JP4412489B2 - Defense policy creation system and method for unauthorized access and program thereof - Google Patents

Defense policy creation system and method for unauthorized access and program thereof Download PDF

Info

Publication number
JP4412489B2
JP4412489B2 JP2005102806A JP2005102806A JP4412489B2 JP 4412489 B2 JP4412489 B2 JP 4412489B2 JP 2005102806 A JP2005102806 A JP 2005102806A JP 2005102806 A JP2005102806 A JP 2005102806A JP 4412489 B2 JP4412489 B2 JP 4412489B2
Authority
JP
Japan
Prior art keywords
data
program
unit
unauthorized access
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005102806A
Other languages
Japanese (ja)
Other versions
JP2006285500A (en
Inventor
靖士 佐藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2005102806A priority Critical patent/JP4412489B2/en
Publication of JP2006285500A publication Critical patent/JP2006285500A/en
Application granted granted Critical
Publication of JP4412489B2 publication Critical patent/JP4412489B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

本発明は、ネットワークに対して何らかのサービスを提供しているシステムにおいて、提供するサービスでは意図していない外部プログラムの起動やデータの参照、書き換え等の発生、もしくは発生前にそれらを検知し、その原因となったネットワークからの要求を特定して、同様のアクセスを防御するためのルールの生成を行う不正アクセスに対する防御ポリシ作成システムに関する。   The present invention, in a system providing some service to the network, detects the occurrence of external program activation, data reference, rewriting, etc. that are not intended by the provided service, or detects them before the occurrence, The present invention relates to a system for creating a defense policy against unauthorized access that identifies a request from a network that causes a problem and generates a rule for preventing similar access.

従来の不正アクセス対処ルール生成システムは、サーバ上におけるバッファオーバフロー検出部と、それによって検出された情報からパケットフィルタで利用するための不正アクセス対処ルールを生成する装置によって構成されている(例えば、特許文献1参照)。   A conventional unauthorized access countermeasure rule generation system includes a buffer overflow detection unit on a server and an apparatus that generates an unauthorized access countermeasure rule for use in a packet filter from information detected thereby (for example, a patent) Reference 1).

このような構成を有する従来のシステムは、サーバ上で動作するプログラムに対するバッファオーバフロー攻撃の検知と対応するパケットフィルタリングルールを生成するものであるが、現在の不正アクセスの形態は、これらのバッファオーバフローによるもの以外にも様々な方法がある。   The conventional system having such a configuration generates a packet filtering rule corresponding to detection of a buffer overflow attack on a program running on a server, but the current form of unauthorized access is based on these buffer overflows. There are various ways besides things.

一例として、CGI(Common Gateway Interface)の入力フィールドチェックミスによる外部プログラム起動や、設定ファイルの権限設定漏れ等による不正なファイル参照等は、これらの方式では検知できず、防御ルールを生成する事も出来ない。   As an example, an external program startup due to a CGI (Common Gateway Interface) input field check mistake or an illegal file reference due to a setting file authority setting omission cannot be detected by these methods, and a defense rule may be generated. I can't.

また、生成したルールを用いたパケットフィルタリングによるセグメントの防御では、セグメント内にワームが進入済みである場合等にはフィルタリングで防御出来ないという問題もあった。
特開2004−334607号公報 In addition, the segment protection by packet filtering using the generated rule has a problem that it cannot be protected by filtering when a worm has already entered the segment.
JP 2004-334607 A

しかしながら、従来の侵入検知システムでは、ネットワーク上を流れるデータに対して、シグネチャと呼ばれるデータの特徴を検査して不正なアクセスを検知するシステムがあったが、このシステムでは検知する対象のシグネチャ情報を先に生成する必要があり、既知でない方法によるアクセスを検知する事が出来なかった。また、ネットワークを流れるデータが暗号化されている場合、内容の検証が不可能であること、不正なデータを検知した時点では既に手遅れになっているという問題があった。   However, in the conventional intrusion detection system, there is a system for detecting illegal access to data flowing on a network by checking the characteristics of data called a signature. In this system, signature information to be detected is detected. It was necessary to generate it first, and access by an unknown method could not be detected. In addition, when data flowing through the network is encrypted, there is a problem that it is impossible to verify the contents and that it is too late at the time of detecting illegal data.

これらに対応する方法として、現在ではサービスを提供するホスト上で進入検知及び防御を行う、ホスト側のポリシベースの侵入防止システム(IPS)があり、こちらは特定領域やプロセスの振る舞いに対して設定されたポリシにしたがってアクセスを許可もしくは拒否する事が可能であるが、提供しているサービスの内容やホスト上のファイルの配置等にポリシの設定が依存するため、サービスやホスト毎に個別にポリシを設定する必要があった。   Currently, there is a policy-based intrusion prevention system (IPS) on the host side that performs intrusion detection and protection on the host that provides the service, and this is set for specific areas and process behavior. It is possible to allow or deny access according to the policy set, but the policy settings depend on the contents of the service provided and the file location on the host. Had to be set.

そこで本発明は、ホスト型ポリシベースIPSの機能により、様々な形態の不正アクセスを検出するとともに、それらによって検出された情報から、その原因となったアクセスに対してプロトコル毎にテンプレートを個別に用意し、ネットワークを介して同様な不正アクセスを受けた際に、それらのリクエストをサービスプログラムが受け付ける前にホスト上で防御する不正アクセスに対する防御ポリシ作成システム及び方法とそのプログラムを提供することを目的とする。   Therefore, the present invention detects various forms of unauthorized access by the function of the host-type policy base IPS, and prepares templates for each protocol for the access causing the access from the information detected by them. It is an object of the present invention to provide a defensive policy creation system and method and a program for preventing unauthorized access on the host before the service program accepts these requests when the same unauthorized access is received via the network. To do.

