(guān)；第2獲取部，其獲取第2請(qǐng)求信息，其中該第2請(qǐng)求信息與從所述業(yè)務(wù)服務(wù)器向保存與所述業(yè)務(wù)相關(guān)的信息的保存裝置發(fā)送的第2請(qǐng)求相關(guān)；以及檢測(cè)部，其在所述第1請(qǐng)求信息與所述第2請(qǐng)求信息之間的相關(guān)關(guān)系不同于正常模式的情況下，將所述第2請(qǐng)求檢測(cè)為對(duì)所述保存裝置的非法訪問(wèn)。

發(fā)明效果

根據(jù)本申請(qǐng)所公開(kāi)的實(shí)施方式，實(shí)現(xiàn)如下的效果：能夠檢測(cè)通過(guò)來(lái)自攻擊者的攻擊而從服務(wù)器對(duì)數(shù)據(jù)庫(kù)進(jìn)行的非法訪問(wèn)。

附圖說(shuō)明

圖1是示出應(yīng)用第1實(shí)施方式的非法訪問(wèn)檢測(cè)裝置的系統(tǒng)的概況的結(jié)構(gòu)圖。

圖2是示出第1實(shí)施方式的非法訪問(wèn)檢測(cè)裝置中的處理的流程的流程圖。

圖3是用于對(duì)第1實(shí)施方式的非法訪問(wèn)檢測(cè)裝置的效果進(jìn)行說(shuō)明的圖。

圖4是示出第2實(shí)施方式的非法訪問(wèn)檢測(cè)裝置中的處理的流程的流程圖。

圖5是示出應(yīng)用第3實(shí)施方式的非法訪問(wèn)檢測(cè)裝置的系統(tǒng)的概況的結(jié)構(gòu)圖。

圖6是示出第3實(shí)施方式的正文模式(body-text pattern)存儲(chǔ)部中存儲(chǔ)的信息的一例的圖。

圖7是示出第3實(shí)施方式的非法訪問(wèn)檢測(cè)裝置中的處理的流程的流程圖。

圖8是示出第4實(shí)施方式的正文模式存儲(chǔ)部中存儲(chǔ)的信息的一例的圖。

圖9是示出第4實(shí)施方式的非法訪問(wèn)檢測(cè)裝置中的處理的流程的流程圖。

圖10是示出應(yīng)用第5實(shí)施方式的非法訪問(wèn)檢測(cè)裝置的系統(tǒng)的概況的結(jié)構(gòu)圖。

圖11是示出第5實(shí)施方式的會(huì)話信息DB中存儲(chǔ)的信息的一例的圖。

圖12是示出第5實(shí)施方式的詢問(wèn)(query)模式存儲(chǔ)部中存儲(chǔ)的信息的一例的圖。

圖13是示出第5實(shí)施方式的非法訪問(wèn)檢測(cè)裝置中的處理的流程的流程圖。

圖14是示出應(yīng)用其他實(shí)施方式的非法訪問(wèn)檢測(cè)裝置的系統(tǒng)的概況的結(jié)構(gòu)圖。

圖15A是示出應(yīng)用其他實(shí)施方式的非法訪問(wèn)檢測(cè)裝置的系統(tǒng)的概況的結(jié)構(gòu)圖。

圖15B是示出應(yīng)用其他實(shí)施方式的非法訪問(wèn)檢測(cè)裝置的系統(tǒng)的概況的結(jié)構(gòu)圖。

圖16是示出執(zhí)行檢測(cè)程序的計(jì)算機(jī)的圖。

具體實(shí)施方式

以下，根據(jù)附圖詳細(xì)地說(shuō)明本申請(qǐng)的檢測(cè)裝置、檢測(cè)方法以及檢測(cè)程序的實(shí)施方式。此外，本申請(qǐng)的檢測(cè)裝置、檢測(cè)方法以及檢測(cè)程序不限于該實(shí)施方式。

[第1實(shí)施方式]

以下，在第1實(shí)施方式中，依次說(shuō)明實(shí)施方式的非法訪問(wèn)檢測(cè)裝置的結(jié)構(gòu)和處理的流程，然后，對(duì)非法訪問(wèn)檢測(cè)裝置的效果進(jìn)行說(shuō)明。

首先，使用圖1對(duì)非法訪問(wèn)檢測(cè)裝置的結(jié)構(gòu)進(jìn)行說(shuō)明。圖1是示出應(yīng)用第1實(shí)施方式的非法訪問(wèn)檢測(cè)裝置的系統(tǒng)的概況的結(jié)構(gòu)圖。如圖1所示，該系統(tǒng)具有：業(yè)務(wù)服務(wù)器10、DB(Data base：數(shù)據(jù)庫(kù))20、日志獲取裝置30、40以及非法訪問(wèn)檢測(cè)裝置50。以下，對(duì)這些各部件的處理進(jìn)行說(shuō)明。

業(yè)務(wù)服務(wù)器10例如是提供各種網(wǎng)絡(luò)業(yè)務(wù)(以下也簡(jiǎn)稱為業(yè)務(wù))的網(wǎng)絡(luò)·應(yīng)用服務(wù)器。例如，業(yè)務(wù)服務(wù)器10從用戶所操作的終端(未圖示)經(jīng)由因特網(wǎng)5接收請(qǐng)求。該請(qǐng)求例如是HTTP(Hypertext Transfer Protocol：超文本傳輸協(xié)議)請(qǐng)求或HTTPS(Hypertext Transfer Protocol Secure：安全超文本傳輸協(xié)議)請(qǐng)求。業(yè)務(wù)服務(wù)器10根據(jù)接收到的請(qǐng)求進(jìn)行信息處理，向終端應(yīng)答。

另外，業(yè)務(wù)服務(wù)器10在向終端應(yīng)答時(shí)，根據(jù)需要而發(fā)布用于請(qǐng)求數(shù)據(jù)的檢索或更新、刪除等的詢問(wèn)，向DB 20發(fā)送。而且，業(yè)務(wù)服務(wù)器10從DB 20接收詢問(wèn)的執(zhí)行結(jié)果，向終端應(yīng)答。

DB 20保存與業(yè)務(wù)服務(wù)器10所提供的業(yè)務(wù)相關(guān)的信息。例如，DB 20從業(yè)務(wù)服務(wù)器10接收詢問(wèn)而執(zhí)行詢問(wèn)中所描述的處理。而且，DB 20向業(yè)務(wù)服務(wù)器10發(fā)送詢問(wèn)的執(zhí)行結(jié)果。此外，DB 20所保持的信息不限于SQL形式，也可以按照KVS(Key-Value Store：鍵值存儲(chǔ))形式管理。在該情況下，從業(yè)務(wù)服務(wù)器10向DB 20發(fā)送的請(qǐng)求被描述為KVS形式而不是詢問(wèn)。另外，DB 20是保存裝置的一例。

日志獲取裝置30、40獲取并記錄與通信相關(guān)的日志。例如，日志獲取裝置30獲取并記錄由業(yè)務(wù)服務(wù)器10經(jīng)由因特網(wǎng)5所交換的通信的日志。另外，日志獲取裝置40獲取并記錄在業(yè)務(wù)服務(wù)器10與DB 20之間所交換的通信的日志。此外，日志獲取裝置30、40例如通過(guò)NTP(Network Time Protocol：網(wǎng)絡(luò)時(shí)間協(xié)議)等進(jìn)行時(shí)刻的同步。另外，在使用HTTPS請(qǐng)求作為請(qǐng)求的情況下，雖然將請(qǐng)求的正文加密，但通過(guò)將日志獲取裝置30作為業(yè)務(wù)服務(wù)器10的反向代理，而能夠在日志獲取裝置30側(cè)對(duì)請(qǐng)求進(jìn)行解密，因此能夠?qū)⒄?qǐng)求信息發(fā)送給非法訪問(wèn)檢測(cè)裝置50。

