特許第5719054号(P5719054)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > エヌ・ティ・ティ・コミュニケーションズ株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ エヌ・ティ・ティ・コミュニケーションズ株式会社の特許一覧 ▶ 日本電信電話株式会社の特許一覧

特許5719054アクセス制御装置、アクセス制御方法、およびアクセス制御プログラム
<>
  • 特許5719054-アクセス制御装置、アクセス制御方法、およびアクセス制御プログラム 図000002
  • 特許5719054-アクセス制御装置、アクセス制御方法、およびアクセス制御プログラム 図000003
  • 特許5719054-アクセス制御装置、アクセス制御方法、およびアクセス制御プログラム 図000004
  • 特許5719054-アクセス制御装置、アクセス制御方法、およびアクセス制御プログラム 図000005
  • 特許5719054-アクセス制御装置、アクセス制御方法、およびアクセス制御プログラム 図000006
  • 特許5719054-アクセス制御装置、アクセス制御方法、およびアクセス制御プログラム 図000007
  • 特許5719054-アクセス制御装置、アクセス制御方法、およびアクセス制御プログラム 図000008
  • 特許5719054-アクセス制御装置、アクセス制御方法、およびアクセス制御プログラム 図000009
  • 特許5719054-アクセス制御装置、アクセス制御方法、およびアクセス制御プログラム 図000010
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5719054
(24)【登録日】2015年3月27日
(45)【発行日】2015年5月13日
(54)【発明の名称】アクセス制御装置、アクセス制御方法、およびアクセス制御プログラム
(51)【国際特許分類】
   G06F 21/55 20130101AFI20150423BHJP
   G06F 21/60 20130101ALI20150423BHJP
【FI】
   G06F21/55 320
   G06F21/60
【請求項の数】3
【全頁数】12
(21)【出願番号】特願2014-56730(P2014-56730)
(22)【出願日】2014年3月19日
(62)【分割の表示】特願2012-244430(P2012-244430)の分割
【原出願日】2012年11月6日
(65)【公開番号】特開2014-112448(P2014-112448A)
(43)【公開日】2014年6月19日
【審査請求日】2014年3月19日
(73)【特許権者】
【識別番号】399035766
【氏名又は名称】エヌ・ティ・ティ・コミュニケーションズ株式会社
(73)【特許権者】
【識別番号】000004226
【氏名又は名称】日本電信電話株式会社
(74)【代理人】
【識別番号】100083806
【弁理士】
【氏名又は名称】三好 秀和
(74)【代理人】
【識別番号】100101247
【弁理士】
【氏名又は名称】高橋 俊一
(74)【代理人】
【識別番号】100095500
【弁理士】
【氏名又は名称】伊藤 正和
(74)【代理人】
【識別番号】100098327
【弁理士】
【氏名又は名称】高松 俊雄
(72)【発明者】
【氏名】畑田 充弘
(72)【発明者】
【氏名】神谷 和憲
(72)【発明者】
【氏名】八木 毅
(72)【発明者】
【氏名】青木 一史
(72)【発明者】
【氏名】秋山 満昭
【審査官】 宮司 卓佳
(56)【参考文献】
【文献】 特開2008−017179(JP,A)
【文献】 特開2004−030286(JP,A)
【文献】 特開2012−186519(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F21/00−21/88
(57)【特許請求の範囲】
【請求項1】
アクセス制御装置であって、
各登録対象の脅威の程度を示すスコアが設定された第1のブラックリストを取得するブラックリスト取得手段と、
管理対象ネットワークの通信ログを収集する通信ログ収集手段と、
前記収集した通信ログに基づいて、前記第1のブラックリストの各登録対象に重み付けを設定する重み付け手段と、を備え、