上述の課題を解決するため、本発明は、ネットワークに対してサービスを提供するシステムであって、前記ネットワークとデータを送受信するデータ送受信部と、前記データ受信部からデータを受信してサービス提供のためのプロセス処理を行うサービスプロセス部と、前記ネットワークから前記サービスプロセス部へのデータを監視して不正アクセスを検出する第1の動作監視部と、前記ネットワークから転送されたデータを一時記憶する一時記憶領域と、前記サービスプロセス部がアクセスするデータが記憶され、一部に保護指定された保護領域を有する外部記憶装置と、前記サービスプロセス部の動作を監視して、予め許可されたプログラム以外のプログラムの起動、又は前記保護領域に対する予め許可されたプログラム以外のアクセスを検出する第2の動作監視部と、前記第2の動作監視部により前記予め許可されたプログラム以外のプログラムの起動、又は前記予め許可されていないプログラムから前記保護領域へのアクセスが検出された場合には、前記一時記憶領域から当該不正アクセスの元となった情報を取り出し、その情報に基づいて前記第1の動作監視部のための不正アクセスを検出する防御ポリシを生成するポリシ生成手段と、を備えたことを特徴とする。 In order to solve the above-described problems, the present invention provides a system for providing a service to a network, the data transmitting / receiving unit transmitting / receiving data to / from the network, and the service providing by receiving data from the data receiving unit. A service process unit that performs process processing for the first time, a first operation monitoring unit that monitors data from the network to the service process unit to detect unauthorized access, and a temporary storage for temporarily transferring data transferred from the network A storage area, data to be accessed by the service process unit are stored, an external storage device having a protection area that is designated for protection in part, and the operation of the service process unit is monitored, and a program other than a program permitted in advance Program startup or access to the protected area other than those permitted in advance The second operation monitoring unit that detects the activation of the program, and the second operation monitoring unit detects activation of a program other than the program permitted in advance or access to the protection area from the program not permitted in advance. A policy generating unit that extracts information that is the source of the unauthorized access from the temporary storage area and generates a defense policy for detecting unauthorized access for the first operation monitoring unit based on the information; , Provided .

本発明による第1の効果は、ファイルやプロセスの起動に関するポリシの設定により、他のノードで利用可能な不正アクセス検出用のポリシを生成できることにある。その理由は、生成されるポリシはネットワークとの送受信部における遮断ルールとシグネチャ情報によって構成されているため、ノードのパス等に依存せずに他のノードに適用出来る為である。   A first effect of the present invention is that a policy for detecting unauthorized access that can be used by other nodes can be generated by setting a policy for starting a file or process. The reason is that the generated policy is configured by a blocking rule and signature information in a transmission / reception unit with the network, and can therefore be applied to other nodes without depending on the node path or the like.

第2の効果は、生成されたポリシを必要に応じて適用する事によって、ノード自身の安全性を自動生成ポリシによって向上させる事が可能となる。その理由は、ノード上のファイル領域等に、保護指定漏れがあった場合に、ネットワークとの送受信部で同様の攻撃から防御されるようになるため、サービスプロセスまで不正なアクセスが到達しなくなるためである。   The second effect is that the security of the node itself can be improved by the automatically generated policy by applying the generated policy as necessary. The reason is that if there is an omission of protection specification in the file area etc. on the node, the transmission / reception unit with the network will be protected from the same attack, so unauthorized access will not reach the service process. It is.

次に、本発明の最良の形態について図面を参照して説明する。   Next, the best mode of the present invention will be described with reference to the drawings.

図1は、本発明の不正アクセスに対する防御ポリシ作成システムの機能ブロック図である。ネットワークとデータを送受信するデータ送受信部1と、受信したデータを一定のサイズ分一時的に記録しておく一時記憶領域4と、データ受信部からデータを受信してデータを送受信するサービスプロセス部2と、サービスプロセスが受信したデータに対して応答するためのデータを保持、もしくは応答するためのデータを作成するための元のデータを保持する記憶装置3と、設定されているポリシに従ってサービスプロセスがデータ送受信部とやり取りするデータ、及び記憶装置に対するアクセスと、サービスプロセスの動作(子プロセス、スレッドの起動など)を監視し、不正なアクセスを検知する動作監視部5と、監視動作によって検知された不正アクセスの元となる一時記憶領域に記録された情報を元に、新規に該当するデータの受信に対する防御ポリシを作成するポリシ生成部6によって構成され、記憶装置へのアクセスポリシで検出した不正アクセス情報から、データ受信段階における不正検知ポリシを生成する。   FIG. 1 is a functional block diagram of a defense policy creation system against unauthorized access according to the present invention. A data transmitting / receiving unit 1 for transmitting / receiving data to / from the network, a temporary storage area 4 for temporarily recording received data for a certain size, and a service process unit 2 for receiving data from the data receiving unit and transmitting / receiving data The storage process 3 holds the data for responding to the data received by the service process or the original data for creating the data for responding, and the service process according to the set policy. Data exchanged with the data transmission / reception unit and access to the storage device and service process operations (child processes, thread activation, etc.) are monitored, and an operation monitoring unit 5 that detects unauthorized access and detected by the monitoring operation Based on the information recorded in the temporary storage area that is the source of unauthorized access, It is constituted by the policy generating unit 6 for creating a protection policy for the signal from unauthorized access information detected by the access policy to the storage device, generating a fraud detection policy in the data receiving step.

次に、本発明の実施例の構成について図面を参照して詳細に説明する。   Next, the configuration of the embodiment of the present invention will be described in detail with reference to the drawings.

図2は、本発明の第1の実施例の機能構成を示す。第1の実施例は、ネットワーク10からデータを受信し、外部記憶装置201にあるデータのアクセスや、サービスを行う各プロセスとそれらの起動停止、及びデータの入出力を管理するOSカーネル(動作監視機能を含む)101によって構成され、図1に示す本発明の機能を実現する。   FIG. 2 shows a functional configuration of the first embodiment of the present invention. In the first embodiment, an OS kernel (operation monitoring) that receives data from the network 10 and manages access to data in the external storage device 201, processes that perform services, their start / stop, and data input / output. 1), and implements the functions of the present invention shown in FIG.

