JP2019176273A - Communication controller, client device, communication control method, and program - Google Patents

Communication controller, client device, communication control method, and program Download PDF

Info

Publication number
JP2019176273A
JP2019176273A JP2018060765A JP2018060765A JP2019176273A JP 2019176273 A JP2019176273 A JP 2019176273A JP 2018060765 A JP2018060765 A JP 2018060765A JP 2018060765 A JP2018060765 A JP 2018060765A JP 2019176273 A JP2019176273 A JP 2019176273A
Authority
JP
Japan
Prior art keywords
identification information
communication
communication flow
unit
communication control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018060765A
Other languages
Japanese (ja)
Other versions
JP7067187B2 (en
Inventor
耕平 土田
Kohei Tsuchida
耕平 土田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2018060765A priority Critical patent/JP7067187B2/en
Publication of JP2019176273A publication Critical patent/JP2019176273A/en
Application granted granted Critical
Publication of JP7067187B2 publication Critical patent/JP7067187B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

To provide a communication controller, client device, communication control method, and program, capable of securing advanced security by enabling flexible communication control using information incapable of being obtained by analysis of a communication flow only.SOLUTION: A communication controller 200 comprises: an identification information receiving unit 201 that when a process 101 executed in a client device 100 makes a request for communication with a server device 300 and the client device additionally transmits identification information extracted from the request, receives the identification information; a communication flow receiving unit 202 for receiving a communication flow transmitted from the client device 100 to the server device 300; a collation unit 207 for collating a header part of the communication flow with the identification information to determine whether or not they agree with each other; and a primary control unit 208 that when a result of the collation shows that a communication flow having a header part agreeing with the identification information exists, performs communication control on the communication flow on the basis of a setting rule.SELECTED DRAWING: Figure 1

Description

本発明は、クライアント装置とサーバ装置との間の通信制御を行うための、通信制御装置、それに用いられるクライアント装置、及び通信制御方法に関し、更には、これらを実現するためのプログラムに関する。   The present invention relates to a communication control apparatus for performing communication control between a client apparatus and a server apparatus, a client apparatus used therefor, and a communication control method, and further relates to a program for realizing these.

近年、外部犯によるサイバー攻撃、マルウェアに感染した内部端末からの情報漏えい等のセキュリティ事故が多発している。セキュリティ事故多発の背景として、IPヘッダの偽装、ヘッダ部を正常に見せながらのデータ部へのウイルスの埋め込み等、不正ユーザの攻撃手法が多様化しており、従来の通信フローフィルタリング型のファイアウォールでは、このような攻撃に対応しきれない現状がある。   In recent years, security incidents such as cyber attacks by external criminals and information leakage from internal terminals infected with malware have frequently occurred. As a background of frequent security accidents, there are a variety of attack methods for unauthorized users such as IP header spoofing, virus embedding in the data part while normally showing the header part, and with conventional communication flow filtering type firewalls, There is a current situation that cannot cope with such attacks.

上記の問題を解決する技術がいくつか提案されている(例えば、非特許文献1及び特許文献1参照)。代表的な技術としてDPI(Deep Packet Inspection)が挙げられる。DPIは、通信フローのヘッダ部分ではなくデータ部を解析する技術であり、DPIを利用して通信制御を行うことで、データ部分に埋め込まれたウイルス、及び許可されたアプリケーションの不正な通信を検出できる。   Several techniques for solving the above problems have been proposed (see, for example, Non-Patent Document 1 and Patent Document 1). A typical technique is DPI (Deep Packet Inspection). DPI is a technology that analyzes the data part, not the header part of the communication flow. By using DPI to control communication, it detects viruses embedded in the data part and unauthorized communication of permitted applications. it can.

非特許文献1は、SSL(Secure Sockets Layer)により通信が暗号化されている場合においても、DPIを利用した通信制御を行うことができる装置を開示している。非特許文献1に開示された装置は、クライアントからサーバに対してSSL通信を行う際、SSLプロキシによってSSL通信を終端させ、通信フローの復号を行う。その後、当該装置は、復号された通信フローに対してDPIを行い、解析結果に問題がなければ再び暗号化して本来の宛先との間で新たにSSL通信を行い、問題があれば遮断することで、暗号化通信の制御を実現している。なお、DPIは、SSLプロキシ上で行われても良いし、復号した通信フローの転送後に、UTM(Unified Threat Management)アプライアンス等の別の機器の上で行われても良い。   Non-Patent Document 1 discloses a device capable of performing communication control using DPI even when communication is encrypted by SSL (Secure Sockets Layer). When performing SSL communication from a client to a server, the device disclosed in Non-Patent Document 1 terminates SSL communication by an SSL proxy and decodes a communication flow. After that, the device performs DPI on the decrypted communication flow, encrypts it again if there is no problem in the analysis result, performs new SSL communication with the original destination, and blocks if there is a problem. Thus, control of encrypted communication is realized. The DPI may be performed on an SSL proxy, or may be performed on another device such as a UTM (Unified Threat Management) appliance after the decrypted communication flow is transferred.

また、特許文献1は、DPIを行うことなく、通信を行うアプリケーションの情報を基に通信制御を行うシステムを開示している。特許文献1に開示されているシステムでは、エージェントが導入された仮想マシンが用いられる。エージェントは、アプリケーションが通信を行う際、OSI参照モデルのトランスポート層にネットワークソケットイベント要求が行われると、その要求がトランスポート層に到達する前に、その要求をインターセプトする。その後、エージェントは、通信を行うアプリケーションの識別情報をセキュリティサーバに送信し、インターセプトしたネットワークソケットイベント要求の許可又は拒絶の判断を実行する。   Patent Document 1 discloses a system that performs communication control based on information of an application that performs communication without performing DPI. In the system disclosed in Patent Document 1, a virtual machine in which an agent is introduced is used. When an application performs communication and a network socket event request is made to the transport layer of the OSI reference model, the agent intercepts the request before the request reaches the transport layer. After that, the agent transmits the identification information of the application for communication to the security server, and executes a determination of permission or rejection of the intercepted network socket event request.

特表2016−514295公報Special table 2006-514295 gazette

”Blue Coat 商品情報 SSL復号/SSL通信セキュリティ対策 − プロキシ 帯域制御”、[online]、マクニカネットワークス、[2017年10月25日検索]、インターネット〈URL:http://www.macnica.net/bluecoat/ssl_va.html〉"Blue Coat Product Information SSL Decryption / SSL Communication Security Measures-Proxy Bandwidth Control", [online], Macnica Networks, [October 25, 2017 search], Internet <URL: http://www.macnica.net/ bluecoat / ssl_va.html〉

しかしながら、非特許文献1に開示されている通信制御装置、及び特許文献1に開示されているシステムには、それぞれ以下のような問題がある。   However, the communication control device disclosed in Non-Patent Document 1 and the system disclosed in Patent Document 1 have the following problems.

まず、非特許文献1に開示されている通信制御装置には、通信フローの送信元プロセスに基づく通信制御ができないという問題がある。例えば、内部ネットワークに機密情報が格納されているデータベースがあり、一部のクライアントにのみ、このデータベースへのレコードの更新/挿入/削除が許可されているとする。そして、この一部のクライアントのいずれかがマルウェアに感染し、マルウェアによって、データベースのレコードが、不正に更新、即ち、改ざんされようとしたとする。   First, the communication control device disclosed in Non-Patent Document 1 has a problem that communication control based on a transmission flow source process cannot be performed. For example, it is assumed that there is a database in which confidential information is stored in the internal network, and only some clients are permitted to update / insert / delete records in this database. Then, it is assumed that one of these some clients is infected with malware, and the record of the database is illegally updated, that is, altered by the malware.

このような場合、非特許文献1に開示されている通信制御装置では、どのクライアントからどのような通信フローが送られているのかについては識別できる。しかし、この通信制御装置では、どのプロセスから送られてきた通信フローであるかについては識別できないため、マルウェアのプロセスによるデータベースレコードの改ざんを防ぐことは困難である。   In such a case, the communication control device disclosed in Non-Patent Document 1 can identify what communication flow is sent from which client. However, since this communication control device cannot identify which process the communication flow is sent from, it is difficult to prevent alteration of the database record by the malware process.

これに対して、特許文献1に開示されているシステムでは、上記の非特許文献1に開示されている通信制御プログラムの問題を解決できると考えられる。具体的には、特許文献1に開示されているシステムは、通信フローの送信元のプロセスを識別できるため、予め許可されていないプロセス、即ち、マルウェア等の不正なプロセスからの通信フローを遮断できる。   On the other hand, it is considered that the system disclosed in Patent Document 1 can solve the problem of the communication control program disclosed in Non-Patent Document 1. Specifically, since the system disclosed in Patent Document 1 can identify a process that is a transmission source of a communication flow, it can block a communication flow from a process that is not permitted in advance, that is, an unauthorized process such as malware. .

しかしながら、特許文献1に開示されているシステムでは、ネットワークソケットイベント要求と要求元アプリケーションの識別情報のみで通信制御が行われ、通信フローのデータ部の検査は行われない。このため、当該システムには、どのような処理を行う通信フローなのかを判断できず、データ部の情報を含めた通信制御を行うことができないという問題が発生する。   However, in the system disclosed in Patent Document 1, communication control is performed only with the network socket event request and the identification information of the request source application, and the data portion of the communication flow is not inspected. For this reason, there is a problem in the system that it is impossible to determine what kind of processing the communication flow is to perform, and it is not possible to perform communication control including information on the data portion.

具体的には、特許文献1に開示されているシステムには、例えば、特定のユーザには、データベースのレコードの参照のみを許可し、更新/挿入/削除は許可しない、といった柔軟な通信制御ができないという問題がある。   Specifically, the system disclosed in Patent Document 1 has flexible communication control such that, for example, a specific user is permitted to refer to a record in a database, and is not permitted to update / insert / delete. There is a problem that you can not.

また、送信元及び送信先のIPアドレス、ポート番号等のトランスポート層以下の情報と、アプリケーション識別情報のみで通信制御が行われるとする。更に、セキュリティサーバで許可された、レコードの参照/更新/挿入/削除が可能な業務用アプリケーションを入れたクライアントが存在するとする。このような場合に、特許文献1に開示されたシステムでは、クライアントが不正ユーザにより乗っ取られると、レコードの参照のために入れたにも関わらず、レコードの削除が行われる可能性がある。   Further, it is assumed that communication control is performed using only information below the transport layer such as the IP address and port number of the transmission source and transmission destination, and application identification information. Further, it is assumed that there is a client in which a business application that can be referred to / updated / inserted / deleted by the security server is inserted. In such a case, in the system disclosed in Patent Document 1, when a client is hijacked by an unauthorized user, there is a possibility that the record is deleted even though it is entered for reference to the record.

[発明の目的]
本発明の目的の一例は、上記問題を解消し、通信フローの解析だけでは得られない情報を利用した柔軟な通信制御を可能にして、高度なセキュリティを確保し得る、通信制御装置、クライアント装置、通信制御方法、及びプログラムを提供することにある。 [Object of invention]
An example of an object of the present invention is to solve the above-described problems and enable flexible communication control using information that cannot be obtained only by analyzing a communication flow, thereby ensuring a high level of security. And a communication control method and a program.

上記目的を達成するため、本発明の一側面における通信制御装置は、クライアント装置とサーバ装置との間のデータ通信を制御するための装置であって、
前記クライアント装置で実行されるプロセスが前記サーバ装置に対する通信を要求し、それに合わせて、前記クライアント装置が、当該装置に対して、前記要求から抽出した識
別情報を送信してきた場合に、前記識別情報を受信する、識別情報受信部と、
前記クライアント装置から前記サーバ装置に向けて送信された通信フローを受信する、通信フロー受信部と、
受信された前記通信フローのヘッダ部分と前記識別情報とを照合し、両者が一致するかどうかを判定する、照合部と、
前記照合部による照合の結果、前記ヘッダ部分が前記識別情報と一致する通信フローが存在する場合に、当該通信フローに対して、設定ルールに基づいて、通信制御を行う、制御部と、
を備えている、
ことを特徴とする。 In order to achieve the above object, a communication control device according to one aspect of the present invention is a device for controlling data communication between a client device and a server device,
When the process executed on the client device requests communication with the server device, and the client device transmits the identification information extracted from the request to the device accordingly, the identification information Receiving the identification information receiving unit;
A communication flow receiving unit for receiving a communication flow transmitted from the client device toward the server device;
Collating the received header portion of the communication flow with the identification information and determining whether or not both match,
As a result of collation by the collation unit, when there is a communication flow in which the header part matches the identification information, a control unit that performs communication control on the communication flow based on a setting rule;
With
It is characterized by that.

また、上記目的を達成するため、本発明の一側面におけるクライアント装置は、サーバ装置及び通信制御装置とデータ通信を行う装置であって、
当該装置で実行されるプロセスが前記サーバ装置に対する通信を要求した場合に、前記要求から、識別情報を抽出する、識別情報抽出部と、
抽出された前記識別情報を、前記通信制御装置に送信する、識別情報送信部と、
を備えている、
ことを特徴とする。 In order to achieve the above object, a client device according to one aspect of the present invention is a device that performs data communication with a server device and a communication control device.
An identification information extraction unit that extracts identification information from the request when a process executed by the device requests communication with the server device;
An identification information transmitting unit for transmitting the extracted identification information to the communication control device;
With
It is characterized by that.

また、上記目的を達成するため、本発明の一側面における通信制御方法は、クライアント装置とサーバ装置との間のデータ通信を制御するための方法であって、
(a)前記クライアント装置で実行されるプロセスが前記サーバ装置に対する通信を要求し、それに合わせて、前記クライアント装置が、前記要求から抽出した識別情報を送信してきた場合に、前記識別情報を受信する、ステップと、
(b)前記クライアント装置から前記サーバ装置に向けて送信された通信フローを受信する、ステップと、
(c)受信された前記通信フローのヘッダ部分と前記識別情報とを照合し、両者が一致するかどうかを判定する、ステップと、
(d)前記(c)のステップによる照合の結果、前記ヘッダ部分が前記識別情報と一致する通信フローが存在する場合に、当該通信フローに対して、設定ルールに基づいて、通信制御を行う、ステップと、
を有する、
ことを特徴とする。 In order to achieve the above object, a communication control method according to one aspect of the present invention is a method for controlling data communication between a client device and a server device,
(A) A process executed by the client device requests communication with the server device, and accordingly, the client device receives the identification information extracted from the request. , Step and
(B) receiving a communication flow transmitted from the client device toward the server device;
(C) collating the received header part of the communication flow with the identification information, and determining whether or not both match,
(D) As a result of collation in the step (c), when there is a communication flow in which the header portion matches the identification information, communication control is performed on the communication flow based on a setting rule. Steps,
Having
It is characterized by that.

更に、上記目的を達成するため、本発明の一側面における第1のプログラムは、コンピュータによって、クライアント装置とサーバ装置との間のデータ通信を制御するためのプログラムであって、
前記コンピュータに、
(a)前記クライアント装置で実行されるプロセスが前記サーバ装置に対する通信を要求し、それに合わせて、前記クライアント装置が、前記要求から抽出した識別情報を送信してきた場合に、前記識別情報を受信する、ステップと、
(b)前記クライアント装置から前記サーバ装置に向けて送信された通信フローを受信する、ステップと、
(c)受信された前記通信フローのヘッダ部分と前記識別情報とを照合し、両者が一致するかどうかを判定する、ステップと、
(d)前記(c)のステップによる照合の結果、前記ヘッダ部分が前記識別情報と一致する通信フローが存在する場合に、当該通信フローに対して、設定ルールに基づいて、通信制御を行う、ステップと、
を実行させる、
ことを特徴とする。 In order to achieve the above object, a first program in one aspect of the present invention is a program for controlling data communication between a client device and a server device by a computer,
In the computer,
(A) A process executed by the client device requests communication with the server device, and accordingly, the client device receives the identification information extracted from the request. , Step and
(B) receiving a communication flow transmitted from the client device toward the server device;
(C) collating the received header part of the communication flow with the identification information, and determining whether or not both match,
(D) As a result of collation in the step (c), when there is a communication flow in which the header portion matches the identification information, communication control is performed on the communication flow based on a setting rule. Steps,
To execute,
It is characterized by that.

加えて、上記目的を達成するため、本発明の一側面における第2のプログラムは、コンピュータによって、サーバ装置及び通信制御装置とデータ通信を行うためのプログラムであって、
前記コンピュータに、
(a)当該コンピュータで実行されるプロセスが前記サーバ装置に対する通信を要求した場合に、前記要求から、識別情報を抽出する、ステップと、
抽出された前記識別情報を、前記通信制御装置に送信する、ステップと、
実行させる、
ことを特徴とする。 In addition, in order to achieve the above object, a second program according to one aspect of the present invention is a program for performing data communication with a server device and a communication control device by a computer,
In the computer,
(A) when a process executed by the computer requests communication with the server device, extracting identification information from the request;
Transmitting the extracted identification information to the communication control device; and
To execute,
It is characterized by that.

以上のように、本発明によれば、通信フローの解析だけでは得られない情報を利用した柔軟な通信制御を可能にして、高度なセキュリティを確保することができる。   As described above, according to the present invention, it is possible to perform flexible communication control using information that cannot be obtained only by analyzing the communication flow, and to ensure high security.

図1は、本発明の実施の形態におけるクライアント装置及び通信制御装置の概略構成を示すブロック図である。FIG. 1 is a block diagram showing a schematic configuration of a client device and a communication control device according to an embodiment of the present invention. 図2は、本発明の実施の形態におけるクライアント装置及び通信制御装置の構成を具体的に示すブロック図である。FIG. 2 is a block diagram specifically showing the configuration of the client device and the communication control device according to the embodiment of the present invention. 図3は、本発明の実施の形態において識別情報記憶部に格納される識別情報の一例を示す図である。FIG. 3 is a diagram showing an example of identification information stored in the identification information storage unit in the embodiment of the present invention. 図4は、本発明の実施の形態において制御情報記憶部に格納されている制御情報の一例を示す図である。FIG. 4 is a diagram illustrating an example of the control information stored in the control information storage unit in the embodiment of the present invention. 図5は、本発明の実施の形態におけるクライアント装置の動作を示すフロー図である。FIG. 5 is a flowchart showing the operation of the client device according to the embodiment of the present invention. 図6は、本発明の実施の形態における通信制御装置の通信フロー受信部における通信フロー受信処理を示すフロー図である。FIG. 6 is a flowchart showing communication flow reception processing in the communication flow reception unit of the communication control apparatus according to the embodiment of the present invention. 図7は、本発明の実施の形態における通信制御装置の識別情報受信部における識別情報受信処理を示すフロー図である。FIG. 7 is a flowchart showing identification information reception processing in the identification information receiving unit of the communication control apparatus according to the embodiment of the present invention. 図8は、本発明の実施の形態における通信制御装置の照合部における照合処理を示すフロー図である。FIG. 8 is a flowchart showing collation processing in the collation unit of the communication control apparatus in the embodiment of the present invention. 図9は、本発明の実施の形態における通信制御装置の一次制御部における一次制御処理を示すフロー図である。FIG. 9 is a flowchart showing primary control processing in the primary control unit of the communication control apparatus in the embodiment of the present invention. 図10は、本発明の実施の形態における通信制御装置の解析部における解析処理を示すフロー図である。FIG. 10 is a flowchart showing an analysis process in the analysis unit of the communication control apparatus in the embodiment of the present invention. 図11は、本発明の実施の形態における通信制御装置の二次制御部における二次制御処理を示すフロー図である。FIG. 11 is a flowchart showing a secondary control process in the secondary control unit of the communication control apparatus according to the embodiment of the present invention. 図12は、本発明の実施の形態における通信制御装置の通信フロー送信部における通信フロー送信処理を示すフロー図である。FIG. 12 is a flowchart showing communication flow transmission processing in the communication flow transmission unit of the communication control apparatus according to the embodiment of the present invention. 図13は、本発明の実施の形態における通信制御装置の識別情報制御部における識別情報制御処理を示すフロー図である。FIG. 13 is a flowchart showing identification information control processing in the identification information control unit of the communication control apparatus according to the embodiment of the present invention. 図14は、本発明の実施の形態におけるクライアント装置及び通信制御装置を実現するコンピュータの一例を示すブロック図である。FIG. 14 is a block diagram illustrating an example of a computer that implements the client device and the communication control device according to the embodiment of the present invention.

(実施の形態)
以下、本発明の実施の形態における、通信制御装置、クライアント装置、通信制御方法、及びプログラムについて、図1〜図14を参照しながら説明する。 (Embodiment)
Hereinafter, a communication control device, a client device, a communication control method, and a program according to an embodiment of the present invention will be described with reference to FIGS.

[装置構成]
最初に、図1を用いて、本実施の形態におけるクライアント装置及び通信制御装置の概略構成について説明する。図1は、本発明の実施の形態におけるクライアント装置及び通信制御装置の概略構成を示すブロック図である。 [Device configuration]
First, schematic configurations of the client device and the communication control device according to the present embodiment will be described with reference to FIG. FIG. 1 is a block diagram showing a schematic configuration of a client device and a communication control device according to an embodiment of the present invention.

図1に示すように、本実施の形態における通信制御装置200は、本実施の形態におけるクライアント装置100とサーバ装置300との間のデータ通信を制御するための装置である。クライアント装置100からサーバ装置300に対して通信を行う際は、必ず通信制御装置200を経由することとなる。また、通信制御装置200は、クライアント装置100、及びサーバ装置300と共に、通信システムを構築している。   As shown in FIG. 1, the communication control device 200 in the present embodiment is a device for controlling data communication between the client device 100 and the server device 300 in the present embodiment. When communication is performed from the client apparatus 100 to the server apparatus 300, the communication apparatus 200 must be used. In addition, the communication control device 200 constructs a communication system together with the client device 100 and the server device 300.

クライアント装置100は、そのOS(Operating System)上で動作するプロセス101によって、通信制御装置200を介して、サーバ装置300に対して通信を行う端末である。例えば、クライアント装置100は、業務用端末であり、サーバ装置300は、業務用データを格納するデータベースサーバである。また、プロセス101は業務用データを扱う業務用アプリケーションのプロセスである。更に、クライアント装置100のOS上では、プロセス101だけでなく、複数のプロセスが動作しても良い。また、本実施の形態では、クライアント装置100と同様の動作をする別のクライアント装置が複数台あってもよい。   The client apparatus 100 is a terminal that communicates with the server apparatus 300 via the communication control apparatus 200 by a process 101 operating on the OS (Operating System). For example, the client device 100 is a business terminal, and the server device 300 is a database server that stores business data. The process 101 is a business application process that handles business data. Furthermore, on the OS of the client apparatus 100, not only the process 101 but also a plurality of processes may operate. In the present embodiment, there may be a plurality of other client devices that perform the same operation as the client device 100.

図1に示すように、クライアント装置100は、識別情報抽出部103と、識別情報送信部104とを備えている。   As illustrated in FIG. 1, the client device 100 includes an identification information extraction unit 103 and an identification information transmission unit 104.

識別情報抽出部103は、クライアント装置100自身で実行されるプロセス101がサーバ装置300に対する通信を要求した場合に、この要求から、識別情報を抽出する。識別情報送信部104は、抽出された識別情報を、通信制御装置200に送信する。   When the process 101 executed by the client apparatus 100 itself requests communication with the server apparatus 300, the identification information extraction unit 103 extracts identification information from the request. The identification information transmitting unit 104 transmits the extracted identification information to the communication control apparatus 200.

また、図1に示すように、通信制御装置200は、識別情報受信部201と、通信フロー受信部202と、照合部207と、一次制御部208とを備えている。   As illustrated in FIG. 1, the communication control apparatus 200 includes an identification information receiving unit 201, a communication flow receiving unit 202, a matching unit 207, and a primary control unit 208.

識別情報受信部201は、クライアント装置100で実行されるプロセス101がサーバ装置300に対する通信を要求し、それに合わせて、クライアント装置100が、通信制御装置200に対して、要求から抽出した識別情報を送信すると、この識別情報を受信する。   In the identification information receiving unit 201, the process 101 executed by the client device 100 requests communication with the server device 300, and accordingly, the client device 100 sends the identification information extracted from the request to the communication control device 200. When transmitted, this identification information is received.

通信フロー受信部202は、クライアント装置100からサーバ装置300に向けて送信された通信フローを受信する。照合部207は、受信された通信フローのヘッダ部分と、識別情報受信部201が受信した識別情報とを照合し、両者が一致するかどうかを判定する。一次制御部208は、照合部207による照合の結果、ヘッダ部分が識別情報と一致する通信フローが存在する場合に、この通信フローに対して、設定ルールに基づいて、通信制御を実行する。   The communication flow receiving unit 202 receives a communication flow transmitted from the client device 100 toward the server device 300. The collation unit 207 collates the received header portion of the communication flow with the identification information received by the identification information reception unit 201, and determines whether or not they match. When there is a communication flow whose header part matches the identification information as a result of the collation by the collation unit 207, the primary control unit 208 performs communication control on this communication flow based on the setting rule.

このように、本実施の形態では、通信制御装置200は、クライアント装置100から、プロセスの要求から抽出された識別情報を取得し、この識別情報を用いて通信制御を行っている。つまり、本実施の形態によれば、通信制御装置200は、通信フローの解析だけでは得られない情報を利用して、通信制御を行うことができ、結果、高度なセキュリティの確保が可能となる。   As described above, in the present embodiment, the communication control apparatus 200 acquires identification information extracted from a request for a process from the client apparatus 100, and performs communication control using this identification information. That is, according to the present embodiment, the communication control apparatus 200 can perform communication control using information that cannot be obtained only by analyzing the communication flow, and as a result, high security can be ensured. .

続いて、図2〜図4を用いて、本実施の形態におけるクライアント装置100及び通信制御装置200の構成についてより具体的に説明する。図2は、本発明の実施の形態にお
けるクライアント装置及び通信制御装置の構成を具体的に示すブロック図である。 Next, the configuration of the client device 100 and the communication control device 200 in the present embodiment will be described more specifically with reference to FIGS. FIG. 2 is a block diagram specifically showing the configuration of the client device and the communication control device according to the embodiment of the present invention.

[クライアント装置]
最初に、クライアント装置の構成について具体的に説明する。図2に示すように、本実施の形態では、クライアント装置100は、通信フロー送信部102と、エージェント105と、を備えている。 [Client device]
First, the configuration of the client device will be specifically described. As shown in FIG. 2, in the present embodiment, the client device 100 includes a communication flow transmission unit 102 and an agent 105.

通信フロー送信部102は、プロセス101から通信要求が届くと、この通信要求に応じたデータを、サーバ装置300に送信する。通信要求は、例えば、ネットワークソケットイベント要求である。   When receiving a communication request from the process 101, the communication flow transmitting unit 102 transmits data corresponding to the communication request to the server device 300. The communication request is, for example, a network socket event request.

エージェント105は、上述した、識別情報抽出部103と、識別情報送信部104とを備えている。また、エージェント105は、クライアント装置100にインストールされたプログラムによって構築されており、識別情報抽出部103と識別情報送信部104も、プログラムによって構築されている。   The agent 105 includes the identification information extraction unit 103 and the identification information transmission unit 104 described above. The agent 105 is constructed by a program installed in the client device 100, and the identification information extraction unit 103 and the identification information transmission unit 104 are also constructed by the program.

識別情報抽出部103は、本実施の形態では、通信要求がプロセス101から通信フロー送信部102に届く前に、この通信要求をインターセプトし、この通信要求から識別情報(後述)を抽出し、抽出した識別情報を識別情報送信部104に出力する。また、この時、識別情報抽出部103は、通信ログを監視し、通信ログに基づいて、識別情報を抽出しても良い。   In this embodiment, the identification information extraction unit 103 intercepts the communication request before the communication request reaches the communication flow transmission unit 102 from the process 101, and extracts and extracts identification information (described later) from the communication request. The identification information is output to the identification information transmission unit 104. At this time, the identification information extraction unit 103 may monitor the communication log and extract the identification information based on the communication log.

識別情報は、ヘッダ識別情報と、プロセス識別情報と、クライアント装置識別情報と、を含む。ヘッダ識別情報は、OSI参照モデルのトランスポート層以下の情報である。ヘッダ識別情報としては、例えば、IPヘッダに含まれるIPアドレス、及びTCP/UDPヘッダに含まれるポート番号が挙げられる。プロセス識別情報は、通信を行ったプロセスを識別ための情報である。プロセス識別情報としては、例えば、プロセス名、実行ユーザ名が挙げられる。クライアント識別情報は、クライアント装置100を識別するための識別情報である。クライアント識別情報としては、例えば、コンピュータ名、OS名が挙げられる。   The identification information includes header identification information, process identification information, and client device identification information. The header identification information is information below the transport layer of the OSI reference model. Examples of the header identification information include an IP address included in the IP header and a port number included in the TCP / UDP header. The process identification information is information for identifying a process that has performed communication. Examples of the process identification information include a process name and an execution user name. The client identification information is identification information for identifying the client device 100. Examples of client identification information include a computer name and an OS name.

識別情報送信部104は、識別情報抽出部103から受け取った識別情報を、通信制御装置200に対して送信する。   The identification information transmission unit 104 transmits the identification information received from the identification information extraction unit 103 to the communication control apparatus 200.

このような構成により、エージェント105は、クライアント装置100が外部と通信を行う際に、通信の要求元であるプロセス101の識別情報と、クライアント装置100の識別情報と、通信フローのヘッダ識別情報と、を紐付け、これらを通信制御装置に送信する。   With such a configuration, when the client device 100 communicates with the outside, the agent 105 can identify the identification information of the process 101 that is the communication request source, the identification information of the client device 100, and the header identification information of the communication flow. , And these are transmitted to the communication control device.

[通信制御装置]
次に、通信制御装置200の構成について具体的に説明する。本実施の形態では、通信制御装置200は、クライアント装置100からサーバ装置300に送信される通信フローを検査し、検査結果に応じて通信フローを中継するか否かを判定する。 [Communication control device]
Next, the configuration of the communication control apparatus 200 will be specifically described. In the present embodiment, the communication control device 200 checks the communication flow transmitted from the client device 100 to the server device 300, and determines whether to relay the communication flow according to the check result.

図2に示すように、本実施の形態では、通信制御装置200は、上述した構成に加え、通信フロー送信部203と、識別情報記憶部204と、通信フロー記憶部205と、制御情報記憶部206と、解析部209と、二次制御部210と、識別情報制御部211とを備える。   As shown in FIG. 2, in the present embodiment, in addition to the configuration described above, the communication control apparatus 200 includes a communication flow transmission unit 203, an identification information storage unit 204, a communication flow storage unit 205, and a control information storage unit. 206, an analysis unit 209, a secondary control unit 210, and an identification information control unit 211.

識別情報受信部201は、本実施の形態では、エージェント105がインストールされ
た複数のクライアント装置から、識別情報が送信されてくると、これを受信し、受信した識別情報と、受信時刻と、エントリ番号と、を識別情報記憶部204に格納する。エントリ番号は、識別情報記憶部204に格納する識別情報ごとに一意に割り当てられる番号である。 In this embodiment, the identification information receiving unit 201 receives identification information from a plurality of client devices in which the agent 105 is installed, and receives the identification information. The received identification information, reception time, and entry The number is stored in the identification information storage unit 204. The entry number is a number uniquely assigned for each piece of identification information stored in the identification information storage unit 204.

識別情報記憶部204は、識別情報を格納する。識別情報記憶部204は、例えば、データベースである。図3は、本発明の実施の形態において識別情報記憶部に格納される識別情報の一例を示す図である。   The identification information storage unit 204 stores identification information. The identification information storage unit 204 is a database, for example. FIG. 3 is a diagram showing an example of identification information stored in the identification information storage unit in the embodiment of the present invention.

通信フロー受信部202は、本実施の形態では、クライアント装置100からサーバ装置300宛に送信された通信フローを受信し、受信した通信フローと、通信フロー格納位置情報(後述)と、を通信フロー記憶部205に格納する。   In the present embodiment, the communication flow receiving unit 202 receives a communication flow transmitted from the client device 100 to the server device 300, and transmits the received communication flow and communication flow storage location information (described later) to the communication flow. Stored in the storage unit 205.

通信フロー格納位置情報は、通信フロー記憶部205における通信フローが格納されている場所を特定するための情報である。通信フロー格納位置情報は、例えば、バッファIDである。   The communication flow storage position information is information for specifying the location where the communication flow is stored in the communication flow storage unit 205. The communication flow storage position information is, for example, a buffer ID.

通信フロー記憶部205は、通信フローを記憶する。通信フロー記憶部205は、例えば、メモリーの受信バッファである。   The communication flow storage unit 205 stores a communication flow. The communication flow storage unit 205 is, for example, a memory reception buffer.

このような構成により、通信制御装置200は、クライアント装置から送信された通信フローを中継する。また、通信制御装置200は、本来の宛先であるサーバ装置300への通信フローの送信を保留することができる。   With such a configuration, the communication control apparatus 200 relays the communication flow transmitted from the client apparatus. Further, the communication control apparatus 200 can suspend transmission of the communication flow to the server apparatus 300 that is the original destination.

照合部207は、本実施の形態では、通信フロー記憶部205に格納されている通信フローのヘッダ部分と、識別情報記憶部204に格納されているエントリのヘッダ識別情報と、を照合する。照合部207は、照合処理でマッチする通信フローが見つかった場合、一次制御部208に、当該エントリのエントリ番号と、当該通信フローの通信フロー格納位置情報(後述)と、を出力する。一方、見つからなかった場合、照合部207は、処理を終了する。   In the present embodiment, the collation unit 207 collates the header portion of the communication flow stored in the communication flow storage unit 205 with the header identification information of the entry stored in the identification information storage unit 204. When a matching communication flow is found in the matching process, the matching unit 207 outputs the entry number of the entry and communication flow storage position information (described later) of the communication flow to the primary control unit 208. On the other hand, if not found, the collation unit 207 ends the process.

なお、照合部207は、照合処理を、定期的に実行しても良いし、通信フロー受信部202による通信フロー記憶部205への通信フローの格納をトリガーとして、照合処理を実行しても良い。また、照合部207は、識別情報受信部201による識別情報記憶部204への識別情報の格納をトリガーとして、照合処理を実行しても良い。   Note that the collation unit 207 may execute the collation process periodically, or may execute the collation process with the communication flow storage unit 205 storing the communication flow in the communication flow storage unit 205 as a trigger. . The collation unit 207 may execute the collation process using the identification information storage unit 204 by the identification information receiving unit 201 as a trigger for storing the identification information.

このような構成により、クライアント装置100から送信された通信フローの送信元プロセス、プロセスの実行ユーザ等、通信フローのヘッダ情報から得られない情報と、通信フローとが紐付けられることになる。言い換えると、クライアント装置100のエージェント105が抽出した情報と通信フローとが紐付けられる。   With such a configuration, information that cannot be obtained from the header information of the communication flow, such as a transmission source process of the communication flow transmitted from the client device 100, an execution user of the process, and the communication flow are associated with each other. In other words, the information extracted by the agent 105 of the client device 100 is associated with the communication flow.

制御情報記憶部206は、制御情報(後述)を記憶する。制御情報記憶部206は、例えば、データベースである。   The control information storage unit 206 stores control information (described later). The control information storage unit 206 is a database, for example.

制御情報は、一次制御部208と二次制御部210とによって通信フロー送信の許可又は破棄を判定するために使用される情報である。制御情報は、予め制御情報記憶部206に登録されている必要がある。   The control information is information used by the primary control unit 208 and the secondary control unit 210 to determine permission or cancellation of communication flow transmission. The control information needs to be registered in the control information storage unit 206 in advance.

図4は、本発明の実施の形態において制御情報記憶部に格納されている制御情報の一例を示す図である。図4に示すように、制御情報は、ヘッダ識別情報と、プロセス識別情報
と、クライアント識別情報と、データ識別情報と、一次制御情報と、二次制御情報と、を含む。 FIG. 4 is a diagram illustrating an example of the control information stored in the control information storage unit in the embodiment of the present invention. As shown in FIG. 4, the control information includes header identification information, process identification information, client identification information, data identification information, primary control information, and secondary control information.

データ識別情報は、後述する解析部209が、通信フローのデータ部から抽出する情報であり、通信フローに含まれるデータの内容を特定する。具体的には、データ識別情報は、データの内容として、例えば、データベースへのレコードの挿入(INSERT)、クレジットカード等の秘密情報の取り出し(SELECT)等を特定する。   The data identification information is information extracted from the data part of the communication flow by the analysis unit 209 described later, and specifies the content of data included in the communication flow. Specifically, the data identification information specifies, for example, the insertion of a record into the database (INSERT), the extraction of secret information such as a credit card (SELECT), etc. as the data contents.

一次制御情報は、ヘッダ識別情報と、プロセス識別情報と、クライアント識別情報とが一致するエントリがある場合に、一次制御部208が、対象通信フローの通信制御の内容を決定する情報である。一次制御情報によって決定される通信制御としては、例えば、通信フローのデータ解析、送信の許可、及び破棄が挙げられる。一次制御情報は、一次制御部208による通信制御のルールを規定している。   The primary control information is information that the primary control unit 208 determines the content of communication control of the target communication flow when there is an entry in which the header identification information, the process identification information, and the client identification information match. Examples of the communication control determined by the primary control information include data analysis of communication flow, transmission permission, and discard. The primary control information defines a rule for communication control by the primary control unit 208.

二次制御情報は、ヘッダ識別情報と、プロセス識別情報と、クライアント装置識別情報と、データ識別情報と、が一致するエントリがある場合に、二次制御部210が、対象通信フローの通信制御の内容を決定する情報である。二次制御情報によって決定される通信制御としては、例えば、通信フローの送信の許可、及び破棄が挙げられる。二次制御情報も、二次制御部210による通信制御のルールを規定している。   When there is an entry in which the header identification information, the process identification information, the client device identification information, and the data identification information match, the secondary control information is used by the secondary control unit 210 for communication control of the target communication flow. Information that determines the content. Examples of the communication control determined by the secondary control information include permission and discard of communication flow transmission. The secondary control information also defines communication control rules by the secondary control unit 210.

一次制御部208は、本実施の形態では、ヘッダ識別情報と、プロセス識別情報と、クライアント識別情報と、一次制御情報とに基づいて、通信制御を行う。具体的には、一次制御部208は、照合部207から受け取ったエントリ番号を基に、識別情報記憶部204から当該エントリのヘッダ識別情報と、プロセス識別情報と、クライアント識別情報とを読み込む。そして、一次制御部208は、読み込んだ各情報それぞれが、制御情報記憶部206に格納されているエントリとマッチする場合に、当該エントリの一次制御情報に基づいて、通信フローの制御方法を決定する。   In the present embodiment, primary control unit 208 performs communication control based on header identification information, process identification information, client identification information, and primary control information. Specifically, the primary control unit 208 reads the header identification information, process identification information, and client identification information of the entry from the identification information storage unit 204 based on the entry number received from the collation unit 207. When each piece of read information matches an entry stored in the control information storage unit 206, the primary control unit 208 determines a communication flow control method based on the primary control information of the entry. .

例えば、一次制御情報が「通信フローのデータ解析」の場合、一次制御部208は、解析部209に通信フロー格納位置情報と、識別情報記憶部204のエントリ番号と、を出力する。また、一次制御情報が「許可」の場合、一次制御部208は、通信フロー送信部203に通信フロー格納位置情報を出力する。更に、一次制御情報が「破棄」の場合、一次制御部208は、通信フロー記憶部205の通信フローを破棄する。   For example, when the primary control information is “data analysis of communication flow”, the primary control unit 208 outputs the communication flow storage location information and the entry number of the identification information storage unit 204 to the analysis unit 209. If the primary control information is “permitted”, the primary control unit 208 outputs the communication flow storage location information to the communication flow transmission unit 203. Further, when the primary control information is “discard”, the primary control unit 208 discards the communication flow in the communication flow storage unit 205.

このような構成により、通信制御装置200によれば、通信フローのヘッダ情報、通信フローの送信元プロセス、クライアント装置100の情報を組み合わせた柔軟な通信制御が可能となる。   With such a configuration, the communication control apparatus 200 enables flexible communication control that combines communication flow header information, communication flow transmission source processes, and client apparatus 100 information.

例えば、特定のクライアント−サーバ間の通信において、業務用アプリケーションのプロセス101からのデータベースへのアクセスは許可するが、それ以外のマルウェア等のプロセスからのデータベースへのアクセスは許可しない、という通信制御が可能となる。   For example, in communication between a specific client and server, communication control is permitted such that access to the database from the process 101 of the business application is permitted but access to the database from other processes such as malware is not permitted. It becomes possible.

また、通信を許可する場合に、通信フロー解析の有無を設定可能とすることで、信頼できるクライアント装置100のアプリケーションプログラムから送られてきた通信フローは、通信フロー解析をせずに送信する、といった通信制御が可能となる。   In addition, when communication is permitted, the presence / absence of communication flow analysis can be set so that the communication flow sent from the application program of the reliable client device 100 is transmitted without performing the communication flow analysis. Communication control is possible.

解析部209は、一次制御部208から通信フロー格納位置情報を受け取ると、受け取った通信フロー格納位置情報に基づいて、通信フロー記憶部205にある通信フローを特定する。また、解析部209は、特定した通信フローに対して、データ部の解析を行い、データ識別情報を抽出する。そして、解析部209は、通信フロー格納位置情報と、識別
情報記憶部204のエントリ番号と、解析結果から抽出したデータ識別情報と、を二次制御部210に出力する。なお、解析部209は、通信制御装置200の内部に含む構成としているが、通信制御装置200の外側から接続する構成としてもよい。 Upon receiving the communication flow storage location information from the primary control unit 208, the analysis unit 209 identifies a communication flow in the communication flow storage unit 205 based on the received communication flow storage location information. In addition, the analysis unit 209 analyzes the data part for the identified communication flow and extracts data identification information. Then, the analysis unit 209 outputs the communication flow storage position information, the entry number of the identification information storage unit 204, and the data identification information extracted from the analysis result to the secondary control unit 210. The analysis unit 209 is configured to be included in the communication control device 200, but may be configured to be connected from the outside of the communication control device 200.

二次制御部210は、データの解析の結果に応じて、データの解析対象となった通信フローに対して、通信制御を行う。二次制御部210は、本実施の形態では、ヘッダ識別情報と、プロセス識別情報と、クライアント識別情報と、データ識別情報と、二次制御情報とに基づいて通信制御を行う。   The secondary control unit 210 performs communication control on the communication flow that is the target of data analysis according to the data analysis result. In the present embodiment, secondary control unit 210 performs communication control based on header identification information, process identification information, client identification information, data identification information, and secondary control information.

具体的には、二次制御部210は、解析部209から受け取ったエントリ番号を基に、識別情報記憶部204から当該エントリのヘッダ識別情報と、プロセス識別情報と、クライアント識別情報とを読み込む。   Specifically, the secondary control unit 210 reads the header identification information, process identification information, and client identification information of the entry from the identification information storage unit 204 based on the entry number received from the analysis unit 209.

そして、読み込んだ識別情報とデータ識別情報とが、それぞれ、制御情報記憶部206に格納されているヘッダ識別情報、プロセス識別情報、クライアント識別情報、及びデータ識別情報とマッチするとする。この場合、二次制御部210は、マッチした制御情報に該当する通信制御で、解析部209から受け取った通信フロー格納位置情報によって特定した、通信フロー記憶部205にある通信フローを制御する。   Then, it is assumed that the read identification information and data identification information match the header identification information, process identification information, client identification information, and data identification information stored in the control information storage unit 206, respectively. In this case, the secondary control unit 210 controls the communication flow in the communication flow storage unit 205 specified by the communication flow storage position information received from the analysis unit 209 by communication control corresponding to the matched control information.

また、二次制御部210は、通信制御が「許可」である場合は、通信フロー送信部203に通信フロー格納位置情報を出力する。一方、二次制御部210は、通信制御が「破棄」である場合は、通信フロー記憶部205の通信フローを破棄する。   Further, when the communication control is “permitted”, the secondary control unit 210 outputs the communication flow storage position information to the communication flow transmission unit 203. On the other hand, when the communication control is “discard”, the secondary control unit 210 discards the communication flow in the communication flow storage unit 205.

このような構成により、通信制御装置200によれば、通信フローのヘッダ情報と、データ部の解析結果と、通信フローの送信元プロセスの情報と、クライアント装置100の情報と、を組み合わせた柔軟な通信制御が可能となる。   With such a configuration, according to the communication control device 200, a flexible combination of the header information of the communication flow, the analysis result of the data part, the information of the transmission source process of the communication flow, and the information of the client device 100 is combined. Communication control is possible.

例えば、特定のクライアント−データベースサーバ間の通信において、あるアプリケーションに対しては、データの参照(SELECT)のみ許可し、別のアプリケーションに対しては、参照(SELECT)、挿入(INSERT)、更新(UPDATE)、削除(DELETE)の全てを許可する、という通信制御が可能となる。   For example, in communication between a specific client and database server, only one data reference (SELECT) is allowed for one application, and another application (reference (SELECT), insert (INSERT), update ( UPDATE) and delete (DELETE) are permitted.

通信フロー送信部203は、一次制御部208又は二次制御部210から通信フロー格納位置情報を受け取ると、受け取った通信フロー格納位置情報を基に特定した通信フロー記憶部205の通信フローを、サーバ装置300に対して送信する。   When the communication flow transmission unit 203 receives the communication flow storage location information from the primary control unit 208 or the secondary control unit 210, the communication flow transmission unit 203 transmits the communication flow of the communication flow storage unit 205 specified based on the received communication flow storage location information to the server. Transmit to device 300.

識別情報制御部211は、識別情報記憶部204を監視し、受信してから一定時間が経過した識別情報を削除する。具体的には、識別情報制御部211は、識別情報記憶部204に格納されたエントリの受信時刻を参照し、現在時刻から当該時刻を引いた時間が、予め設定された時間を超えている場合に、当該エントリを削除する。なお、識別情報制御部211は、前記削除処理を、定期的に実行してもよいし、通信制御装置200で発生するイベントをトリガーとして実行してもよい。   The identification information control unit 211 monitors the identification information storage unit 204 and deletes the identification information after a predetermined time has elapsed since reception. Specifically, the identification information control unit 211 refers to the reception time of the entry stored in the identification information storage unit 204, and the time obtained by subtracting the time from the current time exceeds a preset time Then, the entry is deleted. Note that the identification information control unit 211 may periodically execute the deletion process, or may execute an event that occurs in the communication control apparatus 200 as a trigger.

このような構成により、通信制御装置200は、受信してから一定時間が経過した識別情報を削除することで、不要に読み込まれるエントリ数を減らし、照合部における照合処理の速度を向上させることができる。   With such a configuration, the communication control device 200 can delete the identification information that has passed for a certain period of time after reception, thereby reducing the number of entries that are unnecessarily read and improving the speed of the matching process in the matching unit. it can.

[装置動作]
次に、本実施の形態におけるクライアント装置100及び通信制御装置200の動作について図5〜図13を用いて説明する。また、以下の説明においては、適宜図1〜図4を
参照する。また、本実施の形態1では、クライアント装置100と通信制御装置200とを動作させることによって、通信制御方法が実施される。よって、本実施の形態における通信制御方法の説明は、以下のクライアント装置100及び通信制御装置200の動作説明に代える。 [Device operation]
Next, operations of the client device 100 and the communication control device 200 in the present embodiment will be described with reference to FIGS. Moreover, in the following description, FIGS. 1-4 are referred suitably. In the first embodiment, the communication control method is implemented by operating the client device 100 and the communication control device 200. Therefore, the description of the communication control method in the present embodiment is replaced with the following description of the operations of the client device 100 and the communication control device 200.

最初に、図5を用いて、本実施の形態におけるクライアント装置100の動作について説明する。図5は、本発明の実施の形態におけるクライアント装置の動作を示すフロー図である。具体的には、図5は、エージェント105の検出処理及び識別情報送信処理を示している。   First, the operation of the client apparatus 100 in the present embodiment will be described with reference to FIG. FIG. 5 is a flowchart showing the operation of the client device according to the embodiment of the present invention. Specifically, FIG. 5 shows the detection process and identification information transmission process of the agent 105.

図5に示すように、まず、クライアント装置100において、識別情報抽出部103は、クライアント装置100上で動作するプロセス101がサーバ装置300に対して通信要求を出すと、この通信要求が通信フロー送信部102に到達する前に、これをインターセプトする(ステップS0101)。   As shown in FIG. 5, first, in the client device 100, when the process 101 operating on the client device 100 issues a communication request to the server device 300, the identification information extraction unit 103 transmits the communication request to the communication flow. Before reaching the unit 102, it is intercepted (step S0101).

次に、識別情報抽出部103は、インターセプトした通信要求から識別情報を抽出する(ステップS0102)。   Next, the identification information extraction unit 103 extracts identification information from the intercepted communication request (step S0102).

次に、識別情報抽出部103は、通信フロー送信部102を介して、サーバ装置300に、インターセプトした通信要求を送信する(ステップS0103)。次に、識別情報抽出部103は、抽出した識別情報を識別情報送信部104に出力する(ステップS0104)。   Next, the identification information extraction unit 103 transmits the intercepted communication request to the server device 300 via the communication flow transmission unit 102 (step S0103). Next, the identification information extraction unit 103 outputs the extracted identification information to the identification information transmission unit 104 (step S0104).

その後、識別情報送信部104は、識別情報抽出部103から出力されてきた識別情報を、通信制御装置200に対して送信する(ステップS0105)。   Thereafter, the identification information transmission unit 104 transmits the identification information output from the identification information extraction unit 103 to the communication control apparatus 200 (step S0105).

続いて、図6〜図13を用いて、本実施の形態における通信制御装置200動作について説明する。図6〜図13までには、通信制御装置200の動作のフローが示されている。   Subsequently, the operation of the communication control apparatus 200 according to the present embodiment will be described with reference to FIGS. 6 to 13 show an operation flow of the communication control apparatus 200. FIG.

図6は、本発明の実施の形態における通信制御装置の通信フロー受信部における通信フロー受信処理を示すフロー図である。   FIG. 6 is a flowchart showing communication flow reception processing in the communication flow reception unit of the communication control apparatus according to the embodiment of the present invention.

図6に示すように、最初に、通信フロー受信部202は、クライアント装置100の通信フロー送信部102からサーバ装置300宛に送信された通信フローを受信する(ステップS0201)。次に、通信フロー受信部202は、ステップS0201で受信した通信フローを、通信フロー記憶部205に格納する(ステップS0202)。   As shown in FIG. 6, first, the communication flow receiving unit 202 receives a communication flow transmitted from the communication flow transmitting unit 102 of the client device 100 to the server device 300 (step S0201). Next, the communication flow receiving unit 202 stores the communication flow received in step S0201 in the communication flow storage unit 205 (step S0202).

図7は、本発明の実施の形態における通信制御装置の識別情報受信部における識別情報受信処理を示すフロー図である。   FIG. 7 is a flowchart showing identification information reception processing in the identification information receiving unit of the communication control apparatus according to the embodiment of the present invention.

図7に示すように、最初に、識別情報受信部201は、クライアント装置100の識別情報送信部104から送信された識別情報を受信する(ステップS0301)。次に、識別情報受信部201は、受信した識別情報と、受信時刻と、エントリ番号と、を識別情報記憶部204に格納する(ステップS0302)。   As shown in FIG. 7, first, the identification information receiving unit 201 receives the identification information transmitted from the identification information transmitting unit 104 of the client device 100 (step S0301). Next, the identification information receiving unit 201 stores the received identification information, reception time, and entry number in the identification information storage unit 204 (step S0302).

図8は、本発明の実施の形態における通信制御装置の照合部における照合処理を示すフロー図である。   FIG. 8 is a flowchart showing collation processing in the collation unit of the communication control apparatus in the embodiment of the present invention.

図8に示すように、最初に、照合部207は、ステップS0202又はステップS03
02を契機として、ステップS0401に進む。ステップS0401では、照合部207は、識別情報記憶部204に格納されているエントリを読み込み、ステップS0402に進む。 As shown in FIG. 8, first, the collation unit 207 performs step S0202 or step S03.
With 02 as an opportunity, the process proceeds to step S0401. In step S0401, the collation unit 207 reads the entry stored in the identification information storage unit 204, and proceeds to step S0402.

ステップS0402で、照合部207は、通信フロー記憶部205に格納されている通信フローのヘッダ部を解析する。その後、照合部207は、ヘッダ識別情報が一致するヘッダをもつ通信フローが存在するかどうかを判定する(ステップS0403)。   In step S0402, the collation unit 207 analyzes the header part of the communication flow stored in the communication flow storage unit 205. Thereafter, the collation unit 207 determines whether or not there is a communication flow having a header whose header identification information matches (step S0403).

ステップS0403の判定の結果、ヘッダ識別情報が一致するヘッダをもつ通信フローが存在しない場合は、照合部207は、処理を終了する。一方、ステップS0403の判定の結果、ヘッダ識別情報が一致するヘッダをもつ通信フローが存在する場合は、照合部207は、一次制御部208に、当該エントリのエントリ番号と、当該通信フローの通信フロー格納位置情報とを出力する(ステップS0404)。   If the result of determination in step S0403 is that there is no communication flow having a header with matching header identification information, the collation unit 207 ends the process. On the other hand, if the result of determination in step S0403 is that there is a communication flow having a header whose header identification information matches, the collation unit 207 sends the entry number of the entry and the communication flow of the communication flow to the primary control unit 208. The storage location information is output (step S0404).

図9は、本発明の実施の形態における通信制御装置の一次制御部における一次制御処理を示すフロー図である。   FIG. 9 is a flowchart showing primary control processing in the primary control unit of the communication control apparatus in the embodiment of the present invention.

図9に示すように、最初に、一次制御部208は、照合部207から識別情報記憶部204のエントリ番号と通信フロー格納位置情報とを受け取る(ステップS0501)。   As shown in FIG. 9, first, the primary control unit 208 receives the entry number of the identification information storage unit 204 and the communication flow storage location information from the collation unit 207 (step S0501).

次に、一次制御部208は、エントリ番号を基に、識別情報記憶部204の当該エントリを読み込む(ステップS0502)。次に、一次制御部208は、制御情報記憶部206のエントリを読み込む(ステップS0503)。   Next, the primary control unit 208 reads the entry in the identification information storage unit 204 based on the entry number (step S0502). Next, the primary control unit 208 reads an entry in the control information storage unit 206 (step S0503).

次に、一次制御部208は、識別情報記憶部204のエントリのヘッダ識別情報と、プロセス識別情報と、クライアント識別情報と、が一致するエントリが制御情報記憶部206に存在するかどうかを判定する(ステップS0504)。   Next, the primary control unit 208 determines whether there is an entry in the control information storage unit 206 that matches the header identification information, the process identification information, and the client identification information of the entry in the identification information storage unit 204. (Step S0504).

ステップS0504の判定の結果、一致するエントリが存在しない場合は、一次制御部208は、ステップS0505を実行する。一方、ステップS0504の判定の結果、一致するエントリが存在する場合は、一次制御部208は、ステップS0506を実行する(ステップS0504)。   If the result of determination in step S0504 is that there is no matching entry, the primary control unit 208 executes step S0505. On the other hand, as a result of the determination in step S0504, if there is a matching entry, the primary control unit 208 executes step S0506 (step S0504).

ステップS0505では、一次制御部208は、通信フロー格納位置情報を基に特定した通信フロー記憶部205の通信フローを破棄する。   In step S0505, the primary control unit 208 discards the communication flow in the communication flow storage unit 205 specified based on the communication flow storage position information.

ステップS0506では、一次制御部208は、当該エントリの一次制御情報が「破棄」であるかどうかを判定する。ステップS506の判定の結果、当該エントリの一次制御情報が「破棄」である場合は、一次制御部208は、ステップS0505に進む。一方、ステップS506の判定の結果、当該エントリの一次制御情報が「破棄」でない場合は、一次制御部208は、ステップS0507に進む。   In step S0506, the primary control unit 208 determines whether or not the primary control information of the entry is “discard”. As a result of the determination in step S506, when the primary control information of the entry is “discard”, the primary control unit 208 proceeds to step S0505. On the other hand, as a result of the determination in step S506, if the primary control information of the entry is not “discard”, the primary control unit 208 proceeds to step S0507.

ステップS0507では、一次制御部208は、当該エントリの一次制御情報が「許可」であるかどうかを判定する。ステップS0507の判定の結果、当該エントリの一次制御情報が「許可」である場合は、一次制御部208は、ステップS0508に進む。一方、ステップS0507の判定の結果、当該エントリの一次制御情報が「許可」でない場合は、一次制御部208は、ステップS0509に進む。   In step S0507, the primary control unit 208 determines whether or not the primary control information of the entry is “permitted”. If the result of determination in step S0507 is that the primary control information of the entry is “permitted”, the primary control unit 208 proceeds to step S0508. On the other hand, if the result of determination in step S0507 is that the primary control information of the entry is not “permitted”, the primary control unit 208 proceeds to step S0509.

ステップS0508では、一次制御部208は、通信フロー格納位置情報を通信フロー送信部203に出力する。   In step S0508, the primary control unit 208 outputs the communication flow storage location information to the communication flow transmission unit 203.

ステップS0509では、一次制御部208は、通信フロー格納位置情報を解析部209に出力する。   In step S0509, the primary control unit 208 outputs the communication flow storage position information to the analysis unit 209.

図10は、本発明の実施の形態における通信制御装置の解析部における解析処理を示すフロー図である。   FIG. 10 is a flowchart showing an analysis process in the analysis unit of the communication control apparatus in the embodiment of the present invention.

図10に示すように、最初に、解析部209は、一次制御部208から、通信フロー格納位置情報と、識別情報記憶部204のエントリ番号と、を受け取る(ステップS0601)。   As shown in FIG. 10, first, the analysis unit 209 receives the communication flow storage position information and the entry number of the identification information storage unit 204 from the primary control unit 208 (step S0601).

次に、解析部209は、通信フロー格納位置情報を基に特定した通信フロー記憶部205の通信フローを読み込む(ステップS0602)。   Next, the analysis unit 209 reads the communication flow of the communication flow storage unit 205 specified based on the communication flow storage position information (step S0602).

次に、解析部209は、読み込んだ通信フローのデータ部を解析する(ステップS0603)。   Next, the analysis unit 209 analyzes the data portion of the read communication flow (step S0603).

その後、解析部209は、通信フロー格納位置情報と、識別情報記憶部のエントリ番号と、解析結果を基に抽出したデータ識別情報と、を二次制御部210に出力する(ステップS0604)。   Thereafter, the analysis unit 209 outputs the communication flow storage position information, the entry number of the identification information storage unit, and the data identification information extracted based on the analysis result to the secondary control unit 210 (step S0604).

図11は、本発明の実施の形態における通信制御装置の二次制御部における二次制御処理を示すフロー図である。   FIG. 11 is a flowchart showing a secondary control process in the secondary control unit of the communication control apparatus according to the embodiment of the present invention.

図11に示すように、最初に、二次制御部210は、解析部209から、通信フロー格納位置情報と、識別情報記憶部204のエントリ番号と、データ識別情報と、を受け取る(ステップS0701)。   As shown in FIG. 11, first, the secondary control unit 210 receives the communication flow storage location information, the entry number of the identification information storage unit 204, and the data identification information from the analysis unit 209 (step S0701). .

次に、二次制御部210は、エントリ番号に基付いて、識別情報記憶部204の当該エントリを読み込む(ステップS0702)。   Next, the secondary control unit 210 reads the entry in the identification information storage unit 204 based on the entry number (step S0702).

次に、二次制御部210は、制御情報記憶部206のエントリを読み込み(ステップS0703)。   Next, the secondary control unit 210 reads an entry in the control information storage unit 206 (step S0703).

次に、二次制御部210は、識別情報記憶部204のエントリのヘッダ識別情報と、プロセス識別情報と、クライアント装置識別情報と、受け取ったデータ識別情報とが一致するエントリが、制御情報記憶部206に存在するかどうかを判定する(ステップS0704)。   Next, the secondary control unit 210 has an entry in which the header identification information, process identification information, client device identification information, and received data identification information of the entry in the identification information storage unit 204 match each other. It is determined whether or not it exists in 206 (step S0704).

ステップS0704の判定の結果、一致するエントリが制御情報記憶部206に存在しない場合は、二次制御部210は、ステップS0705に進む。一方、ステップS0704の判定の結果、一致するエントリが制御情報記憶部206に存在する場合は、二次制御部210は、ステップS0706に進む(ステップS0704)。   As a result of the determination in step S0704, when there is no matching entry in the control information storage unit 206, the secondary control unit 210 proceeds to step S0705. On the other hand, if the result of determination in step S0704 is that there is a matching entry in the control information storage unit 206, the secondary control unit 210 proceeds to step S0706 (step S0704).

ステップS0705では、二次制御部210は、通信フロー格納位置情報を基に特定した通信フロー記憶部205の通信フローを破棄する。   In step S0705, the secondary control unit 210 discards the communication flow in the communication flow storage unit 205 specified based on the communication flow storage position information.

ステップS0706では、二次制御部210は、当該エントリの二次制御情報が「破棄」であるかどうかを判定する。   In step S0706, the secondary control unit 210 determines whether the secondary control information of the entry is “discard”.

ステップS0706の判定の結果、当該エントリの二次制御情報が「破棄」である場合は、二次制御部210は、ステップS0705に進む。一方、ステップS0706の判定の結果、当該エントリの二次制御情報が「破棄」でない場合は、二次制御部210は、ステップS0707に進む。   As a result of the determination in step S0706, if the secondary control information of the entry is “discard”, the secondary control unit 210 proceeds to step S0705. On the other hand, as a result of the determination in step S0706, if the secondary control information of the entry is not “discard”, the secondary control unit 210 proceeds to step S0707.

ステップS0707では、二次制御部210は、通信フロー格納位置情報を通信フロー送信部203に出力する。   In step S0707, the secondary control unit 210 outputs the communication flow storage location information to the communication flow transmission unit 203.

図12は、本発明の実施の形態における通信制御装置の通信フロー送信部における通信フロー送信処理を示すフロー図である。   FIG. 12 is a flowchart showing communication flow transmission processing in the communication flow transmission unit of the communication control apparatus according to the embodiment of the present invention.

図12に示すように、最初に、通信フロー送信部203は、一次制御部208、又は二次制御部210から、通信フロー格納位置情報を受け取る(ステップS0801)。   As shown in FIG. 12, first, the communication flow transmission unit 203 receives communication flow storage position information from the primary control unit 208 or the secondary control unit 210 (step S0801).

次に、通信フロー送信部203は、通信フロー格納位置情報を基に特定した通信フロー記憶部205の通信フローを読み込む(ステップS0802)。   Next, the communication flow transmission unit 203 reads the communication flow of the communication flow storage unit 205 specified based on the communication flow storage position information (step S0802).

その後、通信フロー送信部203は、ステップS0802で読み込んだ通信フローをサーバ装置300宛に送信する(ステップS0803)。   Thereafter, the communication flow transmission unit 203 transmits the communication flow read in step S0802 to the server apparatus 300 (step S0803).

図13は、本発明の実施の形態における通信制御装置の識別情報制御部における識別情報制御処理を示すフロー図である。   FIG. 13 is a flowchart showing identification information control processing in the identification information control unit of the communication control apparatus according to the embodiment of the present invention.

図13に示すように、最初に、識別情報制御部211は、一定時間が経過したこと、又は通信制御装置200で発生するイベントを契機として、ステップS0901に進む。ステップS0901では、識別情報制御部211は、識別情報記憶部204に格納されているエントリを読み込む。   As illustrated in FIG. 13, first, the identification information control unit 211 proceeds to step S <b> 0901 in response to the elapse of a certain time or an event that occurs in the communication control device 200. In step S0901, the identification information control unit 211 reads an entry stored in the identification information storage unit 204.

次に、識別情報制御部211は、読み込んだエントリの受信時刻を、現在時刻から引いた時間が、予め設定した時間を超えているかどうかを判定する(ステップS0902)。   Next, the identification information control unit 211 determines whether the time obtained by subtracting the reception time of the read entry from the current time exceeds a preset time (step S0902).

ステップS0902の判定の結果、予め設定した時間を超えている場合は、識別情報制御部211は、ステップS0901で読み込んだエントリを削除する(ステップS0903)。   If it is determined in step S0902 that the preset time has been exceeded, the identification information control unit 211 deletes the entry read in step S0901 (step S0903).

一方、ステップS0902の判定の結果、予め設定した時間を超えていない場合、識別情報制御部211は、処理を終了する。   On the other hand, as a result of the determination in step S0902, if the preset time has not been exceeded, the identification information control unit 211 ends the process.

[発明の効果]
以上のように、本実施の形態によれば、通信フローの送信元プロセスの情報、クライアント装置100の情報等、通信フローの解析だけでは得られない情報を利用した柔軟な通信制御が可能となる。そして、この結果、本実施の形態によれば、高度なセキュリティの確保が可能となる。 [The invention's effect]
As described above, according to the present embodiment, it is possible to perform flexible communication control using information that cannot be obtained only by analyzing the communication flow, such as information about a communication flow source process and information about the client device 100. . As a result, according to the present embodiment, high security can be ensured.

また、上述の例では、通信フローが暗号化されていないことを前提にして、構成及び動作の説明が行われているが、本実施の形態は、この例に限定されるものではない。本実施の形態では、非特許文献1に開示された技術を用いることで、通信フローが暗号化されている場合でも、通信フローを復号した上で、解析部209による通信フローのデータ解析が行われる態様とすることができる。   In the above example, the configuration and the operation are described on the assumption that the communication flow is not encrypted. However, the present embodiment is not limited to this example. In the present embodiment, even when the communication flow is encrypted by using the technique disclosed in Non-Patent Document 1, the analysis unit 209 performs data analysis of the communication flow after decrypting the communication flow. It can be set as a mode.

[プログラム]
本実施の形態における第1のプログラムは、コンピュータに、図6に示すステップS0201〜S0202、図7に示すステップS0301〜S0302、図8に示すステップS0401〜S0404、図9に示すステップS0501〜S0509、図10に示すステップS0601〜S0604、図11に示すS0701〜S0707、図12に示すステップS0801〜S0803、図13に示すステップS0901〜S0903を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態における通信制御装置200を実現することができる。この場合、コンピュータのプロセッサは、識別情報受信部201、通信フロー受信部202、通信フロー送信部203、照合部207、一次制御部208、解析部209、二次制御部210、及び識別情報制御部211として機能し、処理を行なう。 [program]
The first program in the present embodiment is stored in the computer in steps S0201 to S0202 shown in FIG. 6, steps S0301 to S0302 shown in FIG. 7, steps S0401 to S0404 shown in FIG. 8, and steps S0501 to S0509 shown in FIG. Any program that executes steps S0601 to S0604 shown in FIG. 10, S0701 to S0707 shown in FIG. 11, steps S0801 to S0803 shown in FIG. 12, and steps S0901 to S0903 shown in FIG. 13 may be used. By installing this program in a computer and executing it, the communication control apparatus 200 in the present embodiment can be realized. In this case, the computer processor includes an identification information reception unit 201, a communication flow reception unit 202, a communication flow transmission unit 203, a collation unit 207, a primary control unit 208, an analysis unit 209, a secondary control unit 210, and an identification information control unit. Functions as 211 and performs processing.

また、本実施の形態における第1のプログラムは、複数のコンピュータによって構築されたコンピュータシステムによって実行されても良い。この場合は、例えば、各コンピュータが、それぞれ、識別情報受信部201、通信フロー受信部202、通信フロー送信部203、照合部207、一次制御部208、解析部209、二次制御部210、及び識別情報制御部211のいずれかとして機能しても良い。   In addition, the first program in the present embodiment may be executed by a computer system constructed by a plurality of computers. In this case, for example, each computer includes an identification information receiving unit 201, a communication flow receiving unit 202, a communication flow transmitting unit 203, a matching unit 207, a primary control unit 208, an analysis unit 209, a secondary control unit 210, and It may function as any one of the identification information control unit 211.

また、本実施の形態における第2のプログラムは、コンピュータに、図5に示すステップS0101〜S0105を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態におけるクライアント装置100(エージェント105)を実現することができる。この場合、コンピュータのプロセッサは、識別情報抽出部103、識別情報送信部104として機能し、処理を行なう。   Further, the second program in the present embodiment may be a program that causes a computer to execute steps S0101 to S0105 shown in FIG. By installing and executing this program on a computer, the client device 100 (agent 105) in the present embodiment can be realized. In this case, the processor of the computer functions as the identification information extraction unit 103 and the identification information transmission unit 104 to perform processing.

[物理構成]
ここで、本実施の形態における第1のプログラムを実行することによって、通信制御装置200を実現するコンピュータと、本実施の形態における第2のプログラムを実行することによってクライアント装置100を実現するコンピュータについて図14を用いて説明する。図14は、本発明の実施の形態におけるクライアント装置及び通信制御装置を実現するコンピュータの一例を示すブロック図である。 [Physical configuration]
Here, a computer that implements the communication control apparatus 200 by executing the first program in the present embodiment and a computer that implements the client apparatus 100 by executing the second program in the present embodiment. This will be described with reference to FIG. FIG. 14 is a block diagram illustrating an example of a computer that implements the client device and the communication control device according to the embodiment of the present invention.

図14に示すように、コンピュータ10は、CPU(Central Processing Unit)11と、メインメモリ12と、記憶装置13と、入力インターフェイス14と、表示コントローラ15と、データリーダ/ライタ16と、通信インターフェイス17とを備える。これらの各部は、バス21を介して、互いにデータ通信可能に接続される。なお、コンピュータ10は、CPU111に加えて、又はCPU111に代えて、GPU(Graphics Processing Unit)、又はFPGA(Field-Programmable Gate Array)を備えていても良い。   As shown in FIG. 14, the computer 10 includes a CPU (Central Processing Unit) 11, a main memory 12, a storage device 13, an input interface 14, a display controller 15, a data reader / writer 16, and a communication interface 17. With. These units are connected to each other via a bus 21 so that data communication is possible. The computer 10 may include a graphics processing unit (GPU) or a field-programmable gate array (FPGA) in addition to or in place of the CPU 111.

CPU11は、記憶装置13に格納された、本実施の形態におけるプログラム(コード)をメインメモリ12に展開し、これらを所定順序で実行することにより、各種の演算を実施する。メインメモリ12は、典型的には、DRAM(Dynamic Random Access Memory)等の揮発性の記憶装置である。また、本実施の形態における第1のプログラム及び第2のプログラムは、共に、コンピュータ読み取り可能な記録媒体20に格納された状態で提供される。また、本実施の形態における第1のプログラム及び第2のプログラムは、通信インターフェイス17を介して接続されたインターネット上で流通するものであっても良い。   The CPU 11 performs various operations by expanding the program (code) in the present embodiment stored in the storage device 13 in the main memory 12 and executing them in a predetermined order. The main memory 12 is typically a volatile storage device such as a DRAM (Dynamic Random Access Memory). Further, both the first program and the second program in the present embodiment are provided in a state of being stored in the computer-readable recording medium 20. Further, the first program and the second program in the present embodiment may be distributed on the Internet connected via the communication interface 17.

また、記憶装置13の具体例としては、ハードディスクドライブの他、フラッシュメモリ等の半導体記憶装置が挙げられる。入力インターフェイス14は、CPU11と、キー
ボード及びマウスといった入力機器18との間のデータ伝送を仲介する。表示コントローラ15は、ディスプレイ装置19と接続され、ディスプレイ装置19での表示を制御する。 Specific examples of the storage device 13 include a hard disk drive and a semiconductor storage device such as a flash memory. The input interface 14 mediates data transmission between the CPU 11 and an input device 18 such as a keyboard and a mouse. The display controller 15 is connected to the display device 19 and controls display on the display device 19.

データリーダ/ライタ16は、CPU11と記録媒体20との間のデータ伝送を仲介し、記録媒体20からのプログラムの読み出し、及びコンピュータ10における処理結果の記録媒体20への書き込みを実行する。通信インターフェイス17は、CPU11と、他のコンピュータとの間のデータ伝送を仲介する。   The data reader / writer 16 mediates data transmission between the CPU 11 and the recording medium 20, and reads a program from the recording medium 20 and writes a processing result in the computer 10 to the recording medium 20. The communication interface 17 mediates data transmission between the CPU 11 and another computer.

また、記録媒体20の具体例としては、CF(Compact Flash(登録商標))及びSD(Secure Digital)等の汎用的な半導体記憶デバイス、フレキシブルディスク(Flexible
Disk)等の磁気記録媒体、又はCD−ROM(Compact Disk Read Only Memory)などの光学記録媒体が挙げられる。 Specific examples of the recording medium 20 include general-purpose semiconductor storage devices such as CF (Compact Flash (registered trademark)) and SD (Secure Digital), and flexible disks (Flexible Disks).
And a magnetic recording medium such as a CD-ROM (Compact Disk Read Only Memory).

なお、本実施の形態におけるクライアント装置100及び通信制御装置200は、プログラムがインストールされたコンピュータではなく、各部に対応したハードウェアを用いることによっても実現可能である。更に、クライアント装置100及び通信制御装置200は、一部がプログラムで実現され、残りの部分がハードウェアで実現されていてもよい。   Note that the client device 100 and the communication control device 200 according to the present embodiment can be realized by using hardware corresponding to each unit instead of a computer in which a program is installed. Furthermore, a part of the client device 100 and the communication control device 200 may be realized by a program, and the remaining part may be realized by hardware.

上述した実施の形態の一部又は全部は、以下に記載する(付記1)〜(付記14)によって表現することができるが、以下の記載に限定されるものではない。   Part or all of the above-described embodiments can be expressed by (Appendix 1) to (Appendix 14) described below, but is not limited to the following description.

(付記1)
クライアント装置とサーバ装置との間のデータ通信を制御するための装置であって、
前記クライアント装置で実行されるプロセスが前記サーバ装置に対する通信を要求し、それに合わせて、前記クライアント装置が、当該装置に対して、前記要求から抽出した識別情報を送信してきた場合に、前記識別情報を受信する、識別情報受信部と、
前記クライアント装置から前記サーバ装置に向けて送信された通信フローを受信する、通信フロー受信部と、
受信された前記通信フローのヘッダ部分と前記識別情報とを照合し、両者が一致するかどうかを判定する、照合部と、
前記照合部による照合の結果、前記ヘッダ部分が前記識別情報と一致する通信フローが存在する場合に、当該通信フローに対して、設定ルールに基づいて、通信制御を行う、制御部と、
を備えている、
ことを特徴とする通信制御装置。 (Appendix 1)
A device for controlling data communication between a client device and a server device,
When the process executed on the client device requests communication with the server device, and the client device transmits the identification information extracted from the request to the device accordingly, the identification information Receiving the identification information receiving unit;
A communication flow receiving unit for receiving a communication flow transmitted from the client device toward the server device;
Collating the received header portion of the communication flow with the identification information and determining whether or not both match,
As a result of collation by the collation unit, when there is a communication flow in which the header part matches the identification information, a control unit that performs communication control on the communication flow based on a setting rule;
With
A communication control device.

(付記2)
付記1に記載の通信制御装置であって、
前記制御部による前記通信制御の内容に応じて、受信された前記通信フローに含まれるデータの解析を行う、解析部と、
前記データの解析の結果に応じて、前記データの解析対象となった前記通信フローに対して、通信制御を行う、第2の制御部と、
を備えている、
ことを特徴とする通信制御装置。 (Appendix 2)
The communication control device according to attachment 1, wherein
Analyzing the data included in the received communication flow according to the content of the communication control by the control unit;
A second control unit that performs communication control on the communication flow that is the analysis target of the data according to a result of the analysis of the data;
With
A communication control device.

(付記3)
付記2に記載の通信制御装置であって、
前記制御部が、前記設定ルールに基づいて、前記通信制御として、当該通信フローに対
する、データ解析、送信の許可、及び廃棄のうちのいずれかを選択し、送信の許可又は廃棄を選択した場合は選択した処理を実行し、
前記制御部が、前記通信制御として、前記データ解析を選択した場合に、前記解析部が、受信された前記通信フローに含まれるデータの解析を行い、
前記第2の制御部が、前記データの解析の結果に応じて、前記通信制御として、前記データの解析対象となった前記通信フローに対する、送信の許可又は廃棄を実行する、
ことを特徴とする通信制御装置。 (Appendix 3)
The communication control device according to attachment 2, wherein
When the control unit selects one of data analysis, transmission permission, and discard for the communication flow as the communication control based on the setting rule, and selects transmission permission or discard Execute the selected process,
When the control unit selects the data analysis as the communication control, the analysis unit analyzes the data included in the received communication flow,
The second control unit executes permission or discard of transmission with respect to the communication flow that is the analysis target of the data as the communication control according to a result of the analysis of the data.
A communication control device.

(付記4)
付記2又は3に記載の通信制御装置であって、
前記識別情報が、ヘッダ識別情報、前記プロセスを識別するためのプロセス識別情報、及び前記クライアント装置を識別するためのクライアント識別情報を含み、
前記照合部が、受信された前記通信フローのヘッダ部分と、前記識別情報に含まれる前記ヘッダ識別情報とを照合し、
前記制御部が、ヘッダ識別情報、プロセス識別情報、及びクライアント識別情報それぞれの内容に応じて通信制御の内容を決定するルールに基づいて、通信制御を行い、
前記解析部が、前記データの解析によって、受信された前記通信フローから、それに含まれるデータの内容を特定するデータ識別情報を抽出し、
前記第2の制御部が、ヘッダ識別情報、プロセス識別情報、クライアント識別情報、及びデータ識別情報それぞれの内容に応じて通信制御の内容を決定するルールに基づいて、通信制御を行う、
ことを特徴とする通信制御装置。 (Appendix 4)
The communication control device according to appendix 2 or 3,
The identification information includes header identification information, process identification information for identifying the process, and client identification information for identifying the client device;
The collation unit collates the header part of the received communication flow with the header identification information included in the identification information;
The control unit performs communication control based on a rule that determines the content of communication control according to the content of each of header identification information, process identification information, and client identification information,
The analysis unit extracts data identification information that specifies the content of data included in the received communication flow by analyzing the data,
The second control unit performs communication control based on a rule that determines the content of communication control according to the content of each of header identification information, process identification information, client identification information, and data identification information.
A communication control device.

(付記5)
サーバ装置及び通信制御装置とデータ通信を行う装置であって、
当該装置で実行されるプロセスが前記サーバ装置に対する通信を要求した場合に、前記要求から、識別情報を抽出する、識別情報抽出部と、
抽出された前記識別情報を、前記通信制御装置に送信する、識別情報送信部と、
を備えている、
ことを特徴とするクライアント装置。 (Appendix 5)
A device that performs data communication with a server device and a communication control device,
An identification information extraction unit that extracts identification information from the request when a process executed by the device requests communication with the server device;
An identification information transmitting unit for transmitting the extracted identification information to the communication control device;
With
A client device.

(付記6)
クライアント装置とサーバ装置との間のデータ通信を制御するための方法であって、
(a)前記クライアント装置で実行されるプロセスが前記サーバ装置に対する通信を要求し、それに合わせて、前記クライアント装置が、前記要求から抽出した識別情報を送信してきた場合に、前記識別情報を受信する、ステップと、
(b)前記クライアント装置から前記サーバ装置に向けて送信された通信フローを受信する、ステップと、
(c)受信された前記通信フローのヘッダ部分と前記識別情報とを照合し、両者が一致するかどうかを判定する、ステップと、
(d)前記(c)のステップによる照合の結果、前記ヘッダ部分が前記識別情報と一致する通信フローが存在する場合に、当該通信フローに対して、設定ルールに基づいて、通信制御を行う、ステップと、
を有する、
ことを特徴とする通信制御方法。 (Appendix 6)
A method for controlling data communication between a client device and a server device, comprising:
(A) A process executed by the client device requests communication with the server device, and accordingly, the client device receives the identification information extracted from the request. , Step and
(B) receiving a communication flow transmitted from the client device toward the server device;
(C) collating the received header part of the communication flow with the identification information, and determining whether or not both match,
(D) As a result of collation in the step (c), when there is a communication flow in which the header portion matches the identification information, communication control is performed on the communication flow based on a setting rule. Steps,
Having
A communication control method characterized by the above.

(付記7)
付記6に記載の通信制御方法であって、
(e)前記(d)のステップによる前記通信制御の内容に応じて、受信された前記通信フローに含まれるデータの解析を行う、ステップと、
(f)前記(e)のステップにおける前記データの解析の結果に応じて、前記データの解析対象となった前記通信フローに対して、通信制御を行う、ステップと、
を更に有する、
ことを特徴とする通信制御方法。 (Appendix 7)
The communication control method according to appendix 6,
(E) analyzing the data included in the received communication flow according to the content of the communication control in the step (d);
(F) performing communication control on the communication flow that is the analysis target of the data according to a result of the analysis of the data in the step of (e);
Further having
A communication control method characterized by the above.

(付記8)
付記7に記載の通信制御方法であって、
前記(d)のステップにおいて、前記設定ルールに基づいて、前記通信制御として、当該通信フローに対する、データ解析、送信の許可、及び廃棄のうちのいずれかを選択し、送信の許可又は廃棄を選択した場合は選択した処理を実行し、
前記(d)のステップにおいて、前記通信制御として、前記データ解析を選択した場合に、前記(e)のステップにおいて、受信された前記通信フローに含まれるデータの解析を行い、
前記(f)のステップにおいて、前記データの解析の結果に応じて、前記通信制御として、前記データの解析対象となった前記通信フローに対する、送信の許可又は廃棄を実行する、
ことを特徴とする通信制御方法。 (Appendix 8)
The communication control method according to appendix 7,
In the step (d), based on the setting rule, as the communication control, one of data analysis, transmission permission, and discard is selected for the communication flow, and transmission permission or discard is selected. If you do, execute the selected process,
In the step (d), when the data analysis is selected as the communication control, in the step (e), the data included in the received communication flow is analyzed,
In the step (f), according to the result of the analysis of the data, as the communication control, permission or discard of transmission is performed on the communication flow that is the analysis target of the data.
A communication control method characterized by the above.

(付記9)
付記7又は8に記載の通信制御方法であって、
前記識別情報が、ヘッダ識別情報、前記プロセスを識別するためのプロセス識別情報、及び前記クライアント装置を識別するためのクライアント識別情報を含み、
前記(c)のステップにおいて、受信された前記通信フローのヘッダ部分と、前記識別情報に含まれる前記ヘッダ識別情報とを照合し、
前記(d)のステップにおいて、ヘッダ識別情報、プロセス識別情報、及びクライアント識別情報それぞれの内容に応じて通信制御の内容を決定するルールに基づいて、通信制御を行い、
前記(e)のステップにおいて、前記データの解析によって、受信された前記通信フローから、それに含まれるデータの内容を特定するデータ識別情報を抽出し、
前記(f)のステップにおいて、ヘッダ識別情報、プロセス識別情報、クライアント識別情報、及びデータ識別情報それぞれの内容に応じて通信制御の内容を決定するルールに基づいて、通信制御を行う、
ことを特徴とする通信制御方法。 (Appendix 9)
The communication control method according to appendix 7 or 8,
The identification information includes header identification information, process identification information for identifying the process, and client identification information for identifying the client device;
In the step (c), the header part of the received communication flow is collated with the header identification information included in the identification information;
In the step (d), communication control is performed based on a rule that determines the content of communication control according to the content of each of header identification information, process identification information, and client identification information.
In the step (e), by analyzing the data, data identification information for specifying the content of data included in the communication flow is extracted,
In the step (f), communication control is performed based on a rule that determines the content of communication control according to the content of each of header identification information, process identification information, client identification information, and data identification information.
A communication control method characterized by the above.

(付記10)
コンピュータによって、クライアント装置とサーバ装置との間のデータ通信を制御するためのプログラムであって、
前記コンピュータに、
(a)前記クライアント装置で実行されるプロセスが前記サーバ装置に対する通信を要求し、それに合わせて、前記クライアント装置が、前記要求から抽出した識別情報を送信してきた場合に、前記識別情報を受信する、ステップと、
(b)前記クライアント装置から前記サーバ装置に向けて送信された通信フローを受信する、ステップと、
(c)受信された前記通信フローのヘッダ部分と前記識別情報とを照合し、両者が一致するかどうかを判定する、ステップと、
(d)前記(c)のステップによる照合の結果、前記ヘッダ部分が前記識別情報と一致する通信フローが存在する場合に、当該通信フローに対して、設定ルールに基づいて、通信制御を行う、ステップと、
を実行させる、
ことを特徴とするプログラム。 (Appendix 10)
A program for controlling data communication between a client device and a server device by a computer,
In the computer,
(A) A process executed by the client device requests communication with the server device, and accordingly, the client device receives the identification information extracted from the request. , Step and
(B) receiving a communication flow transmitted from the client device toward the server device;
(C) collating the received header part of the communication flow with the identification information, and determining whether or not both match,
(D) As a result of collation in the step (c), when there is a communication flow in which the header portion matches the identification information, communication control is performed on the communication flow based on a setting rule. Steps,
To execute,
A program characterized by that.

(付記11)
付記10に記載のプログラムであって、
前記コンピュータに、
(e)前記(d)のステップによる前記通信制御の内容に応じて、受信された前記通信フローに含まれるデータの解析を行う、ステップと、
(f)前記(e)のステップにおける前記データの解析の結果に応じて、前記データの解析対象となった前記通信フローに対して、通信制御を行う、ステップと、
を更に実行させる、
ことを特徴とするプログラム。 (Appendix 11)
The program according to attachment 10, wherein
In the computer,
(E) analyzing the data included in the received communication flow according to the content of the communication control in the step (d);
(F) performing communication control on the communication flow that is the analysis target of the data according to a result of the analysis of the data in the step of (e);
To execute further,
A program characterized by that.

(付記12)
付記11に記載のプログラムであって、
前記(d)のステップにおいて、前記設定ルールに基づいて、前記通信制御として、当該通信フローに対する、データ解析、送信の許可、及び廃棄のうちのいずれかを選択し、送信の許可又は廃棄を選択した場合は選択した処理を実行し、
前記(d)のステップにおいて、前記通信制御として、前記データ解析を選択した場合に、前記(e)のステップにおいて、受信された前記通信フローに含まれるデータの解析を行い、
前記(f)のステップにおいて、前記データの解析の結果に応じて、前記通信制御として、前記データの解析対象となった前記通信フローに対する、送信の許可又は廃棄を実行する、
ことを特徴とするプログラム。 (Appendix 12)
The program according to attachment 11, wherein
In the step (d), based on the setting rule, as the communication control, one of data analysis, transmission permission, and discard is selected for the communication flow, and transmission permission or discard is selected. If you do, execute the selected process,
In the step (d), when the data analysis is selected as the communication control, in the step (e), the data included in the received communication flow is analyzed,
In the step (f), according to the result of the analysis of the data, as the communication control, permission or discard of transmission is performed on the communication flow that is the analysis target of the data.
A program characterized by that.

(付記13)
付記11又は12に記載のプログラムであって、
前記識別情報が、ヘッダ識別情報、前記プロセスを識別するためのプロセス識別情報、及び前記クライアント装置を識別するためのクライアント識別情報を含み、
前記(c)のステップにおいて、受信された前記通信フローのヘッダ部分と、前記識別情報に含まれる前記ヘッダ識別情報とを照合し、
前記(d)のステップにおいて、ヘッダ識別情報、プロセス識別情報、及びクライアント識別情報それぞれの内容に応じて通信制御の内容を決定するルールに基づいて、通信制御を行い、
前記(e)のステップにおいて、前記データの解析によって、受信された前記通信フローから、それに含まれるデータの内容を特定するデータ識別情報を抽出し、
前記(f)のステップにおいて、ヘッダ識別情報、プロセス識別情報、クライアント識別情報、及びデータ識別情報それぞれの内容に応じて通信制御の内容を決定するルールに基づいて、通信制御を行う、
ことを特徴とするプログラム。 (Appendix 13)
The program according to appendix 11 or 12,
The identification information includes header identification information, process identification information for identifying the process, and client identification information for identifying the client device;
In the step (c), the header part of the received communication flow is collated with the header identification information included in the identification information;
In the step (d), communication control is performed based on a rule that determines the content of communication control according to the content of each of header identification information, process identification information, and client identification information.
In the step (e), by analyzing the data, data identification information for specifying the content of data included in the communication flow is extracted,
In the step (f), communication control is performed based on a rule that determines the content of communication control according to the content of each of header identification information, process identification information, client identification information, and data identification information.
A program characterized by that.

(付記14)
コンピュータによって、サーバ装置及び通信制御装置とデータ通信を行うためのプログラムであって、
前記コンピュータに、
(a)当該コンピュータで実行されるプロセスが前記サーバ装置に対する通信を要求した場合に、前記要求から、識別情報を抽出する、ステップと、
抽出された前記識別情報を、前記通信制御装置に送信する、ステップと、
実行させる、
ことを特徴とするプログラム。 (Appendix 14)
A program for performing data communication with a server device and a communication control device by a computer,
In the computer,
(A) when a process executed by the computer requests communication with the server device, extracting identification information from the request;
Transmitting the extracted identification information to the communication control device; and
To execute,
A program characterized by that.

以上のように、本発明によれば、通信フローの解析だけでは得られない情報を利用した柔軟な通信制御を可能にして、高度なセキュリティを確保することができる。本発明は、クライアント装置及びサーバ装置を備える各種コンピュータシステムに有用である。     As described above, according to the present invention, it is possible to perform flexible communication control using information that cannot be obtained only by analyzing the communication flow, and to ensure high security. The present invention is useful for various computer systems including a client device and a server device.

10 コンピュータ
11 CPU
12 メインメモリ
13 記憶装置
14 入力インターフェイス
15 表示コントローラ
16 データリーダ/ライタ
17 通信インターフェイス
18 入力機器
19 ディスプレイ装置
20 記録媒体
21 バス
100 クライアント装置
101 プロセス
102 通信フロー送信部
103 識別情報抽出部
104 識別情報送信部
105 エージェント
200 通信制御装置
201 識別情報受信部
202 通信フロー受信部
203 通信フロー送信部
204 識別情報記憶部
205 通信フロー記憶部
206 制御情報記憶部
207 照合部
208 一次制御部
209 解析部
210 二次制御部
211 識別情報制御部
300 サーバ装置 10 Computer 11 CPU
12 main memory 13 storage device 14 input interface 15 display controller 16 data reader / writer 17 communication interface 18 input device 19 display device 20 recording medium 21 bus 100 client device 101 process 102 communication flow transmission unit 103 identification information extraction unit 104 identification information transmission Unit 105 agent 200 communication control device 201 identification information receiving unit 202 communication flow receiving unit 203 communication flow transmitting unit 204 identification information storage unit 205 communication flow storage unit 206 control information storage unit 207 verification unit 208 primary control unit 209 analysis unit 210 secondary Control unit 211 Identification information control unit 300 Server device

Claims (8)

