[发明专利]非法访问检测系统和非法访问检测方法

说明书

在非法访问检测系统(100)中生成向外部泄漏的认证信息。而且，在非法访问检测系统(100)中，将所生成的认证信息设定在解析主机(20)上，使解析对象程序在该解析主机(20)上进行动作。而且，在非法访问检测系统(100)中，对使用了认证信息的针对内容的访问进行检测，在检测出使用了认证信息的访问的情况下，将该访问确定为非法访问。

技术领域

本发明涉及非法访问检测系统和非法访问检测方法。

背景技术

近年来，计算机终端或服务器(在此，不对二者进行区分，以下记为主机)被作为具有恶意的软件的恶意软件(malware)感染，从而发生主机内部的信息被破坏或被恶意使用于以主机自身为跳板的新攻击中的事例。此外，恶意软件也可以未经允许而向外部泄漏主机内的信息。不仅是个人信息，还有可能泄漏公司、政府或者军事机关等的机密信息，因此恶意软件感染造成的信息泄漏成为问题。

该恶意软件通过各种感染路径感染的方法已得到确认，例如为：通过伪装成邮件附件而导致用户误点击和安装而造成的感染；下载和安装伪装成在Web站点发布的一般的软件的恶意软件、伪装成P2P文件的恶意软件、在使用具有漏洞的Web浏览器浏览包含攻击代码的Web站点的情况下自动地下载和安装恶意软件而造成的感染等。

此外，发生对在因特网上提供的各种服务的非法访问。大多数的非法访问存在如下两种情况：通过以蛮力方式(Brute Force)(攻击者以账户名和密码的所有可能的组合来尝试的登录)破解认证信息(例如，账户名和密码)来进行非法访问的情况；使用预先从用户那里通过某些方法盗取的正规的认证信息来进行非法访问的情况。在以蛮力方式破解认证信息的情况下，因为发生连续的登录的实施，因此能够基于单位时间的登录尝试次数的阈值利用IPS(Intrusion Prevention System：入侵防止系统)等进行检测和防御(例如，参照非专利文献1)。

此外，针对这些恶意软件感染，防病毒销售商制作恶意软件的标志(signature)，防止主机被恶意软件感染。但是，因为标志需要恶意软件的详细的解析，因此需要用于制作标志的时间成本。

作为以往的信息泄漏对策，大多数对用户设定针对信息的访问权限，来防止机密数据的流出。此时，并没有将拥有访问权限的用户故意地向外部泄漏信息的情况作为对象。此外，当该用户复制了信息的情况下，并没有将针对复制后的数据的保护作为对象。

另一方面，近年来，作为基于信息中心的控制的信息泄漏防止方法，使用了被称为DLP(Data Loss Prevention：数据丢失预防，或者，Data Leak Prevention：数据泄漏预防)的技术(例如，参照非专利文献2～4)。DLP对于具有机密性的信息，监视对该信息的访问和发送，特别防止向外部发送的情况。此时，有如下方法：在主机上进行信息控制的方法；以及在网络上通过监视通信内容来控制的方法。

作为前者的在主机上进行信息控制的方法，公知有使用安装于用户所使用的主机上的代理程序来监视对机密信息的访问的方法。例如，在要从文件服务器下载机密信息而复制到USB存储器等外部存储设备的情况下，在画面上显示警告文等进行防御。在作为邮件的附件要向外部发送的情况下也通过同样的处理进行防御。

作为后者的在网络上监视通信内容的方法，公知有使用对网络上的通信进行分析的设备来在网络上监视通信内容的方法。例如，在作为邮件的附件要向外部发送机密信息的情况下，设备确认通信内容而进行阻止。

现有技术文献

非专利文献

非专利文献1：“Suricata Downloads”、[online]、[平成25年5月15日检索]、因特网＜http://www.openinfosecfoundation.org/index.php/download-suricata＞