OSカーネル101は、ネットワーク10とデータの送受信を行うデータ送受信部11と、受信したデータを一定時間、一定サイズ保存する一時記憶領域12と、OS上で動作する各プロセスの起動、停止を管理するプロセス生成部15と、OS上で動作する各プロセスによる外部記憶装置のアクセスを中継、管理するファイルアクセス部17と、それらの動作、及び入出力データを、監視ポリシ20に基づいて監視、動作の停止、許可を行う動作監視部4を含む。   The OS kernel 101 manages the data transmission / reception unit 11 that transmits / receives data to / from the network 10, the temporary storage area 12 that stores the received data for a certain period of time, and the start / stop of each process that operates on the OS. The process generation unit 15, the file access unit 17 that relays and manages the access of the external storage device by each process operating on the OS, and their operation and input / output data are monitored based on the monitoring policy 20. An operation monitoring unit 4 for stopping and permitting is included.

外部記憶装置201は、OS上で動作する各プロセスが、OSカーネル101を経由してアクセスする各データを含み、本構成では、別途監視ポリシ20によって保護指定されている保護領域22及び元々保護対象でない非保護領域24と、本来保護すべきであるが、監視ポリシ20による保護指定が漏れている保護領域(保護漏れ)23と、本全体構成によって最終的に生成される生成ポリシ21を含む。   The external storage device 201 includes data that each process operating on the OS accesses via the OS kernel 101. In this configuration, the protection area 22 and the protection target originally designated for protection by the monitoring policy 20 are provided. Non-protection area 24, a protection area (protection leakage) 23 that should be protected by the monitoring policy 20 but should be protected, and a generated policy 21 that is finally generated by this overall configuration.

上記以外に、OS上で動作しカーネル101上でサービスの提供を行うサービス提供プロセス13と、サービス提供プロセス13が、応答データを作成するために利用するサブプログラム16と、OS上で任意のコマンドを実行する事が出来る汎用シェル18と、動作監視部14及び一時記憶領域12に記録された情報を受け取って解析し、ファイルの不正アクセスからデータ受信部で該当アクセスを検知するためのポリシを作成するポリシ自動生成部19から構成される。   In addition to the above, a service providing process 13 that operates on the OS and provides a service on the kernel 101, a subprogram 16 that the service providing process 13 uses to create response data, and an arbitrary command on the OS A general-purpose shell 18 that can execute the process, and the information recorded in the operation monitoring unit 14 and the temporary storage area 12 are received and analyzed, and a policy for detecting the corresponding access by the data receiving unit from the unauthorized access to the file is created. The policy automatic generation unit 19 is configured.

図3は、ポリシ自動生成部19の詳細機能構成を示す。ポリシ自動生成部19は、動作監視部14で生成される不正アクセス情報25と一時記憶領域に記録されていた接続要求時情報26を読み込み、不正アクセスの形態が許可されていないファイルへのアクセスであるか、許可されていないプログラムの起動であるかを判定し、次の処理を決定する不正アクセス形態判定ディスパッチャ91と、そのディスパッチャが次の処理を決定するためのテーブルであるプロトコルマップ情報92と、外部プログラムの直接起動、もしくは接続要求時情報26に含まれるファイル名の直接参照時に、該当箇所を判定するためのプログラム・ファイルチェック手段93と、接続要求時情報26に含まれるデータに対応付けられるファイルに対する不正アクセス判定を行うプロトコル別ファイルマップ手段94と、マップされたファイルへのアクセス方式で、他のファイルに対する不正アクセスと共通箇所を判定するプロトコル別共通データ判定処理96と、それらの結果から、ポリシデータテンプレート97とプロトコル別ポリシ生成ガイド98を読み込んで生成ポリシ21を生成するポリシデータ生成手段95と、これらの処理で判定した不正アクセスの特徴データを蓄積する不正アクセス特徴データ蓄積統計情報27を有する。   FIG. 3 shows a detailed functional configuration of the policy automatic generation unit 19. The policy automatic generation unit 19 reads the unauthorized access information 25 generated by the operation monitoring unit 14 and the connection request time information 26 recorded in the temporary storage area, and accesses a file for which unauthorized access is not permitted. An unauthorized access mode determination dispatcher 91 that determines whether there is a program that is not permitted or not, and determines the next process; and protocol map information 92 that is a table for the dispatcher to determine the next process; When the external program is directly started or when the file name included in the connection request time information 26 is directly referred to, the program / file check means 93 for determining the corresponding part is associated with the data included in the connection request time information 26. Protocol-specific file map means 94 for determining unauthorized access to a file to be accessed The protocol-based common data determination process 96 for determining unauthorized access to other files and the common location in the mapped file access method, and the policy data template 97 and the protocol-specific policy generation guide 98 are read from the results. The policy data generation means 95 for generating the generation policy 21 and the unauthorized access feature data storage statistical information 27 for storing the unauthorized access feature data determined by these processes.

生成ポリシ21には、XからYへのZサービスへのデータ受信を一時的に遮断、もしくは監視という情報と、監視対象とするリクエストデータの特徴情報(シグネチャに相当)の両方を含む。   The generation policy 21 includes both information on temporarily receiving or monitoring data reception from the X service to the Y service, and characteristic information (corresponding to a signature) of request data to be monitored.

次に、図2を参照して本発明の第1の実施例の動作について説明する。   Next, the operation of the first embodiment of the present invention will be described with reference to FIG.

サービス提供プロセスは、ネットワーク10からサービスの要求(リクエストデータ)を受け付けるため、通常はデータ送受信部に対して受信要求を出したままデータ受付を待ち合わせているものとする。   In order to receive a service request (request data) from the network 10, the service providing process normally waits for data reception while issuing a reception request to the data transmitting / receiving unit.

本発明では予め動作監視部14には、保護領域22に対してサブプログラム16以外によるアクセスを禁止するポリシが適用されており、図中のサービス提供プロセス13や、汎用シェル18によるアクセスがファイルアクセス部17を経由して実施されたばあい、動作監視部14によってアクセスが停止するポリシが適用されている。   In the present invention, a policy for prohibiting access to the protection area 22 by other than the subprogram 16 is applied to the operation monitoring unit 14 in advance, and access by the service providing process 13 or the general-purpose shell 18 in the figure is file access. When implemented via the unit 17, a policy is applied in which access is stopped by the operation monitoring unit 14.