另外，日志獲取裝置30具有請(qǐng)求獲取部31，日志獲取裝置40具有詢問(wèn)獲取部41。

請(qǐng)求獲取部31獲取請(qǐng)求信息，該請(qǐng)求信息是與從終端向業(yè)務(wù)服務(wù)器10發(fā)送的請(qǐng)求相關(guān)的信息。而且，請(qǐng)求獲取部31將所獲取的請(qǐng)求信息發(fā)送給非法訪問(wèn)檢測(cè)裝置50。發(fā)送給非法訪問(wèn)檢測(cè)裝置50的請(qǐng)求信息被記錄到非法訪問(wèn)檢測(cè)裝置50內(nèi)部的規(guī)定的存儲(chǔ)部(未圖示)中。此外，請(qǐng)求獲取部31是第1獲取部的一例。

例如，請(qǐng)求獲取部31至少獲取業(yè)務(wù)服務(wù)器10接收到請(qǐng)求的接收時(shí)刻作為請(qǐng)求信息。而且，請(qǐng)求獲取部31每次獲取接收時(shí)刻都將所獲取的接收時(shí)刻發(fā)送給非法訪問(wèn)檢測(cè)裝置50而記錄到存儲(chǔ)部中。此外，請(qǐng)求獲取部31不限于請(qǐng)求的接收時(shí)刻，也可以獲取請(qǐng)求的正文或發(fā)送源用戶的IP(Internet Protocol：互聯(lián)網(wǎng)協(xié)議)地址而發(fā)送給非法訪問(wèn)檢測(cè)裝置50。

詢問(wèn)獲取部41獲取詢問(wèn)信息，該詢問(wèn)信息是與從業(yè)務(wù)服務(wù)器10向DB 20發(fā)送的詢問(wèn)相關(guān)的信息。而且，詢問(wèn)獲取部41將所獲取的詢問(wèn)信息發(fā)送給非法訪問(wèn)檢測(cè)裝置50。發(fā)送給非法訪問(wèn)檢測(cè)裝置50的詢問(wèn)信息記錄在非法訪問(wèn)檢測(cè)裝置50內(nèi)部的規(guī)定的存儲(chǔ)部(未圖示)中。此外，詢問(wèn)獲取部41是第2獲取部的一例。

例如，詢問(wèn)獲取部41至少獲取DB 20接收到詢問(wèn)的接收時(shí)刻作為詢問(wèn)信息。而且，詢問(wèn)獲取部41每次獲取接收時(shí)刻都將所獲取的接收時(shí)刻發(fā)送給非法訪問(wèn)檢測(cè)裝置50而記錄到存儲(chǔ)部中。此外，詢問(wèn)獲取部41不限于詢問(wèn)的接收時(shí)刻，也可以獲取詢問(wèn)的正文或發(fā)送源服務(wù)器的IP地址而發(fā)送給非法訪問(wèn)檢測(cè)裝置50。

非法訪問(wèn)檢測(cè)裝置50對(duì)非法訪問(wèn)進(jìn)行檢測(cè)。例如，非法訪問(wèn)檢測(cè)裝置50監(jiān)視從因特網(wǎng)5到DB 20之間所交換的信息，而檢測(cè)對(duì)DB 20的非法訪問(wèn)。非法訪問(wèn)檢測(cè)裝置50具有檢測(cè)部51。

在請(qǐng)求信息與詢問(wèn)信息之間的相關(guān)關(guān)系不同于正常模式的情況下，檢測(cè)部51將該詢問(wèn)檢測(cè)為對(duì)DB 20的非法訪問(wèn)。例如，檢測(cè)部51對(duì)請(qǐng)求的接收時(shí)刻與詢問(wèn)的接收時(shí)刻進(jìn)行比較，如果在詢問(wèn)的接收時(shí)刻之前的規(guī)定的時(shí)間內(nèi)未接收到請(qǐng)求，則視為不同于正常模式，將該詢問(wèn)檢測(cè)為非法訪問(wèn)。

這里，如上所述地檢測(cè)非法訪問(wèn)是因?yàn)樽鳛檎?qǐng)求信息與詢問(wèn)信息之間的相關(guān)關(guān)系存在如下的正常模式：在該正常模式下，在由業(yè)務(wù)服務(wù)器10發(fā)布詢問(wèn)之前業(yè)務(wù)服務(wù)器10接收到請(qǐng)求。換言之，在盡管未接收到該請(qǐng)求可是DB 20接收到詢問(wèn)的情況下，認(rèn)為該詢問(wèn)是非法訪問(wèn)。例如，如果是從請(qǐng)求的接收起直到詢問(wèn)的發(fā)送為止的平均時(shí)間為0.1秒的業(yè)務(wù)服務(wù)器10，則在從詢問(wèn)的接收時(shí)刻的1秒前到詢問(wèn)的接收時(shí)刻為止的1秒鐘內(nèi)接收到請(qǐng)求是正常模式。在該情況下，如果詢問(wèn)的接收時(shí)刻之前的1秒之內(nèi)未接收到請(qǐng)求，則視為不同于正常模式，檢測(cè)部51將該詢問(wèn)檢測(cè)為非法訪問(wèn)。此外，這里對(duì)于規(guī)定的時(shí)間是1秒的情況進(jìn)行了說(shuō)明，但該值可以根據(jù)業(yè)務(wù)服務(wù)器10等的性能(或者DB 20的負(fù)載狀況、網(wǎng)絡(luò)的擁塞狀況等)而由非法訪問(wèn)檢測(cè)裝置50的管理者任意設(shè)定。

接著，使用圖2對(duì)非法訪問(wèn)檢測(cè)裝置50中的處理的流程進(jìn)行說(shuō)明。圖2是示出第1實(shí)施方式的非法訪問(wèn)檢測(cè)裝置中的處理的流程的流程圖。

如圖2所示，當(dāng)?shù)竭_(dá)處理時(shí)機(jī)時(shí)(步驟S101，是)，非法訪問(wèn)檢測(cè)裝置50的檢測(cè)部51開(kāi)始進(jìn)行處理。例如，檢測(cè)部51以從日志獲取裝置40獲取詢問(wèn)為契機(jī)而開(kāi)始進(jìn)行處理。此外，檢測(cè)部51處于待機(jī)狀態(tài)，直至到達(dá)處理時(shí)機(jī)為止(步驟S101，否)。

接著，檢測(cè)部51判定在詢問(wèn)的接收時(shí)刻之前的規(guī)定的時(shí)間內(nèi)是否接收到請(qǐng)求(步驟S102)。例如，如果DB 20接收到的詢問(wèn)的接收時(shí)刻是8時(shí)22分10秒，則檢測(cè)部51判定從8時(shí)22分9秒到10秒之內(nèi)業(yè)務(wù)服務(wù)器10是否接收到請(qǐng)求。這里，當(dāng)在詢問(wèn)的接收時(shí)刻之前的規(guī)定的時(shí)間內(nèi)接收到請(qǐng)求的情況下(步驟S102，是)，檢測(cè)部51判定為該詢問(wèn)不是非法訪問(wèn)(步驟S103)。

另一方面，當(dāng)在詢問(wèn)的接收時(shí)刻之前的規(guī)定的時(shí)間內(nèi)未接收到請(qǐng)求的情況下(步驟S102，否)，檢測(cè)部51判定為該詢問(wèn)是非法訪問(wèn)(步驟S104)。

此外，圖2的例子僅是一例。例如，檢測(cè)部51也可以按照規(guī)定的間隔(例如，1秒間隔)開(kāi)始進(jìn)行圖2的處理。在該情況下，對(duì)于從上次的處理結(jié)束后到當(dāng)前(本次的處理開(kāi)始時(shí)刻)為止所獲取的所有的詢問(wèn)，執(zhí)行上述的處理(步驟S102～S104)。

第1實(shí)施方式的非法訪問(wèn)檢測(cè)裝置50獲取與從終端向業(yè)務(wù)服務(wù)器10發(fā)送的請(qǐng)求相關(guān)的請(qǐng)求信息。而且，非法訪問(wèn)檢測(cè)裝置50獲取與從業(yè)務(wù)服務(wù)器10向DB 20發(fā)送的詢問(wèn)相關(guān)的詢問(wèn)信息。而且，在請(qǐng)求信息與詢問(wèn)信息之間的相關(guān)關(guān)系不同于發(fā)布詢問(wèn)的請(qǐng)求的正常模式的情況下，非法訪問(wèn)檢測(cè)裝置50將該詢問(wèn)檢測(cè)為對(duì)DB 20的非法訪問(wèn)。因此，非法訪問(wèn)檢測(cè)裝置50能夠檢測(cè)通過(guò)來(lái)自攻擊者的攻擊而從服務(wù)器對(duì)數(shù)據(jù)庫(kù)進(jìn)行的非法訪問(wèn)。

