信息处理装置、信息处理方法、及信息处理程序与流程

[0001]
本发明涉及一种信息处理装置、信息处理方法、及信息处理程序。


背景技术：

[0002]
web服务器用于保存由管理服务器的管理员所创建、更新后的内容，并根据来自用户终端的请求返回内容(content)。
[0003]
但yes，web服务器中安装有包括os在内的各种软件，并通过这些软件来执行内容的创建、支持更新以及与用户终端的通信等。一旦这些软件存在漏洞(安全上的弱点)，则恶意的第三方有可能利用该漏洞发动对服务器的攻击(例如，sql注入)。
[0004]
在恶意第三方攻击成功的情况下，其就会入侵服务器，通过有意篡改内容来发动水坑式攻击(water holing)等。水坑式攻击是指恶意第三方预先篡改用户平时可能通过互联网访问的正规网站，将访问正规网站的用户终端诱导至会下载恶意软件(malware)的恶性网站的一种网络攻击方式。
[0005]
为了防止访问会下载恶意软件的恶性url，预先多获取恶性url至关重要。以往，公开有一种技术，其具备虚拟地执行基于经由用户的通信日志获取的url等取得的恶意软件文件的执行装置，在执行恶意软件时，获取该恶意软件文件会进行通信的目的地url，并收集连接目的地的url作为黑名单。
[0006]
【专利文献】
[0007]
【专利文献1】特开2014-179025号公报
[0008]
然而，即便能够检测到很多会下载恶意软件网站、或者被诱导到钓鱼网站的恶性url，但在对与正规网站相对应的内容进行有意篡改，并在访问正规网站后遭受到被转移至恶性网站的攻击时，就很难立即检测出被篡改的正规网站的url。
[0009]
因此，管理与正规网站相对应的服务器的管理员无法在早期注意到内容被篡改，导致正规网站有可能就这样在无形间变为对用户有害的网站。
[0010]
本发明就是鉴于这样的情况而提出的，目的在于提供一种信息处理装置、信息处理方法、及信息处理程序，其能够在早期检测出web服务器中的内容篡改。


技术实现要素：

[0011]
本发明涉及的一种信息处理装置，包括：访问日志收集部，收集用户终端向web服务器请求内容时的访问日志；数据库，预先注册恶性url；以及篡改检测部，将与所述用户终端的连接目的地相对应的连接目的地url与所述数据库进行核对，当所述连接目的地url与所述恶性url一致时，检测所述内容的篡改。
[0012]
发明效果
[0013]
根据本发明的信息处理装置、信息处理方法、及信息处理程序，就能够在早期检测出web服务器中的内容篡改。
附图说明
[0014]
图1是展示第一实施例涉及的信息处理装置的结构的示例配置图。
[0015]
图2(a)是用于说明在用户终端发出的请求后，通过url重定向连接到与请求的目的地url不同的url时的访问流程说明图，图2(b)是展示在信息处理装置的日志提取部中提取的访问日志的示例图。
[0016]
图3(a)是展示在数据库中保存的url的一例说明图，图3(b)是展示向与良性url相关联的管理员发送通知的通知目的地示例说明图。
[0017]
图4是展示第一实施例涉及的信息处理方法的示例流程图。
[0018]
图5(a)是路过式下载攻击(drive-by download)的一个例子，其展示了在由a公司的web服务器管理的html数据被恶意的第三方篡改的情况下，在具有特定的检索网站的引用页(referer)的状态下被请求时的访问流程图，图5(b)是展示不通过检索网站请求html数据时的访问流程图。
[0019]
图6是展示第二实施例涉及的信息处理装置的结构的示例的结构图。
[0020]
图7是展示第二实施例涉及的信息处理方法的示例流程图。
[0021]
图8是展示第三实施例涉及的信息处理装置配置的示例配置图。
[0022]
图9是展示第三实施例涉及的信息处理方法的示例流程图。
具体实施例
[0023]
(第一实施例)
[0024]
接下来，基于附图来说明本发明的实施例。
[0025]
首先，对整体结构进行说明。
[0026]
用户终端11经由互联网连接到web服务器12，并请求根据url确定的web服务器12中的内容。然后，经由web浏览器显示从web服务器12返回的内容。作为内容，可以例举html数据、图像数据、pdf文件等各种数据。在图1中，作为内容例示了html数据。