また、別途監視ポリシ20には、サブプログラム16からは他のプロセスの起動を禁止するポリシが記述され、動作監視部14に適用されており、サブプログラム16から外部プログラムを起動するためにプロセス生成部15が呼び出された場合には、動作監視部14によって起動が阻止されるものとする。   Further, in the separate monitoring policy 20, a policy for prohibiting activation of other processes is described from the subprogram 16 and applied to the operation monitoring unit 14, and a process is generated to activate an external program from the subprogram 16. When the unit 15 is called, the operation monitoring unit 14 is prevented from starting.

またサービス提供プロセス13には、サブプログラム16以外の外部プロセスの起動を禁止するポリシが記述され、動作監視部14に適用されており、サブプログラム16以外の汎用シェル18等をプロセス生成部15を経由して起動しようとした場合には動作監視部14によって阻止されるものとする。   In the service providing process 13, a policy for prohibiting the activation of external processes other than the subprogram 16 is described and applied to the operation monitoring unit 14. The general-purpose shell 18 other than the subprogram 16 is connected to the process generation unit 15. It is assumed that the operation monitoring unit 14 prevents the user from starting via the Internet.

一時記憶領域12に記録される情報は、ネットワークから受信した接続要求データの先頭から一定のサイズ分と、受信時のネットワーク属性(アドレスやポート、プロトコル等)及び、受信要求を出しているサービス提供プロセスの情報と、サービス要求プロセス内でデータ送受信部に受信要求をしているデータの入出力経路(ソケットディスクリプタやハンドル等)を記録する。   The information recorded in the temporary storage area 12 includes a certain size from the beginning of the connection request data received from the network, the network attributes (address, port, protocol, etc.) at the time of reception, and the service providing the reception request The process information and the input / output path (socket descriptor, handle, etc.) of the data requesting reception to the data transmitter / receiver in the service request process are recorded.

なお、最初の段階では、監視ポリシ20にはデータ送受信部における受信データ検証による動作制限は設定されていない。   Note that at the first stage, the monitoring policy 20 is not set with operation restrictions based on received data verification in the data transmission / reception unit.

処理1−1:
まず、ネットワーク10からデータ送受信部11がサービス提供プロセス13によって提供されるサービスに対するリクエストデータを受信すると、データ送受信部は受信要求したプロセスの情報等と共に一時記憶領域12に受信データを記録し、動作監視部14に受信データとサービス提供プロセス13への中継許可を確認した後、サービス提供プロセス13にリクエストデータを転送する。 Process 1-1
First, when the data transmission / reception unit 11 receives request data for the service provided by the service providing process 13 from the network 10, the data transmission / reception unit records the received data in the temporary storage area 12 together with the information of the process requested to receive the data. After confirming the received data and the relay permission to the service providing process 13 in the monitoring unit 14, the request data is transferred to the service providing process 13.

処理1−2:
サービス提供プロセス13は、受け取ったデータを解析しサービス提供に必要な情報をファイルアクセス部17を経由して外部記憶装置201に取りに行く。ファイルアクセス部17は、動作監視部14に対してアクセス元のプロセスと、アクセス先を通知し、許可されていれば(アクセスしたデータが非保護領域であった場合)該当データをサービス提供プロセス13に戻す。 Process 1-2:
The service providing process 13 analyzes the received data and goes to the external storage device 201 via the file access unit 17 for information necessary for providing the service. The file access unit 17 notifies the operation monitoring unit 14 of the access source process and the access destination. If the access is permitted (if the accessed data is a non-protected area), the file access unit 17 transfers the corresponding data to the service providing process 13. Return to.

処理1−3:
処理1−2でリクエストデータに対する応答を取り出したサービス提供プロセス13は、データ送受信部を経由してネットワーク10にリクエストデータに対する応答を返す。データ送受信部はネットワークにデータを戻す前に、動作監視部14で応答データ送信の可否判定を行う。
応答返却後、対応する一時記憶領域に記録されているデータを削除する。 Process 1-3:
The service providing process 13 that has extracted the response to the request data in the process 1-2 returns the response to the request data to the network 10 via the data transmission / reception unit. The data transmission / reception unit determines whether or not response data transmission is possible in the operation monitoring unit 14 before returning the data to the network.
After returning the response, the data recorded in the corresponding temporary storage area is deleted.

処理1−4:
処理1−2でサービス提供プロセス13が参照した先が、保護領域22であった場合、該当アクセスは不正と見做され、一時記憶領域の情報と、アクセスしようとした先のパスの情報と合わせてポリシ自動生成部19に通知される。ポリシ自動生成部19が受信データを処理する箇所は後述する。 Process 1-4:
If the destination referenced by the service providing process 13 in the process 1-2 is the protected area 22, the access is regarded as illegal, and the information of the temporary storage area and the information of the path of the destination to be accessed are combined. The policy automatic generation unit 19 is notified. The location where the policy automatic generation unit 19 processes the received data will be described later.

処理1−5:
処理1−2でサービス提供プロセス13が、サブプログラム16以外の外部プログラムをプロセス生成部15経由で起動しようとした場合、動作監視部14によってプロセスの起動が阻止され、一時記憶領域に記録されたリクエストデータと、起動しようとしたプログラムの情報がポリシ自動生成部19に通知される。ポリシ自動生成部19が受信データを処理する箇所は後述する。
次に、サービス提供プログラムが、応答データを作成するために、他のサブプログラム(CGIやその他のツール)を起動してデータを作成する場合の処理を説明する。 Process 1-5:
In the process 1-2, when the service providing process 13 tries to start an external program other than the subprogram 16 via the process generation unit 15, the operation monitoring unit 14 prevents the process from starting and is recorded in the temporary storage area. The request data and the information of the program to be started are notified to the policy automatic generation unit 19. The location where the policy automatic generation unit 19 processes the received data will be described later.
Next, a process when the service providing program creates data by starting other subprograms (CGI or other tools) in order to create response data will be described.

処理2−1:
処理1−1までは同様に処理する。 Process 2-1
The same processing is performed up to processing 1-1.