クライアント装置とサーバ装置との間のデータ通信を制御するための装置であって、
前記クライアント装置で実行されるプロセスが前記サーバ装置に対する通信を要求し、それに合わせて、前記クライアント装置が、当該装置に対して、前記要求から抽出した識別情報を送信してきた場合に、前記識別情報を受信する、識別情報受信部と、
前記クライアント装置から前記サーバ装置に向けて送信された通信フローを受信する、通信フロー受信部と、
受信された前記通信フローのヘッダ部分と前記識別情報とを照合し、両者が一致するかどうかを判定する、照合部と、
前記照合部による照合の結果、前記ヘッダ部分が前記識別情報と一致する通信フローが存在する場合に、当該通信フローに対して、設定ルールに基づいて、通信制御を行う、制御部と、
を備えている、
ことを特徴とする通信制御装置。 A device for controlling data communication between a client device and a server device,
When the process executed on the client device requests communication with the server device, and the client device transmits the identification information extracted from the request to the device accordingly, the identification information Receiving the identification information receiving unit;
A communication flow receiving unit for receiving a communication flow transmitted from the client device toward the server device;
Collating the received header portion of the communication flow with the identification information and determining whether or not both match,
As a result of collation by the collation unit, when there is a communication flow in which the header part matches the identification information, a control unit that performs communication control on the communication flow based on a setting rule;
With
A communication control device. 請求項1に記載の通信制御装置であって、
前記制御部による前記通信制御の内容に応じて、受信された前記通信フローに含まれるデータの解析を行う、解析部と、
前記データの解析の結果に応じて、前記データの解析対象となった前記通信フローに対して、通信制御を行う、第2の制御部と、
を備えている、
ことを特徴とする通信制御装置。 The communication control device according to claim 1,
Analyzing the data included in the received communication flow according to the content of the communication control by the control unit;
A second control unit that performs communication control on the communication flow that is the analysis target of the data according to a result of the analysis of the data;
With
A communication control device. 請求項2に記載の通信制御装置であって、
前記制御部が、前記設定ルールに基づいて、前記通信制御として、当該通信フローに対する、データ解析、送信の許可、及び廃棄のうちのいずれかを選択し、送信の許可又は廃棄を選択した場合は選択した処理を実行し、
前記制御部が、前記通信制御として、前記データ解析を選択した場合に、前記解析部が、受信された前記通信フローに含まれるデータの解析を行い、
前記第2の制御部が、前記データの解析の結果に応じて、前記通信制御として、前記データの解析対象となった前記通信フローに対する、送信の許可又は廃棄を実行する、
ことを特徴とする通信制御装置。 The communication control device according to claim 2,
When the control unit selects one of data analysis, transmission permission, and discard for the communication flow as the communication control based on the setting rule, and selects transmission permission or discard Execute the selected process,
When the control unit selects the data analysis as the communication control, the analysis unit analyzes the data included in the received communication flow,
The second control unit executes permission or discard of transmission with respect to the communication flow that is the analysis target of the data as the communication control according to a result of the analysis of the data.
A communication control device. 請求項2又は3に記載の通信制御装置であって、
前記識別情報が、ヘッダ識別情報、前記プロセスを識別するためのプロセス識別情報、及び前記クライアント装置を識別するためのクライアント識別情報を含み、
前記照合部が、受信された前記通信フローのヘッダ部分と、前記識別情報に含まれる前記ヘッダ識別情報とを照合し、
前記制御部が、ヘッダ識別情報、プロセス識別情報、及びクライアント識別情報それぞれの内容に応じて通信制御の内容を決定するルールに基づいて、通信制御を行い、
前記解析部が、前記データの解析によって、受信された前記通信フローから、それに含まれるデータの内容を特定するデータ識別情報を抽出し、
前記第2の制御部が、ヘッダ識別情報、プロセス識別情報、クライアント識別情報、及びデータ識別情報それぞれの内容に応じて通信制御の内容を決定するルールに基づいて、通信制御を行う、
ことを特徴とする通信制御装置。 The communication control device according to claim 2 or 3,
The identification information includes header identification information, process identification information for identifying the process, and client identification information for identifying the client device;
The collation unit collates the header part of the received communication flow with the header identification information included in the identification information;
The control unit performs communication control based on a rule that determines the content of communication control according to the content of each of header identification information, process identification information, and client identification information,
The analysis unit extracts data identification information that specifies the content of data included in the received communication flow by analyzing the data,
The second control unit performs communication control based on a rule that determines the content of communication control according to the content of each of header identification information, process identification information, client identification information, and data identification information.
A communication control device. サーバ装置及び通信制御装置とデータ通信を行う装置であって、
当該装置で実行されるプロセスが前記サーバ装置に対する通信を要求した場合に、前記
要求から、識別情報を抽出する、識別情報抽出部と、
抽出された前記識別情報を、前記通信制御装置に送信する、識別情報送信部と、
を備えている、
ことを特徴とするクライアント装置。 A device that performs data communication with a server device and a communication control device,
An identification information extraction unit that extracts identification information from the request when a process executed by the device requests communication with the server device;
An identification information transmitting unit for transmitting the extracted identification information to the communication control device;
With
A client device. クライアント装置とサーバ装置との間のデータ通信を制御するための方法であって、
(a)前記クライアント装置で実行されるプロセスが前記サーバ装置に対する通信を要求し、それに合わせて、前記クライアント装置が、前記要求から抽出した識別情報を送信してきた場合に、前記識別情報を受信する、ステップと、
(b)前記クライアント装置から前記サーバ装置に向けて送信された通信フローを受信する、ステップと、
(c)受信された前記通信フローのヘッダ部分と前記識別情報とを照合し、両者が一致するかどうかを判定する、ステップと、
(d)前記(c)のステップによる照合の結果、前記ヘッダ部分が前記識別情報と一致する通信フローが存在する場合に、当該通信フローに対して、設定ルールに基づいて、通信制御を行う、ステップと、
を有する、
ことを特徴とする通信制御方法。 A method for controlling data communication between a client device and a server device, comprising:
(A) A process executed by the client device requests communication with the server device, and accordingly, the client device receives the identification information extracted from the request. , Step and
(B) receiving a communication flow transmitted from the client device toward the server device;
(C) collating the received header part of the communication flow with the identification information, and determining whether or not both match,
(D) As a result of collation in the step (c), when there is a communication flow in which the header portion matches the identification information, communication control is performed on the communication flow based on a setting rule. Steps,
Having
A communication control method characterized by the above. コンピュータによって、クライアント装置とサーバ装置との間のデータ通信を制御するためのプログラムであって、
前記コンピュータに、
(a)前記クライアント装置で実行されるプロセスが前記サーバ装置に対する通信を要求し、それに合わせて、前記クライアント装置が、前記要求から抽出した識別情報を送信してきた場合に、前記識別情報を受信する、ステップと、
(b)前記クライアント装置から前記サーバ装置に向けて送信された通信フローを受信する、ステップと、
(c)受信された前記通信フローのヘッダ部分と前記識別情報とを照合し、両者が一致するかどうかを判定する、ステップと、
(d)前記(c)のステップによる照合の結果、前記ヘッダ部分が前記識別情報と一致する通信フローが存在する場合に、当該通信フローに対して、設定ルールに基づいて、通信制御を行う、ステップと、
を実行させる、
ことを特徴とするプログラム。 A program for controlling data communication between a client device and a server device by a computer,
In the computer,
(A) A process executed by the client device requests communication with the server device, and accordingly, the client device receives the identification information extracted from the request. , Steps and
(B) receiving a communication flow transmitted from the client device toward the server device;
(C) collating the received header part of the communication flow with the identification information, and determining whether or not both match,
(D) As a result of collation in the step (c), when there is a communication flow in which the header portion matches the identification information, communication control is performed on the communication flow based on a setting rule. Steps,
To execute,
A program characterized by that. コンピュータによって、サーバ装置及び通信制御装置とデータ通信を行うためのプログラムであって、
前記コンピュータに、
(a)当該コンピュータで実行されるプロセスが前記サーバ装置に対する通信を要求した場合に、前記要求から、識別情報を抽出する、ステップと、
抽出された前記識別情報を、前記通信制御装置に送信する、ステップと、
実行させる、
ことを特徴とするプログラム。 A program for performing data communication with a server device and a communication control device by a computer,
In the computer,
(A) when a process executed by the computer requests communication with the server device, extracting identification information from the request;
Transmitting the extracted identification information to the communication control device; and
To execute,
A program characterized by that.
JP2018060765A 2018-03-27 2018-03-27 Communication control device, communication control method, and program Active JP7067187B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018060765A JP7067187B2 (en) 2018-03-27 2018-03-27 Communication control device, communication control method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018060765A JP7067187B2 (en) 2018-03-27 2018-03-27 Communication control device, communication control method, and program

Publications (2)

Publication Number Publication Date
JP2019176273A true JP2019176273A (en) 2019-10-10
JP7067187B2 JP7067187B2 (en) 2022-05-16

Family

ID=68167353

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018060765A Active JP7067187B2 (en) 2018-03-27 2018-03-27 Communication control device, communication control method, and program

Country Status (1)

Country Link
JP (1) JP7067187B2 (en)

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005303530A (en) * 2004-04-08 2005-10-27 Mitsubishi Electric Corp Access relay apparatus
JP2006332825A (en) * 2005-05-24 2006-12-07 Fujitsu Ltd Program, method, and device for dispersing load
US20090307753A1 (en) * 2008-06-10 2009-12-10 Bradford Networks, Inc. Network access control system and method for devices connecting to network using remote access control methods
JP2011008484A (en) * 2009-06-25 2011-01-13 Fujitsu Ltd Data processing device, data processing program, and data processing method
JP2011029900A (en) * 2009-07-24 2011-02-10 Nomura Research Institute Ltd Network management system and communication management server
WO2013080659A1 (en) * 2011-12-01 2013-06-06 Necシステムテクノロジー株式会社 Sensitive information leakage prevention system, sensitive information leakage prevention method, and computer-readable recording medium
US20130219469A1 (en) * 2012-02-16 2013-08-22 Christopher Peterson Mobile device identify factor for access control policies
JP2014036408A (en) * 2012-08-10 2014-02-24 Ntt Communications Corp Communication apparatus, communication system, communication method, and communication program
JP2015142227A (en) * 2014-01-28 2015-08-03 富士通株式会社 Communication control device, communication control method, and communication control program
JP2016514295A (en) * 2013-02-14 2016-05-19 ヴイエムウェア インコーポレイテッドVMware,Inc. Method and apparatus for application awareness in a network
CN106790313A (en) * 2017-03-31 2017-05-31 杭州迪普科技股份有限公司 Intrusion prevention method and device

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005303530A (en) * 2004-04-08 2005-10-27 Mitsubishi Electric Corp Access relay apparatus
JP2006332825A (en) * 2005-05-24 2006-12-07 Fujitsu Ltd Program, method, and device for dispersing load
US20090307753A1 (en) * 2008-06-10 2009-12-10 Bradford Networks, Inc. Network access control system and method for devices connecting to network using remote access control methods
JP2011008484A (en) * 2009-06-25 2011-01-13 Fujitsu Ltd Data processing device, data processing program, and data processing method
JP2011029900A (en) * 2009-07-24 2011-02-10 Nomura Research Institute Ltd Network management system and communication management server
WO2013080659A1 (en) * 2011-12-01 2013-06-06 Necシステムテクノロジー株式会社 Sensitive information leakage prevention system, sensitive information leakage prevention method, and computer-readable recording medium
US20130219469A1 (en) * 2012-02-16 2013-08-22 Christopher Peterson Mobile device identify factor for access control policies
JP2014036408A (en) * 2012-08-10 2014-02-24 Ntt Communications Corp Communication apparatus, communication system, communication method, and communication program
JP2016514295A (en) * 2013-02-14 2016-05-19 ヴイエムウェア インコーポレイテッドVMware,Inc. Method and apparatus for application awareness in a network
JP2015142227A (en) * 2014-01-28 2015-08-03 富士通株式会社 Communication control device, communication control method, and communication control program
CN106790313A (en) * 2017-03-31 2017-05-31 杭州迪普科技股份有限公司 Intrusion prevention method and device

Also Published As

Publication number Publication date
JP7067187B2 (en) 2022-05-16

Similar Documents

Publication Publication Date Title
EP3365828B1 (en) Methods for data loss prevention from malicious applications and targeted persistent threats
US10375086B2 (en) System and method for detection of malicious data encryption programs
EP3665573B1 (en) Real-time prevention of malicious content via dynamic analysis
JP6188832B2 (en) Method, computer program product, data processing system, and database system for processing database client requests
US9443075B2 (en) Interception and policy application for malicious communications
US10270792B1 (en) Methods for detecting malicious smart bots to improve network security and devices thereof
US10757135B2 (en) Bot characteristic detection method and apparatus
KR20180120157A (en) Data set extraction based pattern matching
JP2004304752A (en) System and method of defending attack
JP7388613B2 (en) Packet processing method and apparatus, device, and computer readable storage medium
KR101534566B1 (en) Apparatus and method for security control of cloud virtual desktop
JP6092759B2 (en) COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL METHOD, AND COMMUNICATION CONTROL PROGRAM
US10536261B2 (en) Analysis system, analysis method, and storage medium
JP7206980B2 (en) COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL METHOD AND COMMUNICATION CONTROL PROGRAM
JP7067187B2 (en) Communication control device, communication control method, and program
JP5743822B2 (en) Information leakage prevention device and restriction information generation device
JP6635029B2 (en) Information processing apparatus, information processing system, and communication history analysis method
US10819614B2 (en) Network monitoring apparatus and network monitoring method
WO2020255185A1 (en) Attack graph processing device, method, and program
EP3151147A1 (en) System and method for detection of malicious data encryption programs
CN114072798A (en) Inline malware detection
JP2016021621A (en) Communication system and communication method
KR101511474B1 (en) Method for blocking internet access using agent program
KR102156600B1 (en) System and method for creating association between packets collected in network and processes in endpoint computing device
JP7444596B2 (en) information processing system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210204

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20211008

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211207

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220107

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220329

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220411

R151 Written notification of patent or utility model registration

Ref document number: 7067187

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151