[0027]
web服务器12将用户终端11请求的内容返回给用户终端11。
[0028]
管理员终端13是能够与web服务器12连接的计算机，由管理员执行内容的创建和更新。
[0029]
本实施例涉及的信息处理装置10通过将从用户终端11收集的访问日志与预先注册有恶性url的数据库16进行核对，来检测与用户的访问源url相对应的内容篡改。
[0030]
信息处理装置10收集用户终端11向web服务器12连接的连接信息相关的访问日志。信息处理装置10可以从用户终端11处直接获取访问日志，也可以在用户终端11经由用于控制向互联网连接的代理服务器与web服务器12连接的情况下，从代理服务器处获取访问日志。另外，也可以在作为与外部网络的出入口的用于对用户终端11的通信进行控制的防火墙处获取访问日志。还可以经由从用户终端11随时收集访问日志的各个单独的服务器处获取访问日志。
[0031]
另外，在图1中，虽然仅记载有一个用户终端11，但信息处理装置10也可以连接到多个用户终端11，并从各个用户终端11收集访问日志。
[0032]
下面，对第一实施例涉及的信息处理装置10的具体配置进行说明。
[0033]
信息处理装置10包括：访问日志收集部14、日志提取部15、数据库16、篡改检测部
19、以及篡改通知部20。
[0034]
构成信息处理装置10的各单元的功能也可以通过使用处理器执行规定的程序代码来实现，并且还可以不限于这样的软件处理，例如也可以通过使用asic等的硬件处理来实现，还可以通过软硬件组合处理来实现。
[0035]
访问日志收集部14收集用户终端11向web服务器12请求内容时的访问日志。访问日志收集部14将：根据用户终端11连接到web服务器12时用于识别用户终端11的识别信息(例如ip地址)、访问源url、连接目的地url、用于访问内容的web浏览器名、访问时间等作为访问日志进行收集。
[0036]
访问源url是指用于从用户终端11请求内容的url。连接目的地url是指在请求内容之后用户终端11实际连接到的url。通常，用户终端11为了请求内容而访问的url与在请求之后用户终端11实际连接到的url是一致的。即访问源url与连接目的地url相一致。
[0037]
另一方面，在用户终端11发出请求后，当被url重定向(url的参照目的地被自动变更)，用户终端11被自动连接到与请求目的地url不同的url上时，就会出现用户终端11请求内容的url于请求后实际连接的url不一致的情况。即访问源url与连接目的地url不一致。
[0038]
图2(a)是用于说明在用户终端11发出请求之后，通过url重定向将用户终端11连接到与请求目的地url不同的url时的访问流程说明图。
[0039]
用户终端11访问作为访问源url的“http://www.aaa.com/aaa.html”，并向web服务器12请求内容“aaa.html”。然后，用户终端11收到http响应。然后，用户终端11被url重定向到“http://www.ccc.com/ccc.html”，并向web服务器50请求内容“ccc.html”。用户终端11从连接目的地url获取ccc.html数据。像这样，当通过url重定将用户终端11连接到与请求目的地url不一致的url时，就会出现访问源url和连接目的地url的不一致。
[0040]
日志提取部15从由访问日志收集部14收集到的访问日志中提取与用户终端11的连接目的地相对应的连接目的地url与内容的请求目的地对应的访问源url不同、即两个url不一致时的访问日志。
[0041]
图2(b)是展示在信息处理装置10的记录提取部15中被提取的访问记录的示例图。
[0042]
如图2(b)所示，日志提取部15针对每个用于识别用户终端11的用户id(ip地址)，提取出：用户终端11实际连接的连接目的地url以及用户为了请求内容而访问的访问源url。
[0043]
数据库16具有：预先注册有恶性url的恶性url保存部17、以及预先注册了良性url的良性url保存部18。在以下的实施方式中，在数据库16中，将url对应地分为良性或恶性进行类别注册，但也可以将ip地址对应地分为良性或恶性进行类别注册。