前記重み付け手段は、前記第1のブラックリストの各登録対象に、前記スコアを前記重み付けに加味したスコア重み付けを設定し、
前記スコア重み付けが高い順に所定数の登録対象を前記第1のブラックリストから抽出するアクセス制御手段を備えること
を特徴とするアクセス制御装置。
【請求項2】
コンピュータが行うアクセス制御方法であって、
各登録対象の脅威の程度を示すスコアが設定された第1のブラックリストを取得するブラックリスト取得ステップと、
管理対象ネットワークの通信ログを収集する通信ログ収集ステップと、
前記収集した通信ログに基づいて、前記第1のブラックリストの各登録対象に重み付けを設定する重み付けステップと、を行い、
前記重み付けステップは、前記第1のブラックリストの各登録対象に、前記スコアを前記重み付けに加味したスコア重み付けを設定し、
前記スコア重み付けが高い順に所定数の登録対象を前記第1のブラックリストから抽出するアクセス制御ステップと、を行うこと
を特徴とするアクセス制御方法。
【請求項3】
コンピュータが実行するアクセス制御プログラムであって、
前記コンピュータに、
各登録対象の脅威の程度を示すスコアが設定された第1のブラックリストを取得するブラックリスト取得ステップと、
管理対象ネットワークの通信ログを収集する通信ログ収集ステップと、
前記収集した通信ログに基づいて、前記第1のブラックリストの各登録対象に重み付けを設定する重み付けステップと、を実行させ、
前記重み付けステップは、前記第1のブラックリストの各登録対象に、前記スコアを前記重み付けに加味したスコア重み付けを設定し、
前記スコア重み付けが高い順に所定数の登録対象を前記第1のブラックリストから抽出するアクセス制御ステップと、を実行させること
を特徴とするアクセス制御プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ブラックリストを用いてアクセスを制御するアクセス制御装置、アクセス制御方法、およびアクセス制御プログラムに関する。
【背景技術】
【0002】
ネットワークには、様々な脅威が潜んでおり、ネットワーク管理においては、セキュリティ対策が必須となっている。セキュリティ対策として、一般に公開されているブラックリストを装置に読み込ませ、当該ブラックリストに基づいてアクセスコントロールを行う手法がある。
【0003】
また、特許文献1には、端末によるWebページのアクセス履歴に基づくアクセス許可/禁止判定を行い、端末に即したアクセス許可/禁止リストの設定を行うアクセス規制システムが記載されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2010-55202号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、公開されているブラックリストには膨大な数が存在する。このため、ルータなどの通信機器に膨大な数のブラックリストを全て読み込ませ、これらのブラックリストを用いてアクセスコントロールしようとすることは、通信機器側に多大な処理能力が必要となり、現実的ではない。また、管理対象のネットワークからブラックリストの対象への通信の有無や頻度は様々であることから、対処しなければならないブラックリストの優先順位も異なるため、単に公開されているブラックリストをそのまま利用するだけでは、効果的な対策ができているとはいえない。
【0006】
本発明は上記事情に鑑みてなされたものであり、本発明の目的は、通信機器の処理能力を増強することなく、管理対象のネットワークに応じた効果的なブラックリストを生成するアクセス制御装置、アクセス制御方法、およびアクセス制御プログラムを提供することにある。
【課題を解決するための手段】
【0007】
上記目的を達成するため、本発明は、アクセス制御装置であって、各登録対象の脅威の程度を示すスコアが設定された第1のブラックリストを取得するブラックリスト取得手段と、管理対象ネットワークの通信ログを収集する通信ログ収集手段と、前記収集した通信ログに基づいて、前記第1のブラックリストの各登録対象に重み付けを設定する重み付け手段と、を備え、前記重み付け手段は、前記第1のブラックリストの各登録対象に、前記スコアを前記重み付けに加味したスコア重み付けを設定し、前記スコア重み付けが高い順に所定数の登録対象を前記第1のブラックリストから抽出するアクセス制御手段を備える。