圖3是用于對(duì)第1實(shí)施方式的非法訪問(wèn)檢測(cè)裝置的效果進(jìn)行說(shuō)明的圖。如圖3所示，通過(guò)零時(shí)差攻擊而對(duì)服務(wù)器的遠(yuǎn)程操作成功的攻擊者對(duì)業(yè)務(wù)服務(wù)器10進(jìn)行遠(yuǎn)程操作，而通過(guò)(1)、向DB 20發(fā)布詢問(wèn)，而(2)、對(duì)DB 20中存儲(chǔ)的信息進(jìn)行收集·篡改。這里，如果是通常情況，則用戶向業(yè)務(wù)服務(wù)器10發(fā)送請(qǐng)求，通過(guò)(3)、向DB 20發(fā)布詢問(wèn)，而(4)、訪問(wèn)DB 20中存儲(chǔ)的信息。第1實(shí)施方式的非法訪問(wèn)檢測(cè)裝置50根據(jù)該通常情況下的請(qǐng)求與詢問(wèn)之間的相關(guān)關(guān)系、即正常模式，判定該詢問(wèn)是否正常。因此，非法訪問(wèn)檢測(cè)裝置50也能夠應(yīng)對(duì)零時(shí)差攻擊。例如，即使通過(guò)了WAF的攻擊者使業(yè)務(wù)服務(wù)器10發(fā)布非法詢問(wèn)，如果該詢問(wèn)不是基于來(lái)自用戶的請(qǐng)求，則也能夠檢測(cè)為非法訪問(wèn)。另外，也可以通過(guò)公知的方法自動(dòng)/手動(dòng)地調(diào)查檢測(cè)時(shí)刻周邊的訪問(wèn)日志而確定攻擊者。

另外，例如第1實(shí)施方式的非法訪問(wèn)檢測(cè)裝置50從與業(yè)務(wù)服務(wù)器10不同的獨(dú)立的日志獲取裝置30、40獲取請(qǐng)求信息和詢問(wèn)信息。由此，即使在業(yè)務(wù)服務(wù)器10被未知的攻擊者入侵的情況下，也能夠獲取請(qǐng)求信息和詢問(wèn)信息，因此能夠檢測(cè)非法訪問(wèn)。

[第2實(shí)施方式]

在上述的第1實(shí)施方式中，對(duì)于根據(jù)在詢問(wèn)的接收時(shí)刻之前的規(guī)定的時(shí)間內(nèi)接收到請(qǐng)求這樣的正常模式而檢測(cè)非法訪問(wèn)的情況進(jìn)行了說(shuō)明，但實(shí)施方式不限于此。例如，對(duì)于應(yīng)用非法訪問(wèn)檢測(cè)裝置50的系統(tǒng)而言，存在具有如下的模式的情況：規(guī)定的期間內(nèi)的詢問(wèn)的個(gè)數(shù)相對(duì)于請(qǐng)求的個(gè)數(shù)的比率大致恒定。在將非法訪問(wèn)檢測(cè)裝置50應(yīng)用于這樣的系統(tǒng)的情況下，非法訪問(wèn)檢測(cè)裝置50也可以將該模式作為正常模式而檢測(cè)非法訪問(wèn)。因此，在第2實(shí)施方式中，對(duì)如下的情況進(jìn)行說(shuō)明：如果規(guī)定的期間內(nèi)的詢問(wèn)的個(gè)數(shù)相對(duì)于請(qǐng)求的個(gè)數(shù)的比率超過(guò)閾值，則非法訪問(wèn)檢測(cè)裝置50將這些詢問(wèn)檢測(cè)為非法訪問(wèn)。

第2實(shí)施方式的非法訪問(wèn)檢測(cè)裝置50具有與圖1所示的非法訪問(wèn)檢測(cè)裝置50相同的結(jié)構(gòu)，但檢測(cè)部51中的處理的一部分不同。此外，在第2實(shí)施方式中，以與第1實(shí)施方式的不同點(diǎn)為中心進(jìn)行說(shuō)明，關(guān)于與第1實(shí)施方式中所說(shuō)明的結(jié)構(gòu)相同的功能的方面，省略說(shuō)明。

第2實(shí)施方式的檢測(cè)部51分別對(duì)在規(guī)定的期間內(nèi)接收到的請(qǐng)求的個(gè)數(shù)和詢問(wèn)的個(gè)數(shù)進(jìn)行計(jì)數(shù)，如果詢問(wèn)的個(gè)數(shù)相對(duì)于請(qǐng)求的個(gè)數(shù)的比率超過(guò)規(guī)定的閾值，則視為不同于正常模式，將這些詢問(wèn)檢測(cè)為非法訪問(wèn)。

這里，如上所述地檢測(cè)非法訪問(wèn)是因?yàn)閷?duì)于系統(tǒng)而言作為請(qǐng)求信息與詢問(wèn)信息之間的相關(guān)關(guān)系存在如下的正常模式：規(guī)定的期間內(nèi)的詢問(wèn)的個(gè)數(shù)相對(duì)于請(qǐng)求的個(gè)數(shù)的比率(以下也記為詢問(wèn)發(fā)布率)大致恒定。換言之，在詢問(wèn)的個(gè)數(shù)相對(duì)于同一期間內(nèi)的請(qǐng)求的個(gè)數(shù)過(guò)多的情況下，認(rèn)為在這些詢問(wèn)中包含非法訪問(wèn)。例如，在詢問(wèn)發(fā)布率為0.1左右(相對(duì)于10個(gè)請(qǐng)求發(fā)布1個(gè)詢問(wèn))的業(yè)務(wù)服務(wù)器10中，如果存在詢問(wèn)發(fā)布率增加到0.3左右的期間，則視為不同于正常模式，檢測(cè)部51檢測(cè)為在該期間內(nèi)所發(fā)布的詢問(wèn)中存在基于非法訪問(wèn)的詢問(wèn)。此外，這里對(duì)于閾值為0.3的情況進(jìn)行了說(shuō)明，但該值可以由非法訪問(wèn)檢測(cè)裝置50的管理者任意設(shè)定。

接著，使用圖4對(duì)于第2實(shí)施方式的非法訪問(wèn)檢測(cè)裝置50中的處理的流程進(jìn)行說(shuō)明。圖4是示出第2實(shí)施方式的非法訪問(wèn)檢測(cè)裝置中的處理的流程的流程圖。

如圖4所示，當(dāng)?shù)竭_(dá)處理時(shí)機(jī)時(shí)(步驟S201，是)，非法訪問(wèn)檢測(cè)裝置50的檢測(cè)部51開(kāi)始進(jìn)行處理。例如，檢測(cè)部51按照規(guī)定的間隔(例如，1秒間隔)開(kāi)始進(jìn)行處理。此外，檢測(cè)部51處于待機(jī)狀態(tài)，直至到達(dá)處理時(shí)機(jī)為止(步驟S201，否)。

接著，檢測(cè)部51分別對(duì)在規(guī)定的期間內(nèi)接收到的請(qǐng)求的個(gè)數(shù)和詢問(wèn)的個(gè)數(shù)進(jìn)行計(jì)數(shù)(步驟S202)。例如，檢測(cè)部51分別對(duì)在緊接著的前1秒鐘內(nèi)業(yè)務(wù)服務(wù)器10接收到的請(qǐng)求的個(gè)數(shù)和在相同的時(shí)間內(nèi)DB 20接收到的詢問(wèn)的個(gè)數(shù)進(jìn)行計(jì)數(shù)。

而且，檢測(cè)部51判定規(guī)定的期間內(nèi)的詢問(wèn)發(fā)布率是否小于閾值(步驟S203)。例如，如果在步驟S202中所計(jì)數(shù)的請(qǐng)求的個(gè)數(shù)為“100”、詢問(wèn)的個(gè)數(shù)為“50”，則檢測(cè)部51將詢問(wèn)發(fā)布率計(jì)算為“0.5”。而且，檢測(cè)部51判定計(jì)算出的詢問(wèn)發(fā)布率“0.5”是否小于閾值。這里，在規(guī)定的期間內(nèi)的詢問(wèn)發(fā)布率小于閾值的情況下(步驟S203，是)，檢測(cè)部51判定為該期間的詢問(wèn)不是非法訪問(wèn)(步驟S204)。