[0044]
恶性url是指会使用户终端11下载病毒等恶意软件的内容、钓鱼(欺诈)网站等、会诱导用户终端11下载恶意文件和连接到web站点有害url。另一方面，良性url是指对用户终端11无害的url。在数据库16中，对注册的url区分为恶性或良性的类别并进行保存。
[0045]
数据库16处保存有发送至与每个良性url对应的用于管理与良性url对应的内容的管理员终端13(或管理员)的通知目的地。作为通知目的地，例如可以例举邮件地址。该通知目的地用于在检测到内容篡改时通知管理员篡改已发生。
[0046]
图3(a)是展示在数据库16中保存的url的示例图。如图3(a)所示，在数据库16中注册的各个url被分为良性或恶性并进行类别信息保存。
[0047]
图3(b)是展示发送至与良性url相关联的管理员的通知目的地示例说明图。如图3(b)所示，各个已注册的良性url对应保存有发送至管理与良性url对应的内容的管理员的通知目的地邮件地址。
[0048]
回到图1继续说明。
[0049]
篡改检测部19从日志提取部15获取已被日志提取部15提取的与用户终端11的连接目的地相对应的连接目的地url与和内容的请求目的地相对应的访问源url不一致的日志。然后，将作为用户终端11的实际连接目的地的连接目的地url与数据库16进行核对，当连接目的地url与恶性url一致时，检测出与访问源url对应的内容篡改。另外，在数据库16中，当与ip地址对应地分为良性或恶性并进行了类别注册的情况下，当与连接目的地url对应的ip地址与恶性ip地址一致的情况下，检测出内容篡改。
[0050]
通常，在用户访问正规的web网站的情况下，访问源url与用户终端11实际的连接目的地url是一致的，任何url都属于良性url。因此，在连接目的地url与访问源url不一致，且连接目的地url与恶性url一致时，即判定为与正规网站的连接被有意更改，并发生了正规网站被篡改的情况、即与访问源url对应的内容被篡改。
[0051]
另外，当正规的web站点有意对访问该web站点的用户终端11进行url重定向时，可以假定访问源url与实际的连接目的地url发生不一致。在这种情况下，由于连接目的地url不会与恶性url一致，因此不会检测到内容的篡改。
[0052]
如果检测到篡改，篡改通知部20会向与检测到被篡改的内容相对应的web服务器12的管理员发出已发生篡改的通知。具体来说，使用管理与良性url对应的内容的管理员终端13(或管理员)的通知目的地来通知篡改的发生。另外，作为向管理员发送通知的方式，不需要预先保存管理员终端13的通知目的地，可以基于与检测到篡改的内容相对应的访问源url来检索管理员的访问目的地，然后再向web服务器12的管理员通知已发生篡改。例如，从访问源url中提取域(domain)部分，通过将该域部分与在询问目的地(接触目的地)url中通常使用的"/content/"、"/info/"等相链接来搜索通知目的地，并根据该通知目的地通知web服务器12的管理员已发生篡改。
[0053]
接下来，对第一实施例涉及的信息处理装置10的操作进行说明。
[0054]
图4是第一实施例涉及的信息处理方法的流程图(适当地参见图1)。
[0055]
访问日志收集部14从用户终端11获取对互联网的访问日志(s10)。
[0056]
日志提取部15从来自于用户终端11的访问日志中提取：实际连接到用户终端11的连接目的地url与和内容的请求目的地相对应的访问源url不一致的日志(s11)。
[0057]
篡改检测部19在数据库16中核对连接目的地url，以确定连接目的地url是否与恶性url一致。当连接目的地url与恶性url一致时，检测与访问源url对应的内容篡改(s12、s13：yes，s14)。另一方面，如果不一致，则篡改检测部19确定没有发生内容篡改(s13：no，结束)。
[0058]
如果检测到篡改，篡改通知部20会通知与检测到篡改的内容相对应的web服务器12的管理员已发生篡改(s15)。另外，与检测到篡改的内容相对应的访问源url可以作为恶性url保存在数据库16中。如该url之前已被归类为良性url，则将其重新归类为恶性url。
