[发明专利]未授权访问信息收集系统

说明书

技术领域

本发明涉及一种未授权访问信息收集系统，用于监测对由多个 诱捕系统(honey pots)(例如，用于诱骗病毒或黑客等的诱骗服务 器或诱骗网络装置)构成的蜜网的未授权访问，以收集未授权访问信 息。更具体地，本发明涉及一种未授权访问信息收集系统，其中能够 以低成本收集宽地址空间上的未授权访问信息并能容易地执行操作 分析。

背景技术

作为相关技术的下列参考文献涉及一种传统的未授权访问信息 收集系统，它们用于监测对由多个诱捕系统构成的蜜网的未授权访 问，以收集未授权访问信息。

专利文献1：JP-A-2002-111727

专利文献2：JP-A-2004-234401

专利文献3：JP-A-2006-025354

专利文献4：JP-A-2006-099590

专利文献5：JP-A-2006-243878

图17为表示传统未授权访问信息收集系统的方框图。在图17 中，数字1为终端，例如用于获得未授权访问的计算机，且数字2 是用于收集未授权访问信息的未授权访问信息收集装置，数字3、4 和5是诱捕系统，它们是用于诱骗病毒或黑客的诱骗服务器或诱骗网 络装置，且数字100是互联网。

此外，数字2、3、4和5构成未授权访问信息收集系统，且数 字3、4和5构成蜜网。

终端1与互联网100互相连接，而且未授权访问信息收集装置2 的一个通信单元(例如，网络接口)也与互联网100互相连接。此外， 未授权访问信息收集装置2的另一通信单元与诱捕系统3、4和5互 相连接。

另外，图18为表示未授权访问信息收集装置2的一个具体示例 的方框图。在图18中，数字6是用于通过互联网100进行通信的通 信单元，数字7是用于控制整个未授权访问信息收集装置的运算控制 单元(例如CPU，中央处理单元)，数字8是用于通过蜜网进行通 信的通信单元，且数字9是存储单元，例如硬盘、ROM(只读存储 器)或RAM(随机访问存储器)。而且，数字6、7、8和9构成未 授权访问信息收集装置50。

通信单元6与互联网100(未示出)互相连接，且其输入和输出 与运算控制单元7互相连接。另一方面，通信单元8与蜜网(未示出) 互相连接，且其输入和输出也与运算控制单元7互相连接。同样，存 储单元9的输入和输出也与运算控制单元7互相连接。

现在将参照图19、图20、图21和图22说明图17中所示传统 示例的动作。图19为解释在运算控制单元7进行入站通信(从互联 网侧进行分组接收)时的动作的流程图，图20为解释在入站通信时 的动作的说明图，图21为解释在运算控制单元7进行出站通信(从 蜜网侧进行分组接收)时的动作的流程图，且图22是解释在出站通 信时的动作的说明图。

首先，分别为构成蜜网的每个诱捕系统3、4和5分配全局IP (互联网协议)地址(此后简单称之为全局地址)。将MAC(媒体 访问控制地址)地址和每个诱捕系统3、4和5的全局地址登记成地 址列表，并且将所述地址列表提前存储在未授权访问信息收集装置 50的存储单元9中。

此外，将限制信息设置为通信控制列表，该限制信息关于例如 在出站通信时IP(互联网协议)分组(此后简单的称之为分组)相 对于目的全局地址向互联网侧的传送或分组的丢弃。将所述通信控制 列表提前存储在未授权访问信息收集装置50的存储单元9中。

在入站通信(从互联网侧进行分组接收)时，在图19中的“S001” 中，运算控制单元7判断是否通过通信单元6从互联网侧的终端1 接收分组。如果判定从互联网侧的终端1接收分组，则在图19中的 “S002”中运算控制单元7检索在提前存储在存储单元9中的地址 列表中是否记录有与目的全局地址相应的目的MAC地址。

在图19的“S003”中，当运算控制单元7判定所述MAC地址 存在于所述地址列表中时，在图19的“S004”中运算控制单元7在 存储单元9的日志文件中记录有关接收分组的信息，且在图19的 “S005”中运算控制单元7通过通信单元8将接收的分组传送给与 蜜网侧的MAC地址相应的诱捕系统。