另一方面，在規(guī)定的期間內(nèi)的詢問(wèn)發(fā)布率為閾值以上的情況下(步驟S203，否)，檢測(cè)部51判定為該期間的詢問(wèn)是非法訪問(wèn)(步驟S205)。

此外，圖4的例子僅是一例。例如，開(kāi)始進(jìn)行處理的間隔、對(duì)請(qǐng)求和詢問(wèn)進(jìn)行計(jì)數(shù)的期間、閾值也可以由非法訪問(wèn)檢測(cè)裝置50的管理者適當(dāng)變更。

第2實(shí)施方式的非法訪問(wèn)檢測(cè)裝置50分別對(duì)在規(guī)定的期間內(nèi)接收到的請(qǐng)求的個(gè)數(shù)和詢問(wèn)的個(gè)數(shù)進(jìn)行計(jì)數(shù)，如果詢問(wèn)的個(gè)數(shù)相對(duì)于請(qǐng)求的個(gè)數(shù)的比率超過(guò)規(guī)定的閾值，則視為不同于正常模式，檢測(cè)為在這些詢問(wèn)中存在基于非法訪問(wèn)的詢問(wèn)。因此，非法訪問(wèn)檢測(cè)裝置50能夠檢測(cè)通過(guò)來(lái)自攻擊者的攻擊而從服務(wù)器對(duì)數(shù)據(jù)庫(kù)進(jìn)行的非法訪問(wèn)。例如，非法訪問(wèn)檢測(cè)裝置50在1秒鐘內(nèi)接收100個(gè)請(qǐng)求這樣的大規(guī)模的系統(tǒng)中也能夠檢測(cè)非法詢問(wèn)。

[第3實(shí)施方式]

另外，例如非法訪問(wèn)檢測(cè)裝置50也可以根據(jù)如下的正常模式來(lái)檢測(cè)非法訪問(wèn)：在該正常模式下，發(fā)布與請(qǐng)求的正文模式對(duì)應(yīng)的正文模式的詢問(wèn)。

圖5是示出應(yīng)用第3實(shí)施方式的非法訪問(wèn)檢測(cè)裝置的系統(tǒng)的概況的結(jié)構(gòu)圖。第3實(shí)施方式的非法訪問(wèn)檢測(cè)裝置50具有與圖1所示的非法訪問(wèn)檢測(cè)裝置50基本相同的結(jié)構(gòu)，但不同點(diǎn)在于，請(qǐng)求獲取部31、詢問(wèn)獲取部41以及檢測(cè)部51中的處理的一部分和具有正文模式存儲(chǔ)部52。此外，在第3實(shí)施方式中，以與第1實(shí)施方式的不同點(diǎn)為中心進(jìn)行說(shuō)明，關(guān)于與第1實(shí)施方式中所說(shuō)明的結(jié)構(gòu)相同的功能的方面，對(duì)于圖5的各結(jié)構(gòu)要素標(biāo)注與圖1相同的標(biāo)號(hào)并省略說(shuō)明。

第3實(shí)施方式的請(qǐng)求獲取部31至少獲取請(qǐng)求的接收時(shí)刻和請(qǐng)求的正文作為請(qǐng)求信息而發(fā)送給非法訪問(wèn)檢測(cè)裝置50。

第3實(shí)施方式的詢問(wèn)獲取部41至少獲取詢問(wèn)的接收時(shí)刻和詢問(wèn)的正文作為詢問(wèn)信息而發(fā)送給非法訪問(wèn)檢測(cè)裝置50。

第3實(shí)施方式的正文模式存儲(chǔ)部52存儲(chǔ)將請(qǐng)求的正文模式與詢問(wèn)的正文模式關(guān)聯(lián)起來(lái)而得到的信息。這里，請(qǐng)求的正文模式是將請(qǐng)求的字符串中的根據(jù)登錄用的請(qǐng)求或數(shù)據(jù)登記用的請(qǐng)求等請(qǐng)求的種類而預(yù)先決定的部分的字符串模式化而得到的。另外，詢問(wèn)的正文模式是在業(yè)務(wù)服務(wù)器10接收到對(duì)應(yīng)的請(qǐng)求的情況下將從業(yè)務(wù)服務(wù)器10向DB 20發(fā)送的詢問(wèn)的字符串中的根據(jù)請(qǐng)求的種類而預(yù)先決定的部分的字符串模式化而得到的。此外，正文模式存儲(chǔ)部52中存儲(chǔ)的信息由非法訪問(wèn)檢測(cè)裝置50的管理者預(yù)先登記。

圖6是示出第3實(shí)施方式的正文模式存儲(chǔ)部中存儲(chǔ)的信息的一例的圖。如圖6所示，正文模式存儲(chǔ)部52例如存儲(chǔ)將詢問(wèn)的正文模式“SELECT＊FROM user WHERE id＝？AND pass＝？”和請(qǐng)求的正文模式“URL＝“http：//www.xxx.co.jp/login.jsp””關(guān)聯(lián)起來(lái)而得到的信息。此外，在圖6中，“？”是任意的字符串。

第3實(shí)施方式的檢測(cè)部51參照正文模式存儲(chǔ)部52，如果在該詢問(wèn)的接收時(shí)刻之前的規(guī)定的時(shí)間內(nèi)未接收到與詢問(wèn)獲取部41所獲取的詢問(wèn)的正文模式對(duì)應(yīng)的正文模式的請(qǐng)求，則視為不同于正常模式，將該詢問(wèn)檢測(cè)為非法訪問(wèn)。

這里，如上所述地檢測(cè)非法訪問(wèn)是因?yàn)樽鳛檎?qǐng)求信息與詢問(wèn)信息之間的相關(guān)關(guān)系存在如下的正常模式：在該正常模式下，發(fā)布與請(qǐng)求的正文模式對(duì)應(yīng)的正文模式的詢問(wèn)，例如如同在接收到登錄用的請(qǐng)求時(shí)發(fā)布登錄認(rèn)證用的詢問(wèn)。換言之，如果業(yè)務(wù)服務(wù)器10未接收到與向DB 20發(fā)送的詢問(wèn)的正文模式對(duì)應(yīng)的正文模式的請(qǐng)求，則認(rèn)為該詢問(wèn)是非法訪問(wèn)。例如，即使在詢問(wèn)的接收時(shí)刻之前的1秒之內(nèi)接收到請(qǐng)求，在這些正文模式不對(duì)應(yīng)的情況下，也視為不同于正常模式，檢測(cè)部51將該詢問(wèn)檢測(cè)為非法訪問(wèn)。

接著，使用圖7對(duì)第3實(shí)施方式的非法訪問(wèn)檢測(cè)裝置50中的處理的流程進(jìn)行說(shuō)明。圖7是示出第3實(shí)施方式的非法訪問(wèn)檢測(cè)裝置中的處理的流程的流程圖。

如圖7所示，當(dāng)?shù)竭_(dá)處理時(shí)機(jī)時(shí)(步驟S301，是)，非法訪問(wèn)檢測(cè)裝置50的檢測(cè)部51開(kāi)始進(jìn)行處理。例如，檢測(cè)部51以從日志獲取裝置40獲取詢問(wèn)為契機(jī)開(kāi)始進(jìn)行處理。此外，檢測(cè)部51處于待機(jī)狀態(tài)，直至到達(dá)處理時(shí)機(jī)為止(步驟S301，否)。

接著，檢測(cè)部51判定在詢問(wèn)的接收時(shí)刻之前的規(guī)定的時(shí)間內(nèi)是否接收到與所獲取的詢問(wèn)的正文模式對(duì)應(yīng)的正文模式的請(qǐng)求(步驟S302)。例如，如果在8時(shí)22分10秒接收到登錄認(rèn)證用的詢問(wèn)，則檢測(cè)部51判定從8時(shí)22分9秒到10秒之內(nèi)業(yè)務(wù)服務(wù)器10是否接收到登錄用的請(qǐng)求。這里，在接收到相應(yīng)請(qǐng)求的情況下(步驟S302，是)，檢測(cè)部51判定為所獲取的詢問(wèn)不是非法訪問(wèn)(步驟S303)。

