[go: up one dir, main page]

JP7038165B2 - Information processing equipment, information processing methods and information processing programs - Google Patents

Information processing equipment, information processing methods and information processing programs Download PDF

Info

Publication number
JP7038165B2
JP7038165B2 JP2020099456A JP2020099456A JP7038165B2 JP 7038165 B2 JP7038165 B2 JP 7038165B2 JP 2020099456 A JP2020099456 A JP 2020099456A JP 2020099456 A JP2020099456 A JP 2020099456A JP 7038165 B2 JP7038165 B2 JP 7038165B2
Authority
JP
Japan
Prior art keywords
threat
isp
information
block
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020099456A
Other languages
Japanese (ja)
Other versions
JP2021193772A (en
Inventor
加奈子 櫻木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SoftBank Corp
Original Assignee
SoftBank Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SoftBank Corp filed Critical SoftBank Corp
Priority to JP2020099456A priority Critical patent/JP7038165B2/en
Publication of JP2021193772A publication Critical patent/JP2021193772A/en
Application granted granted Critical
Publication of JP7038165B2 publication Critical patent/JP7038165B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、情報処理装置、情報処理方法及び情報処理プログラムに関する。 The present invention relates to an information processing apparatus, an information processing method and an information processing program.

従来、DoS(Denial of Service attack)攻撃、BOF(Buffer Overflow)攻撃、ブルートフォース(Brute Force)アタック、情報の窃取または改ざん等のあらゆるサイバー攻撃からネットワークの安全性を確保するための様々な技術が知られている。例えば、SIEM(Security Information and Event Management)によって、サイバー攻撃等の攻撃元となったIPアドレス等、ネットワークの安全性を脅かす可能性のあるIPアドレス(以下、脅威IPアドレスともいう)からのアクセスを遮断および検知する技術が知られている。 Conventionally, various technologies for ensuring network security from all cyber attacks such as DoS (Denial of Service attack) attacks, BOF (Buffer Overflow) attacks, brute force attacks, information theft or falsification have been used. Are known. For example, SIEM (Security Information and Event Management) allows access from IP addresses that may threaten the security of the network (hereinafter also referred to as threat IP addresses), such as IP addresses that are the source of attacks such as cyber attacks. Techniques for blocking and detecting are known.

特開2016-152594号公報Japanese Unexamined Patent Publication No. 2016-152594

しかしながら、上記の従来技術では、ISP(Internet Service Provider)によって管理されるIPアドレスの安全性を適切に評価可能にするとは限らない。例えば、上記の従来技術では、脅威IPアドレスからのアクセスを遮断および検知するにすぎず、ISPによって管理されるIPアドレスの安全性を適切に評価可能にするとは限らない。 However, the above-mentioned prior art does not always make it possible to appropriately evaluate the security of IP addresses managed by ISPs (Internet Service Providers). For example, the above-mentioned prior art merely blocks and detects access from threat IP addresses, and does not always make it possible to appropriately evaluate the security of IP addresses managed by ISPs.

本願は、上記に鑑みてなされたものであって、ISP(Internet Service Provider)によって管理されるIPアドレスの安全性を適切に評価可能にすることができる情報処理装置、情報処理方法及び情報処理プログラムを提案する。 The present application has been made in view of the above, and is an information processing device, an information processing method, and an information processing program capable of appropriately evaluating the security of an IP address managed by an ISP (Internet Service Provider). To propose.

本願に係る情報処理装置は、RADB(Routing Assets Database)に対して、脅威IPアドレスの一覧に含まれる所定の脅威IPアドレスを管理するISP(Internet Service Provider)を示すISP情報を問い合わせるとともに、前記ISPによって管理されているIPアドレスの範囲を示すIPブロック情報を問い合わせる問合せ部と、前記脅威IPアドレスの一覧に含まれる脅威IPアドレスと一致するIPアドレスが前記問合せ部によって問合せ済みのIPブロック情報の中に存在する場合は、前記脅威IPアドレスを管理するISPを前記問合せ済みのIPブロック情報に対応するISPであると特定する特定部と、を備えることを特徴とする。 The information processing apparatus according to the present application inquires of RADB (Routing Assets Database) for ISP information indicating an ISP (Internet Service Provider) that manages a predetermined threat IP address included in a list of threat IP addresses, and also inquires of the ISP. In the IP block information inquired by the inquiry unit, the IP address that matches the threat IP address included in the list of threat IP addresses and the inquiry unit that inquires about the IP block information indicating the range of IP addresses managed by the inquiry unit. When present in, the ISP that manages the threat IP address is provided with a specific unit that identifies the ISP corresponding to the inquired IP block information.

実施形態の一態様によれば、ISP(Internet Service Provider)によって管理されるIPアドレスの安全性を適切に評価可能にするといった効果を奏する。 According to one aspect of the embodiment, there is an effect that the security of the IP address managed by the ISP (Internet Service Provider) can be appropriately evaluated.

図1は、実施形態に係る情報処理システムの構成例を示す図である。FIG. 1 is a diagram showing a configuration example of an information processing system according to an embodiment. 図2は、実施形態に係る情報処理装置の構成例を示す図である。FIG. 2 is a diagram showing a configuration example of the information processing apparatus according to the embodiment. 図3は、実施形態に係るCIDRキャッシュ記憶部の一例を示す図である。FIG. 3 is a diagram showing an example of a CIDR cache storage unit according to an embodiment. 図4は、実施形態に係る情報処理手順を示すフローチャートである。FIG. 4 is a flowchart showing an information processing procedure according to the embodiment. 図5は、情報処理装置の機能を実現するコンピュータの一例を示すハードウェア構成図である。FIG. 5 is a hardware configuration diagram showing an example of a computer that realizes the functions of the information processing device.

以下に、本願に係る情報処理装置、情報処理方法及び情報処理プログラムを実施するための形態(以下、「実施形態」と呼ぶ)について図面を参照しつつ詳細に説明する。なお、この実施形態により本願に係る情報処理装置、情報処理方法及び情報処理プログラムが限定されるものではない。また、以下の各実施形態において同一の部位には同一の符号を付し、重複する説明は省略される。 Hereinafter, an information processing apparatus, an information processing method, and an embodiment for implementing an information processing program (hereinafter referred to as “embodiments”) according to the present application will be described in detail with reference to the drawings. Note that this embodiment does not limit the information processing apparatus, information processing method, and information processing program according to the present application. Further, in each of the following embodiments, the same parts are designated by the same reference numerals, and duplicate description is omitted.

〔1.はじめに〕
ISP(Internet Service Provider)によって管理されるネットワークの安全性を評価する指標の1つとして、そのISPによって管理されている脅威IPアドレスの数が他のISPによって管理されている脅威IPアドレスの数と比べてどの程度多いか(あるいは少ないか)に関する指標がある。例えば、ISPは、世界中で検出された脅威IPアドレスに対して、自社の脅威IPアドレスの数がどの程度多いか(あるいは少ないか)を知ることができれば、自社が脅威IPアドレス対策にどの程度の予算や時間を割くべきかを判断することが容易になる。 [1. Introduction]
As one of the indexes to evaluate the security of the network managed by the ISP (Internet Service Provider), the number of threat IP addresses managed by the ISP is the number of threat IP addresses managed by other ISPs. There is an indicator of how much (or less) it is compared to. For example, if an ISP can know how many (or few) threat IP addresses it has for threat IP addresses detected all over the world, how much it can take measures against threat IP addresses. It will be easier to decide if you should devote your budget and time.