[0059]
如上所述，第一实施例涉及的信息处理装置10通过将从用户终端11收集的访问日志与预先注册有恶性url的数据库16进行核对，就能够早期检测到web服务器12中发生的篡
改，并且能够通知web服务器12的管理员已发生内容篡改。由此，管理员能够在早期注意到web服务器12中的内容篡改，从而在短期内结束水坑式攻击等恶意第三方的攻击。
[0060]
(第二实施例)
[0061]
首先，使用图5说明利用了水坑式攻击的驱动器下载攻击的示例。假设由a公司的web服务器12管理的html数据(aaa.html)被恶意第三方篡改后，当在具有特定搜索网站的引用页的状态下请求aaa.html时，aaa.html中被嵌入了执行向恶意第三方web服务器50的url重定向的特殊重定向脚本。引用页是指在转换到客户终端11上连接的url之前访问的那个url。
[0062]
如图5(a)所示，当用户在搜索网站x上输入与a公司相关联的关键字后，基于该关键字的a公司的内容的url就会被显示在用户终端11上。然后，用户在用户终端11上向a公司的web服务器12请求aaa.html。此时，在具有检索站点x的引用页的状态下执行访问后的用户终端11通过被嵌入到aaa.html中的重定向脚本，被恶意的第三方所管理的web服务器50诱导，从而获取了具有恶性内容的ccc.html。
[0063]
另一方面，如图5(b)所示，当用户终端11不通过检索站点x而发出aaa.html的请求时，则会在不执行被嵌入的重定向脚本的情况下，从a公司的web服务器12获取aaa.html。像这样，当诸如通过书签等方式直接访问url时不会执行脚本，仅在通过检索站点进行访问时使客户终端11才会被执行url重定向。因此，对于通常不会经由检索网站进行访问的管理员来说，即使发生篡改也难以察觉到，导致在篡改的检测上产生延迟。
[0064]
在第二实施例涉及的信息处理装置10中，当用户终端11的实际连接目的地url与恶性url一致的情况下，通过信息处理装置10直接请求访问源url，即，通过在无引用页的状态下请求内容，来对连接目的地url进行验证。
[0065]
图6是展示第二实施例涉及的信息处理装置10配置的示例图。在图6中，与第一实施方式(图1)具有共同结构或功能的部分用相同的附图标记进行表示并省略重复的说明。以下，将从访问日志中提取的连接目的地url称为“第一连接目的地url”，将在访问验证部21中直接请求访问源url时的连接目的地url称为“第二连接目的地url”来加以区别。
[0066]
日志提取部15从由访问日志收集部14收集到的访问日志中提取与用户终端11的连接目的地相对应的第一连接目的地url与和内容的请求目的地相对应的访问源url不一致的访问日志。
[0067]
访问验证部21在数据库16中核对第一连接目的地url，在第一连接目的地url与恶性url一致的情况下，向web服务器12直接请求从访问日志中提取的访问源url。访问验证部21在执行该直接请求时将第二连接目的地url与访问源url进行比较。
[0068]
篡改检测部19通过访问验证单元21的比较，在访问源url与第二连接目的地url一致的情况下，检测内容的篡改。
[0069]
在收集到的访问日志中，即使访问源url与第一连接目的地url不一致，且即使第一连接目的地url与恶性url一致，当向web服务器12直接请求访问源url的情况下，如第二连接目的地url与访问源url一致，则表示对正规网站的连接因访问方法而被有意变更，即判定为发生了正规网站的篡改、也就是与访问源url对应的内容被篡改。
[0070]
另一方面，通过访问验证部21的比较，访问源url与第二连接目的地url不一致，且当用户终端11被url重定向到恶意的第三方web服务器50后第二连接目的地url与恶性url
一致时则会检测到内容已被篡改。在第二连接目的地url与恶性url不一致时，虽然所连接的第二连接目的地url无害，但由于部确认与访问源url对应的内容是否已被篡改，因此通过由信息处理装置10的管理员再次验证访问源url，来最终确认内容是否被篡改。