另一方面，在未接收到相應(yīng)請(qǐng)求的情況下(步驟S302，否)，檢測(cè)部51判定為所獲取的詢問(wèn)是非法訪問(wèn)(步驟S304)。

此外，圖7的例子僅是一例。例如，檢測(cè)部51也可以按照規(guī)定的間隔(例如，1秒間隔)開(kāi)始進(jìn)行圖7的處理。在該情況下，對(duì)于從上次的處理結(jié)束后到當(dāng)前(本次處理開(kāi)始時(shí)刻)為止所獲取的所有的詢問(wèn)，執(zhí)行上述的處理(步驟S302～S304)。

如果在該詢問(wèn)的接收時(shí)刻之前的規(guī)定的時(shí)間內(nèi)未接收到與詢問(wèn)獲取部41所獲取的詢問(wèn)的正文模式對(duì)應(yīng)的正文模式的請(qǐng)求，則視為不同于正常模式，第3實(shí)施方式的非法訪問(wèn)檢測(cè)裝置50將該詢問(wèn)檢測(cè)為非法訪問(wèn)。因此，非法訪問(wèn)檢測(cè)裝置50能夠檢測(cè)通過(guò)來(lái)自攻擊者的攻擊而從服務(wù)器對(duì)數(shù)據(jù)庫(kù)進(jìn)行的非法訪問(wèn)。

例如，即使在詢問(wèn)的接收時(shí)刻之前的1秒之內(nèi)接收到請(qǐng)求，在這些正文模式不對(duì)應(yīng)的情況下，也視為不同于正常模式，非法訪問(wèn)檢測(cè)裝置50將該詢問(wèn)檢測(cè)為非法訪問(wèn)。因此，非法訪問(wèn)檢測(cè)裝置50能夠準(zhǔn)確地檢測(cè)非法訪問(wèn)。

[第4實(shí)施方式]

在上述的第2實(shí)施方式中，對(duì)于如果規(guī)定的期間內(nèi)的詢問(wèn)的個(gè)數(shù)相對(duì)于請(qǐng)求的個(gè)數(shù)的比率超過(guò)閾值則檢測(cè)為在這些詢問(wèn)中存在非法訪問(wèn)的情況進(jìn)行了說(shuō)明，但實(shí)施方式不限于此。例如，非法訪問(wèn)檢測(cè)裝置50也可以進(jìn)一步使用請(qǐng)求和詢問(wèn)的正文模式來(lái)檢測(cè)非法訪問(wèn)。

第4實(shí)施方式的非法訪問(wèn)檢測(cè)裝置50具有與圖5所示的非法訪問(wèn)檢測(cè)裝置50相同的結(jié)構(gòu)，但正文模式存儲(chǔ)部52中存儲(chǔ)的信息的一部分和檢測(cè)部51中的處理的一部分不同。此外，在第4實(shí)施方式中，以與第3實(shí)施方式的不同點(diǎn)為中心進(jìn)行說(shuō)明，關(guān)于具有與第3實(shí)施方式中所說(shuō)明的結(jié)構(gòu)相同的功能的方面，省略說(shuō)明。

第4實(shí)施方式的正文模式存儲(chǔ)部52存儲(chǔ)將請(qǐng)求的正文模式、詢問(wèn)的正文模式和閾值關(guān)聯(lián)起來(lái)而得到的信息。閾值例如是根據(jù)詢問(wèn)發(fā)布率而決定的值。

圖8是示出第4實(shí)施方式的正文模式存儲(chǔ)部中存儲(chǔ)的信息的一例的圖。如圖8所示，正文模式存儲(chǔ)部52例如存儲(chǔ)將詢問(wèn)的正文模式“SELECT＊FROM user WHERE id＝？AND pass＝？”、請(qǐng)求的正文模式“URL＝“http：//www.xxx.co.jp/login.jsp””以及詢問(wèn)發(fā)布率的閾值“0.2”關(guān)聯(lián)起來(lái)而得到的信息。此外，在圖8中，“？”是任意的字符串。

第4實(shí)施方式的檢測(cè)部51參照正文模式存儲(chǔ)部52，分別對(duì)在規(guī)定的期間內(nèi)接收到的規(guī)定的正文模式的詢問(wèn)的個(gè)數(shù)和在相同的期間內(nèi)接收到的與規(guī)定的正文模式對(duì)應(yīng)的請(qǐng)求的個(gè)數(shù)進(jìn)行計(jì)數(shù)。而且，如果詢問(wèn)的個(gè)數(shù)相對(duì)于請(qǐng)求的個(gè)數(shù)的比率(詢問(wèn)發(fā)布率)超過(guò)與規(guī)定的正文模式對(duì)應(yīng)的閾值，則視為不同于正常模式，檢測(cè)部51將該期間內(nèi)所包含的詢問(wèn)檢測(cè)為非法訪問(wèn)。

這里，如上所述地檢測(cè)非法訪問(wèn)是因?yàn)榧词乖谝?guī)定的期間內(nèi)的詢問(wèn)發(fā)布率符合正常模式的情況下這些期間的詢問(wèn)也未必不是非法訪問(wèn)。例如，即使進(jìn)行了非法訪問(wèn)，如果在該期間內(nèi)不伴隨著詢問(wèn)發(fā)布的請(qǐng)求增加，則認(rèn)為表觀的詢問(wèn)發(fā)布率無(wú)法看出顯著的變化。因此，在第4實(shí)施方式中，除了詢問(wèn)發(fā)布率的正常模式之外，還考慮請(qǐng)求和詢問(wèn)的正文模式的正常模式，從而能夠準(zhǔn)確地檢測(cè)非法訪問(wèn)。此外，如在第2實(shí)施方式中說(shuō)明的那樣，詢問(wèn)發(fā)布率的閾值可以由非法訪問(wèn)檢測(cè)裝置50的管理者任意地設(shè)定。

接著，使用圖9對(duì)第4實(shí)施方式的非法訪問(wèn)檢測(cè)裝置50中的處理的流程進(jìn)行說(shuō)明。圖9是示出第4實(shí)施方式的非法訪問(wèn)檢測(cè)裝置中的處理的流程的流程圖。

如圖9所示，當(dāng)?shù)竭_(dá)處理時(shí)機(jī)時(shí)(步驟S401，是)，非法訪問(wèn)檢測(cè)裝置50的檢測(cè)部51開(kāi)始進(jìn)行處理。例如，檢測(cè)部51按照規(guī)定的間隔(例如，1秒間隔)開(kāi)始進(jìn)行處理。此外，檢測(cè)部51處于待機(jī)狀態(tài)，直至到達(dá)處理時(shí)機(jī)為止(步驟S401，否)。

接著，檢測(cè)部51分別對(duì)在規(guī)定的期間內(nèi)接收到的各正文模式的請(qǐng)求的個(gè)數(shù)和在規(guī)定的期間內(nèi)接收到的各正文模式的詢問(wèn)的個(gè)數(shù)進(jìn)行計(jì)數(shù)(步驟S402)。例如，檢測(cè)部51分別對(duì)在緊接著的前1秒鐘內(nèi)由業(yè)務(wù)服務(wù)器10接收到的登錄用的請(qǐng)求的個(gè)數(shù)和在相同的時(shí)間內(nèi)由DB 20接收到的登錄認(rèn)證用的詢問(wèn)的個(gè)數(shù)進(jìn)行計(jì)數(shù)。

而且，檢測(cè)部51判定規(guī)定的期間內(nèi)的各正文模式的詢問(wèn)發(fā)布率是否小于閾值(步驟S403)。例如，如果在步驟S402中所計(jì)數(shù)的請(qǐng)求的個(gè)數(shù)為“10”、詢問(wèn)的個(gè)數(shù)為“5”，則檢測(cè)部51計(jì)算出詢問(wèn)發(fā)布率為“0.5”。而且，檢測(cè)部51判定計(jì)算出的詢問(wèn)發(fā)布率“0.5”是否小于閾值。這里，在規(guī)定的期間內(nèi)的各正文模式的詢問(wèn)發(fā)布率小于閾值的情況下(步驟S403，是)，檢測(cè)部51判定為該期間的詢問(wèn)不是非法訪問(wèn)(步驟S404)。