一般的に、脅威IPアドレスに関する情報は、セキュリティ対策事業者であるセキュリティベンダー(Security Vender)等の脅威IPアドレス情報提供元から購入する等して取得することができる。しかしながら、脅威IPアドレス情報提供元からは、脅威IPアドレスを管理しているISPを特定可能な情報を取得することが困難な場合がある。そのため、脅威IPアドレスを管理しているISPを特定するには、RADB(Routing Assets Database)に対して、その脅威IPアドレスを管理しているISP情報を問い合わせる必要がある。ところが、脅威IPアドレス情報提供元から取得する脅威IPアドレスの数は膨大なため、RADBに対してすべての脅威IPのISP情報を問い合わせると、問い合わせ自体がRADBに対するDoS攻撃になってしまう。 Generally, information on a threat IP address can be obtained by purchasing from a threat IP address information provider such as a security vendor (Security Vender), which is a security countermeasure business operator. However, it may be difficult to obtain information that can identify the ISP that manages the threat IP address from the threat IP address information provider. Therefore, in order to identify the ISP that manages the threat IP address, it is necessary to inquire the RADB (Routing Assets Database) for the ISP information that manages the threat IP address. However, since the number of threat IP addresses acquired from the threat IP address information provider is enormous, if the ISP information of all threat IPs is inquired to RADB, the inquiry itself becomes a DoS attack against RADB.

そこで、本願発明に係る情報処理装置100は、RADBに対して、脅威IPアドレスの一覧に含まれる所定の脅威IPアドレスを管理するISPを示すISP情報を問い合わせるとともに、ISPによって管理されているIPアドレスの範囲を示すIPブロック情報を問い合わせる。また、情報処理装置100は、脅威IPアドレスの一覧に含まれる脅威IPアドレスと一致するIPアドレスが問合せ部134によって問合せ済みのIPブロック情報の中に存在する場合は、脅威IPアドレスを管理するISPを問合せ済みのIPブロック情報に対応するISPであると特定する。 Therefore, the information processing apparatus 100 according to the present invention inquires of RADB for ISP information indicating an ISP that manages a predetermined threat IP address included in the list of threat IP addresses, and at the same time, the IP address managed by the ISP. Inquire about the IP block information indicating the range of. Further, when the IP address matching the threat IP address included in the list of threat IP addresses exists in the IP block information inquired by the inquiry unit 134, the information processing apparatus 100 manages the threat IP address in the ISP. Is identified as the ISP corresponding to the inquired IP block information.

これを繰り返すことにより、情報処理装置100は、RADBに対する脅威IPアドレスのISP情報の問い合わせ回数を減らすことができる。すなわち、情報処理装置100は、RADBに対する問い合わせ回数および問い合わせに要する時間を減らすことができるので、従来よりも効率的に脅威IPアドレスのISP情報を特定することができる。つまり、情報処理装置100は、ISPが世界中で検出された脅威IPアドレスに対して、自社の脅威IPアドレスの数がどの程度多いか(あるいは少ないか)を知ることを助ける。したがって、情報処理装置100は、ISPによって管理されるIPアドレスの安全性を適切に評価可能にする。 By repeating this, the information processing apparatus 100 can reduce the number of inquiries about the ISP information of the threat IP address to RADB. That is, since the information processing apparatus 100 can reduce the number of inquiries to RADB and the time required for inquiries, the ISP information of the threat IP address can be specified more efficiently than in the past. That is, the information processing apparatus 100 helps the ISP to know how many (or few) threat IP addresses of the company are for the threat IP addresses detected all over the world. Therefore, the information processing apparatus 100 makes it possible to appropriately evaluate the security of the IP address managed by the ISP.

〔2.情報処理システムの構成〕
次に、図1を用いて、実施形態に係る情報処理システムの構成について説明する。図1は、実施形態に係る情報処理システムの構成例を示す図である。図1に示すように、情報処理システム1には、SVサーバ10と、RADB20と、情報処理装置100とが含まれる。SVサーバ10と、RADB20と、情報処理装置100とは所定のネットワークNを介して、有線または無線により通信可能に接続される。なお、図1に示す情報処理システム1には、任意の数のSVサーバ10と任意の数のRADB20と任意の数の情報処理装置100とが含まれてもよい。 [2. Information processing system configuration]
Next, the configuration of the information processing system according to the embodiment will be described with reference to FIG. FIG. 1 is a diagram showing a configuration example of an information processing system according to an embodiment. As shown in FIG. 1, the information processing system 1 includes an SV server 10, RADB 20, and an information processing device 100. The SV server 10, the RADB 20, and the information processing apparatus 100 are connected to each other via a predetermined network N so as to be communicable by wire or wirelessly. The information processing system 1 shown in FIG. 1 may include an arbitrary number of SV servers 10, an arbitrary number of RADB 20, and an arbitrary number of information processing devices 100.

SVサーバ10は、セキュリティベンダー等の脅威IPアドレス情報提供元によって管理されるサーバ装置である。SVサーバ10は、ISPに対してネットワークセキュリティ上の脅威情報を提供する。例えば、SVサーバ10は、脅威IPアドレスに関する情報要求を情報処理装置100に対して許可する。 The SV server 10 is a server device managed by a threat IP address information provider such as a security vendor. The SV server 10 provides network security threat information to the ISP. For example, the SV server 10 permits the information processing apparatus 100 to request information regarding a threat IP address.

RADB20は、IPR(Internet Routing Registry)情報が登録されたデータベースである。例えば、RADB20には、ISPによって管理されているIPアドレスの範囲を示すIPブロック情報が登録されている。 RADB20 is a database in which IPR (Internet Routing Registry) information is registered. For example, IP block information indicating the range of IP addresses managed by the ISP is registered in RADB 20.

情報処理装置100は、ISP(Internet Service Provider)によって管理されるサーバ装置である。情報処理装置100は、SVサーバ10から脅威IPアドレス情報を取得する。情報処理装置100は、SVサーバ10から取得した脅威IPアドレスに関する情報に基づいて、重複のない脅威IPアドレスの一覧を作成する。 The information processing device 100 is a server device managed by an ISP (Internet Service Provider). The information processing apparatus 100 acquires threat IP address information from the SV server 10. The information processing apparatus 100 creates a list of unique threat IP addresses based on the information about the threat IP addresses acquired from the SV server 10.

また、情報処理装置100は、RADBに対して、脅威IPアドレスの一覧に含まれる所定の脅威IPアドレスを管理するISPを示すISP情報を問い合わせるとともに、ISPによって管理されているIPアドレスの範囲を示すIPブロック情報を問い合わせる。情報処理装置100は、問い合わせ済みのIPブロック情報を記憶部に記憶する。また、情報処理装置100は、脅威IPアドレスの一覧に含まれる脅威IPアドレスと一致するIPアドレスが問合せ済みのIPブロック情報の中に存在する場合は、脅威IPアドレスを管理するISPを問合せ済みのIPブロック情報に対応するISPであると特定する。 Further, the information processing apparatus 100 inquires of RADB for ISP information indicating an ISP that manages a predetermined threat IP address included in the list of threat IP addresses, and indicates the range of IP addresses managed by the ISP. Inquire about IP block information. The information processing apparatus 100 stores the inquired IP block information in the storage unit. Further, when the IP address matching the threat IP address included in the list of threat IP addresses exists in the inquired IP block information, the information processing apparatus 100 has already inquired about the ISP that manages the threat IP address. Identify as the ISP corresponding to the IP block information.

〔3.情報処理装置の構成〕
次に、図2を用いて、実施形態に係る情報処理装置100の構成について説明する。図2は、実施形態に係る情報処理装置100の構成例を示す図である。図2に示すように、情報処理装置100は、通信部110と、記憶部120と、制御部130とを有する。なお、情報処理装置100は、情報処理装置100の管理者等から各種操作を受け付ける入力部(例えば、キーボードやマウス等)や、各種情報を表示させるための表示部(例えば、液晶ディスプレイ等)を有してもよい。 [3. Information processing device configuration]
Next, the configuration of the information processing apparatus 100 according to the embodiment will be described with reference to FIG. FIG. 2 is a diagram showing a configuration example of the information processing apparatus 100 according to the embodiment. As shown in FIG. 2, the information processing apparatus 100 includes a communication unit 110, a storage unit 120, and a control unit 130. The information processing device 100 includes an input unit (for example, a keyboard, a mouse, etc.) that receives various operations from the administrator of the information processing device 100, and a display unit (for example, a liquid crystal display, etc.) for displaying various information. You may have.