処理2−2:
サービス提供プロセス13は、受け取ったデータを解析し、応答データ作成に必要なサブプログラム16をプロセス生成部15を経由して起動する。この際プロセス生成部15は、別途動作監視部14にプロセス生成の可否判定を行う。プロセス起動可であれば、サブプログラム16を起動する。 Process 2-2:
The service providing process 13 analyzes the received data and activates the subprogram 16 necessary for creating response data via the process generation unit 15. At this time, the process generation unit 15 separately determines whether or not the process monitoring unit 14 can generate the process. If the process can be started, the subprogram 16 is started.

処理2−3:
サブプログラム16は、保護領域10のデータを参照して応答データを作成し、サービス提供プロセス13に通知する。 Process 2-3:
The subprogram 16 creates response data by referring to the data in the protected area 10 and notifies the service providing process 13 of the response data.

処理2−4:
処理1−3と同様に処理する。 Process 2-4:
Processing is the same as processing 1-3.

処理2−5:
処理2−2において、サービス提供プロセス13が起動しようとしたプロセスがサブプログラム16以外であった場合、動作監視部14によってプロセスの起動が阻止され、一時記憶領域に記録されたリクエストデータと、起動しようとしたプログラムの情報がポリシ自動生成部19に通知される。ポリシ自動生成部19が受信データを処理する箇所は後述する。 Process 2-5:
In process 2-2, if the process that the service providing process 13 is trying to start is other than the subprogram 16, the operation monitoring unit 14 prevents the process from being started, the request data recorded in the temporary storage area, and the start Information about the program to be tried is notified to the policy automatic generation unit 19. The location where the policy automatic generation unit 19 processes the received data will be described later.

処理2−6:
処理2−3において、サブプログラム16がプロセス生成部15を経由して他のプロセス(汎用シェル18等)を起動しようとした場合、動作監視部14によって阻止され、一時記憶領域に記録されたリクエストデータと、起動しようとしたプログラムの情報がポリシ自動生成部19に通知される。ポリシ自動生成部19が受信データを処理する箇所は後述する。 Process 2-6:
In processing 2-3, when the subprogram 16 tries to start another process (general shell 18 or the like) via the process generation unit 15, the request that is blocked by the operation monitoring unit 14 and recorded in the temporary storage area The data and the information of the program to be started are notified to the policy automatic generation unit 19. The location where the policy automatic generation unit 19 processes the received data will be described later.

いずれの処理においても、不正アクセス検知後自動生成部9にデータを送信した場合、一時記憶領域のデータは削除する。   In any process, when data is transmitted to the automatic generation unit 9 after detecting unauthorized access, the data in the temporary storage area is deleted.

次に、ポリシ自動生成部19が上記にて動作監視部14による検知情報と、一時記憶領域にあるデータを受信した後、生成ポリシ21を生成するまでの処理を記述する。   Next, the process from when the policy automatic generation unit 19 receives the detection information by the operation monitoring unit 14 and the data in the temporary storage area to the generation of the generation policy 21 will be described.

処理3−1:
不正アクセス形態判定ディスパッチャ91が、動作監視部14で生成される不正アクセス情報25と一時記憶領域に記録されていた接続要求時情報26を読み込み、接続要求時情報26に記録されたプロトコル情報が、プロトコルマップ情報92に記録されたプロトコルである場合、93のマップ情報に従って、接続要求時情報を分解し、プロトコル別ファイルマップ手段94を呼び出す。そうでない場合はプログラム・ファイルチェック手段93を呼び出す。 Process 3-1:
The unauthorized access mode determination dispatcher 91 reads the unauthorized access information 25 generated by the operation monitoring unit 14 and the connection request time information 26 recorded in the temporary storage area, and the protocol information recorded in the connection request time information 26 is If the protocol is recorded in the protocol map information 92, the connection request time information is disassembled according to the map information 93 and the protocol-specific file map means 94 is called. If not, the program / file check means 93 is called.

処理3−2:
プログラム・ファイルチェック手段93は、不正アクセス情報25から、不正アクセスの形態が以下のいずれであるかを判定する。 Process 3-2:
The program / file check means 93 determines from the unauthorized access information 25 which of the following forms of unauthorized access.

不正アクセス形態1:許可されていないプログラムの起動であること。   Unauthorized access mode 1: Start of an unauthorized program.

不正アクセス形態2:許可されていないファイルへのアクセスであること。   Unauthorized access mode 2: Access to an unauthorized file.

上記判定後、接続要求時情報26に、不正アクセス情報25に記録された不正にアクセスされたファイル、もしくはプログラムが記録されているかどうかを確認する。この際、不正アクセス形態1の場合は、パス中のプログラム名のみの一致判定を行い、ファイルへのアクセスの場合はパスが後方一致しているかどうかで判定する。本判定で一致している場合には、サービスプログラムの脆弱性を攻撃されている可能性が高いと判定して、パス以外のデータを不正アクセス特徴データ蓄積統計情報27に記録する。この際過去に記録されている特徴データに条件一致するものがあれば、該当する特徴データの一致頻度情報を上げる。一定以上頻度情報が上がった場合、該当箇所は不正アクセス手段のデータと見做して、ポリシデータ生成手段95を実行する。   After the above determination, it is confirmed whether or not the illegally accessed file or program recorded in the unauthorized access information 25 is recorded in the connection request time information 26. At this time, in the case of the unauthorized access form 1, only the program name in the path is determined to match, and in the case of access to the file, it is determined whether or not the path matches backward. If they match in this determination, it is determined that the vulnerability of the service program is highly likely to be attacked, and data other than the path is recorded in the unauthorized access feature data accumulation statistical information 27. At this time, if there is a feature-matching feature data recorded in the past, the matching frequency information of the corresponding feature data is increased. When the frequency information rises above a certain level, the corresponding part is regarded as data of unauthorized access means, and the policy data generation means 95 is executed.

処理3−3:
プロトコル別ファイルマップ手段94は、既知のプロトコルで、接続要求時情報26に含まれる記述もしくはデータと、実ファイルとのマッピングを取る形式が既知であるもの(例えばhttpにおけるリクエストURLと実際のコンテンツが置いてあるファイルパスとのマッピング等)について、プロトコル別共通データ判定処理96を利用し、不正アクセスの形態が以下のいずれであるかを判定する。判定には不正アクセス情報25も利用する。 Process 3-3:
The protocol-specific file map means 94 is a known protocol and has a known format for mapping the description or data included in the connection request time information 26 to the actual file (for example, the request URL in http and the actual content are For the mapping to the file path, etc., the common data determination processing 96 for each protocol is used to determine which of the following types of unauthorized access is made. The unauthorized access information 25 is also used for the determination.