另一方面，在規(guī)定的期間內(nèi)的各正文模式的詢問(wèn)發(fā)布率為閾值以上的情況下(步驟S403，否)，檢測(cè)部51判定為該期間內(nèi)的該正文模式的詢問(wèn)是非法訪問(wèn)(步驟S405)。

此外，圖9的例子僅是一例。例如，開(kāi)始進(jìn)行處理的間隔、對(duì)請(qǐng)求和詢問(wèn)進(jìn)行計(jì)數(shù)的期間、閾值也可以由非法訪問(wèn)檢測(cè)裝置50的管理者適當(dāng)變更。

第4實(shí)施方式的非法訪問(wèn)檢測(cè)裝置50參照正文模式存儲(chǔ)部52，分別對(duì)在規(guī)定的期間內(nèi)接收到的規(guī)定的正文模式的詢問(wèn)的個(gè)數(shù)和在相同的期間內(nèi)接收到的與規(guī)定的正文模式對(duì)應(yīng)的請(qǐng)求的個(gè)數(shù)進(jìn)行計(jì)數(shù)。而且，如果詢問(wèn)的個(gè)數(shù)相對(duì)于請(qǐng)求的個(gè)數(shù)的比率(詢問(wèn)發(fā)布率)超過(guò)與規(guī)定的正文模式對(duì)應(yīng)的閾值，則視為不同于正常模式，檢測(cè)部51將該期間內(nèi)所包含的詢問(wèn)檢測(cè)為非法訪問(wèn)。因此，非法訪問(wèn)檢測(cè)裝置50能夠檢測(cè)對(duì)DB 20的未知的非法訪問(wèn)。例如，非法訪問(wèn)檢測(cè)裝置50在1秒鐘內(nèi)接收100個(gè)請(qǐng)求這樣的大規(guī)模的系統(tǒng)中也能夠準(zhǔn)確地檢測(cè)非法詢問(wèn)。

[第5實(shí)施方式]

在第5實(shí)施方式中，對(duì)于使用與業(yè)務(wù)服務(wù)器10實(shí)際連接的用戶終端的信息來(lái)檢測(cè)非法訪問(wèn)的情況進(jìn)行說(shuō)明。

圖10是示出應(yīng)用第5實(shí)施方式的非法訪問(wèn)檢測(cè)裝置的系統(tǒng)的概況的結(jié)構(gòu)圖。應(yīng)用第5實(shí)施方式的非法訪問(wèn)檢測(cè)裝置50的系統(tǒng)與圖1所示的非法訪問(wèn)檢測(cè)裝置50具有基本相同的結(jié)構(gòu)，但不同點(diǎn)在于，請(qǐng)求獲取部31、詢問(wèn)獲取部41以及檢測(cè)部51中的處理的一部分以及具有詢問(wèn)模式存儲(chǔ)部53和會(huì)話信息DB 60。此外，在第5實(shí)施方式中，以與第1實(shí)施方式的不同點(diǎn)為中心進(jìn)行說(shuō)明，關(guān)于具有與第1實(shí)施方式中所說(shuō)明的結(jié)構(gòu)相同的功能的方面，對(duì)于圖10的各結(jié)構(gòu)要素標(biāo)注與圖1相同的標(biāo)號(hào)并省略說(shuō)明。

第5實(shí)施方式的請(qǐng)求獲取部31至少獲取請(qǐng)求的接收時(shí)刻和請(qǐng)求的正文作為請(qǐng)求信息而發(fā)送給非法訪問(wèn)檢測(cè)裝置50。

第5實(shí)施方式的詢問(wèn)獲取部41至少獲取詢問(wèn)的接收時(shí)刻和詢問(wèn)的正文作為詢問(wèn)信息而發(fā)送給非法訪問(wèn)檢測(cè)裝置50。

第5實(shí)施方式的會(huì)話信息DB 60存儲(chǔ)與業(yè)務(wù)服務(wù)器10所連接的用戶終端相關(guān)的信息。例如，會(huì)話信息DB 60存儲(chǔ)將會(huì)話ID和用戶ID關(guān)聯(lián)起來(lái)而得到的信息。會(huì)話ID是用于識(shí)別與業(yè)務(wù)服務(wù)器10連接的終端的信息。另外，用戶ID是用于識(shí)別利用業(yè)務(wù)服務(wù)器10所提供的業(yè)務(wù)的用戶的信息。

圖11是示出第5實(shí)施方式的會(huì)話信息DB中存儲(chǔ)的信息的一例的圖。如圖11所示，會(huì)話信息DB 60例如存儲(chǔ)將會(huì)話ID“31a9eab98d33bb24c”和用戶ID“suzuki＿taro”關(guān)聯(lián)起來(lái)而得到的信息。此外，關(guān)于會(huì)話信息DB 60中存儲(chǔ)的信息，例如當(dāng)在用戶終端與業(yè)務(wù)服務(wù)器10之間建立會(huì)話時(shí)由業(yè)務(wù)服務(wù)器10登記。

第5實(shí)施方式的詢問(wèn)模式存儲(chǔ)部53存儲(chǔ)將詢問(wèn)的正文模式與存儲(chǔ)用戶ID的變量名關(guān)聯(lián)起來(lái)而得到的信息。存儲(chǔ)用戶ID的變量名是表示在對(duì)應(yīng)的正文模式的詢問(wèn)中描述有用戶ID的部位的信息。

圖12是示出第5實(shí)施方式的詢問(wèn)模式存儲(chǔ)部中存儲(chǔ)的信息的一例的圖。如圖12所示，詢問(wèn)模式存儲(chǔ)部53例如存儲(chǔ)將詢問(wèn)的正文模式“SELECT？FROM userWHERE id＝？”和存儲(chǔ)用戶ID的變量名“id”關(guān)聯(lián)起來(lái)而得到的信息。此外，詢問(wèn)模式存儲(chǔ)部53中存儲(chǔ)的信息例如由非法訪問(wèn)檢測(cè)裝置50的管理者預(yù)先登記。另外，在圖12中，“？”是任意的字符串。

第5實(shí)施方式的檢測(cè)部51根據(jù)詢問(wèn)所包含的用戶ID來(lái)確定會(huì)話ID，如果在該詢問(wèn)的接收時(shí)刻之前的規(guī)定的時(shí)間內(nèi)未接收到包含所確定的會(huì)話ID的請(qǐng)求，則視為不同于正常模式，將該詢問(wèn)檢測(cè)為非法訪問(wèn)。

這里，如上所述地檢測(cè)非法訪問(wèn)是因?yàn)樽鳛檎?qǐng)求信息與詢問(wèn)信息之間的相關(guān)關(guān)系存在如下的正常模式：在該正常模式下，根據(jù)詢問(wèn)而確定的用戶的會(huì)話ID與為了發(fā)布該詢問(wèn)而發(fā)送的請(qǐng)求所包含的會(huì)話ID一致。由此，檢測(cè)部51能夠更可靠地檢測(cè)非法訪問(wèn)。此外，通常情況下，會(huì)話ID在HTTP請(qǐng)求的正文中記載于小型文本文件(cookie)或者URL(Uniform Resource Locator：統(tǒng)一資源定位符)部。

接著，使用圖13對(duì)第5實(shí)施方式的非法訪問(wèn)檢測(cè)裝置50中的處理的流程進(jìn)行說(shuō)明。圖13示出第5實(shí)施方式的非法訪問(wèn)檢測(cè)裝置中的處理的流程的流程圖。此外，在圖13的例子中，對(duì)于所獲取的詢問(wèn)的正文是“SELECT creditcard FROM user WHERE id＝suzuki＿taro”的情況進(jìn)行說(shuō)明。

如圖13所示，當(dāng)?shù)竭_(dá)處理時(shí)機(jī)時(shí)(步驟S501，是)，非法訪問(wèn)檢測(cè)裝置50的檢測(cè)部51開(kāi)始進(jìn)行處理。例如，檢測(cè)部51按照規(guī)定的間隔(例如，1秒間隔)開(kāi)始進(jìn)行處理。此外，檢測(cè)部51處于待機(jī)狀態(tài)，直至到達(dá)處理時(shí)機(jī)為止(步驟S501，否)。

