知財求人 - 知財ポータルサイト「IP Force」
▶ アリババ・グループ・ホールディング・リミテッドの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5911431
(24)【登録日】2016年4月8日
(45)【発行日】2016年5月11日
(54)【発明の名称】悪意のあるアクセスの遮断
(51)【国際特許分類】
H04L 12/66 20060101AFI20160422BHJP
G06F 21/55 20130101ALI20160422BHJP
【FI】
H04L12/66 B
G06F21/55 320
【請求項の数】23
【全頁数】19
(21)【出願番号】特願2012-550015(P2012-550015)
(86)(22)【出願日】2011年1月21日
(65)【公表番号】特表2013-522936(P2013-522936A)
(43)【公表日】2013年6月13日
(86)【国際出願番号】US2011000118
(87)【国際公開番号】WO2011090799
(87)【国際公開日】20110728
【審査請求日】2013年11月14日
(31)【優先権主張番号】12/930,927
(32)【優先日】2011年1月20日
(33)【優先権主張国】US
(31)【優先権主張番号】201010001277.8
(32)【優先日】2010年1月21日
(33)【優先権主張国】CN
(73)【特許権者】
【識別番号】510330264
【氏名又は名称】アリババ・グループ・ホールディング・リミテッド
【氏名又は名称原語表記】ALIBABA GROUP HOLDING LIMITED
(74)【代理人】
【識別番号】110000028
【氏名又は名称】特許業務法人明成国際特許事務所
(72)【発明者】
【氏名】ウェイ・シングオ
(72)【発明者】
【氏名】ワン・ユアンチュアン
【審査官】
浦口 幸宏
(56)【参考文献】
【文献】
特開2001−313640(JP,A)
【文献】
特開2005−130121(JP,A)
【文献】
特開2002−132724(JP,A)
【文献】
特開2006−352669(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 13/00
21/00
21/12−21/57
H04L 12/00−12/26
12/50−12/955
(57)【特許請求の範囲】
【請求項1】
ネットワークアクセス要求を解析する方法であって、
サービスを求めるアクセス要求をユーザから受信することと、
前記ユーザに関係付けられているアクセス要求の頻度を更新することと、
前記アクセス要求に少なくとも部分的に基づく解析結果を受信することと、前記解析結果は前記アクセス要求から抽出された解析情報を解析することに少なくとも一部基づき、
前記解析情報は、対応する1または2以上の悪意のあるアクセス装置に潜在的に関連付けられている1または2以上の属性情報、並びに、クッキーコンテンツを含み、
アクセスの頻度が所定の頻度を超えているか否かを決定することと、
前記アクセスの頻度が前記所定の頻度を超えていない場合に、前記アクセス要求を許可することと、
前記アクセスの頻度が前記所定の頻度を上回る場合に、前記解析結果に少なくとも部分的に基づいて、前記ユーザからの前記アクセス要求を遮断するか否かを決定することであって、
前記解析情報のクッキーコンテンツが、格納されている遮断情報に関係する既知の悪意のあるアクセス装置のクッキーコンテンツと一致するか否かを決定することを含む、前記ユーザからの前記アクセス要求を遮断するか否かを決定することと、
を備える方法。
サービスを求めるアクセス要求をユーザから受信することと、
前記ユーザに関係付けられているアクセス要求の頻度を更新することと、
前記アクセス要求に少なくとも部分的に基づく解析結果を受信することと、前記解析結果は前記アクセス要求から抽出された解析情報を解析することに少なくとも一部基づき、
前記解析情報は、対応する1または2以上の悪意のあるアクセス装置に潜在的に関連付けられている1または2以上の属性情報、並びに、クッキーコンテンツを含み、
アクセスの頻度が所定の頻度を超えているか否かを決定することと、
前記アクセスの頻度が前記所定の頻度を超えていない場合に、前記アクセス要求を許可することと、
前記アクセスの頻度が前記所定の頻度を上回る場合に、前記解析結果に少なくとも部分的に基づいて、前記ユーザからの前記アクセス要求を遮断するか否かを決定することであって、
前記解析情報のクッキーコンテンツが、格納されている遮断情報に関係する既知の悪意のあるアクセス装置のクッキーコンテンツと一致するか否かを決定することを含む、前記ユーザからの前記アクセス要求を遮断するか否かを決定することと、
を備える方法。
【請求項2】
請求項1に記載の方法であって、更に、
前記アクセス要求の少なくとも一部分を解析装置に送信することを備える方法。
前記アクセス要求の少なくとも一部分を解析装置に送信することを備える方法。
【請求項3】
請求項1に記載の方法であって、更に、
前記解析結果に少なくとも部分的に基づいて前記遮断情報を更新することを備える方法。
前記解析結果に少なくとも部分的に基づいて前記遮断情報を更新することを備える方法。
【請求項4】
請求項3に記載の方法であって、
前記遮断情報は、対応する1つ又は2つ以上の悪意のあるアクセス装置に関係付けられている1つ又は2つ以上の属性情報を含む、方法。
前記遮断情報は、対応する1つ又は2つ以上の悪意のあるアクセス装置に関係付けられている1つ又は2つ以上の属性情報を含む、方法。
【請求項5】
請求項3に記載の方法であって、
前記ユーザからの前記アクセス要求を遮断するか否かを決定することは、前記遮断情報に少なくとも部分的に基づく、方法。
前記ユーザからの前記アクセス要求を遮断するか否かを決定することは、前記遮断情報に少なくとも部分的に基づく、方法。
【請求項6】
請求項1に記載の方法であって、更に、
前記アクセス要求が遮断されるべきであると決定された場合に、前記ユーザは悪意のあるアクセス装置を含むと決定することを備える方法。
前記アクセス要求が遮断されるべきであると決定された場合に、前記ユーザは悪意のあるアクセス装置を含むと決定することを備える方法。
【請求項7】
請求項1に記載の方法であって、
前記アクセス要求は、HTTP要求又はHTTPS要求を含む、方法。
前記アクセス要求は、HTTP要求又はHTTPS要求を含む、方法。
【請求項8】
請求項1に記載の方法であって、更に、
前記アクセス要求から解析情報を抽出することを備える方法。
前記アクセス要求から解析情報を抽出することを備える方法。
【請求項9】
請求項8に記載の方法であって、更に、
前記抽出された解析情報を解析装置に送信することを備える方法。
前記抽出された解析情報を解析装置に送信することを備える方法。
【請求項10】
請求項1に記載の方法であって、
前記解析情報は、さらに、IPアドレスを含む、方法。
前記解析情報は、さらに、IPアドレスを含む、方法。
【請求項11】
請求項8に記載の方法であって、更に
所定の期間にわたって前記解析情報の少なくとも一部分が所定の閾値を上回るか否かを決定し、前記所定の期間にわたって前記解析情報の前記少なくとも一部分が前記所定の閾値を上回る場合に、前記ユーザは悪意のあるアクセス装置からアクセスしていると決定することを備える方法。
所定の期間にわたって前記解析情報の少なくとも一部分が所定の閾値を上回るか否かを決定し、前記所定の期間にわたって前記解析情報の前記少なくとも一部分が前記所定の閾値を上回る場合に、前記ユーザは悪意のあるアクセス装置からアクセスしていると決定することを備える方法。
【請求項12】
アクセス要求を解析するためのシステムであって、
1つ又は2つ以上のプロセッサと、
前記プロセッサに接続され、前記プロセッサに命令を提供するように構成されているメモリと、
を備え、
前記1つ又は2つ以上のプロセッサは、
サービスを求めるアクセス要求をユーザから受信し、
前記ユーザに関係付けられているアクセス要求の頻度を更新し、
前記アクセス要求に少なくとも部分的に基づく解析結果を受信し、前記解析結果は前記アクセス要求から抽出された解析情報を解析することに少なくとも一部基づき、
前記解析情報は、対応する1または2以上の悪意のあるアクセス装置に潜在的に関連付けられている1または2以上の属性情報、並びに、クッキーコンテンツを含み、