【0008】
本発明は、コンピュータが行うアクセス制御方法であって、各登録対象の脅威の程度を示すスコアが設定された第1のブラックリストを取得するブラックリスト取得ステップと、管理対象ネットワークの通信ログを収集する通信ログ収集ステップと、前記収集した通信ログに基づいて、前記第1のブラックリストの各登録対象に重み付けを設定する重み付けステップと、を行い、前記重み付けステップは、前記第1のブラックリストの各登録対象に、前記スコアを前記重み付けに加味したスコア重み付けを設定し、前記スコア重み付けが高い順に所定数の登録対象を前記第1のブラックリストから抽出するアクセス制御ステップと、を行う。
【0009】
本発明は、コンピュータが実行するアクセス制御プログラムであって、前記コンピュータに、各登録対象の脅威の程度を示すスコアが設定された第1のブラックリストを取得するブラックリスト取得ステップと、管理対象ネットワークの通信ログを収集する通信ログ収集ステップと、前記収集した通信ログに基づいて、前記第1のブラックリストの各登録対象に重み付けを設定する重み付けステップと、を実行させ、前記重み付けステップは、前記第1のブラックリストの各登録対象に、前記スコアを前記重み付けに加味したスコア重み付けを設定し、前記スコア重み付けが高い順に所定数の登録対象を前記第1のブラックリストから抽出するアクセス制御ステップと、を実行させる。
【発明の効果】
【0010】
本発明によれば、通信機器の処理能力を増強することなく、管理対象のネットワークに応じた効果的なブラックリストを生成するアクセス制御装置、アクセス制御方法、およびアクセス制御プログラムを提供することができる。
【図面の簡単な説明】
【0011】
図1】本発明の第1の実施形態に係るアクセス制御システムを示す構成図である。
図2】通信ログ記憶部の通信ログの一例である。
図3】ブラックリスト記憶部の公開されたブラックリストの一例を示す図である。
図4】アクセス制御装置の処理を示すフローチャートである。
図5】第1の実施例の重み付け後のブラックリストの一例を示す図である。
図6】第2の実施例の重み付け後のブラックリストの一例を示す図である。
図7】第3の実施例の重み付け後のブラックリストの一例を示す図である。
図8】本発明の第2の実施形態に係るアクセス制御システムを示す構成図である。
図9】第2の実施形態の重み付け後のブラックリストの一例を示す図である。
【発明を実施するための形態】
【0012】
以下、本発明の実施形態について説明する。
【0013】
<第1の実施形態>
図1は、本発明の第1の実施形態に係るアクセス制御システムの全体構成を示す図である。本実施形態では、アクセス制御装置1がアクセス制御を行う管理対象ネットワークとして、キャリアグレードのネットワーク(NW−A)2に接続されたユーザネットワーク(NW−B)3とする。しかしながら、管理対象のネットワークは、ユーザネットワーク3に限定されるものではなく、通信事業者が管理・運営するキャリアグレードのネットワーク2であってもよい。
【0014】
アクセス制御装置1は、管理対象ネットワークの通信ログを用いて、ネットワーク上に公開されている多数のブラックリスト5を絞り込み、管理対象ネットワーク用のブラックリストを生成して、管理対象ネットワークのアクセス制御を行うものである。図示するアクセス制御装置1は、通信ログ収集部11と、ブラックリスト取得部12と、重み付け部13と、アクセス制御部14とを備える。
【0015】
通信ログ収集部11は、管理対象ネットワーク3の通信ログを収集し、通信ログ記憶部に蓄積する。ここでは、管理対象ネットワーク3からキャリアグレードのネットワーク2を介して外部ネットワーク4(例えば、インターネット)へ接続する通信ログを、キャリアグレードのネットワーク2の境界ルータである各ルータ(通信機器)21〜25から収集するものとする。
【0016】
図2は、通信ログ記憶部に記憶された通信ログの一例である。図示する例では、日時、送信元情報(送信元アドレス、通信種別など)、宛先情報(宛先アドレス、通信種別など)、サイズなどの通信データのヘッダ情報を記憶する。なお、通信ログ記憶部には、1パケットを1レコードとしてパケット単位で記憶してもよく、あるいは、1セッション(通信)を1レコードとしてセッション単位で記憶してもよい。
【0017】