接著，檢測(cè)部51參照詢問(wèn)模式存儲(chǔ)部53，從所獲取的詢問(wèn)中提取用戶ID(步驟S502)。例如，檢測(cè)部51參照詢問(wèn)模式存儲(chǔ)部53，確定與所獲取的詢問(wèn)的正文對(duì)應(yīng)的正文模式。這里，由于接收到的詢問(wèn)的正文是“SELECT creditcard FROM user WHERE id＝suzuki＿taro”，因此檢測(cè)部51確定“SELECT？FROM user WHERE id＝？”作為詢問(wèn)的正文模式。接著，檢測(cè)部51獲取與所確定的正文模式對(duì)應(yīng)的存儲(chǔ)用戶ID的變量名。在圖12所示的例子中，由于存儲(chǔ)與詢問(wèn)的正文模式“SELECT？FROM user WHERE id＝？”對(duì)應(yīng)的用戶ID的變量名是“id”，因此檢測(cè)部51獲取“id”。而且，檢測(cè)部51使用所獲取的存儲(chǔ)用戶ID的變量名而從詢問(wèn)的正文中提取用戶ID。在詢問(wèn)的正文中，由于“id”中所描述的內(nèi)容是“suzuki＿taro”，因此檢測(cè)部51從詢問(wèn)的正文中提取“suzuki＿taro”作為用戶ID。

接著，檢測(cè)部51參照會(huì)話信息DB，獲取與用戶ID對(duì)應(yīng)的會(huì)話ID(步驟S503)。例如，檢測(cè)部51參照會(huì)話信息DB 60，獲取與在步驟S502中提取出的用戶ID“suzuki＿taro”對(duì)應(yīng)的會(huì)話ID“31a9eab98d33bb24c”。

而且，檢測(cè)部51判定在詢問(wèn)的接收時(shí)刻之前的規(guī)定的時(shí)間內(nèi)是否接收到包含會(huì)話ID的請(qǐng)求(步驟S504)。例如，如果DB 20接收到的詢問(wèn)的接收時(shí)刻為8時(shí)22分10秒，則檢測(cè)部51判定從8時(shí)22分9秒到10秒之內(nèi)業(yè)務(wù)服務(wù)器10是否接收到包含會(huì)話ID“31a9eab98d33bb24c”的請(qǐng)求。這里，當(dāng)在詢問(wèn)的接收時(shí)刻之前的規(guī)定的時(shí)間內(nèi)接收到該請(qǐng)求的情況下(步驟S504，是)，檢測(cè)部51判定為該詢問(wèn)不是非法訪問(wèn)(步驟S505)。

另一方面，當(dāng)在詢問(wèn)的接收時(shí)刻之前的規(guī)定的時(shí)間內(nèi)未接收到相應(yīng)請(qǐng)求的情況下(步驟S504，否)，檢測(cè)部51判定為該詢問(wèn)是非法訪問(wèn)(步驟S506)。

此外，圖13的例子僅是一例。例如，檢測(cè)部51也可以以從日志獲取裝置40獲取詢問(wèn)為契機(jī)而開(kāi)始進(jìn)行圖13的處理。

第5實(shí)施方式的非法訪問(wèn)檢測(cè)裝置50使用與業(yè)務(wù)服務(wù)器10實(shí)際連接的用戶終端的信息來(lái)檢測(cè)非法訪問(wèn)。因此，非法訪問(wèn)檢測(cè)裝置50能夠更可靠地檢測(cè)非法訪問(wèn)。例如，即使是1秒鐘1000個(gè)請(qǐng)求這樣的大規(guī)模的系統(tǒng)，非法訪問(wèn)檢測(cè)裝置50也能夠高精度地檢測(cè)非法訪問(wèn)。

[其他實(shí)施方式]

此外，在此之前對(duì)本發(fā)明的實(shí)施方式進(jìn)行了說(shuō)明，但本發(fā)明除了上述的實(shí)施方式以外，還可以通過(guò)各種不同的方式來(lái)實(shí)施。

[對(duì)于負(fù)載均衡裝置的應(yīng)用]

例如，在上述的第1～第5實(shí)施方式中，對(duì)于業(yè)務(wù)服務(wù)器10單獨(dú)地發(fā)揮功能的情況進(jìn)行了說(shuō)明，但在配置有多個(gè)業(yè)務(wù)服務(wù)器10而實(shí)現(xiàn)負(fù)載均衡的情況下也可以應(yīng)用。

圖14是示出應(yīng)用其他實(shí)施方式的非法訪問(wèn)檢測(cè)裝置的系統(tǒng)的概況的結(jié)構(gòu)圖。如圖14所示，在該系統(tǒng)中，為了提供業(yè)務(wù)而具有3個(gè)業(yè)務(wù)服務(wù)器10A、10B、10C。

在該情況下，日志獲取裝置30作為L(zhǎng)B(Load Balancer：負(fù)載均衡器)發(fā)揮功能。例如，日志獲取裝置30在將從用戶終端發(fā)送來(lái)的請(qǐng)求轉(zhuǎn)發(fā)給業(yè)務(wù)服務(wù)器10A、10B、10C中的任意業(yè)務(wù)服務(wù)器的情況下，在參照了各業(yè)務(wù)服務(wù)器10A、10B、10C的負(fù)載狀況之后，轉(zhuǎn)發(fā)給負(fù)載較少的業(yè)務(wù)服務(wù)器。而且，請(qǐng)求獲取部31還獲取請(qǐng)求的發(fā)送目的地的業(yè)務(wù)服務(wù)器的地址作為請(qǐng)求信息而發(fā)送給非法訪問(wèn)檢測(cè)裝置50。另外，詢問(wèn)獲取部41還獲取詢問(wèn)的發(fā)送源的業(yè)務(wù)服務(wù)器的地址作為詢問(wèn)信息而發(fā)送給非法訪問(wèn)檢測(cè)裝置50。

而且，檢測(cè)部51對(duì)于每個(gè)所獲取的請(qǐng)求和詢問(wèn)的地址，進(jìn)行檢測(cè)非法訪問(wèn)的處理。例如，如果所獲取的詢問(wèn)的發(fā)送源是業(yè)務(wù)服務(wù)器10A，則檢測(cè)部51判定發(fā)送目的地的地址是業(yè)務(wù)服務(wù)器10A的請(qǐng)求是否包含在該詢問(wèn)的接收時(shí)刻之前的規(guī)定的時(shí)間內(nèi)。換言之，如果所獲取的詢問(wèn)的發(fā)送源是業(yè)務(wù)服務(wù)器10A，則檢測(cè)部51不將發(fā)送目的地的地址是業(yè)務(wù)服務(wù)器10B、10C的請(qǐng)求作為處理對(duì)象，而進(jìn)行非法訪問(wèn)的檢測(cè)處理。因此，非法訪問(wèn)檢測(cè)裝置50能夠更準(zhǔn)確地檢測(cè)未知的非法訪問(wèn)。

這樣，在存在多個(gè)業(yè)務(wù)服務(wù)器10的情況下，按照每個(gè)代理服務(wù)器將對(duì)DB 20的詢問(wèn)與請(qǐng)求的對(duì)應(yīng)關(guān)系進(jìn)行分類，從而能夠提高檢測(cè)性能。例如，在應(yīng)用于上述的第1、3、5實(shí)施方式的情況下，在由日志獲取裝置30分配了請(qǐng)求的業(yè)務(wù)服務(wù)器與發(fā)布了詢問(wèn)的業(yè)務(wù)服務(wù)器不同的情況下，能夠檢測(cè)到非法訪問(wèn)。另外，在應(yīng)用于第2、4實(shí)施方式的情況下，由日志獲取裝置30分配的對(duì)于某業(yè)務(wù)服務(wù)器的HTTP請(qǐng)求的個(gè)數(shù)與來(lái)自該業(yè)務(wù)服務(wù)器的詢問(wèn)的發(fā)布數(shù)的比例在每個(gè)業(yè)務(wù)服務(wù)器中大不相同，因而能夠檢測(cè)到非法訪問(wèn)。特別是當(dāng)該比例在一部分的業(yè)務(wù)服務(wù)器中突出的情況下，能夠檢測(cè)出該業(yè)務(wù)服務(wù)器被入侵而發(fā)布了非法詢問(wèn)的可能性高。