アクセスの頻度が所定の頻度を上回るか否かを決定し、
前記アクセスの頻度が前記所定の頻度を超えていない場合に、前記アクセス要求を許可し、
前記アクセスの頻度が前記所定の頻度を上回る場合に、前記解析結果に少なくとも部分的に基づいて、前記ユーザからの前記アクセス要求を遮断するか否かを決定することであって、
前記解析情報のクッキーコンテンツが、格納されている遮断情報に関係する既知の悪意のあるアクセス装置のクッキーコンテンツと一致するか否かを決定することを含む、前記ユーザからの前記アクセス要求を遮断するか否かを決定するように、
構成されている、システム。
1つ又は2つ以上のプロセッサと、
前記プロセッサに接続され、前記プロセッサに命令を提供するように構成されているメモリと、
を備え、
前記1つ又は2つ以上のプロセッサは、
サービスを求めるアクセス要求をユーザから受信し、
前記ユーザに関係付けられているアクセス要求の頻度を更新し、
前記アクセス要求に少なくとも部分的に基づく解析結果を受信し、前記解析結果は前記アクセス要求から抽出された解析情報を解析することに少なくとも一部基づき、
前記解析情報は、対応する1または2以上の悪意のあるアクセス装置に潜在的に関連付けられている1または2以上の属性情報、並びに、クッキーコンテンツを含み、
アクセスの頻度が所定の頻度を上回るか否かを決定し、
前記アクセスの頻度が前記所定の頻度を超えていない場合に、前記アクセス要求を許可し、
前記アクセスの頻度が前記所定の頻度を上回る場合に、前記解析結果に少なくとも部分的に基づいて、前記ユーザからの前記アクセス要求を遮断するか否かを決定することであって、
前記解析情報のクッキーコンテンツが、格納されている遮断情報に関係する既知の悪意のあるアクセス装置のクッキーコンテンツと一致するか否かを決定することを含む、前記ユーザからの前記アクセス要求を遮断するか否かを決定するように、
構成されている、システム。
【請求項13】
請求項12に記載のシステムであって、更に、
前記アクセス要求の少なくとも一部分を解析装置に送信するように構成されてい1つ又は2つ以上のプロセッサを備えるシステム。
前記アクセス要求の少なくとも一部分を解析装置に送信するように構成されてい1つ又は2つ以上のプロセッサを備えるシステム。
【請求項14】
請求項12に記載のシステムであって、更に、
前記解析結果に少なくとも部分的に基づいて前記遮断情報を更新するように構成されてい1つ又は2つ以上のプロセッサを備えるシステム。
前記解析結果に少なくとも部分的に基づいて前記遮断情報を更新するように構成されてい1つ又は2つ以上のプロセッサを備えるシステム。
【請求項15】
請求項14に記載のシステムであって、
前記遮断情報は、対応する1つ又は2つ以上の悪意のあるアクセス装置に関係付けられている1つ又は2つ以上の属性情報を含む、システム。
前記遮断情報は、対応する1つ又は2つ以上の悪意のあるアクセス装置に関係付けられている1つ又は2つ以上の属性情報を含む、システム。
【請求項16】
請求項14に記載のシステムであって、
前記ユーザからの前記アクセス要求を遮断するか否かの決定は、前記遮断情報に少なくとも部分的に基づく、システム。
前記ユーザからの前記アクセス要求を遮断するか否かの決定は、前記遮断情報に少なくとも部分的に基づく、システム。
【請求項17】
請求項12に記載のシステムであって、更に、
前記アクセス要求が遮断されるべきだと決定された場合に、前記ユーザは悪意のあるアクセス装置を含むと決定するように構成されている1つ又は2つ以上のプロセッサを備えるシステム。
前記アクセス要求が遮断されるべきだと決定された場合に、前記ユーザは悪意のあるアクセス装置を含むと決定するように構成されている1つ又は2つ以上のプロセッサを備えるシステム。
【請求項18】
請求項12に記載のシステムであって、
前記アクセス要求は、HTTP要求又はHTTPS要求を含む、システム。
前記アクセス要求は、HTTP要求又はHTTPS要求を含む、システム。
【請求項19】
請求項12に記載のシステムであって、更に、
前記アクセス要求から解析情報を抽出するように構成されている1つ又は2つ以上のプロセッサを備えるシステム。
前記アクセス要求から解析情報を抽出するように構成されている1つ又は2つ以上のプロセッサを備えるシステム。
【請求項20】
請求項19に記載のシステムであって、更に、
前記抽出された解析情報を解析装置に送信するように構成されている1つ又は2つ以上のプロセッサを備えるシステム。
前記抽出された解析情報を解析装置に送信するように構成されている1つ又は2つ以上のプロセッサを備えるシステム。
【請求項21】
請求項12に記載のシステムであって、
前記解析情報は、さらに、IPアドレスを含む、システム。
前記解析情報は、さらに、IPアドレスを含む、システム。
【請求項22】
請求項19に記載のシステムであって、更に
所定の期間にわたって前記解析情報の少なくとも一部分が所定の閾値を上回るか否かを決定し、前記所定の期間にわたって前記解析情報の前記少なくとも一部分が前記所定の閾値を上回る場合に、前記ユーザは悪意のあるアクセス装置からアクセスしていると決定するように構成されてい1つ又は2つ以上のプロセッサを備えるシステム。
所定の期間にわたって前記解析情報の少なくとも一部分が所定の閾値を上回るか否かを決定し、前記所定の期間にわたって前記解析情報の前記少なくとも一部分が前記所定の閾値を上回る場合に、前記ユーザは悪意のあるアクセス装置からアクセスしていると決定するように構成されてい1つ又は2つ以上のプロセッサを備えるシステム。
【請求項23】
標準化された属性情報を生成するためのコンピュータプログラムであって、
サービスを求めるアクセス要求をユーザから受信するための機能と、
前記ユーザに関係付けられているアクセス要求の頻度を更新するための機能と、前記解析結果は前記アクセス要求から抽出された解析情報を解析することに少なくとも一部基づき、
前記解析情報は、対応する1または2以上の悪意のあるアクセス装置に潜在的に関連付けられている1または2以上の属性情報、並びに、クッキーコンテンツを含み、
前記アクセス要求に少なくとも部分的に基づく解析結果を受信するための機能と、
アクセスの頻度が所定の頻度を上回るか否かを決定するための機能と、
前記アクセスの頻度が前記所定の頻度を超えていない場合に、前記アクセス要求を許可するための機能と、
前記アクセスの頻度が前記所定の頻度を上回る場合に、前記解析結果に少なくとも部分的に基づいて、前記ユーザからの前記アクセス要求を遮断するか否かを決定することであって、
前記解析情報のクッキーコンテンツが、格納されている遮断情報に関係する既知の悪意のあるアクセス装置のクッキーコンテンツと一致するか否かを決定することを含む、前記ユーザからの前記アクセス要求を遮断するか否かを決定するための機能と、
をコンピュータによって実現させる、コンピュータプログラム。
サービスを求めるアクセス要求をユーザから受信するための機能と、
前記ユーザに関係付けられているアクセス要求の頻度を更新するための機能と、前記解析結果は前記アクセス要求から抽出された解析情報を解析することに少なくとも一部基づき、
前記解析情報は、対応する1または2以上の悪意のあるアクセス装置に潜在的に関連付けられている1または2以上の属性情報、並びに、クッキーコンテンツを含み、
前記アクセス要求に少なくとも部分的に基づく解析結果を受信するための機能と、
アクセスの頻度が所定の頻度を上回るか否かを決定するための機能と、
前記アクセスの頻度が前記所定の頻度を超えていない場合に、前記アクセス要求を許可するための機能と、
前記アクセスの頻度が前記所定の頻度を上回る場合に、前記解析結果に少なくとも部分的に基づいて、前記ユーザからの前記アクセス要求を遮断するか否かを決定することであって、
前記解析情報のクッキーコンテンツが、格納されている遮断情報に関係する既知の悪意のあるアクセス装置のクッキーコンテンツと一致するか否かを決定することを含む、前記ユーザからの前記アクセス要求を遮断するか否かを決定するための機能と、
をコンピュータによって実現させる、コンピュータプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
[関連出願の相互参照]本出願は、あらゆる目的のために参照によって本明細書に組み込まれる、発明の名称を「A METHOD AND SYSTEM OF INTERCEPTING MALICIOUS ACCESS(悪意のあるアクセスを遮断する方法及びシステム)」とする、2010年1月21日付けで出願された中国特許出願第201010001277.8号に基づく優先権を主張する。