(通信部110)
通信部110は、例えば、NIC(Network Interface Card)等によって実現される。そして、通信部110は、ネットワークと有線または無線で接続され、例えば、SVサーバ10やRADB20との間で情報の送受信を行う。 (Communication unit 110)
The communication unit 110 is realized by, for example, a NIC (Network Interface Card) or the like. Then, the communication unit 110 is connected to the network by wire or wirelessly, and transmits / receives information to / from, for example, the SV server 10 or RADB 20.

(記憶部120)
記憶部120は、例えば、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現される。記憶部120は、図2に示すように、脅威IPリスト記憶部121とCIDRキャッシュ記憶部122を有する。 (Memory unit 120)
The storage unit 120 is realized by, for example, a semiconductor memory element such as a RAM (Random Access Memory) or a flash memory (Flash Memory), or a storage device such as a hard disk or an optical disk. As shown in FIG. 2, the storage unit 120 has a threat IP list storage unit 121 and a CIDR cache storage unit 122.

(脅威IPリスト記憶部121)
脅威IPリスト記憶部121は、脅威IPアドレスに関する各種の情報を記憶する。具体的には、脅威IPリスト記憶部121は、生成部131によって生成された脅威IPアドレスの一覧に関する情報を記憶する。例えば、脅威IPリスト記憶部121は、重複を排除したユニークな脅威IPアドレスの一覧に関する情報を記憶する。 (Threat IP list storage unit 121)
The threat IP list storage unit 121 stores various information related to the threat IP address. Specifically, the threat IP list storage unit 121 stores information regarding the list of threat IP addresses generated by the generation unit 131. For example, the threat IP list storage unit 121 stores information regarding a unique list of threat IP addresses that eliminates duplication.

(CIDRキャッシュ記憶部122)
CIDRキャッシュ記憶部122は、問合せ部134によってRADBに対して問合せ済みのIPブロック情報(以下、CIDRキャッシュ情報ともいう)を記憶する。ここで、図3を用いて、CIDRキャッシュ記憶部122が記憶する情報の一例を説明する。図3は、CIDRキャッシュ記憶部122の一例を示す図である。図3に示すように、CIDRキャッシュ記憶部122は、「ISP名」、「IPブロック」といった項目を有する。 (CIDR cache storage unit 122)
The CIDR cache storage unit 122 stores IP block information (hereinafter, also referred to as CIDR cache information) that has been inquired to RADB by the inquiry unit 134. Here, an example of the information stored in the CIDR cache storage unit 122 will be described with reference to FIG. FIG. 3 is a diagram showing an example of the CIDR cache storage unit 122. As shown in FIG. 3, the CIDR cache storage unit 122 has items such as “ISP name” and “IP block”.

「ISP名」は、ISPの名称を示す。「IPブロック」は、ISPによって管理されているIPアドレスの範囲を示すIPブロック(CIDR)の情報を示す。 "ISP name" indicates the name of the ISP. The "IP block" indicates information in the IP block (CIDR) indicating the range of IP addresses managed by the ISP.

図3に示す例では、ISP名「A社」は、ISPの名称が「A社」であることを示す。また、ISP名「A社」によって管理されているIPブロック(CIDR)には、「IPブロック#11」、「IPブロック#12」、…等の複数のIPブロックが存在することを示す。より具体的には、IPブロック「IPブロック#11」は、A社によって管理されているあるIPブロックの情報を示す。例えば、IPブロック「IPブロック#11」は、「192.168.1.1」~「192.168.1.100」の範囲のIPアドレスのブロックを示す情報である。 In the example shown in FIG. 3, the ISP name "Company A" indicates that the name of the ISP is "Company A". Further, it is shown that a plurality of IP blocks such as "IP block # 11", "IP block # 12", ..., Etc. exist in the IP block (CIDR) managed by the ISP name "Company A". More specifically, the IP block "IP block # 11" indicates information of a certain IP block managed by the company A. For example, the IP block "IP block # 11" is information indicating a block of IP addresses in the range of "192.168.1.1" to "192.168.1.100".

(制御部130)
図2の説明に戻って、制御部130は、コントローラ(controller)であり、例えば、CPU(Central Processing Unit)やMPU(Micro Processing Unit)等によって、情報処理装置100内部の記憶装置に記憶されている各種プログラム(情報処理プログラムの一例に相当)がRAMを作業領域として実行されることにより実現される。また、制御部130は、コントローラであり、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路により実現される。 (Control unit 130)
Returning to the description of FIG. 2, the control unit 130 is a controller, and is stored in a storage device inside the information processing device 100 by, for example, a CPU (Central Processing Unit) or an MPU (Micro Processing Unit). Various programs (corresponding to an example of an information processing program) are realized by executing the RAM as a work area. Further, the control unit 130 is a controller, and is realized by, for example, an integrated circuit such as an ASIC (Application Specific Integrated Circuit) or an FPGA (Field Programmable Gate Array).

図2に示すように、制御部130は、生成部131と、判定部132と、特定部133と、問合せ部134と、更新部135とを有し、以下に説明する情報処理の作用を実現または実行する。なお、制御部130の内部構成は、図2に示した構成に限られず、後述する情報処理を行う構成であれば他の構成であってもよい。 As shown in FIG. 2, the control unit 130 includes a generation unit 131, a determination unit 132, a specific unit 133, an inquiry unit 134, and an update unit 135, and realizes the information processing operation described below. Or execute. The internal configuration of the control unit 130 is not limited to the configuration shown in FIG. 2, and may be any other configuration as long as it is configured to perform information processing described later.

(生成部131)
生成部131は、脅威IPアドレス情報提供元によって管理されるSVサーバ10から脅威IPアドレス情報を取得する。続いて、生成部131は、取得した脅威IPアドレス情報に基づいて、脅威IPアドレス情報に含まれる脅威IPアドレスの重複を排除することで、ユニークな脅威IPアドレスの一覧を生成する。生成部131は、脅威IPアドレスの一覧を生成すると、生成した脅威IPアドレスの一覧に関する情報を脅威IPリスト記憶部121に記憶する。 (Generation unit 131)
The generation unit 131 acquires the threat IP address information from the SV server 10 managed by the threat IP address information provider. Subsequently, the generation unit 131 generates a unique list of threat IP addresses by eliminating duplication of threat IP addresses included in the threat IP address information based on the acquired threat IP address information. When the generation unit 131 generates a list of threat IP addresses, the generation unit 131 stores information about the generated list of threat IP addresses in the threat IP list storage unit 121.

(判定部132)
判定部132は、脅威IPアドレスの一覧に含まれる脅威IPアドレスと一致するIPアドレスが問合せ部134によって問合せ済みのIPブロック情報の中に存在するか否かを判定する。具体的には、判定部132は、脅威IPリスト記憶部121を参照して、脅威IPアドレスの一覧の中から所定の脅威アドレスを取得する。例えば、判定部132は、脅威IPアドレスの一覧の中から「192.168.1.1」で示される脅威アドレスを取得する。 (Judgment unit 132)
The determination unit 132 determines whether or not an IP address matching the threat IP address included in the list of threat IP addresses exists in the IP block information queried by the inquiry unit 134. Specifically, the determination unit 132 refers to the threat IP list storage unit 121 and acquires a predetermined threat address from the list of threat IP addresses. For example, the determination unit 132 acquires the threat address indicated by "192.168.1.1" from the list of threat IP addresses.

続いて、判定部132は、CIDRキャッシュ記憶部122を参照して、所定の脅威アドレスを含む範囲のIPブロック(CIDR)が問合せ部134によって問合せ済みのIPブロック情報(CIDRキャッシュ情報)の中に存在するか否かを判定する。例えば、判定部132は、「192.168.1.1」で示される脅威アドレスを含む範囲のIPブロックがCIDRキャッシュ情報の中に存在するか否かを判定する。 Subsequently, the determination unit 132 refers to the CIDR cache storage unit 122, and the IP block (CIDR) in the range including the predetermined threat address is included in the IP block information (CIDR cache information) inquired by the inquiry unit 134. Determine if it exists. For example, the determination unit 132 determines whether or not the IP block in the range including the threat address indicated by "192.168.1.1" exists in the CIDR cache information.

