信息处理装置、信息处理方法、及信息处理程序制造方法及图纸

本发明专利技术的信息处理装置10，包括：访问日志收集部14，收集用户终端11向Web服务器12请求内容时的访问日志；数据库16，预先注册恶性URL；以及篡改检测部19，将连接目标URL与数据库16进行核对，当连接目标URL与恶性URL一致时，检测内容的篡改。检测内容的篡改。检测内容的篡改。

【技术实现步骤摘要】
【国外来华专利技术】信息处理装置、信息处理方法、及信息处理程序


[0001]本专利技术涉及一种信息处理装置、信息处理方法、及信息处理程序。

技术介绍

[0002]Web服务器用于保存由管理服务器的管理员所创建、更新后的内容，并根据来自用户终端的请求返回内容(Content)。
[0003]但YES，Web服务器中安装有包括OS在内的各种软件，并通过这些软件来执行内容的创建、支持更新以及与用户终端的通信等。一旦这些软件存在漏洞(安全上的弱点)，则恶意的第三方有可能利用该漏洞发动对服务器的攻击(例如，SQL注入)。
[0004]在恶意第三方攻击成功的情况下，其就会入侵服务器，通过有意篡改内容来发动水坑式攻击(Water holing)等。水坑式攻击是指恶意第三方预先篡改用户平时可能通过互联网访问的正规网站，将访问正规网站的用户终端诱导至会下载恶意软件(Malware)的恶性网站的一种网络攻击方式。
[0005]为了防止访问会下载恶意软件的恶性URL，预先多获取恶性URL至关重要。以往，公开有一种技术，其具备虚拟地执行基于经由用户的通信日志获取的URL等取得的恶意软件文件的执行装置，在执行恶意软件时，获取该恶意软件文件会进行通信的目的地URL，并收集连接目的地的URL作为黑名单。
[0006]【专利文献】
[0007]【专利文献1】特开2014-179025号公报
[0008]然而，即便能够检测到很多会下载恶意软件网站、或者被诱导到钓鱼网站的恶性URL，但在对与正规网站相对应的内容进行有意篡改，并在访问正规网站后遭受到被转移至恶性网站的攻击时，就很难立即检测出被篡改的正规网站的URL。
[0009]因此，管理与正规网站相对应的服务器的管理员无法在早期注意到内容被篡改，导致正规网站有可能就这样在无形间变为对用户有害的网站。
[0010]本专利技术就是鉴于这样的情况而提出的，目的在于提供一种信息处理装置、信息处理方法、及信息处理程序，其能够在早期检测出Web服务器中的内容篡改。