[0071]
接下来，对第二实施例涉及的信息处理装置10的操作进行说明。
[0072]
图7是展示第二实施例涉及的信息处理方法的示例流程图(适当地参见图6)。
[0073]
首先，访问日志收集部14从用户终端11获取对互联网的访问日志(s20)。
[0074]
日志提取部15从由用户终端11获取的访问日志中提取：与用户请求的内容相对应的访问源url与实际连接到用户终端11的第一连接目的地url不一致的日志(s21)。
[0075]
访问验证部21判定第一连接目的地url是否与恶性url一致(s22)。
[0076]
然后，访问验证部21在第一连接目地url与恶性url一致时，在没有引用页的状态下，对web服务器12直接访问访问源url，获取第二连接目的地url(s22：yes，s23)。在第一连接目的地url与恶性url不一致时，由信息处理装置10的管理员再次验证访问源url，从而确认有无内容篡改(s22：no，s28)。
[0077]
当再验证的结果确认已发生篡改的情况下，信息处理装置10的管理员将与内容对应的访问源url作为恶性url保存在数据库16中，并且通知与访问源url相对应内容的管理员发生了篡改。如果未确认已发生篡改，则将访问源url作为良性url保存在数据库16中。
[0078]
通过访问验证单元21的比较，篡改检测部19在访问源与第二连接目的地url一致的情况下，检测与访问源url相对应的内容的篡改(s24：yes，s26)。
[0079]
另一方面，在通过访问验证部21的比较后访问源url与第二连接目的地url不一致的情况下，当用户终端11因被url重定向到恶意的第三方web服务器50后第二连接目的地url与恶性url一致时，则检测内容的篡改(s24：no，s25：yes，s26)。
[0080]
另外，通过访问验证部21比较，在访问源url与第二连接目的地url不一致的情况下，当第二连接目的地url与恶性url不一致时，由信息处理装置10的管理员再次验证访问源url，从而确认有无内容篡改。
[0081]
当再验证结果确认已发生篡改的情况下，信息处理装置10的管理员将与内容对应的访问源url以及在访问验证时与恶性url不一致的第二连接目的地url作为恶性url保存在数据库16中，并通知与访问源url对应内容的管理员发生了篡改。另一方面，在未确认发生篡改的情况下，将访问源url作为良性url保存在数据库16中。
[0082]
最后，当检测到篡改时，篡改通知部20向与访问源url相对应的的内容的管理员发出篡改已发生的通知(s27)。另外，与检测到篡改的内容相对应的访问源url可以作为恶性url保存在数据库16中。对于已被归为良性url的url，将其类别变更为恶性url。
[0083]
如上所述，第二实施例涉及的信息处理装置10通过在不使用引用页的情况下向访问源url请求内容，并执行连接目的地的验证，从而能够早期且正确地检测web服务器12的篡改。这样一来，管理员就能够在早期注意到恶意第三方根据访问web站点的方法有意地变更连接目的地url的巧妙篡改行为，从而在短期内结束路过式下载攻击等恶意第三方的巧妙攻击。
[0084]
(第三实施例)
[0085]
图8是展示第三实施例涉及的信息处理装置10配置的示例图。在图8中，与第一实施方式(图1)具有共同结构或功能的部分用相同的附图标记表示，省略重复的说明。
[0086]
在第三实施例涉及的信息处理装置10中，当在访问日志中提取到数据库16中未注册的url时，会解析该未被分类的url并对其进行分类，并基于分类结果检测内容是否被篡改。
[0087]
日志提取部15从收集到的访问日志中检测与注册在数据库16中的url不一致的未分类url。
[0088]
url解析部22解析未分类url是否为恶性url，并将该未分类url注册为良性url或恶性url中的任一个。
[0089]
作为解析未分类url的方法，例如通过访问未分类的url，并在能够执行所取得的执行文件的虚拟环境下，根据执行该文件后的结果来解析该未分类url是否为恶性url。具体来说，预先保存属于恶性文件的散列函数(hash)，通过判定与该散列函数值进行比较后取得的文件是否为恶性文件，来解析该未分类url是否为恶性url。另外，也可以使用通常使用的防病毒软件来访问未分类的url，通过判定所取得的执行文件是否为恶意软件，从而解析该未分类url是否为恶性url。