ブラックリスト取得部12は、様々な外部システム(不図示)により提供される公開された多数のブラックリスト5を取得・収集し、ブラックリスト記憶部に記憶する。
【0018】
図3は、公開されたブラックリストの一例である。図示するブラックリストは、各ブラックリストに登録された各登録対象(例えば、マルウェアサイト、フィッシングサイトなど)毎に、アドレス、脅威の種別、脅威の程度を示すスコアなどが設定されている。なお、スコアは、例えば、公開されたブラックリストにあらかじめ設定されていてもよく、または、脅威の種別に応じてブラックリスト取得部が設定することとしてもよい。
【0019】
重み付け部13は、通信ログ記憶部に記憶された通信ログを解析して、ブラックリスト記憶部に登録された各登録対象へのアクセス数に応じて、各登録対象に重み付けを設定する。アクセス制御部14は、重み付け部13が設定した重み付けが高い順に所定の数の登録対象をブラックリストから抽出した新たなブラックリストを生成する。
【0020】
上記説明したアクセス制御装置1には、例えば、CPUと、メモリと、HDD等の外部記憶装置と、入力装置と、出力装置とを備えた汎用的なコンピュータシステムを用いることができる。このコンピュータシステムにおいて、CPUがメモリ上にロードされたアクセス制御装置1用のプログラムを実行することにより、アクセス制御装置1の各機能が実現される。また、アクセス制御装置1用のプログラムは、ハードディスク、フレキシブルディスク、CD−ROM、MO、DVD−ROMなどのコンピュータ読取り可能な記録媒体に記憶することも、ネットワークを介して配信することもできる。
【0021】
次に、本実施形態の処理について説明する。
【0022】
図4は、本実施形態の処理を示すフローチャートである。なお、図4に示す処理を行う前に、ログ情報記憶部には、通信ログ収集部11が常時収集しているルータ21〜25の通信ログが蓄積され、ブラックリスト記憶部には、ブラックリスト取得部12が取得した公開されたブラックリストが記憶されているものとする。
【0023】
まず、アクセス制御装置1の重み付け部13は、アクセス制御を行う条件を受け付け、当該条件に合致する通信ログを通信ログ記憶部から抽出する(S11)。例えば、重み付け部13は、条件として、管理対象ネットワーク、使用する通信ログの期間、アクセス数のカウント方法(パケット単位、セッション単位)、更新タイミングなどを受け付ける。なお、使用する通信ログの期間は、短期間でも長期間でもよい。短期間(例えば、直近の一週間)の場合、ブラックリストのある登録対象に対するアクセスが急上昇している場合、今後さらに増える可能性の当該登録対象へのアクセスを効果的に遮断することができる。また、長期間(例えば、直近の一年間)の場合、恒常的にアクセスされているブラックリストの登録対象を検出することができる。
【0024】
そして、重み付け部13は、条件に合致した通信ログを通信ログ記憶部から抽出する。ここでは、管理対象ネットワーク3からキャリアグレードのネットワーク2を介して外部ネットワーク4(例えば、インターネット)へ接続する通信ログを、条件で指定された期間分、抽出する。
【0025】
そして、重み付け部13は、抽出した通信ログを解析し、ブラックリスト記憶部のブラックリストに登録された登録対象毎に、当該登録対象を宛先とする、管理対象ネットワークからのアクセス数(通信ログ数)をカウントする。ここで、アクセス数のカウント方法は、S11で設定された条件のカウント方法に従うものとする。すなわち、カウント方法がパケット単位の場合は、各登録対象を宛先とするアクセス数をパケット単位でカウントし、カウント方法がセッション単位の場合は、当該登録対象を宛先とするアクセス数をセッション単位でカウントする。
【0026】
そして、重み付け部13は、カウントしたアクセス数(パケット数またはセッション数)に応じた重みを、ブラックリストの各登録対象に設定する(S12)。
【0027】
図5は、重み付け後のブラックリストの一例を示すものである。なお、重み付けは、アクセス数に応じて設定するものであって、アクセス数が大きい程、重み付けが大きくなるように設定する。アクセス数と重み付けとの関係は、線形であっても、非線形であってもよい。図5では、1番の登録対象の重み付けが「10」で、2番の登録対象の重み付けが「3」であるため、1番の登録対象へのアクセス数が2番の登録対象へのアクセス数より多いことを示している。