不正アクセス形態3:プロトコル的に正しく、サービス提供側のアクセス制御の設定が漏れているもの(例えば、httpのリクエストURLが、該当ファイルにマップされていて、直接URLを指定するだけで保護領域のデータに参照できてしまうような場合)。   Unauthorized access mode 3: Protocol is correct and access control settings on the service provider side are missing (for example, the request URL of http is mapped to the corresponding file, and the protected area can be specified by directly specifying the URL. If you can refer to the data).

不正アクセス形態4:サービス提供プログラムは正常に処理しているが、そこから起動されるサブプログラムの問題により、保護領域のファイルがアクセスされているもの。もしくは本来起動出来ないプログラムを起動しているもの(リクエストURLのcgi等の引き数情報に、不正アクセス情報25に記録されているファイルもしくはプログラムのパスに関する情報が記述されているもの)。   Unauthorized access mode 4: A service providing program is processed normally, but a file in a protected area is accessed due to a problem of a subprogram started from the program. Or, a program that cannot be started originally is started (information on the file or program path recorded in the unauthorized access information 25 is described in the argument information such as cgi of the request URL).

不正アクセス形態5:サービス提供プログラムから本来起動出来ないプログラムが起動している、もしくはファイルにアクセスしていて、かつプロトコル的に該当ファイルもしくはプログラムパスへのアクセスが出来ない設定になっているもの(バッファオーバラン等のサービス提供プログラムの脆弱性により、プログラムが乗っ取られている場合、もしくは内部処理の問題で、任意のコマンドやファイルがアクセス出来てしまう脆弱性を攻撃されている場合)。   Unauthorized access mode 5: A program that cannot be started from the service providing program is running, or the file is being accessed and the protocol is set so that the relevant file or program path cannot be accessed ( (If the program is hijacked due to a vulnerability in the service provision program such as buffer overrun, or if a vulnerability in which an arbitrary command or file can be accessed due to an internal processing problem)

処理3−4:
判定した不正アクセス形態に応じて、別途プロトコル別共通データ判定処理96を呼び出し、それまでの呼び出しとの共通情報を不正アクセスの形態毎に抽出する(リクエストデータのヘッダに共通の不正な文字列がある、リクエストURLのCGIの引き数に不正な共通文字がある、など)。共通データ抽出後、ポリシデータ生成手段95を呼び出す。 Process 3-4:
Depending on the determined unauthorized access mode, a protocol-specific common data determination process 96 is separately called, and common information with the previous call is extracted for each unauthorized access mode (the illegal character string common to the request data header is There is an illegal common character in the CGI argument of the request URL). After the common data is extracted, the policy data generation means 95 is called.

処理3−5:
ポリシデータ生成手段95は、上記の処理で生成された不正アクセス特徴データ蓄積統計情報27と、ポリシデータテンプレート97を使って、サービスが受け付ける接続要求に不正なデータが混入している場合にこれをブロックするポリシを生成する。この際、プロトコルが既知の物である場合には、別途プロトコル別ポリシ生成ガイド98の情報に従って、生成ポリシ21を生成する(不正アクセス先のパスデータをプロトコル上でのデータに逆変換する必要がある場合があるため)。 Process 3-5:
The policy data generation means 95 uses the unauthorized access feature data accumulation statistical information 27 generated by the above processing and the policy data template 97, and when the unauthorized data is mixed in the connection request accepted by the service, this is performed. Generate a blocking policy. At this time, if the protocol is already known, the generation policy 21 is generated separately according to the information of the policy generation guide 98 for each protocol (necessary to reversely convert the path data of the illegal access destination into the data on the protocol. Because there may be).

次に、第1の実施例の効果について説明する。第1の実施例では、不正なファイルへのアクセスや不正なプログラムの起動処理まで到達した状態で同様の不正アクセスを検知した場合に、より前の段階で防御するためのポリシを自動的に生成出来るため、不正なアクセスをより早い段階で検出出来るようになる。   Next, the effect of the first embodiment will be described. In the first embodiment, when a similar unauthorized access is detected in a state where access to an unauthorized file or unauthorized program startup processing has been reached, a policy for protection at an earlier stage is automatically generated. This makes it possible to detect unauthorized access at an earlier stage.

また、本発明で生成される特徴データを利用したポリシは、ノード固有の情報を含まない(共通情報抽出時に、処理3−2でノード固有のパスを除外している)ため、他のノードに生成したポリシを反映する事により、該当ノードに対する同様の攻撃を未然に防止する事が可能となる。   In addition, the policy using the feature data generated in the present invention does not include node-specific information (when the common information is extracted, the node-specific path is excluded in the process 3-2). By reflecting the generated policy, it is possible to prevent a similar attack on the corresponding node.

実施例1では、動作監視による不正アクセス検出を、ファイルとプロセス生成についてのみ記述しているが、その他に以下の形態の不正アクセスについて検出を追加し、同様にポリシを作成する構成を取る事が可能である。   In the first embodiment, the unauthorized access detection by the operation monitoring is described only for the file and the process generation. However, it is possible to add the detection for the unauthorized access of the following form and create a policy in the same manner. Is possible.

不正アクセス形態6:サービス提供プログラムは正常に処理しているが、そこから起動されるサブプログラムの問題により、本来実行出来ないネットワークアクセスやサービスへのアクセスを実行しているもの(リクエストURLのcgi等の引き数情報に、不正アクセス情報25に記録されているネットワークアドレス、もしくはホスト名、URL、サービス等に関する情報が記述されているもの)。   Unauthorized access mode 6: The service providing program is processing normally, but it is executing a network access or access to a service that cannot be executed due to a problem of a subprogram started from the program (request URL cgi) The information on the network address or host name, URL, service, etc. recorded in the unauthorized access information 25 is described in the argument information such as.