(特定部133)
特定部133は、脅威IPアドレスの一覧に含まれる脅威IPアドレスを含む範囲のIPブロック(CIDR)が問合せ部134によって問合せ済みのIPブロック情報の中に存在する場合は、脅威IPアドレスを管理するISPを問合せ済みのIPブロック情報に対応するISPであると特定する。例えば、特定部133は、判定部132によって「192.168.1.10」で示される脅威アドレスを含む範囲のIPブロックが問合せ部134によって問合せ済みのIPブロック情報(CIDRキャッシュ情報)の中に存在すると判定された場合、「192.168.1.10」で示される脅威アドレスを管理するISPを「192.168.1.10」で示される脅威アドレス情報に対応するISPの「A社」であると特定する。 (Specific part 133)
The specific unit 133 manages the threat IP address when the IP block (CIDR) in the range including the threat IP address included in the list of threat IP addresses exists in the IP block information queried by the inquiry unit 134. Identify the ISP as the ISP that corresponds to the IP block information that has been queried. For example, the specific unit 133 determines that the IP block in the range including the threat address indicated by "192.168.1.10" by the determination unit 132 exists in the IP block information (CIDR cache information) inquired by the inquiry unit 134. If so, the ISP that manages the threat address indicated by "192.168.1.10" is specified as "Company A" of the ISP corresponding to the threat address information indicated by "192.168.1.10".

(問合せ部134)
問合せ部134は、RADB(Routing Assets Database)に対して、脅威IPアドレスの一覧に含まれる所定の脅威IPアドレスを管理するISP(Internet Service Provider)を示すISP情報を問い合わせるとともに、ISPによって管理されているIPアドレスの範囲を示すIPブロック情報を問い合わせる。例えば、問合せ部134は、RADBに対して、脅威IPアドレスの一覧に含まれる「192.168.1.1」で示される脅威アドレスを管理するISPを示すISP情報を問い合わせる。問合せ部134は、問い合わせの結果、RADBから、「192.168.1.1」で示される脅威アドレスを管理するISPの名称は「A社」であるというISP情報を取得する。 (Inquiry unit 134)
The inquiry unit 134 inquires of RADB (Routing Assets Database) for ISP information indicating an ISP (Internet Service Provider) that manages a predetermined threat IP address included in the list of threat IP addresses, and is managed by the ISP. Inquire about IP block information indicating the range of IP addresses that exist. For example, the inquiry unit 134 inquires the RADB of the ISP information indicating the ISP that manages the threat address indicated by "192.168.1.1" included in the list of threat IP addresses. As a result of the inquiry, the inquiry unit 134 acquires the ISP information that the name of the ISP that manages the threat address indicated by "192.168.1.1" is "Company A" from RADB.

続いて、問合せ部134は、脅威アドレスのISP情報を取得すると、「A社」で示されるISPによって管理されているIPアドレスの範囲を示すIPブロック(CIDR)を問い合わせる。問合せ部134は、問い合わせの結果、RADBから、「A社」のIPブロックは、「192.168.1.1~192.168.1.100」の範囲のIPアドレスのブロックを示すIPブロック#11、「192.168.1.101~192.168.1.300」の範囲のIPアドレスのブロックを示すIPブロック#12、…といったIPブロック情報を取得する。続いて、問合せ部134は、取得したISP情報である「A社」と「192.168.1.1~192.168.1.100」の範囲のIPアドレスのブロックを示すIPブロック#11、「192.168.1.101~192.168.1.300」の範囲のIPアドレスのブロックを示すIPブロック#12、…とを対応付けてCIDRキャッシュ記憶部122に記憶する。また、問合せ部134は、IPブロック(CIDR)の重複を削除してCIDRキャッシュ記憶部122に記憶する。例えば、問合せ部134は、問い合わせの結果、「192.168.0.0/12」と「192.168.1.0/24」と「192.168.2.0/24」という3つのIPブロック情報を取得する。この場合、問合せ部134は、「192.168.1.0/24」と「192.168.2.0/24」は「192.168.0.0/12」の範囲に含まれるため、「192.168.0.0/12」のIPブロック情報のみをCIDRキャッシュ記憶部122に記憶する。このように、問合せ部134は、問い合わせの結果、所定のIPブロックと所定のIPブロックを含む範囲のIPブロックとを取得した場合には、所定のIPブロックを含む範囲のIPブロック情報のみをCIDRキャッシュ記憶部122に記憶する。 Subsequently, when the inquiry unit 134 acquires the ISP information of the threat address, it inquires about the IP block (CIDR) indicating the range of the IP address managed by the ISP indicated by "Company A". As a result of the inquiry, the inquiry unit 134 indicates from RADB that the IP block of "Company A" is a block of IP addresses in the range of "192.168.1.1 to 192.168.1.100", IP block # 11, "192.168.1.101 to 192.168". Acquires IP block information such as IP block # 12, which indicates a block of IP addresses in the range of ".1.300". Subsequently, the inquiry unit 134 has IP blocks # 11 and "192.168.1.101 to 192.168.1.300" indicating a block of IP addresses in the range of "Company A" and "192.168.1.1 to 192.168.1.100", which are the acquired ISP information. The IP block # 12, which indicates the block of the IP address in the range of "", is stored in the CIDR cache storage unit 122 in association with the IP block # 12, .... Further, the inquiry unit 134 deletes the duplication of the IP block (CIDR) and stores it in the CIDR cache storage unit 122. For example, the inquiry unit 134 acquires three IP block information of "192.168.0.0/12", "192.168.1.0/24", and "192.168.2.0/24" as a result of the inquiry. In this case, the query unit 134 has only the IP block information of "192.168.0.0/12" because "192.168.1.0/24" and "192.168.2.0/24" are included in the range of "192.168.0.0/12". Is stored in the CIDR cache storage unit 122. As described above, when the inquiry unit 134 acquires the predetermined IP block and the IP block in the range including the predetermined IP block as a result of the inquiry, CIDR only the IP block information in the range including the predetermined IP block. It is stored in the cache storage unit 122.

また、問合せ部134は、判定部132によって脅威IPアドレスの一覧に含まれる脅威IPアドレスを含む範囲のIPブロック(CIDR)が問合せ部134によって問合せ済みのIPブロック情報の中に存在しないと判定された場合は、RADBに対して、脅威IPアドレスを管理するISPを示すISP情報を問い合わせるとともに、ISPによって管理されているIPアドレスの範囲を示すIPブロック情報を問い合わせる。例えば、問合せ部134は、判定部132によって「192.168.1.10」で示される脅威アドレスを含む範囲のIPブロック(CIDR)が問合せ部134によって問合せ済みのIPブロック情報(CIDRキャッシュ情報)の中に存在しないと判定された場合は、RADBに対して、「192.168.1.10」で示される脅威アドレスを管理するISPを示すISP情報を問い合わせるとともに、ISPによって管理されているIPアドレスの範囲を示すIPブロック情報を問い合わせる。 Further, the inquiry unit 134 determines that the IP block (CIDR) in the range including the threat IP address included in the list of threat IP addresses does not exist in the IP block information queried by the inquiry unit 134. If so, the RADB is inquired about the ISP information indicating the ISP that manages the threat IP address, and the IP block information indicating the range of the IP address managed by the ISP is inquired. For example, in the inquiry unit 134, the IP block (CIDR) in the range including the threat address indicated by "192.168.1.10" by the determination unit 132 exists in the IP block information (CIDR cache information) inquired by the inquiry unit 134. If it is determined not to do so, inquire the RADB for ISP information indicating the ISP that manages the threat address indicated by "192.168.1.10", and IP block information indicating the range of IP addresses managed by the ISP. Inquire.