[0090]
也可以预先取得无害的良性url的域，并将包含该域的未分类url归类为良性，将不包含该域的url归类为恶性url。另外，还可以由信息处理装置10的管理员来对已注册为良性或恶性的未分类url的类别进行变更。
[0091]
当访问源url与良性url一致时，而连接目的地url与恶性url一致，url的类别从良性转变为恶性的情况下，篡改检测部19检测内容是否被篡改。如果内容没有被篡改，则url从良性url转换为恶性url，所以通过从良性到恶性的类别转移就可以判定为内容被篡改。
[0092]
接下来，对第三实施例涉及的信息处理装置10的操作进行说明。
[0093]
图9是展示第三实施例涉及的信息处理方法的示例流程图(适当参照图8)。
[0094]
访问日志收集部14从用户终端11获取对互联网的访问日志(s30)。
[0095]
日志提取部15从由用户终端11获取的访问日志中提取与用户请求的内容相对应的访问源url于实际连接到用户终端11的连接目的地url不一致的日志(s31)。
[0096]
日志提取部15将连接目的地url与数据库16进行核对，提取连接目的地url在数据库内未注册的未分类url(s32)。
[0097]
url解析部22解析所提取的未分类url是否为恶性url，并将该未分类url分类为良性或恶性中的一中(s33)。
[0098]
篡改检测部19判定访问源url和连接目的地url在数据库中属于哪个类别。当访问源url分类为良性类别，而连接目的地url分类为恶性类别，并且当从访问源url到连接目的地ur类别从良性转为恶性时，篡改检测部19检测与访问源url对应的内容的篡改(s34：yes，s35)。
[0099]
另一方面，在从访问源url到连接目的地url的类别保持良性不变时，判定为没有发生篡改(s34:no，结束)。
[0100]
最后，当检测到篡改时，篡改通知部20向对应于访问源url的内容的管理员通知篡改已发生(s37)。另外，与检测到篡改的内容相对应的访问源url可以作为恶性url保存在数据库16中。对于已经属于良性url的url，将类别变更为恶性url。
[0101]
第三实施例涉及的信息处理装置10对未分类url进行是否为恶性url的类别分类，并使用分类结果来检测篡改。尽管恶性url总是在不断增加，对其的发现需要时间，难以网
罗性地立即检测到恶性网站，但通过对未注册在数据库16中的未分类url进行是否为恶性url的类别分类，就能够早期检测web服务器12的篡改。
[0102]
根据上述各实施例涉及的信息处理装置，通过将从用户终端11收集到的访问日志与预先注册了恶性url的数据库进行核对，能够早期检测web服务器内的篡改，并且能够早期通知web服务器12的管理员内容已被篡改。这样，管理员就能够早期察觉到web服务器12中的篡改，从而能够在短期内结束水坑式攻击等恶意第三方的攻击。
[0103]
另外，由信息处理装置10执行的程序被预先安装在rom等存储电路中。或者，该程序也可以以可安装形式或可执行形式的文件存储在cd-rom、cd-r、存储卡、dvd、软盘等计算机等可读取的存储介质中。由控制装置11执行的程序也可以存储在与互联网等网络连接的计算机中，并经由网络下载来提供。
[0104]
上述各实施例、变形例中的记载以及附图中公开的图示仅为用于说明权利要求项中记载的发明的一例，因此权利要求项中记载的发明不受上述实施例或附图中公开的内容所限定。本申请最初的权利要求项中的记载仅仅是一个示例，可以根据说明书、附图等的记载对权利要求项中的记载进行适宜的变更。
[0105]
符号说明
[0106]
10
…
信息处理装置；11
…
用户终端；12
…
web服务器；13
…
管理员终端；14
…
访问日志收集部；15
…
日志提取部；16
…
数据库；17
…
恶性url保存部；18
…
良性url保存部；19
…
篡改检测部；20
…
篡改通知部；21
…
访问验证部；22
…
url解析部；50
…
恶意第三方的web服务器。