不正アクセス形態7:サービス提供プログラムから本来発生しない(プログラム的にネットワークに対してサービスプログラム自身が接続を行う事がない、もしくは設定により該当アドレス、ホストへのアクセスが発生しないような設定になっている)ネットワークへのアクセスが発生しているもの(バッファオーバラン等のサービス提供プログラムの脆弱性により、プログラムが乗っ取られている場合、もしくは内部処理の問題で、任意のネットワークへのアクセス、もしくは他のサービスへの接続が出来てしまう脆弱性を攻撃されている場合)。   Unauthorized access form 7: Originally not generated from the service providing program (the service program itself does not connect to the network programmatically, or the setting is such that access to the corresponding address and host does not occur by setting. Access to the network (if the program is hijacked due to a vulnerability in the service provision program such as buffer overrun, or because of internal processing problems, access to any network, or other If you are attacking a vulnerability that can connect to the service).

上記について、ポリシ自動生成部19に、別途プログラム・ファイルチェック手段93と同様なネットワーク・サービスチェック手段を定義する事により、生成ポリシ21を生成する事が可能である。   With respect to the above, it is possible to generate the generation policy 21 by separately defining a network service check unit similar to the program / file check unit 93 in the policy automatic generation unit 19.

また、生成ポリシ21は第1の実施例では、外部記憶装置上に生成しているが、これらを動的にネットワークに転送、もしくはメモリ上に蓄積する、またはその両方を行う構成を取る事も可能である。   In the first embodiment, the generation policy 21 is generated on the external storage device. However, the generation policy 21 may be dynamically transferred to the network, stored in the memory, or both. Is possible.

本発明の機能ブロック図である。It is a functional block diagram of the present invention. 第1の実施例の機能構成図である。It is a functional block diagram of a 1st Example. ポリシ自動生成部の詳細機能構成図である。It is a detailed functional block diagram of a policy automatic generation part.

符号の説明Explanation of symbols

1 データ送受信部
2 サービスプロセス部
3 記憶装置
4 一時記憶領域
5 動作監視部
6 ポリシ生成部 1 Data Transmission / Reception Unit 2 Service Process Unit 3 Storage Device 4 Temporary Storage Area 5 Operation Monitoring Unit 6 Policy Generation Unit

Claims (3)

ネットワークに対してサービスを提供するシステムであって、
前記ネットワークとデータを送受信するデータ送受信部と、
前記データ受信部からデータを受信してサービス提供のためのプロセス処理を行うサービスプロセス部と、
前記ネットワークから前記サービスプロセス部へのデータを監視して不正アクセスを検出する第1の動作監視部と、
前記ネットワークから転送されたデータを一時記憶する一時記憶領域と、
前記サービスプロセス部がアクセスするデータが記憶され、一部に保護指定された保護領域を有する外部記憶装置と、
前記サービスプロセス部の動作を監視して、予め許可されたプログラム以外のプログラムの起動、又は前記保護領域に対する予め許可されたプログラム以外のアクセスを検出する第2の動作監視部と、
前記第2の動作監視部により前記予め許可されたプログラム以外のプログラムの起動、又は前記予め許可されていないプログラムから前記保護領域へのアクセスが検出された場合には、前記一時記憶領域から当該不正アクセスの元となった情報を取り出し、その情報に基づいて前記第1の動作監視部のための不正アクセスを検出する防御ポリシを生成するポリシ生成手段と、
を備えたことを特徴とする不正アクセスに対する防御ポリシ作成システム。 A system that provides services to a network,
A data transmission / reception unit for transmitting / receiving data to / from the network;
A service process unit that receives data from the data receiving unit and performs a process for providing a service;
A first operation monitoring unit that detects unauthorized access by monitoring data from the network to the service process unit;
A temporary storage area for temporarily storing data transferred from the network;
Data that is accessed by the service process unit is stored, and an external storage device having a protection area designated as protected in part,
A second operation monitoring unit that monitors the operation of the service process unit and detects activation of a program other than a program permitted in advance or access other than a program permitted in advance to the protection area;
If the second operation monitoring unit detects the start of a program other than the pre-permitted program or the access from the non-pre-permitted program to the protection area, the illegal storage is performed from the temporary storage area. Policy generating means for extracting information that is a source of access and generating a defense policy for detecting unauthorized access for the first operation monitoring unit based on the information;
A system for creating a defense policy against unauthorized access, characterized by comprising: ネットワークに対してサービスを提供するシステムの不正アクセスに対する防御ポリシ作成方法であって、
前記ネットワークから転送されたデータを一時記憶する一時記憶領域と、
サービスプロセス部がアクセスするデータが記憶され、一部に保護指定された保護領域を有する外部記憶装置とを有し、
データ送受信部により前記ネットワークとデータを送受信する工程と、
サービスプロセス部により前記データ受信部からデータを受信してサービス提供のためのプロセス処理を行う工程と、
第1の動作監視部により前記ネットワークから前記サービスプロセス部へのデータを監視して不正アクセスを検出する工程と、
第2の動作監視部により前記サービスプロセス部の動作を監視して、予め許可されたプログラム以外のプログラムの起動、又は前記保護領域に対する予め許可されたプログラム以外のアクセスを検出する工程と、
ポリシ生成手段により前記第2の動作監視部により前記予め許可されたプログラム以外のプログラムの起動、又は前記予め許可されていないプログラムから前記保護領域へのアクセスが検出された場合には、前記一時記憶領域から当該不正アクセスの元となった情報を取り出し、その情報に基づいて前記第1の動作監視部のための不正アクセスを検出する防御ポリシを生成する工程と、
を含むことを特徴とする不正アクセスに対する防御ポリシ作成方法。 A method for creating a defense policy against unauthorized access of a system providing a service to a network,
A temporary storage area for temporarily storing data transferred from the network;
Data that is accessed by the service process unit is stored, and a part of the external storage device having a protection area designated for protection is included.
Transmitting and receiving data to and from the network by a data transmitting and receiving unit;
Receiving a data from the data receiving unit by a service process unit and performing a process for providing a service;
Monitoring data from the network to the service process unit by a first operation monitoring unit to detect unauthorized access;
Monitoring the operation of the service process unit by a second operation monitoring unit to detect activation of a program other than a previously permitted program or access other than a previously permitted program to the protection area; and
If the policy generation means detects activation of a program other than the program permitted in advance by the second operation monitoring unit or access to the protection area from the program not permitted in advance, the temporary storage Extracting information from the area that is the source of the unauthorized access, and generating a defense policy for detecting unauthorized access for the first operation monitoring unit based on the information;
A method for creating a defense policy against unauthorized access , comprising : コンピュータを、
ネットワークとデータを送受信するデータ送受信部と、
前記データ受信部からデータを受信してサービス提供のためのプロセス処理を行うサービスプロセス部と、
前記ネットワークから前記サービスプロセス部へのデータを監視して不正アクセスを検出する第1の動作監視部と、
前記サービスプロセス部の動作を監視して、予め許可されたプログラム以外のプログラムの起動、又は前記サービスプロセス部がアクセスするデータを記憶する外部記憶装置の保護指定された保護領域に対する予め許可されたプログラム以外のアクセスを検出する第2の動作監視部と、
前記第2の動作監視部により前記予め許可されたプログラム以外のプログラムの起動、又は前記予め許可されていないプログラムから前記保護領域へのアクセスが検出された場合には、前記ネットワークから転送されたデータを一時記憶する一時記憶領域から当該不正アクセスの元となった情報を取り出し、その情報に基づいて前記第1の動作監視部のための不正アクセスを検出する防御ポリシを生成するポリシ生成手段と、
して機能させるためのプログラム。 Computer
A data transceiver for transmitting and receiving data to and from the network;
A service process unit that receives data from the data receiving unit and performs a process for providing a service;
A first operation monitoring unit that detects unauthorized access by monitoring data from the network to the service process unit;
Pre-permitted program for a protection designated protection area of an external storage device that monitors the operation of the service process unit and starts a program other than a pre-permitted program or stores data accessed by the service process unit A second operation monitoring unit for detecting access other than
Data transferred from the network when the second operation monitoring unit detects activation of a program other than the pre-permitted program or access to the protection area from the non-pre-permitted program Policy generation means for extracting information that is the source of the unauthorized access from a temporary storage area that temporarily stores the information and generating a defense policy for detecting unauthorized access for the first operation monitoring unit based on the information;
Program to make it function .
JP2005102806A 2005-03-31 2005-03-31 Defense policy creation system and method for unauthorized access and program thereof Expired - Fee Related JP4412489B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005102806A JP4412489B2 (en) 2005-03-31 2005-03-31 Defense policy creation system and method for unauthorized access and program thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005102806A JP4412489B2 (en) 2005-03-31 2005-03-31 Defense policy creation system and method for unauthorized access and program thereof