【0002】
本出願は、電気通信の分野に関する。本出願は、特に、悪意のあるアクセスを遮断するための方法及びシステムに関する。
【背景技術】
【0003】
サービスアクセスシステムにおいて、ユーザ端末が、ウェブサーバにアクセス要求を送信すると、ウェブサーバは、要求に基づいて適切なサービスをユーザ端末に提供する。サービスアクセスのセキュリティを強化するため、及びユーザ端末による悪意のあるアクセス又は攻撃を回避するためには、ウェブサーバは、ユーザ端末が悪意のあるアクセス端末であるか否かを決定し、そうであれば、そのユーザ端末によって送信される悪意のあるアクセス要求を遮断する必要がある。通常、伝送された情報を遮断するか否かの決定において、ウェブサーバは、ユーザ端末によって送信された伝送(例えば、ネットワークレイヤ情報又はHTTP要求の形をとっている)のIPアドレスを解析する。この解析は、受信された各IPアドレスのアクセス頻度を追跡すること、及びこの情報に基づいて、対応するユーザ端末が悪意のあるアクセス端末であるか否かを決定することを含む。送信元であるユーザ端末が、悪意のあるアクセス端末であると決定されると、ウェブサーバは、その特定されたユーザ端末からの後続のアクセス要求の遮断に進むことができる。しかしながら、これらの代表的方法では、ウェブサーバは、ユーザ端末サービス要求の正常な処理を実施する必要があるだけでなく、ユーザ端末のネットワークレイヤ情報又はHTTP要求をリアルタイムで解析もしなければならない。この手法は、ウェブサーバのサービス応答速度を減速させ、ウェブサーバの効率を不利に低下させる。
【図面の簡単な説明】
【0004】
発明の様々な実施形態が、以下の詳細な説明及び添付の図面で開示される。
【0005】
【図1】悪意のあるアクセスを遮断するためのシステムの一実施形態を示す図である。
【0006】
【図2】ユーザ端末が悪意のあるアクセス端末であるか否かを決定するプロセスの一実施形態を示すフローチャートである。
【0007】
【図3】悪意のあるアクセスを遮断するプロセスの一実施形態を示すフローチャートである。
【発明を実施するための形態】
【0008】
本発明は、プロセス、装置、システム、合成物、コンピュータ可読記憶媒体に実装されたコンピュータプログラム製品、並びに/又は結合先のメモリに記憶された命令及び/若しくは結合先のメモリによって提供される命令を実行するように構成されたプロセッサなどのプロセッサを含む、数々の形態で実装することができる。本明細書では、これらの実装形態、又は本発明がとりえるその他のあらゆる形態が、技術と称される。総じて、開示されたプロセスのステップの順序は、本発明の範囲内で可変である。別途明記されない限り、タスクを実施するように構成されるとして説明されるプロセッサ又はメモリなどのコンポーネントは、所定時にタスクを実施するように一時的に構成される汎用コンポーネントとして、又はタスクを実施するように製造された特殊コンポーネントとして実装されてよい。本明細書で使用される「プロセッサ」という用語は、コンピュータプログラム命令などのデータを処理するように構成された1つ又は2つ以上の装置、回路、及び/又は処理コアを言う。
【0009】
本発明の原理を例示する添付の図面とともに、以下で、発明の1つ又は2つ以上の実施形態の詳細な説明が提供される。発明は、このような実施形態との絡みで説明されているが、いかなる実施形態にも限定されない。発明の範囲は、特許請求の範囲によってのみ限定され、発明は、数々の代替形態、変更形態、及び均等物を内包している。以下の説明では、発明の完全な理解を可能にするために、数々の具体的詳細が明記されている。これらの詳細は、例示を目的として提供されており、発明は、これらの詳細の一部又は全部を伴わずとも、特許請求の範囲にしたがって実施することができる。明瞭さを期するために、発明に関係した技術分野で知られている技術要素は、発明が不必要に不明瞭にされないように、詳細な説明を省略されている。
【0010】
悪意のあるアクセス端末の検出が開示される。各種の実施形態において、ネットワークサーバが、ユーザ端末によって送信されたアクセス要求を受信したときに、その利用可能な情報に基づいて、アクセス要求が悪意のあるアクセス端末からであるか否かを決定できない場合、ネットワークサーバは、処理を進め、ユーザ端末にアクセスを付与し、その間に、非同期的に、アクセス要求を解析サーバに送信することができる。このため、ネットワークサーバは、解析サーバから返される解析結果を待つ必要なしに、このアクセス要求に応答することができる。解析サーバは、このアクセス要求を解析し、解析結果を得た後に、その解析結果をネットワークサーバに通知する。次いで、同じユーザ端末から受信された後続のアクセス要求に対しては、ネットワークサーバは、受信されたアクセス結果に基づいて、アクセス要求が悪意のあるアクセスであるか否かを決定することができる。
【0011】
悪意のあるアクセス行為に関与しているユーザ端末は、悪意のあるアクセス端末と称される。ウェブサーバを標的とした悪意のあるアクセス行為の例には、データ取得要求のフラッディング、大量の加入者の登録を求める要求、又はフォームへの大量の情報のエントリなどがある。
【0012】
図1は、悪意のあるアクセスを遮断するためのシステムの一実施形態を示す図である。システム100は、ネットワークサーバ11と、解析サーバ12とを含む。各サーバは、コンピュータ、マルチプロセッサシステム、マイクロプロセッサベースのシステム、特殊用途向け装置、上記のシステム若しくは装置のうちの任意を含む分散コンピューティング環境、又は1つ若しくは2つ以上のプロセッサとこのプロセッサに接続され且つこのプロセッサに命令を提供するように構成されているメモリとを含むその他の適切なハードウェア/ソフトウェア/ファームウェアの組み合わせなどの、1つ又は2つ以上のコンピューティング装置を使用して実装されてよい。一部の実施形態では、ネットワークサーバ11及び解析12は、ネットワーク(不図示)を通じて通信しあう。ネットワークとしては、有線又は無線の、データネットワーク及び/若しくは電気通信ネットワークが挙げられる。解析サーバ12は、1つ又は2つ以上のネットワークサーバに解析サービスを提供してよい。ネットワークサーバ11は、また、以下で詳しく論じられる幾つかのモジュール(例えば、Apache関数モジュール、共有メモリ、ハンモッククライアント)も含む。
【0013】
ネットワークサーバ11は、ユーザ端末によって送信されたアクセス要求に基づいて、サービスをユーザ端末に提供する。サービスの一例に、ネットワークサーバ11に記憶されたデータへのアクセスがある。ネットワークサーバ11は、ユーザ端末によって送信されたアクセス要求を受信する。それらの要求が、悪意のあるアクセス端末によって送信されたとまだ特定されていない場合には、ネットワークサーバ11は、それらのユーザ端末へのアクセス付与に処理を進める一方で、それらの要求及び/又はそれらの要求から得られた解析情報を解析サーバ12に送信する。ネットワークサーバ11は、解析サーバ12から受信された解析結果に基づいて、ユーザ端末が悪意のあるアクセス端末であるか否かを決定する。解析サーバ12によって送信された解析結果に基づいて、悪意のあるアクセス端末であると決定されたユーザ端末に対しては、ネットワークサーバ11は、このようなユーザ端末からの後続のアクセス要求を遮断する。一部の実施形態では、ネットワークサーバ11は、アクセス要求を遮断して破棄する。一部の実施形態では、ネットワークサーバ11は、アクセス要求を記憶装置に迂回させ、迂回されたそれらの要求をその後解析することによって、アクセス要求を遮断する。
【0014】
一部の実施形態では、どのユーザ端末が悪意のあるアクセス端末であるかが、メモリ、ハードディスク、及び/又はフラッシュメモリなどの、ネットワークサーバ11の又は解析サーバ12の各種の記憶装置に記憶させることができる、遮断情報集合のなかに記録される。一部の実施形態では、遮断情報は、悪意のあるアクセス端末のリストを含み、悪意のあるアクセス端末に関する属性情報を特定している。属性情報には、端末識別子、IPアドレス、クッキーコンテンツ、HTTPヘッダフィールドセット識別子、及び/又はGETデータコンテンツとPOSTデータコンテンツとの1つ若しくは2つ以上の組み合わせがあるが、これらに限定はされない。ネットワークサーバ11は、解析サーバ12からその後の解析結果を受信すると、遮断情報を更新する(例えば、リストへのユーザ端末の追加、リストからのユーザ端末の削除、新ヴァージョンの遮断情報の作成)ことができる。解析サーバ12から送信された解析結果に基づいて、悪意のあるアクセス端末であると決定されなかったユーザ端末に対しては、ネットワークサーバ11は、このようなユーザ端末によって要求されるサービスを提供する。
【0015】
解析サーバ12は、ユーザ端末によって送信されたアクセス要求を解析し、送信元のユーザ端末が悪意のあるアクセス端末であるか否かを決定する。解析サーバ12は、また、その解析結果(例えば、アクセス要求をネットワークサーバ11に送信している1つ又は2つ以上のユーザ端末が悪意のあるアクセス端末であるか否か)をネットワークサーバ11に送信する。
【0016】
各種の実施形態において、ネットワークサーバ11は、悪意のあるアクセス端末であると決定されなかったユーザ端末(例えば、悪意のあるアクセス端末のリストに無いユーザ端末)からのアクセス要求を受信した際に、アクセス要求を遮断せず、その要求(又はその一部分)を解析サーバ12に送信する。解析サーバ12は、要求を送信したユーザ端末が悪意のあるアクセス端末であるか否かを決定するために、受信されたアクセス要求に対して解析を実施する。一部の実施形態では、ネットワークサーバ11は、複数のアクセス要求を受信するまで待機し、遮断されなかったアクセス要求を圧縮し、それらを一度にまとめて解析サーバ12に送信することができる。
【0017】
一部の実施形態では、ネットワークサーバ11のネットワークコンポーネントが、ネットワークサーバ11で受信されたアクセス要求を解析サーバ12に転送する。例えば、このようなネットワークコンポーネントは、ネットワークカードなどのネットワークサーバ11の物理的要素、又はネットワークサーバ11にリンクされた別の装置などであってよく、解析サーバ12と通信しあう能力を有する。ネットワークコンポーネントは、ネットワークサーバ11からアクセス要求を得た後に、それらの要求を解析サーバ12に転送することができる。或いは、ネットワークコンポーネントは、ネットワークサーバ11に代わってアクセス要求を直接受信し、遮断されなかった1つ又は2つ以上の要求を解析サーバ12に転送することができる。
【0018】
各種の実施形態において、アクセス要求には、HTTP要求及び符号化されたHTTP(HTTPS)要求があるが、これらに限定はされない。一部の実施形態では、ネットワークサーバ11及び/又は解析サーバ12は、アクセス要求のアプリケーションレイヤ復号化を行うことによって解析情報を得ることができる。この解析情報としては、IPアドレス、クッキーコンテンツ、HTTPヘッダフィールドセット識別子、要求されたデータコンテンツ(例えば、ユーザ端末がGET関数を通じて要求するデータコンテンツ)、及びサブミットされたデータコンテンツ(例えば、ユーザ端末がPOST関数を通じてプッシュするデータコンテンツ)の、1つまたは2つ以上の組み合わせが挙げられるが、これらに限定はされない。要求されたデータコンテンツ及びサブミットされたデータコンテンツは、それぞれ、GETデータコンテンツ及びPOSTデータコンテンツと呼ぶことができる。
【0019】
各種の実施形態において、解析サーバ12は、アクセス要求の中の解析情報に基づいて、ユーザ端末が悪意のあるアクセス端末であるか否かを解析する。アクセス要求から解析情報を得るために、解析サーバ12は、数々の異なる方法を使用することができる。
【0020】
例えば、一部の実施形態では、解析サーバ12は、ネットワークサーバ11によって又は解析サーバ12と通信しあうことができるネットワークコンポーネントによって送信されたアクセス要求を受信し、このアクセス要求を解析して解析情報を得る。解析サーバ12は、次いで、得られた解析情報に基づいて、アクセス要求を送信したユーザ端末が悪意のあるアクセス端末であるか否かを決定する。この方法は、ネットワークサーバ11が自身のリソースを使用してアクセス要求の解析を実施する負担から、ネットワークサーバ11を解放する。
【0021】
一部の実施形態では、ネットワークサーバ11は、ユーザ端末から受信されたアクセス要求を解析して解析情報を得て、その得られた解析情報を解析サーバ12に送信する。すると、解析サーバ12は、ネットワークサーバ11から受信された解析情報に基づいて、アクセス要求を送信したユーザ端末が悪意のあるアクセス端末であるか否かを決定する。
【0022】
各種の実施形態において、解析サーバ12は、ユーザ端末が悪意のあるアクセス端末であるか否かを決定するための既定の判定原則に従って(例えば、上述された方法の1つを通じて得られた)解析情報を解析する。既定の判定原則の例として、特定されたアクセス要求からのどのデータコンテンツが解析情報のデータコンテンツとして使用されるか、データコンテンツが解析情報の正常パラメータ又は異常パラメータであると見なされるのはどのような状況(データ発生の頻度及びそのパラメータ値を含む)下であるかが挙げられるが、これらに限定はされない。
【0023】
一部の実施形態では、既定の判定原則は、解析サーバ12によって提供されたユーザインターフェースを通じて、管理者によって解析サーバ12のなかに設定することができる。入力された設定は、内部メモリ、フラッシュメモリ、ハードディスク、又は解析サーバ12のその他の記憶媒体に記憶させることができる。ネットワークサーバ11が解析情報を得て解析サーバ12に送信する実施形態では、管理者は、既定の判定原則をネットワークサーバ11のなかに設定し、既定の判定原則に基づいて解析情報(又はその一部分)を解析サーバ12に送信するように、ネットワークサーバ11に命令することもできる。
【0024】
一部の実施形態では、解析サーバ12又はネットワークサーバ11は、設定された判定原則を動的にセット及び/又は調整することができる。解析情報がクッキーコンテンツを含み且つ判定原則が同クッキーコンテンツの発生頻度が正常パラメータであるか否かに関する一例において、これを説明すると、ネットワークサービスへの需要が低めのとき(例えば、需要が低いのが一般的である夜間の時間帯)は、比較的低い発生頻度(例えば、1分あたり1回)をセットすることができ、したがって、需要が比較的低い期間中は、アクセス要求を送信したユーザ端末は、クッキーコンテンツの発生頻度が1分あたり1回又はそれよりも高いときに、悪意のあるアクセス端末であると見なされる。ネットワークサービスへの需要が高めのとき(例えば、需要が高いのが一般的である日中の時間帯)は、発生頻度を高いレベル(例えば、1分あたり2回)にセットすることができ、したがって、需要が比較的高い期間中は、アクセス要求を送信したユーザ端末は、同クッキーコンテンツの発生頻度が1分あたり2回又はそれよりも高い場合にのみ、悪意のあるアクセス端末であると見なされる。一部の実施形態では、解析サーバ12又はネットワークサーバ11は、実際の条件にしたがって判定原則を動的に調整した後、その他のサーバに、判定原則を更新して調整を反映するように命令する。
【0025】
悪意のあるアクセス端末であると見なされるユーザ端末からのアクセス要求は、得られた解析情報のなかにHTTPヘッダフィールドセット識別子を使用するなどの様々なやり方でフラグを付けることができる。解析サーバ12は、ユーザ端末を悪意のあるアクセス端末であると決定したならば、この悪意のあるアクセス端末の端末識別子をネットワークサーバ11に送信することができる。ネットワークサーバ11は、この端末識別子を遮断情報に追加する。この端末識別子に対応するユーザ端末が、その後もネットワークサーバ11にアクセス要求を送信したならば、ネットワークサーバ11は、このユーザ端末からのアクセス要求を遮断する。解析サーバ12は、また、HTTPヘッダフィールドセット識別子を、対応するユーザ端末が悪意のあるアクセス端末であるか否かの命令(例えば、フィールドセット識別子0は、「悪意がない」ことを示し、フィールドセット識別子1は、「悪意がある」ことを示す)とともに送信することもできる。ネットワークサーバ11は、受信されたHTTPヘッダフィールドセット識別子を遮断情報に追加する。その後、ユーザ端末がアクセス要求を送信したときは、ネットワークサーバ11は、HTTPヘッダフィールドセット識別子が1であるか否かをチェックする。1であるならば、ネットワークサーバ11は、アクセス要求を遮断する。1でないならば、ネットワークサーバ11は、アクセス要求を処理する。更に、ネットワークサーバ11は、継続的な解析のために、アクセス要求を解析サーバ12に送信することができる。
【0026】
一部の実施形態では、ネットワークサーバ11は、Apache関数モジュール、lighttpd関数モジュール、又はnginx関数モジュールを有するウェブサーバである。システム100は、ネットワークサーバ11が、Apache関数モジュール、共有メモリ(shm関数モジュール)、及びApache関数モジュールのデータを解析サーバ12のデータと同期化させるための関数モジュールを含むことを示している。一部の実施形態では、Apache関数モジュールのデータを解析サーバ12のデータと同期化させるための関数モジュールは、「ハンモック」クライアントと呼ばれる。Apache関数モジュールのなかの「mod_hummock」コンポーネントは、アクセス要求、又は(例えばネットワークサーバ11によるアクセス要求の解析を受けた後の)解析情報を、PIPEを通じてハンモッククライアントに送信する。一部の実施形態では、ハンモッククライアントは、次いで、イベントインターフェースを通じてアクセス要求又は解析情報を解析サーバ12のなかのハンモックモジュールイベントインターフェースに送信する。伝送速度を高めるために、2つのインターフェース間におけるデータ伝送に、UDP伝送及び/又はTCP伝送プロトコルを使用することもできる。解析サーバ12のなかのハンモックモジュールは、アクセス要求を受信及び解析するため、並びに解析結果をネットワークサーバ11に通知するためのものである。
【0027】
上述されたモジュールは、1つ又は2つ以上のプロセッサ上で実行されるソフトウェアコンポーネントとして、プログラマブル論理装置及び/若しくは所定の機能を実施するように設計された特殊用途向け集積回路などのハードウェアとして、又はそれらの組み合わせとして実装することができる。一部の実施形態では、モジュールは、本発明の実施形態で説明されている方法をコンピュータ装置(パソコン、サーバ、ネットワーク機器など)に実行させるための幾つかの命令を含み且つ不揮発性の記憶媒体(光ディスク、フラッシュ記憶装置、モバイルハードディスクなど)に記憶させることができるソフトウェア製品の形で具現化することができる。モジュールは、1つの装置に実装されてよい、又は複数の装置に分散されてよい。
【0028】
セットされた判定原則にしたがって、解析サーバ12のなかのハンモックモジュールは、(例えば、ネットワークサーバ11から若しくはネットワークサーバ11のコンポーネントから)受信されたアクセス要求、又は(例えば、ネットワークサーバ11によるアクセス要求の解析を受けた後の)解析情報を分離し、分離された情報を管理する。これは、分離管理と総称される。例えば、ハンモックモジュールは、受信された解析情報のなかの特定の断片を取り、その情報を設定テーブルに書き込む。設定テーブルは、データ、名前リスト、及び設定の、3つの部分を含む。解析情報のなかのアクセスデータ(クッキーコンテンツ、フィールドセット識別子、GETデータコンテンツ、及びPOSTデータコンテンツ)は、データ部分に書き込まれる。名前リスト部分のなかのコンテンツは、解析にしたがって、ブラックリスト(又はホワイトリスト)コンテンツとして記される。解析情報の各判定条件は、設定部分に書き込まれる。言い換えると、解析情報がクッキーコンテンツを含むならば、クッキーに悪意があるか否かを判定するための確率が、設定部分に書き込まれている。
【0029】
解析サーバ12のなかのハンモックモジュールは、分離管理を経た後の解析情報に対し、カウント(例えば、解析情報のコンテンツの頻度を追跡すること)及び解析を実行する。更に、ハンモックモジュールは、カウント及び解析の結果を解析サーバ12のメモリに記憶させる。例えば、ハンモックモジュールは、一定期間内にIPアドレスが特定のアドレスIP_1に一致する回数をn1として、一定期間内にIPアドレスが別の特定のアドレスIP_2に一致する回数をn2としてカウントし、IP_1_n1及びIP_1_n2をメモリに記憶させる。
【0030】
解析サーバ12のなかのハンモックモジュールは、解析結果を記憶されているメモリをスキャンし、ネットワークサーバ11への返信に適した解析結果(IPアドレス、クッキーコンテンツ、端末識別子など)を見つける。解析サーバ12は、また、メモリを定期的に(例えば、Nを0を上回る数としてN秒ごとに)スキャンし、ネットワークサーバ11への送信に適した解析結果を見つけることもできる。例えば、手順は、以下のようであってよい。すなわち、解析サーバ12のなかのタイマをセットし、タイマにセットされた期間の終わりに、ハンモックモジュールが、メモリスキャンを実施し、メモリに記憶されているコンテンツを既定の判定原則と比較する。解析サーバ12は、ハンモックモジュールに、完了した解析結果(例えば、どのユーザ端末が悪意があるか)をネットワークサーバ11に送信するように命令することができる。
【0031】
解析サーバ12は、ネットワークサーバ11に返信される必要がある解析結果を決定した後、その解析結果を幾つかのやり方で送信することができる。
【0032】
一部の実施形態では、解析結果は、UDP伝送を通じて送信される。UDP伝送は、比較的信頼性が低いので、ネットワークサーバ11及び解析サーバ12は、ネットワークサーバ11及び解析サーバ12によって記憶されている遮断情報のヴァージョン番号が同じであることを保証するために、遮断情報のヴァージョン番号に関して互いに定期的に調査しあう。この方法では、解析サーバ12のなかのハンモックモジュール及びネットワークサーバ11の中のハンモッククライアントは、連携して遮断情報を維持する。初期状態では、遮断情報のヴァージョンは、2つのサーバ間で同じである。更に、遮断情報が更新されるたびに更新を受けてヴァージョン番号を変更する方法も、2つのサーバにおいて同じである。ネットワークサーバ11によって記憶されている遮断情報は、速やかに更新されることを保証される。
【0033】
より具体的には、ネットワークサーバ11の中のハンモッククライアントは、UDPインターフェースを通じて定期的に解析結果要求(例えばsyn要求)を解析サーバ12のなかのハンモックモジュールに送信する。syn要求は、ネットワークサーバ11のなかの遮断情報の現ヴァージョン番号を伝える。解析サーバ12のなかのハンモックモジュールは、返信された解析結果を確認した後、これらの解析結果を使用して、記憶されている遮断情報を更新し、更新された遮断情報のヴァージョン番号を得る。次いで、解析サーバ12の中のハンモックモジュールは、ネットワークサーバ11からの受信された遮断情報のヴァージョン番号が、自身が記憶している更新された遮断情報のヴァージョン番号と同じであるか否かを判定する。ネットワークサーバ11からの遮断情報の現ヴァージョン番号が、解析サーバ12に記憶されている遮断情報のヴァージョン番号と同じであるならば、ネットワークサーバ11の中の遮断情報を更新する必要はない。2つのヴァージョン番号が同じではないならば、それは、ネットワークサーバ11の中の遮断情報の現ヴァージョン番号が、解析サーバ12の中の遮断情報のヴァージョン番号よりも低いことを意味する。この場合は、解析サーバ12は、遮断情報を更新するために直近に使用された解析結果を、解析結果応答(例えばsyn応答)を送信することによってUDPインターフェースからネットワークサーバ11の中のハンモッククライアントに送信する。
【0034】
一部の実施形態では、解析結果は、TCP伝送を通じて送信される。TCP伝送は、より信頼性が高いので、ネットワークサーバ11と解析サーバ12との間でデータを調査しあう必要はない。解析サーバ12は、解析結果をネットワークサーバ11に直接送信する。解析サーバ12の中のハンモックモジュールが、解析結果を得た後、TCPインターフェースは、それらの解析結果を、解析結果応答(例えばsyn応答)によってネットワークサーバ11の中のハンモッククライアントに送信する。
【0035】
上述された2つの送信方法では、ネットワークサーバ11の中のハンモッククライアントは、解析結果を受信した後、それらをshmモジュールに書き込む。ネットワークサーバ11の中のApacheモジュールは、shmから解析結果を読み出し、これらの解析結果に従って、自身が記憶している遮断情報を更新する。その後、ネットワークサーバ11は、ユーザ端末から送信されたアクセス要求を受信した際に、自身が記憶している直近に更新された遮断情報を使用して、ユーザ端末に悪意があるか否かを判定し、悪意があると特定されたアクセス端末からのアクセス要求を遮断することができる。
【0036】
図2は、ユーザ端末が悪意のあるアクセス端末であるか否かを決定するプロセスの一実施形態を示すフローチャートである。一部の実施形態では、プロセス200は、システム100によって実行することができる。プロセス200は、以下のステップを含む。
【0037】
ステップ202:ユーザからの、サービスを求めるアクセス要求が受信される。本明細書で使用されるユーザという用語は、ユーザ端末を指す。各種の実施形態において、アクセス要求は、ウェブサーバ(例えばネットワークサーバ)によって受信される。一部の実施形態では、ネットワークサーバは、アクセス要求を解析サーバに転送することも行う。
【0038】
ステップ204:ユーザに関係付けられたアクセス要求の頻度が更新される。一部の実施形態では、アクセス要求を受信するネットワークサーバは、これまでにアクセス要求を受信した各ユーザ端末についてのカウンタを維持し、直近に受信されたアクセス要求を送信したユーザ端末に対応してカウンタを更新する。
【0039】
ステップ206:アクセス要求に少なくとも部分的に基づく解析結果が受信される。各種の実施形態において、解析結果は、ネットワークサーバによって受信される。各種の実施形態において、解析結果は、転送されたアクセス要求の解析を解析サーバが行うたびに、解析サーバによって生成され、送信される。解析結果は、アクセス要求を送信したユーザ端末が悪意のあるアクセス端末であるか否かに関する情報を含む。各種の実施形態において、解析結果を受信するネットワークサーバは、遮断情報(例えば、どのユーザ端末が悪意のあるアクセス端末であるかに関する情報)集合を更新する/新しいヴァージョンの遮断情報集合を作成する。
【0040】
ステップ208:ユーザによるアクセスの頻度が所定の頻度を上回るか否かが決定される。頻度が所定の頻度を上回らないと決定されたならば、制御は、ステップ210に引き渡される。頻度が所定の頻度を上回ると決定されたならば、制御は、ステップ212に引き渡される。
【0041】
ステップ210:アクセス要求に少なくとも部分的に基づいて、アクセスが付与される。一部の実施形態では、ネットワークサーバは、受信されたアクセス要求に基づいて、アクセスを付与する。一部の実施形態では、ネットワークサーバは、アクセス要求及び/又はアクセス要求から抽出された解析情報を、解析のために解析サーバに転送することも行う。
【0042】
ステップ212:解析結果に少なくとも部分的に基づいて、ユーザからのアクセス要求を遮断するか否かが決定される。各種の実施形態において、ネットワークサーバは、悪意のあるアクセス端末を特定する遮断情報を有する。各種の実施形態において、遮断情報は、解析結果に基づく/解析結果から導出される。一部の実施形態では、ネットワークサーバは、その遮断情報にアクセス要求を照らし合わせて比較する(例えば、ユーザに関係付けられた識別子が、遮断情報/悪意のあるアクセス端末のなかに見つかるか否かをチェックする)。遮断情報のなかにアクセス要求の(例えば識別子の)一致が見つかったならば、制御は、ステップ214に引き渡される。そうでなく、遮断情報のなかにアクセス要求の一致が見つからなかったならば、制御は、ステップ210に引き渡される。
【0043】
ステップ214:アクセス要求は、遮断される。各種の実施形態において、ネットワークサーバは、遮断情報のなかにユーザ端末が見つかったと決定したならば、そのアクセス要求及び同じユーザ端末によって送信される後続の全てのアクセス要求を遮断する。
【0044】
プロセス200を更に説明するために、例示目的で幾つかの例が論じられる。
【0045】
第1の例では、解析サーバによって用いられる解析情報は、クッキーコンテンツを含み、遮断情報もまた、クッキーコンテンツを含む。ネットワークサーバが、同じユーザ端末によって送信されたアクセス要求をN回目(Nは1を上回る)に受信したときは、以下のステップが取られる。
【0046】
第1のステップ:解析サーバは、自身がネットワークサーバから受信したN−1回のアクセス要求のなかの1つ又は2つ以上のアクセス要求を既に解析しており、各解析を経た後に、対応する解析結果を得ている。ネットワークサーバは、各解析を経て得られた解析結果にしたがって、遮断情報のなかのコンテンツを絶えず更新する。ネットワークサーバは、N回目にアクセス要求を受信したときは、そのN回目のアクセス要求を送信したユーザ端末が悪意のあるアクセス端末であるか否かを判定するために、更新された遮断情報を使用することができる。
【0047】
第2のステップ:ネットワークサーバは、受信されたアクセス要求を解析し、アクセス要求のなかの(例えばネットワークサーバによって抽出された)特定されたクッキーコンテンツを遮断情報のなかのクッキーコンテンツと比較する。特定されたクッキーコンテンツが遮断情報のなかのクッキーコンテンツと一致するならば、それは、これらのクッキーコンテンツが悪意のあるアクセス端末から送信されたアクセス要求からであることを意味する。ユーザ端末が、悪意のあるアクセス端末であると決定されたときは、ネットワークサーバは、アクセス要求を遮断する。そうでないならば、ネットワークサーバは、第3のステップを実施する。
【0048】
第3のステップ:ネットワークサーバは、アクセス要求を処理し、非同期的に、アクセス要求を解析サーバに送信する。
【0049】
第4のステップ:解析サーバは、(例えば或る一定の継続時間内に)受信された各アクセス要求のなかの特定されたクッキーコンテンツにしたがって、特定されたクッキーコンテンツの数が閾値に達したか否かを決定する。閾値に達したならば、同じクッキーコンテンツを含むアクセス要求を送信したユーザ端末は、悪意のあるアクセス端末である可能性が高く、第5のステップが実施される。そうでないならば、ユーザ端末は、悪意のあるアクセス端末ではないと決定され、第2のステップに戻る。
【0050】
第1の閾値は、例えば、経験値にしたがってセットされてよい。第1の閾値は、管理者によって手動で又はシステムによって自動的にセットされてもよい。
【0051】
第5のステップ:解析サーバは、クッキーコンテンツを、悪意のあるアクセス端末からネットワークサーバに来ているとして特定する。
【0052】
第6のステップ:ネットワークサーバは、受信されたクッキーコンテンツを遮断情報のなかに書き込み、更新された遮断情報を得て、第2のステップに戻る。同じユーザ端末が、別のアクセス要求をネットワークサーバに送信し、そのアクセス要求のなかのクッキーコンテンツが、遮断情報のなかのクッキーコンテンツに一致するならば、ネットワークサーバは、この後続のアクセス要求を遮断する。
【0053】
第2の例では、同じIPアドレスを持つ複数のユーザ端末の問題が扱われる。同じIPアドレスを持つ複数のユーザ端末が関与するシナリオとして考えられるのは、1つには、幾つかのユーザ端末が、全て、1つのネットワークアドレス転送(NAT)ゲートウェイを用いているときである。この例では、解析サーバによって用いられる解析情報は、IPアドレス及びクッキーコンテンツの両方を含み、遮断情報もまた、IPアドレス及びクッキーコンテンツの両方を含む。ネットワークサーバが、ユーザ端末からN回目(Nは1を上回る)にアクセス要求を受信したときは、以下のステップが取られる。
【0054】
第1のステップ:ネットワークサーバは、受信されたアクセス要求を解析し、アクセス要求の中の特定されたIPアドレスを遮断情報の中のIPアドレスと比較する。特定されたIPアドレスが遮断情報の中のIPアドレスと一致するならば、特定されたクッキーコンテンツが遮断情報の中のクッキーコンテンツと比較される。特定されたクッキーコンテンツが遮断情報の中のクッキーコンテンツと一致するならば、それは、このアクセス要求が悪意のあるアクセス端末から送信されたことを意味し、ネットワークサーバは、アクセス要求を遮断する。そうでないならば、ネットワークサーバは、第2のステップを実施する。
【0055】
第2のステップ:ネットワークサーバは、アクセス要求に従ってアクセス要求を送信したユーザ端末にサービスを提供し、非同期的に、アクセス要求を解析サーバに送信する。
【0056】