【0028】
なお、図5に示す重み付け後のブラックリストでは、重み付けにスコアを加味したスコア重み付けを備える。図示するスコア重み付けは、スコアと重み付けとを乗算したものである。スコア重み付けを用いることで、スコアの高い(脅威の大きい)登録対象の優先順位を上げることができる。
【0029】
そして、アクセス制御装置1のアクセス制御部14は、重み付けまたはスコア重み付けのいずれかを用いて、ブラックリストの中から、所定の件数の登録対象を絞り込む(S13)。すなわち、重み付け(または、スコア重み付け)が高い順に所定の数の登録先をブラックリストから抽出し、抽出した登録対象の対象アドレスを含む絞り込み後のブラックリストを生成する。なお、抽出する所定の件数は、当該絞込み後のブラックリストを組み込むルータのスペック(性能、仕様など)に応じて決定する。
【0030】
そして、アクセス制御部14は、生成した絞込み後のブラックリストを、管理対象ネットワークとの通信を制御するルータに配信し、設定する(S14)。図1に示す例では、管理対象ネットワークであるユーザネットワーク3との境界ルータであるキャリアグレードのネットワーク2のルータ25と、外部ネットワーク4との境界ルータであるルータ21との両方に配信するものとする。しかしながら、ルータ25またはルータ21のいずれかのルータに配信することとしてもよい。
【0031】
そして、アクセス制御部14は、絞込み後のブラックリストを配信したルータ21、25に対して、管理対象ネットワークと当該絞込み後のブラックリストの各登録対象との通信を規制させるように設定する。例えば、管理対象ネットワークのいずれかの装置(送信元)から、ブラックリストのいずれかの登録対象(宛先)への通信を許可しない、または、ブラックリストのいずれかの登録対象(送信元)から管理対象ネットワークのいずれかの装置(宛先)への通信を許可しない、などの設定をすることが考えられる。
【0032】
また、アクセス制御部14は、S12で重み付けしたブラックリスト(図5)を、管理対象ネットワークの管理者にメールやWebページなどのネットワークを介して通知してもよく、また、郵送などにより通知してもよい。また、アクセス制御部14は、S12で重み付けしたブラックリスト(図5)を、管理対象ネットワークを利用する顧客、または、キャリアグレードのネットワーク2を使用する顧客に、フィルタリング情報として提供することとしてもよい。これにより、ネットワークの管理者またはネットワークを利用する顧客は、重み付けされたブラックリストを、それぞれの使用目的に応じて有効活用することができる。
【0033】
そして、重み付け部13は、S11で設定された更新タイミングか否かを判定する(S15)。更新タイミングは、S13で生成した絞込み後のブラックリストの更新のタイミングであって、所定の期間(例えば、1週間、一ヶ月など)毎に、S12からS14の処理を繰り返し行うものとする。重み付け部13は、更新タイミングに該当する場合、すなわち所定の期間が経過した場合(S15:YES)、S12に戻り、以降の処理を行う。これにより、現在の通信ログの状態に応じて、アクセス頻度の高いブラックリストを絞り込むことができる。
【0034】
なお、アクセス制御装置1は、図5に示す重み付け後のブラックリスト(第1の実施例)以外に、以下の2つの重み付け後のブラックリストを生成することとしてもよい。
【0035】
図6は、第2の実施例の重み付け後のブラックリストの一例である。第2の実施例の重み付け後のブラックリストは、図6(a)に示すように、管理対象ネットワーク内の送信元装置毎、ブラックリストに登録された登録対象へのアクセス数に基づいて重み付けを行うものである。
【0036】
図6(b)に示すブラックリストは、管理対象ネットワークの送信元装置のアドレス毎に、当該送信元装置がアクセスしたブラックリストの登録対象(宛先)と、脅威およびスコアと、重み付けと、スコア重み付けとを有する。重み付け部13は、通信ログの中で、管理対象ネットワーク内の送信元装置がブラックリストに登録されたいずれかの登録対象にアクセスした場合に、ブラックリストの登録対象(宛先)毎にアクセス数(パケット数またはセッション数)をカウントする。そして、重み付け部13は、送信元装置毎および登録対象毎にカウントしたアクセス数に応じた重みを、ブラックリストに設定する。
【0037】
そして、重み付け部13は、登録対象毎に設定した重み付けの合計を、当該送信元装置の重み付けとして決定する。また、重み付け部13は、登録対象毎に設定した重み付けとスコアとを乗算したスコア重み付けの合計を、当該送信元装置の重み付けとして用いてもよい。
【0038】
図7は、第3の実施例の重み付け後のブラックリストの一例である。第3の実施例の重み付け後のブラックリストは、図7(a)に示すように、ブラックリストに登録された各登録対象へのアクセス数を、ブラックリストの登録対象毎および送信元装置毎にカウントし、当該アクセス数に基づいて重み付けを行うものである。
【0039】
図7(b)に示す重み付け後のブラックリストは、ブラックリストの登録対象のアドレス毎に、脅威およびスコアと、当該登録対象にアクセスした管理対象ネットワークの送信元装置のアドレスと、重み付けと、スコア重み付けとを有する。重み付け部13は、通信ログの中で、管理対象ネットワーク内の送信元の機器がブラックリストに登録されたいずれかの登録対象にアクセスした場合に、ブラックリストの登録対象(宛先)毎および送信元装置毎にアクセス数(パケット数またはセッション数)をカウントする。そして、重み付け部13は、登録対象毎および送信元装置毎にカウントしたアクセス数に応じた重みを、ブラックリストに設定する。
【0040】
そして、重み付け部13は、送信元装置毎に設定した重み付けの合計を、当該登録対象の重み付けとして決定する。また、重み付け部13は、送信元装置毎に設定した重み付けとスコアとを乗算したスコア重み付けの合計を、当該登録対象の重み付けとして用いてもよい。
【0041】
図5に示す重み付け後のブラックリスト(第1の実施例)の他に、図6および図7の重み付け後のブラックリスト(第2および第3実施例)を生成した場合、重み付け部13は、重み付けまたはスコア重み付けを用いて、これら3種類の重み付け後のブラックリストの中から、所定の件数の登録対象(図6の場合は、送信元装置)を絞り込む。すなわち、重み付けまたはスコア重み付けが高い順に所定の数の登録対象または送信元情報を抽出し、抽出した登録対象および送信元装置が混在する絞り込み後のブラックリストを生成する。なお、抽出する所定の件数は、ルータのスペックに応じて決定する。
【0042】
そして、アクセス制御部14は、生成した混在する絞込み後のブラックリストを、管理対象ネットワークとの通信を制御するルータに配信し、設定する。そして、アクセス制御部14は、配信したルータに対して、管理対象ネットワークと当該絞込み後のブラックリストに設定されたブラックリストの各登録対象との通信、および絞り込み後のブラックリストに設定された送信元装置との通信を規制するように設定する。
【0043】
図6に示す重み付け後のブラックリストを生成することにより、ブラックリストの登録対象に高い頻度でアクセスしている管理対象ネットワークの装置を検出し、当該装置の通信を許可しないなどのアクセス制御を行うことで、管理対象ネットワーク全体のセキュリティを高めることができる。なお、アクセス制御部14は、図5および図7に示す重み付け後のブラックリストとは別に、図6に示す重み付け後のブラックリストのみで所定の数の送信元装置を絞り込んだ送信元ブラックリストを生成してもよい。すなわち、図6の重み付けまたはスコア重み付けが高い順に所定の数の送信元装置を抽出し、抽出した送信元情報のアドレスを含む送信元ブラックリストを生成し、ルータに配信して、当該装置の通信を規制してもよい。
【0044】
また、図7に示す重み付け後のブラックリストを生成することにより、管理対象ネットワーク内の多数の装置からアクセスされているブラックリストの登録対象を検出し、当該登録対象への通信を許可しないなどのアクセス制御を行うことで、管理対象ネットワーク全体のセキュリティを高めることができる。
【0045】
以上説明した本実施形態では、管理対象ネットワークにおける通信ログを収集し、公開されたブラックリストに登録された各登録対象へのアクセス数に応じて重み付けを設定し、重み付けが高い順に所定の数の登録対象を抽出したブラックリストを生成する。これにより、本実施形態では、通信機器の処理能力を増強することなく、管理対象のネットワークに応じた効率的なブラックリストを生成することができる。すなわち、過去の通信ログからみて、頻繁にアクセスされる可能性が高いブラックリストに重み付けすることで、優先順位を上げ、優先順位の高いブラックリストに絞り込むことで、管理対象のネットワークにとって本当に必要なブラックリストを生成し、効率的なセキュリティ対策を実現することができる。
【0046】
<第2の実施形態>
図8は、第2の実施形態のアクセス制御システムの全体構成を示す図である。図示するアクセス制御システムは、アクセス制御装置1Aが利用解析部15を備える点において、第1の実施形態のアクセス制御システム(図1参照)と異なり、その他については第1のアクセス制御システムと同様である。本実施形態のアクセス制御装置1Aは、各ルータ21〜25から収集した通信ログを用いて、管理対象ネットワークから外部ネットワーク4へアクセスする際の利用傾向(例えば、よく検索する単語(キーワード)や分野等)を解析し、当該利用傾向に該当するブラックリスト5の各登録対象に重み付けを行う。
【0047】
本実施形態では、アクセス制御装置1Aの通信ログ収集部11は、通信ログのヘッダ情報だけでなく、通信内容もあわせて通信ログ記憶部に記憶するものとする。そして、利用解析部15は、通信ログ記憶部に記憶された通信ログから管理対象ネットワークにおける利用傾向を解析する。利用傾向としては、例えば、高い回数(頻度)で検索している単語または当該単語の属する分野等を通信ログから解析し、抽出する。
【0048】
そして、利用解析部15は、ブラックリストに登録された各登録対象毎に、当該登録対象のアドレスにアクセスし、アクセス先のWebサイト(Webページ)が利用傾向に該当する場合、当該登録対象に所定の利用傾向スコアを設定する。具体的には、ブラックリストの登録対象のWebサイトが、利用傾向として抽出した単語を含むか、あるいは当該単語の分野に属する場合、所定の利用傾向スコアを設定する。
【0049】
なお、利用傾向として、単語や分野以外にも、例えば「日本語のページ」には、一律に所定の利用傾向スコアを設定するなどして、優先順位を上げることとしてもよい。
【0050】
図9は、本実施形態の重み付け後のブラックリストの一例を示すものである。図9に示す例では、利用解析部15は、利用傾向に該当するブラックリストの登録対象の利用傾向スコアには「3」を設定し、利用傾向の該当しないブラックリストの登録対象の利用傾向スコアには「1」を設定している。また、図9では、重み付けに利用傾向スコアを加味した第1の利用傾向重み付け(例えば、利用傾向スコア×重み付け)と、重み付けに利用傾向スコアおよびスコアを加味した第2の利用傾向重み付け(例えば、スコア×利用傾向スコア×重み付け)と、を備える。
【0051】
重み付け部13は、第1の実施形態と同様に、アクセス数(パケット数またはセッション数)に応じた重みを、ブラックリストの各登録対象に設定する。そして、アクセス制御部14は、図9に示すような重み付け後のブラックリストを参照し、第1の利用傾向重み付けまたは第2の利用傾向重み付けのいずれかを用いて、ブラックリストの中から、所定の件数の登録対象を絞り込む。そして、アクセス制御部14は、生成した絞込み後のブラックリストを、管理対象ネットワークとの通信を制御するルータに配信し、アクセス制御を行う。
【0052】
第2の実施形態では、通信ログから管理対象ネットワークの利用傾向を解析し、利用傾向に該当するブラックリストの登録対象に利用傾向スコアを設定し、ブラックリストの各登録対象に利用傾向スコアを加味した利用傾向重み付けを設定して、利用傾向重み付けが高い順に所定の数の登録対象を絞り込んだブラックリストを生成する。これにより、本実施形態では、管理対象ネットワークの利用傾向に合ったブラックリストの登録対象の重み付け(優先順位)を上げ、管理対象ネットワークにより適したブラックリストを生成することができる。
【0053】
なお、本発明は上記実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。
【符号の説明】
【0054】
1、1A:アクセス制御装置
11:通信ログ収集部
12:ブラックリスト取得部
13:重み付け部
14:アクセス制御部
15:利用解析部
2 :キャリアグレードのネットワーク
3 :ユーザネットワーク
4 :外部ネットワーク
5 :公開ブラックリスト
図1
図2
図3
図4
図5
図6
図7
図8
図9
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.