[系統(tǒng)結(jié)構(gòu)等]

另外，圖示的各裝置的各結(jié)構(gòu)要素是功能概念性的，并不一定在物理上如圖示那樣構(gòu)成。即，各裝置的分散·整合的具體的方式不限于圖示的內(nèi)容，能夠根據(jù)各種負(fù)載或使用狀況等按照任意的單位在功能上或者物理上將其全部或者一部分分散·整合而構(gòu)成。此外，關(guān)于各裝置所進(jìn)行的各處理功能，其全部或者任意的一部分可以通過(guò)CPU和由該CPU解析執(zhí)行的程序來(lái)實(shí)現(xiàn)、或者可以作為基于線路邏輯的硬件而實(shí)現(xiàn)。

圖15A和圖15B是示出應(yīng)用其他實(shí)施方式的非法訪問(wèn)檢測(cè)裝置的系統(tǒng)的概況的結(jié)構(gòu)圖。例如，如圖15A所示，非法訪問(wèn)檢測(cè)裝置50除了檢測(cè)部51之外還可以具有請(qǐng)求獲取部31和詢問(wèn)獲取部41。在該情況下，請(qǐng)求獲取部31從業(yè)務(wù)服務(wù)器10獲取請(qǐng)求信息，詢問(wèn)獲取部41從DB 20獲取詢問(wèn)信息。

另外，例如如圖15B所示，非法訪問(wèn)檢測(cè)裝置50也可以構(gòu)成為對(duì)業(yè)務(wù)服務(wù)器10與因特網(wǎng)5之間以及業(yè)務(wù)服務(wù)器10與DB 20之間的通信進(jìn)行中繼。換言之，業(yè)務(wù)服務(wù)器10和DB 20經(jīng)由非法訪問(wèn)檢測(cè)裝置50與因特網(wǎng)5連接。

此外，圖15A和圖15B的例子僅是一例。例如，請(qǐng)求獲取部31、詢問(wèn)獲取部41以及檢測(cè)部51也可以不是配備于一個(gè)裝置，而這些部件中的任意部件可以作為另一裝置而分離構(gòu)成。作為一例，請(qǐng)求獲取部31也可以構(gòu)成為作為與非法訪問(wèn)檢測(cè)裝置50不同的裝置(例如，作為圖1的日志獲取裝置30)對(duì)業(yè)務(wù)服務(wù)器10與因特網(wǎng)5之間的通信進(jìn)行中繼。在該情況下，非法訪問(wèn)檢測(cè)裝置50具有詢問(wèn)獲取部41和檢測(cè)部51。這樣，對(duì)于請(qǐng)求獲取部31、詢問(wèn)獲取部41以及檢測(cè)部51，也可以任意地組合而構(gòu)成。

另外，本實(shí)施方式中所說(shuō)明的各處理中的作為自動(dòng)地進(jìn)行的處理進(jìn)行說(shuō)明的處理的全部或者一部分也可以手動(dòng)地進(jìn)行、或者作為手動(dòng)地進(jìn)行的處理進(jìn)行說(shuō)明的處理的全部或者一部分也可以通過(guò)公知的方法自動(dòng)地進(jìn)行。除此之外，關(guān)于上述文檔中或附圖中所示的處理步驟、控制步驟、具體的名稱、包含各種數(shù)據(jù)或參數(shù)的信息，除了特別說(shuō)明的情況之外可以任意變更。

[程序]

另外，對(duì)于上述實(shí)施方式中所說(shuō)明的檢測(cè)裝置所執(zhí)行的處理，也可以創(chuàng)建由計(jì)算機(jī)可執(zhí)行的語(yǔ)言來(lái)描述的程序。例如，對(duì)于實(shí)施方式的檢測(cè)裝置所執(zhí)行的處理，也可以創(chuàng)建由計(jì)算機(jī)可執(zhí)行的語(yǔ)言來(lái)描述的檢測(cè)程序。在該情況下，計(jì)算機(jī)執(zhí)行檢測(cè)程序，由此能夠得到與上述實(shí)施方式相同的效果。此外，也可以將該檢測(cè)程序記錄在計(jì)算機(jī)可讀取的記錄介質(zhì)中，使計(jì)算機(jī)讀入并執(zhí)行該記錄介質(zhì)中所記錄的檢測(cè)程序，由此實(shí)現(xiàn)與上述實(shí)施方式相同的處理。以下，對(duì)于執(zhí)行檢測(cè)程序的計(jì)算機(jī)的一例進(jìn)行說(shuō)明，該檢測(cè)程序?qū)崿F(xiàn)與圖1所示的檢測(cè)裝置相同的功能。

圖16是示出執(zhí)行檢測(cè)程序的計(jì)算機(jī)的圖。如圖16所例示，計(jì)算機(jī)1000例如具有：存儲(chǔ)器1010、CPU 1020、硬盤(pán)驅(qū)動(dòng)器接口1030、盤(pán)驅(qū)動(dòng)器接口1040以及網(wǎng)絡(luò)接口1070，這些各部件由總線1080連接。

如圖16所例示，存儲(chǔ)器1010包含ROM(Read Only Memory：只讀存儲(chǔ)器)1011和RAM(Random Access Memory：隨機(jī)存取存儲(chǔ)器)1012。ROM 1011例如存儲(chǔ)BIOS(Basic Input Output System：基本輸入輸出系統(tǒng))等引導(dǎo)程序。如圖16所例示，硬盤(pán)驅(qū)動(dòng)器接口1030與硬盤(pán)驅(qū)動(dòng)器1031連接。如圖16所例示，盤(pán)驅(qū)動(dòng)器接口1040與盤(pán)驅(qū)動(dòng)器1041連接。例如磁盤(pán)或光盤(pán)等可裝卸的存儲(chǔ)介質(zhì)插入于盤(pán)驅(qū)動(dòng)器。

這里，如圖16所例示，硬盤(pán)驅(qū)動(dòng)器1031例如存儲(chǔ)OS 1091，應(yīng)用程序1092、程序模塊1093以及程序數(shù)據(jù)1094。即，上述的檢測(cè)程序作為描述有計(jì)算機(jī)1000所執(zhí)行的指令的程序模塊而存儲(chǔ)于例如硬盤(pán)驅(qū)動(dòng)器1031中。

另外，在上述實(shí)施方式中所說(shuō)明的各種數(shù)據(jù)作為程序數(shù)據(jù)存儲(chǔ)于例如存儲(chǔ)器1010或硬盤(pán)驅(qū)動(dòng)器1031中。而且，CPU 1020根據(jù)需要而將存儲(chǔ)器1010或硬盤(pán)驅(qū)動(dòng)器1031中存儲(chǔ)的程序模塊1093或程序數(shù)據(jù)1094讀出到RAM 1012，來(lái)執(zhí)行各步驟。

此外，檢測(cè)程序的程序模塊1093或程序數(shù)據(jù)1094不限于存儲(chǔ)于硬盤(pán)驅(qū)動(dòng)器1031中的情況，例如也可以存儲(chǔ)于可裝卸的存儲(chǔ)介質(zhì)中而經(jīng)由盤(pán)驅(qū)動(dòng)器等由CPU1020讀出。或者，檢測(cè)程序的程序模塊1093或程序數(shù)據(jù)1094也可以存儲(chǔ)于經(jīng)由網(wǎng)絡(luò)(LAN(Local Area Network：局域網(wǎng))、WAN(Wide Area Network：廣域網(wǎng))等)連接的其他計(jì)算機(jī)中而經(jīng)由網(wǎng)絡(luò)接口1070由CPU 1020讀出。

這些實(shí)施方式或其變形包含于本申請(qǐng)所公開(kāi)的技術(shù)中，同樣地包含于權(quán)利要求書(shū)所記載的發(fā)明及其均等的范圍內(nèi)。

標(biāo)號(hào)說(shuō)明

5：因特網(wǎng)；10：業(yè)務(wù)服務(wù)器；20：DB；30、40：日志獲取裝置；31：請(qǐng)求獲取部；41：詢問(wèn)獲取部；50：非法訪問(wèn)檢測(cè)裝置；51：檢測(cè)部。