技术实现思路

[0011]本专利技术涉及的一种信息处理装置，包括：访问日志收集部，收集用户终端向Web服务器请求内容时的访问日志；数据库，预先注册恶性URL；以及篡改检测部，将与所述用户终端的连接目的地相对应的连接目的地URL与所述数据库进行核对，当所述连接目的地URL与所述恶性URL一致时，检测所述内容的篡改。
[0012]专利技术效果
[0013]根据本专利技术的信息处理装置、信息处理方法、及信息处理程序，就能够在早期检测出Web服务器中的内容篡改。
附图说明
[0014]图1是展示第一实施例涉及的信息处理装置的结构的示例配置图。
[0015]图2(A)是用于说明在用户终端发出的请求后，通过URL重定向连接到与请求的目的地URL不同的URL时的访问流程说明图，图2(B)是展示在信息处理装置的日志提取部中提取的访问日志的示例图。
[0016]图3(A)是展示在数据库中保存的URL的一例说明图，图3(B)是展示向与良性URL相关联的管理员发送通知的通知目的地示例说明图。
[0017]图4是展示第一实施例涉及的信息处理方法的示例流程图。
[0018]图5(A)是路过式下载攻击(Drive-by download)的一个例子，其展示了在由A公司的Web服务器管理的html数据被恶意的第三方篡改的情况下，在具有特定的检索网站的引用页(Referer)的状态下被请求时的访问流程图，图5(B)是展示不通过检索网站请求html数据时的访问流程图。
[0019]图6是展示第二实施例涉及的信息处理装置的结构的示例的结构图。
[0020]图7是展示第二实施例涉及的信息处理方法的示例流程图。
[0021]图8是展示第三实施例涉及的信息处理装置配置的示例配置图。
[0022]图9是展示第三实施例涉及的信息处理方法的示例流程图。
具体实施例
[0023](第一实施例)
[0024]接下来，基于附图来说明本专利技术的实施例。
[0025]首先，对整体结构进行说明。
[0026]用户终端11经由互联网连接到Web服务器12，并请求根据URL确定的Web服务器12中的内容。然后，经由Web浏览器显示从Web服务器12返回的内容。作为内容，可以例举html数据、图像数据、pdf文件等各种数据。在图1中，作为内容例示了html数据。
[0027]Web服务器12将用户终端11请求的内容返回给用户终端11。
[0028]管理员终端13是能够与Web服务器12连接的计算机，由管理员执行内容的创建和更新。
[0029]本实施例涉及的信息处理装置10通过将从用户终端11收集的访问日志与预先注册有恶性URL的数据库16进行核对，来检测与用户的访问源URL相对应的内容篡改。
[0030]信息处理装置10收集用户终端11向Web服务器12连接的连接信息相关的访问日志。信息处理装置10可以从用户终端11处直接获取访问日志，也可以在用户终端11经由用于控制向互联网连接的代理服务器与Web服务器12连接的情况下，从代理服务器处获取访问日志。另外，也可以在作为与外部网络的出入口的用于对用户终端11的通信进行控制的防火墙处获取访问日志。还可以经由从用户终端11随时收集访问日志的各个单独的服务器处获取访问日志。
[0031]另外，在图1中，虽然仅记载有一个用户终端11，但信息处理装置10也可以连接到多个用户终端11，并从各个用户终端11收集访问日志。
[0032]下面，对第一实施例涉及的信息处理装置10的具体配置进行说明。
[0033]信息处理装置10包括：访问日志收集部14、日志提取部15、数据库16、篡改检测部
19、以及篡改通知部20。
[0034]构成信息处理装置10的各单元的功能也可以通过使用处理器执行规定的程序代码来实现，并且还可以不限于这样的软件处理，例如也可以通过使用ASIC等的硬件处理来实现，还可以通过软硬件组合处理来实现。
[0035]访问日志收集部14收集用户终端11向Web服务器12请求内容时的访问日志。访问日志收集部14将：根据用户终端11连接到Web服务器12时用于识别用户终端11的识别信息(例如IP地址)、访问源URL、连接目的地URL、用于访问内容的Web浏览器名、访问时间等作为访问日志进行收集。
[0036]访问源URL是指用于从用户终端11请求内容的URL。连接目的地URL是指在请求内容之后用户终端11实际连接到的URL。通常，用户终端11为了请求内容而访问的URL与在请求之后用户终端11实际连接到的URL是一致的。即访问源URL与连接目的地URL相一致。
[0037]另一方面，在用户终端11发出请求后，当被URL重定向(URL的参照目的地被自动变更)，用户终端11被自动连接到与请求目的地URL不同的URL上时，就会出现用户终端11请求内容的U本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种信息处理装置，其特征在于，包括：访问日志收集部，收集用户终端向Web服务器请求内容时的访问日志；数据库，预先注册恶性URL；以及篡改检测部，将与所述用户终端的连接目的地相对应的连接目的地URL与所述数据库进行核对，当所述连接目的地URL与所述恶性URL一致时，检测所述内容的篡改。2.根据权利要求1所述的信息处理装置，其特征在于，包括：日志提取部，从由所述访问日志收集部收集到的所述访问日志中提取与所述内容的请求目的地相对应的访问源URL与所述连接目的地URL不一致的访问日志。3.根据权利要求1所述的信息处理装置，其特征在于，包括：篡改通知部，在检测到所述篡改时，向与检测到篡改所述内容相对应的所述Web服务器的管理员通知已发生所述篡改。4.根据权利要求1所述的信息处理装置，其特征在于，包括：访问验证部，当所述连接目的地URL与所述恶性URL一致时，向所述Web服务器直接请求已从所述访问日志中提取的访问源URL，并将所述访问源URL与所述直接请求时的连接目的地URL进行比较，通过所述访问验证部的比较，当所述访问源URL与所述直接请求时的连接目的地URL一致时，所述篡改检测部检测所述内容的篡改。5.根据权利要求1所述的信息处理装置，其特征在于：其中，从已收集的所述访问日志中提取与所述数据库中注册的URL不一致的未分类URL，所述数据库将良性URL与所述恶性URL一起预先进行注册，所述信息处理装置包括：URL解析部，在...

【专利技术属性】
技术研发人员：道具登志夫，松本卓也，细谷计介，猪俣清人，
申请(专利权)人：电子技巧股份有限公司，
类型：发明
国别省市：