(更新部135)
更新部135は、問合せ部134による問い合わせ結果に基づいて、ISP情報とIPブロック情報とを対応付けて記憶するCIDRキャッシュ記憶部を更新する。具体的には、更新部135は、問合せ部134がRADBから新たな問合せ情報を取得する度に、取得した脅威アドレスのISP情報とIPブロックごとのIPブロック情報とを対応付けてCIDRキャッシュ記憶部に書き込む。 (Update part 135)
The update unit 135 updates the CIDR cache storage unit that stores the ISP information and the IP block information in association with each other based on the inquiry result by the inquiry unit 134. Specifically, the update unit 135 associates the ISP information of the acquired threat address with the IP block information for each IP block each time the inquiry unit 134 acquires new inquiry information from RADB, and the CIDR cache storage unit. Write to.

〔4.情報処理のフロー〕
次に、図4を用いて、実施形態に係る情報処理の手順について説明する。図4は、実施形態に係る情報処理手順を示すフローチャートである。図4に示す例では、生成部131は、脅威IPアドレス情報提供元から取得した脅威IPアドレス情報に基づいて、脅威IPアドレスの一覧を生成する(ステップS101)。 [4. Information processing flow]
Next, the procedure of information processing according to the embodiment will be described with reference to FIG. FIG. 4 is a flowchart showing an information processing procedure according to the embodiment. In the example shown in FIG. 4, the generation unit 131 generates a list of threat IP addresses based on the threat IP address information acquired from the threat IP address information provider (step S101).

判定部132は、生成部131が生成した脅威IPアドレスの一覧に含まれる脅威IPアドレスを含む範囲のIPブロック(CIDR)が問合せ部134によって問合せ済みのIPブロック情報(CIDRキャッシュ)の中に存在するか否かを判定する(ステップS102)。特定部133は、判定部132によって脅威IPアドレスの一覧に含まれる脅威IPアドレスを含む範囲のIPブロックが問合せ部134によって問合せ済みのIPブロック情報の中に存在すると判定された場合(ステップS102;Yes)、脅威IPアドレスを管理するISPを問合せ済みのIPブロック情報に対応するISPであると特定する(ステップS103)。 In the determination unit 132, the IP block (CIDR) in the range including the threat IP address included in the list of threat IP addresses generated by the generation unit 131 exists in the IP block information (CIDR cache) inquired by the inquiry unit 134. It is determined whether or not to do so (step S102). When the determination unit 132 determines that the IP block in the range including the threat IP address included in the list of threat IP addresses exists in the IP block information inquired by the inquiry unit 134 (step S102; Yes), the ISP that manages the threat IP address is identified as the ISP that corresponds to the inquired IP block information (step S103).

一方、問合せ部134は、判定部132によって脅威IPアドレスの一覧に含まれる脅威IPアドレスを含む範囲のIPブロックが問合せ部134によって問合せ済みのIPブロック情報の中に存在しないと判定された場合(ステップS102;No)、RADBに対して、脅威IPアドレスを管理するISPを示すISP情報を問い合わせる(ステップS104)。 On the other hand, when the determination unit 132 determines that the IP block in the range including the threat IP address included in the list of threat IP addresses does not exist in the IP block information inquired by the inquiry unit 134 (the inquiry unit 134). Step S102; No), the RADB is inquired about the ISP information indicating the ISP that manages the threat IP address (step S104).

問合せ部134は、問い合わせの結果、脅威IPアドレスを管理するISPが特定されなかった場合(ステップS105;No)、問い合わせに係る脅威IPアドレスを追加したUNKOWNキャッシュを作成する(ステップS106)。 When the ISP that manages the threat IP address is not specified as a result of the inquiry (step S105; No), the inquiry unit 134 creates a UNKOWN cache to which the threat IP address related to the inquiry is added (step S106).

一方、問合せ部134は、問い合わせの結果、脅威IPアドレスを管理するISPが特定された場合(ステップS105;Yes)、RADBに対して、特定されたISPによって管理されているIPアドレスの範囲を示すIPブロック情報を問い合わせる(ステップS107)。 On the other hand, when the ISP that manages the threat IP address is specified as a result of the inquiry (step S105; Yes), the inquiry unit 134 indicates to RADB the range of the IP address managed by the specified ISP. Inquire about the IP block information (step S107).

更新部135は、問合せ部134による問い合わせ結果に基づいて、問い合わせ結果に対応するISP情報とIPブロック情報とを対応付けた情報をCIDRキャッシュ記憶部に追加することで、CIDRキャッシュ記憶部を更新する(ステップS108)。 The update unit 135 updates the CIDR cache storage unit by adding information in which the ISP information corresponding to the inquiry result and the IP block information are associated with each other to the CIDR cache storage unit based on the inquiry result by the inquiry unit 134. (Step S108).

〔5.効果〕
上述してきたように、実施形態に係る情報処理装置100は、問合せ部134と特定部133とを備える。問合せ部134は、RADB(Routing Assets Database)に対して、脅威IPアドレスの一覧に含まれる所定の脅威IPアドレスを管理するISP(Internet Service Provider)を示すISP情報を問い合わせるとともに、ISPによって管理されているIPアドレスの範囲を示すIPブロック情報を問い合わせる。特定部133は、脅威IPアドレスの一覧に含まれる脅威IPアドレスを含む範囲のIPブロックが問合せ部134によって問合せ済みのIPブロック情報の中に存在する場合は、脅威IPアドレスを管理するISPを問合せ済みのIPブロック情報に対応するISPであると特定する。 [5. effect〕
As described above, the information processing apparatus 100 according to the embodiment includes an inquiry unit 134 and a specific unit 133. The inquiry unit 134 inquires of RADB (Routing Assets Database) for ISP information indicating an ISP (Internet Service Provider) that manages a predetermined threat IP address included in the list of threat IP addresses, and is managed by the ISP. Inquire about IP block information indicating the range of IP addresses that exist. If the IP block in the range including the threat IP address included in the list of threat IP addresses exists in the IP block information queried by the inquiry unit 134, the specific unit 133 inquires about the ISP that manages the threat IP address. Identify the ISP corresponding to the completed IP block information.

これにより、情報処理装置100は、RADBに対する脅威IPアドレスのISP情報の問い合わせ回数を減らすことができる。すなわち、情報処理装置100は、RADBに対する問い合わせ回数および問い合わせに要する時間を減らすことができるので、従来よりも効率的に脅威IPアドレスのISP情報を特定することができる。つまり、情報処理装置100は、ISPが世界中で検出された脅威IPアドレスに対して、自社の脅威IPアドレスの数がどの程度多いか(あるいは少ないか)を知ることを助ける。したがって、情報処理装置100は、ISPによって管理されるIPアドレスの安全性を適切に評価可能にする。 As a result, the information processing apparatus 100 can reduce the number of inquiries about the ISP information of the threat IP address to RADB. That is, since the information processing apparatus 100 can reduce the number of inquiries to RADB and the time required for inquiries, the ISP information of the threat IP address can be specified more efficiently than in the past. That is, the information processing apparatus 100 helps the ISP to know how many (or few) threat IP addresses of the company are for the threat IP addresses detected all over the world. Therefore, the information processing apparatus 100 makes it possible to appropriately evaluate the security of the IP address managed by the ISP.

また、問合せ部134は、脅威IPアドレスの一覧に含まれる脅威IPアドレスを含む範囲のIPブロックが問合せ部134によって問合せ済みのIPブロック情報の中に存在しない場合は、RADBに対して、脅威IPアドレスを管理するISPを示すISP情報を問い合わせるとともに、ISPによって管理されているIPアドレスの範囲を示すIPブロック情報を問い合わせる。 Further, when the IP block in the range including the threat IP address included in the list of threat IP addresses does not exist in the IP block information queried by the inquiry unit 134, the inquiry unit 134 refers to the threat IP to RADB. Inquires about the ISP information indicating the ISP that manages the address, and also inquires about the IP block information indicating the range of the IP address managed by the ISP.

これにより、情報処理装置100は、RADBに対する脅威IPアドレスのISP情報の問い合わせ回数を減らすことができる。また、情報処理装置100は、脅威IPアドレスを含むIPブロックを特定することができる。 As a result, the information processing apparatus 100 can reduce the number of inquiries about the ISP information of the threat IP address to RADB. Further, the information processing apparatus 100 can specify an IP block including a threat IP address.

また、情報処理装置100は、問合せ部134による問い合わせ結果に基づいて、ISP情報とIPブロック情報とを対応付けて記憶するCIDRキャッシュ記憶部をさらに備える。問合せ部134は、問い合わせの結果、所定のIPブロックと所定のIPブロックを含む範囲のIPブロックとを取得した場合には、所定のIPブロックを含む範囲のIPブロック情報のみをCIDRキャッシュ記憶部122に記憶する。 Further, the information processing apparatus 100 further includes a CIDR cache storage unit that stores ISP information and IP block information in association with each other based on the inquiry result by the inquiry unit 134. When the inquiry unit 134 acquires a predetermined IP block and an IP block in a range including the predetermined IP block as a result of the inquiry, the CIDR cache storage unit 122 stores only the IP block information in the range including the predetermined IP block. Remember in.

これにより、情報処理装置100は、CIDRキャッシュ記憶部122に記憶するIPブロック情報の重複を排除することができるので、より効率的にIPブロック情報を記憶することができる。 As a result, the information processing apparatus 100 can eliminate duplication of the IP block information stored in the CIDR cache storage unit 122, so that the IP block information can be stored more efficiently.

また、情報処理装置100は、判定部132をさらに備える。判定部132は、脅威IPアドレスの一覧に含まれる脅威IPアドレスを含む範囲のIPブロックが問合せ部134によって問合せ済みのIPブロック情報の中に存在するか否かを判定する。 Further, the information processing apparatus 100 further includes a determination unit 132. The determination unit 132 determines whether or not the IP block in the range including the threat IP address included in the list of threat IP addresses exists in the IP block information inquired by the inquiry unit 134.

これにより、情報処理装置100は、判定結果に基づいて、RADBに対する脅威IPアドレスのISP情報を問い合わせるか否かを決定することができる。 Thereby, the information processing apparatus 100 can determine whether or not to inquire the ISP information of the threat IP address to RADB based on the determination result.

また、情報処理装置100は、更新部135をさらに備える。更新部135は、問合せ部134による問い合わせ結果に基づいて、ISP情報とIPブロック情報とを対応付けて記憶するCIDRキャッシュ記憶部を更新する。 Further, the information processing apparatus 100 further includes an update unit 135. The update unit 135 updates the CIDR cache storage unit that stores the ISP information and the IP block information in association with each other based on the inquiry result by the inquiry unit 134.

これにより、情報処理装置100は、RADBに対する脅威IPアドレスのISP情報の問い合わせ回数を減らすことができる。 As a result, the information processing apparatus 100 can reduce the number of inquiries about the ISP information of the threat IP address to RADB.

また、情報処理装置100は、生成部131をさらに備える。生成部131は、脅威IPアドレス情報提供元によって管理されるSVサーバから取得した脅威IPアドレス情報に基づいて、脅威IPアドレスの一覧を生成する。具体的には、生成部131は、脅威IPアドレス情報に含まれる脅威IPアドレスの重複を排除することで、重複のない脅威IPアドレスの一覧を生成する。 Further, the information processing apparatus 100 further includes a generation unit 131. The generation unit 131 generates a list of threat IP addresses based on the threat IP address information acquired from the SV server managed by the threat IP address information provider. Specifically, the generation unit 131 generates a list of unique threat IP addresses by eliminating duplication of threat IP addresses included in the threat IP address information.

これにより、情報処理装置100は、RADBに対する脅威IPアドレスのISP情報の問い合わせ回数をより減らすことができる。 As a result, the information processing apparatus 100 can further reduce the number of inquiries about the ISP information of the threat IP address to RADB.

〔6.ハードウェア構成〕
また、上述してきた実施形態に係る情報処理装置100は、例えば図5に示すような構成のコンピュータ1000によって実現される。図5は、情報処理装置100の機能を実現するコンピュータの一例を示すハードウェア構成図である。コンピュータ1000は、CPU1100、RAM1200、ROM1300、HDD1400、通信インターフェイス(I/F)1500、入出力インターフェイス(I/F)1600、及びメディアインターフェイス(I/F)1700を備える。 [6. Hardware configuration]
Further, the information processing apparatus 100 according to the above-described embodiment is realized by, for example, a computer 1000 having a configuration as shown in FIG. FIG. 5 is a hardware configuration diagram showing an example of a computer that realizes the functions of the information processing apparatus 100. The computer 1000 includes a CPU 1100, a RAM 1200, a ROM 1300, an HDD 1400, a communication interface (I / F) 1500, an input / output interface (I / F) 1600, and a media interface (I / F) 1700.

CPU1100は、ROM1300またはHDD1400に格納されたプログラムに基づいて動作し、各部の制御を行う。ROM1300は、コンピュータ1000の起動時にCPU1100によって実行されるブートプログラムや、コンピュータ1000のハードウェアに依存するプログラム等を格納する。 The CPU 1100 operates based on a program stored in the ROM 1300 or the HDD 1400, and controls each part. The ROM 1300 stores a boot program executed by the CPU 1100 when the computer 1000 is started, a program depending on the hardware of the computer 1000, and the like.

HDD1400は、CPU1100によって実行されるプログラム、及び、かかるプログラムによって使用されるデータ等を格納する。通信インターフェイス1500は、所定の通信網を介して他の機器からデータを受信してCPU1100へ送り、CPU1100が生成したデータを所定の通信網を介して他の機器へ送信する。 The HDD 1400 stores a program executed by the CPU 1100, data used by such a program, and the like. The communication interface 1500 receives data from another device via a predetermined communication network and sends the data to the CPU 1100, and transmits the data generated by the CPU 1100 to the other device via the predetermined communication network.

CPU1100は、入出力インターフェイス1600を介して、ディスプレイやプリンタ等の出力装置、及び、キーボードやマウス等の入力装置を制御する。CPU1100は、入出力インターフェイス1600を介して、入力装置からデータを取得する。また、CPU1100は、生成したデータを入出力インターフェイス1600を介して出力装置へ出力する。 The CPU 1100 controls an output device such as a display or a printer, and an input device such as a keyboard or a mouse via the input / output interface 1600. The CPU 1100 acquires data from the input device via the input / output interface 1600. Further, the CPU 1100 outputs the generated data to the output device via the input / output interface 1600.

メディアインターフェイス1700は、記録媒体1800に格納されたプログラムまたはデータを読み取り、RAM1200を介してCPU1100に提供する。CPU1100は、かかるプログラムを、メディアインターフェイス1700を介して記録媒体1800からRAM1200上にロードし、ロードしたプログラムを実行する。記録媒体1800は、例えばDVD(Digital Versatile Disc)、PD(Phase change rewritable Disk)等の光学記録媒体、MO(Magneto-Optical disk)等の光磁気記録媒体、テープ媒体、磁気記録媒体、または半導体メモリ等である。 The media interface 1700 reads a program or data stored in the recording medium 1800 and provides the program or data to the CPU 1100 via the RAM 1200. The CPU 1100 loads the program from the recording medium 1800 onto the RAM 1200 via the media interface 1700, and executes the loaded program. The recording medium 1800 is, for example, an optical recording medium such as a DVD (Digital Versatile Disc) or PD (Phase change rewritable Disk), a magneto-optical recording medium such as MO (Magneto-Optical disk), a tape medium, a magnetic recording medium, or a semiconductor memory. And so on.

例えば、コンピュータ1000が実施形態に係る情報処理装置100として機能する場合、コンピュータ1000のCPU1100は、RAM1200上にロードされたプログラムを実行することにより、制御部130の機能を実現する。コンピュータ1000のCPU1100は、これらのプログラムを記録媒体1800から読み取って実行するが、他の例として、他の装置から所定の通信網を介してこれらのプログラムを取得してもよい。 For example, when the computer 1000 functions as the information processing apparatus 100 according to the embodiment, the CPU 1100 of the computer 1000 realizes the function of the control unit 130 by executing the program loaded on the RAM 1200. The CPU 1100 of the computer 1000 reads and executes these programs from the recording medium 1800, but as another example, these programs may be acquired from another device via a predetermined communication network.

以上、本願の実施形態のいくつかを図面に基づいて詳細に説明したが、これらは例示であり、発明の開示の欄に記載の態様を始めとして、当業者の知識に基づいて種々の変形、改良を施した他の形態で本発明を実施することが可能である。 Although some of the embodiments of the present application have been described in detail with reference to the drawings, these are examples, and various modifications are made based on the knowledge of those skilled in the art, including the embodiments described in the disclosure column of the invention. It is possible to carry out the present invention in other modified forms.

〔7.その他〕
また、上記実施形態及び変形例において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。例えば、各図に示した各種情報は、図示した情報に限られない。 [7. others〕
Further, among the processes described in the above-described embodiments and modifications, all or part of the processes described as being automatically performed can be manually performed, or are described as being manually performed. It is also possible to automatically perform all or part of the processed processing by a known method. In addition, information including processing procedures, specific names, various data and parameters shown in the above documents and drawings can be arbitrarily changed unless otherwise specified. For example, the various information shown in each figure is not limited to the information shown in the figure.

また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。 Further, each component of each of the illustrated devices is a functional concept, and does not necessarily have to be physically configured as shown in the figure. That is, the specific form of distribution / integration of each device is not limited to the one shown in the figure, and all or part of them may be functionally or physically distributed / physically in any unit according to various loads and usage conditions. Can be integrated and configured.

また、上述してきた実施形態及び変形例は、処理内容を矛盾させない範囲で適宜組み合わせることが可能である。 Further, the above-described embodiments and modifications can be appropriately combined as long as the processing contents do not contradict each other.

また、上述してきた「部(section、module、unit)」は、「手段」や「回路」などに読み替えることができる。例えば、決定部は、決定手段や決定回路に読み替えることができる。 Further, the above-mentioned "section, module, unit" can be read as "means" or "circuit". For example, the determination unit can be read as a determination means or a determination circuit.

1 情報処理システム
10 SVサーバ
20 RADB
100 情報処理装置
110 通信部
120 記憶部
121 脅威IPリスト記憶部
122 CIDRキャッシュ記憶部
130 制御部
131 生成部
132 判定部
133 特定部
134 問合せ部
135 更新部 1 Information processing system 10 SV server 20 RADB
100 Information processing device 110 Communication unit 120 Storage unit 121 Threat IP list storage unit 122 CIDR cache storage unit 130 Control unit 131 Generation unit 132 Judgment unit 133 Specific unit 134 Query unit 135 Update unit

Claims (8)

RADB(Routing Assets Database)に対して、脅威IPアドレスの一覧に含まれる所定の脅威IPアドレスを管理するISP(Internet Service Provider)を示すISP情報を問い合わせるとともに、前記ISPによって管理されているIPアドレスの範囲を示すIPブロック情報を問い合わせる問合せ部と、
前記脅威IPアドレスの一覧に含まれる脅威IPアドレスを含む範囲のIPブロックが前記問合せ部によって問合せ済みのIPブロック情報の中に存在する場合は、前記脅威IPアドレスを管理するISPを前記問合せ済みのIPブロック情報に対応するISPであると特定する特定部と、
を備えることを特徴とする情報処理装置。 Inquires of RADB (Routing Assets Database) for ISP information indicating an ISP (Internet Service Provider) that manages a predetermined threat IP address included in the list of threat IP addresses, and of the IP address managed by the ISP. An inquiry unit that inquires about IP block information indicating the range,
If an IP block in the range including the threat IP address included in the list of threat IP addresses exists in the IP block information queried by the query unit, the ISP that manages the threat IP address has been queried. A specific part that identifies the ISP corresponding to the IP block information,
An information processing device characterized by being equipped with. 前記問合せ部は、
前記脅威IPアドレスの一覧に含まれる脅威IPアドレスを含む範囲のIPブロックが前記問合せ部によって問合せ済みのIPブロック情報の中に存在しない場合は、前記RADBに対して、前記脅威IPアドレスを管理するISPを示すISP情報を問い合わせるとともに、前記ISPによって管理されているIPアドレスの範囲を示すIPブロック情報を問い合わせる、
ことを特徴とする請求項1に記載の情報処理装置。 The inquiry part is
If the IP block in the range including the threat IP address included in the list of threat IP addresses does not exist in the IP block information queried by the query unit, the threat IP address is managed for the RADB. Inquire about the ISP information indicating the ISP, and also inquire about the IP block information indicating the range of the IP address managed by the ISP.
The information processing apparatus according to claim 1. 前記問合せ部による問い合わせ結果に基づいて、前記ISP情報と前記IPブロック情報とを対応付けて記憶するCIDRキャッシュ記憶部をさらに備え、
前記問合せ部は、
問い合わせの結果、所定のIPブロックと前記所定のIPブロックを含む範囲のIPブロックとを取得した場合には、前記所定のIPブロックを含む範囲のIPブロック情報のみを前記CIDRキャッシュ記憶部に記憶する、
ことを特徴とする請求項1または2に記載の情報処理装置。 A CIDR cache storage unit that stores the ISP information and the IP block information in association with each other based on the inquiry result by the inquiry unit is further provided.
The inquiry part is
When the predetermined IP block and the IP block in the range including the predetermined IP block are acquired as a result of the inquiry, only the IP block information in the range including the predetermined IP block is stored in the CIDR cache storage unit. ,
The information processing apparatus according to claim 1 or 2. 前記脅威IPアドレスの一覧に含まれる脅威IPアドレスを含む範囲のIPブロックが前記問合せ部によって問合せ済みのIPブロック情報の中に存在するか否かを判定する判定部、
をさらに備えることを特徴とする請求項1~3のいずれか1つに記載の情報処理装置。 A determination unit for determining whether or not an IP block in the range including the threat IP address included in the list of threat IP addresses exists in the IP block information inquired by the inquiry unit.
The information processing apparatus according to any one of claims 1 to 3, further comprising. 前記問合せ部による問い合わせ結果に基づいて、前記ISP情報と前記IPブロック情報とを対応付けて記憶するCIDRキャッシュ記憶部を更新する更新部、
をさらに備えることを特徴とする請求項1~4のいずれか1つに記載の情報処理装置。 An update unit that updates the CIDR cache storage unit that stores the ISP information and the IP block information in association with each other based on the inquiry result by the inquiry unit.
The information processing apparatus according to any one of claims 1 to 4, further comprising. 脅威IPアドレス情報提供元によって管理されるSVサーバから取得した脅威IPアドレス情報に基づいて、前記脅威IPアドレスの一覧を生成する生成部をさらに備え、
前記生成部は、
前記脅威IPアドレス情報に含まれる脅威IPアドレスの重複を排除することで、重複のない脅威IPアドレスの一覧を生成する、
ことを特徴とする請求項1~5のいずれか1つに記載の情報処理装置。 Further equipped with a generator that generates a list of the threat IP addresses based on the threat IP address information acquired from the SV server managed by the threat IP address information provider.
The generator is
By eliminating duplication of threat IP addresses included in the threat IP address information, a list of unique threat IP addresses is generated.
The information processing apparatus according to any one of claims 1 to 5. コンピュータが実行する情報処理方法であって、
RADB(Routing Assets Database)に対して、脅威IPアドレスの一覧に含まれる所定の脅威IPアドレスを管理するISP(Internet Service Provider)を示すISP情報を問い合わせるとともに、前記ISPによって管理されているIPアドレスの範囲を示すIPブロック情報を問い合わせる問合せ工程と、
前記脅威IPアドレスの一覧に含まれる脅威IPアドレスを含む範囲のIPブロックが前記問合せ工程によって問合せ済みのIPブロック情報の中に存在する場合は、前記脅威IPアドレスを管理するISPを前記問合せ済みのIPブロック情報に対応するISPであると特定する特定工程と、
を含むことを特徴とする情報処理方法。 It is an information processing method executed by a computer.
Inquires of RADB (Routing Assets Database) for ISP information indicating an ISP (Internet Service Provider) that manages a predetermined threat IP address included in the list of threat IP addresses, and of the IP address managed by the ISP. The inquiry process for inquiring IP block information indicating the range, and
If an IP block in the range including the threat IP address included in the list of threat IP addresses exists in the IP block information inquired by the inquiry process, the ISP that manages the threat IP address has been inquired. A specific process that identifies the ISP corresponding to the IP block information,
An information processing method characterized by including. RADB(Routing Assets Database)に対して、脅威IPアドレスの一覧に含まれる所定の脅威IPアドレスを管理するISP(Internet Service Provider)を示すISP情報を問い合わせるとともに、前記ISPによって管理されているIPアドレスの範囲を示すIPブロック情報を問い合わせる問合せ手順と、
前記脅威IPアドレスの一覧に含まれる脅威IPアドレスを含む範囲のIPブロックが前記問合せ手順によって問合せ済みのIPブロック情報の中に存在する場合は、前記脅威IPアドレスを管理するISPを前記問合せ済みのIPブロック情報に対応するISPであると特定する特定手順と、
をコンピュータに実行させることを特徴とする情報処理プログラム。 Inquires of RADB (Routing Assets Database) for ISP information indicating an ISP (Internet Service Provider) that manages a predetermined threat IP address included in the list of threat IP addresses, and of the IP address managed by the ISP. Inquiry procedure for inquiring IP block information indicating the range, and
If an IP block in the range including the threat IP address included in the list of threat IP addresses exists in the IP block information inquired by the inquiry procedure, the ISP that manages the threat IP address has been inquired. A specific procedure to identify the ISP corresponding to the IP block information,
An information processing program characterized by having a computer execute.
JP2020099456A 2020-06-08 2020-06-08 Information processing equipment, information processing methods and information processing programs Active JP7038165B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2020099456A JP7038165B2 (en) 2020-06-08 2020-06-08 Information processing equipment, information processing methods and information processing programs

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020099456A JP7038165B2 (en) 2020-06-08 2020-06-08 Information processing equipment, information processing methods and information processing programs

Publications (2)

Publication Number Publication Date
JP2021193772A JP2021193772A (en) 2021-12-23
JP7038165B2 true JP7038165B2 (en) 2022-03-17

Family

ID=79168890

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020099456A Active JP7038165B2 (en) 2020-06-08 2020-06-08 Information processing equipment, information processing methods and information processing programs

Country Status (1)

Country Link
JP (1) JP7038165B2 (en)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2023080439A (en) * 2021-11-30 2023-06-09 株式会社三洋物産 game machine
JP2023080440A (en) * 2021-11-30 2023-06-09 株式会社三洋物産 game machine
JP2023080824A (en) * 2021-11-30 2023-06-09 株式会社三洋物産 game machine
JP2023080817A (en) * 2021-11-30 2023-06-09 株式会社三洋物産 game machine
JP2023080435A (en) * 2021-11-30 2023-06-09 株式会社三洋物産 game machine
JP2023080826A (en) * 2021-11-30 2023-06-09 株式会社三洋物産 game machine
JP2023080436A (en) * 2021-11-30 2023-06-09 株式会社三洋物産 game machine
JP2023080433A (en) * 2021-11-30 2023-06-09 株式会社三洋物産 game machine
JP2023080827A (en) * 2021-11-30 2023-06-09 株式会社三洋物産 game machine
JP2023080820A (en) * 2021-11-30 2023-06-09 株式会社三洋物産 game machine
JP2023080822A (en) * 2021-11-30 2023-06-09 株式会社三洋物産 game machine
JP2023080819A (en) * 2021-11-30 2023-06-09 株式会社三洋物産 game machine
JP2023080821A (en) * 2021-11-30 2023-06-09 株式会社三洋物産 game machine
JP2023080828A (en) * 2021-11-30 2023-06-09 株式会社三洋物産 game machine
JP2023080823A (en) * 2021-11-30 2023-06-09 株式会社三洋物産 game machine
JP2023080825A (en) * 2021-11-30 2023-06-09 株式会社三洋物産 game machine
JP2023080434A (en) * 2021-11-30 2023-06-09 株式会社三洋物産 game machine
JP2023080818A (en) * 2021-11-30 2023-06-09 株式会社三洋物産 game machine
JP2023080438A (en) * 2021-11-30 2023-06-09 株式会社三洋物産 game machine

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003143143A (en) 2001-10-30 2003-05-16 Ando Electric Co Ltd As number generation circuit and statistic processing method by as number
US20030191841A1 (en) 2000-05-15 2003-10-09 Deferranti Marcus Communication system and method
US20160373405A1 (en) 2015-06-16 2016-12-22 Amazon Technologies, Inc. Managing dynamic ip address assignments
JP2018074395A (en) 2016-10-28 2018-05-10 学校法人東京電機大学 Data communication system, cache dns device and cyber attack prevention method

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030191841A1 (en) 2000-05-15 2003-10-09 Deferranti Marcus Communication system and method
JP2003143143A (en) 2001-10-30 2003-05-16 Ando Electric Co Ltd As number generation circuit and statistic processing method by as number
US20160373405A1 (en) 2015-06-16 2016-12-22 Amazon Technologies, Inc. Managing dynamic ip address assignments
JP2018074395A (en) 2016-10-28 2018-05-10 学校法人東京電機大学 Data communication system, cache dns device and cyber attack prevention method

Also Published As

Publication number Publication date
JP2021193772A (en) 2021-12-23

Similar Documents

Publication Publication Date Title
JP7038165B2 (en) Information processing equipment, information processing methods and information processing programs
EP4158513B1 (en) Icon based phishing detection
CN102804132B (en) Catalog-based software component management
US20090320108A1 (en) Generating And Changing Credentials Of A Service Account
US20080244078A1 (en) Web services intermediary
US8281394B2 (en) Phishing notification service
US20110107419A1 (en) Systems and methods for improved identification and analysis of threats to a computing system
CN110199283A (en) For the system and method that authentication platform is trusted in network function virtualized environment
KR20060053170A (en) Systems, computer program products, and methods for managing Terminal Services accounts and sessions for online use of hosted applications.
CN111183620B (en) Intrusion investigation
WO2020262122A1 (en) Incident scenario generation device and incident scenario generation system
JP5546486B2 (en) Information processing apparatus and program
US11184431B2 (en) System and control method
JP6169497B2 (en) Connection destination information determination device, connection destination information determination method, and program
CN112583891B (en) Interface document acquisition method and device and server
US10389743B1 (en) Tracking of software executables that come from untrusted locations
JP7100607B2 (en) Anomaly detection system and anomaly detection method
JP2021111802A (en) Detection program, detection method, and information processing device
CN111241547B (en) Method, device and system for detecting override vulnerability
JP4851566B2 (en) DNS test apparatus, DNS test method, and DNS test program
US11487570B1 (en) Efficient creation of endpoints for accessing services directly within a cloud-based system
JP2005284573A (en) Access management system
JP7120049B2 (en) CYBER ATTACK EVALUATION PROGRAM, CYBER ATTACK EVALUATION METHOD, AND INFORMATION PROCESSING DEVICE
JP7255681B2 (en) Execution control system, execution control method, and program
JP6378808B2 (en) Connection destination information determination device, connection destination information determination method, and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210210

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220215

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220307

R150 Certificate of patent or registration of utility model

Ref document number: 7038165

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250