第3のステップ:解析サーバは、或る一定の継続時間内に受信された各アクセス要求からIPアドレス及びクッキーコンテンツを特定する。特定された同じIPアドレスの数が第2の閾値に達したときは、解析サーバは、次に、同じIPアドレスを含むアクセス要求の中で特定された同じクッキーコンテンツの数が第3の閾値に達したか否かを判定する。第3の閾値にも達したならば、解析サーバは、同じクッキーコンテンツを含むアクセス要求を送信したユーザ端末を、悪意のあるアクセス端末であると決定し、第4のステップに進む。そうでないならば、プロセスは、第1のステップに戻る。
【0057】
第2及び第3の閾値は、経験値に基づくことができる、又は管理者によって手動でセットすることができる。
【0058】
第4のステップ:解析サーバは、悪意のあるアクセス端末から送信されたとして特定されたIPアドレス及びクッキーコンテンツをネットワークサーバに送信する。
【0059】
第5のステップ:ネットワークサーバは、受信されたIPアドレス及びクッキーコンテンツを遮断情報に書き込み、更新された遮断情報を得て、第1のステップに戻る。同じユーザ端末が、別のアクセス要求をネットワークサーバに送信し、そのアクセス要求の中のIPアドレス及びクッキーコンテンツが、遮断情報の中のIPアドレス及びクッキーコンテンツに一致するならば、ネットワークサーバは、この後続のアクセス要求を遮断する。
【0060】
図3は、悪意のあるアクセスを遮断するプロセスの一実施形態を示すフローチャートである。一部の実施形態では、プロセス300は、システム100上で実行することができる。プロセス300は、以下のステップを含む。
【0061】
ステップ301:ネットワークサーバは、ユーザ端末によって送信されたアクセス要求を最初に受信すると、そのユーザ端末にサービスを提供する。一部の実施形態では、ネットワークサーバは、(例えば、ユーザ端末の識別子を悪意のあるアクセス端末の識別子のリストに照らし合わせて比較することによって、)記憶されている遮断情報のなかにユーザ端末が見つかるか否かをチェックし、記憶されている遮断情報のなかにユーザ端末が見つからなかった後に、要求されたサービスを提供する。各種の実施形態において、ネットワークサーバは、アクセス要求及び/又はその一部分(例えば、抽出された解析情報)を解析サーバに送信することも行う。
【0062】
ステップ302:解析サーバは、ユーザ端末によって送信されたアクセス要求に基づいて、ユーザ端末が悪意のあるアクセス端末であるか否かを解析し、その解析結果をネットワークサーバに返信する。
【0063】
ステップ303:ネットワークサーバは、同じユーザ端末によって送信されたアクセス要求を再び受信したときは、遮断情報に基づいて、アクセス要求を送信したユーザ端末が悪意のあるアクセス端末であるか否かを決定する。ユーザ端末が悪意のあるアクセス端末であるならば、ネットワークサーバは、ステップ304を実施する。ユーザ端末が悪意のあるアクセス端末でないならば、ネットワークサーバは、ステップ305を実施する。
【0064】
遮断情報は、解析サーバによって返信された解析結果を基にして決定される。具体的には、解析サーバは、上記解析結果に基づいて遮断情報を生成し、上記遮断情報をネットワークサーバに送信することができる。あるいは、解析サーバは、解析結果をネットワークサーバに返信し、ネットワークサーバは、解析結果に基づいて自身で遮断情報を生成する。
【0065】
ネットワークサーバ上及び解析サーバ上に記憶されている遮断情報のコンテンツ及びヴァージョン番号は、ネットワークサーバ上に記憶されている遮断情報のそれらと同じである。また、遮断情報は、図1について説明された方法の使用によって、ネットワークサーバと解析サーバとの間で同期化することができる。
【0066】
ステップ304:ネットワークサーバは、ユーザ端末によって送信されたアクセス要求を遮断する。
【0067】
ステップ304におけるオペレーションエラーを回避するために、ネットワークサーバは、特定された悪意のあるアクセス端末からのアクセス要求を遮断した後に、アクセスプロセスを直ちに終了させ、ユーザ端末からのアクセス要求を、身元の検証を目的とする認証サーバに転送することができる。認証サーバは、ユーザ端末の身元に対して更なる認証を実施する。認証サーバが端末を認証し、承認したときは、ネットワークサーバは、(例えば、遮断情報を更新し、ユーザ端末を排除することによって、)ユーザ端末を、もう悪意のあるアクセス端末ではないと見なし、ステップ305を実行することができる。そうでないならば、ネットワークサーバは、単純に、このアクセスプロセスを終了させることができる。
【0068】
認証サーバは、以下の方法によってユーザ端末の身元を認証することができる。例えば、認証サーバは、認証ページをユーザ端末へプッシュし、ユーザ端末に、該認証ページを通じて合法的な検証コードを入力するように要求する。
【0069】
ステップ305:ネットワークサーバは、アクセス要求に基づいて、ユーザ端末にサービスを提供する。
【0070】
ステップ306:解析サーバは、ネットワークサーバから再び受信したアクセス要求に基づいて、ユーザ端末が悪意のあるアクセス端末であるか否かを解析し、その解析結果をネットワークサーバに返信する。
【0071】
一部の実施形態では、ステップ306において、解析サーバが得るアクセス要求は、ネットワークサーバがステップ305を実施する間に、ネットワークサーバによって非同期的に解析サーバに送信することができる。アクセス要求は、また、解析サーバと通信しあうことができるネットワークサーバのネットワークコンポーネントによって解析サーバに送信することもできる。一部の実施形態では、ネットワークサーバは、非同期的にアクセス要求を解析サーバに送信するならば、送信効率を向上させるやり方として、自身が受信した複数のアクセス要求のなかから少なくとも1つの遮断されなかったアクセス要求を圧縮し、それを解析サーバに送信することができる。
【0072】
ステップ307:解析サーバは、解析結果をネットワークサーバに返信する。
【0073】
ステップ308:ネットワークサーバは、自身が再び受信した解析結果を使用して、記憶されている遮断情報を更新する。
【0074】
この時点で、ネットワークサーバは、同じユーザ端末から送信されたアクセス要求を引き続き受信することができる。受信されたアクセス要求が、最初にアクセス要求を送信したユーザ端末と同じ端末からのアクセス要求でないならば、ネットワークサーバは、ステップ303からプロセスを開始する。引き続きアクセス要求を送信したユーザ端末が、最初にアクセス要求をネットワークサーバに送信したユーザ端末であるならば、ネットワークサーバは、ステップ301に戻ることができる。
【0075】
当業者ならば、本出願の実施形態が、方法、システム、又はコンピュータソフトウェア製品として実現可能であることを理解するべきである。したがって、説明された実施形態は、完全にハードウェアの実施形態、完全にソフトウェアの実施形態、又はハードウェア形態とソフトウェア形態とを組み合わせた実施形態をとることができる。例えば、最適な結果を実現するために、C又はC++を使用することができる。また、本出願は、コンピュータプログラムコードを含み且つコンピュータによって動作可能な1つ又は2つ以上の記憶媒体(磁気ディスク記憶装置、CD−ROM、及び光記憶装置を含むがこれらに限定はされない)に実装された、コンピュータプログラムの形態をとることができる。
【0076】
本出願は、方法、機器(システム)、及びコンピュータプログラム製品に基づくフローチャート及び/又はブロック図を参照にして説明されている。フローチャート及び/又はブロック図における各プロセス及び/又は各ブロック、並びにフローチャート及び/又はブロック図におけるプロセス及び/又はブロックの組み合わせは、コンピュータプログラムコマンドを通じて実現可能であることが理解されるべきである。これらのコンピュータコマンドは、マシンを形成するために、汎用コンピュータ、特殊用途コンピュータ、埋め込みプロセッサ、又はその他のプログラマブルデータ機器のプロセッサに提供されてよく、その結果、コンピュータ、又はその他のプログラマブルデータ機器のプロセッサを通じて実行されたコマンドは、フローチャートのなかの1つ若しくは2つ以上のプロセス及び/又はブロック図のなかの1つ若しくは2つ以上のブロックによって指定された機能を実現するために使用される装置を形成することができる。
【0077】
これらのコンピュータプログラムコマンドは、また、特殊な方式で動作し且つコンピュータ又はその他のプログラマブルデータ機器を誘導することができるコンピュータ可読記憶装置に記憶されてもよく、その結果、これらのコンピュータ可読装置に記憶されているコマンドは、コマンド装置を含む製品を形成することができる。これらのコマンド装置は、フローチャートのなかの1つ若しくは2つ以上のプロセス及び/又はブロック図のなかの1つ若しくは2つ以上のブロックによって指定された機能を実現する。
【0078】
これらのコンピュータプログラムコマンドは、コンピュータ又はその他のプログラマブルデータ機器に取り込まれてもよく、その結果、コンピュータ処理を生じるべく一連の動作ステップがコンピュータ又はその他のプログラマブル機器で実行される。このようにして、コンピュータ又はその他のプログラマブル機器で実行されるコマンドは、フローチャートのなかの1つ若しくは2つ以上のプロセス及び/又はブロック図のなかの1つ若しくは2つ以上のブロックによって指定された機能を実現するためのステップを提供する。
【0079】
既に、本出願の好ましい実施形態が説明されてきたが、当業者ならば、ひとたび基本的な独創的概念を捉えたら、これらの実施形態に対してその他の変更及び修正を加えることができる。したがって、添付された特許請求の範囲は、好ましい実施形態はもちろん、本出願の範囲内に入るあらゆる変更及び修正も含むと解釈される。
【0080】
明らかに、当業者ならば、本発明の趣旨及び範囲から逸脱することなく本出願を変更する及び多様にすることができる。したがって、本出願のこれらの変更形態及びヴァリエーションが、特許請求の範囲及びその等価技術の範囲内に入るならば、本出願は、これらの変更形態及びヴァリエーションも網羅することを意図される。
【0081】
以上の実施形態は、理解を明瞭にする目的で幾らか詳細に説明されてきたが、本発明は、提供された詳細に限定されない。本発明の実現には、多くの代替的手法がある。開示された実施形態は、例示のためであって、限定的なものではない。適用例1:ネットワークアクセス要求を解析する方法であって、サービスを求めるアクセス要求をユーザから受信することと、前記ユーザに関係付けられているアクセス要求の頻度を更新することと、前記アクセス要求に少なくとも部分的に基づく解析結果を受信することと、アクセスの頻度が所定の頻度を超えているか否かを決定することと、前記アクセスの頻度が前記所定の頻度を超えていない場合に、前記アクセス要求を許可することと、前記アクセスの頻度が前記所定の頻度を上回る場合に、前記解析結果に少なくとも部分的に基づいて、前記ユーザからの前記アクセス要求を遮断するか否かを決定することと、を備える方法。
適用例2:適用例1に記載の方法であって、更に、前記アクセス要求の少なくとも一部分を解析装置に送信することを備える方法。
適用例3:適用例1に記載の方法であって、更に、前記解析結果に少なくとも部分的に基づいて遮断情報を更新することを備える方法。
適用例4:適用例3に記載の方法であって、前記遮断情報は、対応する1つ又は2つ以上の悪意のあるアクセス装置に関係付けられている1つ又は2つ以上の属性情報を含む、方法。
適用例5:適用例3に記載の方法であって、前記ユーザからの前記アクセス要求を遮断するか否かを決定することは、前記遮断情報に少なくとも部分的に基づく、方法。
適用例6:適用例1に記載の方法であって、更に、前記アクセス要求が遮断されるべきであると決定された場合に、前記ユーザは悪意のあるアクセス装置を含むと決定することを備える方法。
適用例7:適用例1に記載の方法であって、前記アクセス要求は、HTTP要求又はHTTPS要求を含む、方法。
適用例8:適用例1に記載の方法であって、更に、前記アクセス要求から解析情報を得ることを備える方法。
適用例9:適用例8に記載の方法であって、更に、前記得られた解析情報を解析装置に送信することを備える方法。
適用例10:適用例1に記載の方法であって、前記解析情報は、IPアドレス、クッキーコンテンツ、HTTPヘッダフィールドセット識別子、要求されたデータコンテンツ、又はサブミットされたデータコンテンツのうちの、1つ又は2つ以上を含む、方法。
適用例11:適用例8に記載の方法であって、更に、所定の期間にわたって前記解析情報の少なくとも一部分が所定の閾値を上回るか否かを決定し、前記所定の期間にわたって前記解析情報の前記少なくとも一部分が前記所定の閾値を上回る場合に、前記ユーザは悪意のあるアクセス装置からアクセスしていると決定することを備える方法。
適用例12:アクセス要求を解析するためのシステムであって、1つ又は2つ以上のプロセッサと、前記プロセッサに接続され、前記プロセッサに命令を提供するように構成されているメモリと、を備え、
前記1つ又は2つ以上のプロセッサは、サービスを求めるアクセス要求をユーザから受信し、前記ユーザに関係付けられているアクセス要求の頻度を更新し、前記アクセス要求に少なくとも部分的に基づく解析結果を受信し、アクセスの頻度が所定の頻度を上回るか否かを決定し、前記アクセスの頻度が前記所定の頻度を超えていない場合に、前記アクセス要求を許可し、前記アクセスの頻度が前記所定の頻度を上回る場合に、前記解析結果に少なくとも部分的に基づいて、前記ユーザからの前記アクセス要求を遮断するか否かを決定するように、構成されている、システム。
適用例13:適用例12に記載のシステムであって、更に、前記アクセス要求の少なくとも一部分を解析装置に送信するように構成されてい1つ又は2つ以上のプロセッサを備えるシステム。
適用例14:適用例12に記載のシステムであって、更に、前記解析結果に少なくとも部分的に基づいて遮断情報を更新するように構成されてい1つ又は2つ以上のプロセッサを備えるシステム。
適用例15:適用例14に記載のシステムであって、前記遮断情報は、対応する1つ又は2つ以上の悪意のあるアクセス装置に関係付けられている1つ又は2つ以上の属性情報を含む、システム。
適用例16:適用例14に記載のシステムであって、前記ユーザからの前記アクセス要求を遮断するか否かの決定は、前記遮断情報に少なくとも部分的に基づく、システム。
適用例17:適用例12に記載のシステムであって、更に、前記アクセス要求が遮断されるべきだと決定された場合に、前記ユーザは悪意のあるアクセス装置を含むと決定するように構成されている1つ又は2つ以上のプロセッサを備えるシステム。
適用例18:適用例12に記載のシステムであって、前記アクセス要求は、HTTP要求又はHTTPS要求を含む、システム。
適用例19:適用例12に記載のシステムであって、更に、前記アクセス要求から解析情報を得るように構成されている1つ又は2つ以上のプロセッサを備えるシステム。
適用例20:適用例19に記載のシステムであって、更に、前記得られた解析情報を解析装置に送信するように構成されている1つ又は2つ以上のプロセッサを備えるシステム。
適用例21:適用例12に記載のシステムであって、前記解析情報は、IPアドレス、クッキーコンテンツ、HTTPヘッダフィールドセット識別子、要求されたデータコンテンツ、又はサブミットされたデータコンテンツの、1つまたは2つ以上を含む、システム。
適用例22:適用例19に記載のシステムであって、更に、所定の期間にわたって前記解析情報の少なくとも一部分が所定の閾値を上回るか否かを決定し、前記所定の期間にわたって前記解析情報の前記少なくとも一部分が前記所定の閾値を上回る場合に、前記ユーザは悪意のあるアクセス装置からアクセスしていると決定するように構成されてい1つ又は2つ以上のプロセッサを備えるシステム。
適用例23:標準化された属性情報を生成するためのコンピュータプログラム製品であって、コンピュータ可読記憶媒体に実装され、サービスを求めるアクセス要求をユーザから受信するためのコンピュータ命令と、前記ユーザに関係付けられているアクセス要求の頻度を更新するためのコンピュータ命令と、前記アクセス要求に少なくとも部分的に基づく解析結果を受信するためのコンピュータ命令と、アクセスの頻度が所定の頻度を上回るか否かを決定するためのコンピュータ命令と、前記アクセスの頻度が前記所定の頻度を超えていない場合に、前記アクセス要求を許可するためのコンピュータ命令と、前記アクセスの頻度が前記所定の頻度を上回る場合に、前記解析結果に少なくとも部分的に基づいて、前記ユーザからの前記アクセス要求を遮断するか否かを決定するためのコンピュータ命令と、を備えるコンピュータプログラム製品。