Publications (2)

Publication Number Publication Date
JP2006285500A JP2006285500A (en) 2006-10-19
JP4412489B2 true JP4412489B2 (en) 2010-02-10

Family

ID=37407382

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005102806A Expired - Fee Related JP4412489B2 (en) 2005-03-31 2005-03-31 Defense policy creation system and method for unauthorized access and program thereof

Country Status (1)

Country Link
JP (1) JP4412489B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2443017C1 (en) * 2010-07-30 2012-02-20 Федеральное Государственное Унитарное Предприятие "Концерн "Системпром" System of data protection from unauthorized access to the data that constitutes national security information
RU2444057C1 (en) * 2010-07-01 2012-02-27 Федеральное Государственное Унитарное Предприятие "Концерн "Системпром" System for preventing unauthorised access to confidential information and information containing personal details

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2444057C1 (en) * 2010-07-01 2012-02-27 Федеральное Государственное Унитарное Предприятие "Концерн "Системпром" System for preventing unauthorised access to confidential information and information containing personal details
RU2443017C1 (en) * 2010-07-30 2012-02-20 Федеральное Государственное Унитарное Предприятие "Концерн "Системпром" System of data protection from unauthorized access to the data that constitutes national security information

Also Published As

Publication number Publication date
JP2006285500A (en) 2006-10-19

Similar Documents

Publication Publication Date Title
JP4177957B2 (en) Access control system
US10361998B2 (en) Secure gateway communication systems and methods
JP4405248B2 (en) Communication relay device, communication relay method, and program
KR100604604B1 (en) Method for securing system using server security solution and network security solution, and security system implementing the same
JP2008204468A (en) Access control system
US9590993B2 (en) Filtering kernel-mode network communications
RU2618946C1 (en) Method to lock access to data on mobile device with api for users with disabilities
US9081956B2 (en) Remote DOM access
CN110022319B (en) Attack data security isolation method and device, computer equipment and storage equipment
AU2018208696B2 (en) Microkernel gateway server
JP4412489B2 (en) Defense policy creation system and method for unauthorized access and program thereof
US8904487B2 (en) Preventing information theft
KR100544674B1 (en) Dynamic Changing Method of Intrusion Detection Rule In Kernel Level Intrusion Detection System
KR101775518B1 (en) Method of prividing browser using browser process for each access permission and apparatus using the same
KR101910496B1 (en) Network based proxy setting detection system through wide area network internet protocol(IP) validation and method of blocking harmful site access using the same
KR101064201B1 (en) Right managing device of web data, recording medium for operating right managing method of web data and apparatus and method for providing information for right management
KR20220097037A (en) Data leak prevention system
US20160378982A1 (en) Local environment protection method and protection system of terminal responding to malicious code in link information
KR101997181B1 (en) Apparatus for managing domain name servide and method thereof
JP2009169895A (en) Information leakage detecting method, information leakage detection device
JP4629291B2 (en) Method and system for verifying client requests
KR101511474B1 (en) Method for blocking internet access using agent program
KR101482886B1 (en) Apparatus and method of data loss prevention using file tagging
KR102156600B1 (en) System and method for creating association between packets collected in network and processes in endpoint computing device
KR101203774B1 (en) Communication Method of Agent Using ARP, Network Access Control Method Using ARP and Network System

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060911

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20080520

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090724

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090806

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091005

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20091028

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121127

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4412489

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091110

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121127

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131127

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees