JP2011138189A - Communication device and program - Google Patents

Communication device and program Download PDF

Info

Publication number
JP2011138189A
JP2011138189A JP2009295961A JP2009295961A JP2011138189A JP 2011138189 A JP2011138189 A JP 2011138189A JP 2009295961 A JP2009295961 A JP 2009295961A JP 2009295961 A JP2009295961 A JP 2009295961A JP 2011138189 A JP2011138189 A JP 2011138189A
Authority
JP
Japan
Prior art keywords
file
data
extension
acquisition
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009295961A
Other languages
Japanese (ja)
Inventor
Junichi Hatsuda
淳一 初田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Lac Co Ltd
Original Assignee
Lac Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lac Co Ltd filed Critical Lac Co Ltd
Priority to JP2009295961A priority Critical patent/JP2011138189A/en
Publication of JP2011138189A publication Critical patent/JP2011138189A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To early diagnose the risk of a file using a specific part of data of the file when receiving the data. <P>SOLUTION: A packet extraction part 34 extracts packets which are transmitted from a client and contain data of an HTTP request requesting acquisition of the file, out of the packets captured by a capturing part 31. A file type acquisition part 35 obtains a file extension of which acquisition is requested from a request row of the HTTP request. Then, the packet extraction part 34 extracts the packets including the data of an HTTP response corresponding to the HTTP request. The file type acquisition part 35 obtains the magic number of the file from the data head of the file included in the HTTP response. A risk determination part 36 determines, depending on whether the file extension and the magic number represent the same type or not, the existence of risks of the file. <P>COPYRIGHT: (C)2011,JPO&INPIT

Description

本発明は、通信装置及びプログラムに関する。   The present invention relates to a communication device and a program.

近年流行しているコンピュータウィルスの中には、攻撃者が用意したインターネット上のサーバから更に別のウイルスをダウンロードして、企業等のコンピュータに感染させる機能を持っているものがある。ウイルスへの感染が広まると、企業等は、個人情報等の機密情報が漏えいするといった深刻な被害を受けることになる。   Some of the computer viruses that have become popular in recent years have a function of downloading another virus from a server on the Internet prepared by an attacker and infecting a computer of a company or the like. If the virus infection spreads, companies will suffer serious damage such as leakage of confidential information such as personal information.

これらのウイルスの中には、例えば、画像ファイルをダウンロードするように見せかけて、実際には実行形式のEXEファイルをダウンロードするものがある。ここでダウンロードされるファイルは、ファイル名に付けられた拡張子とファイルの中身のデータが整合しておらず、拡張子を詐称するものである。このようなファイルは、ウイルスである可能性が極めて高い不審なものであると言える。   Some of these viruses, for example, appear to download an image file and actually download an executable EXE file. In the file downloaded here, the extension attached to the file name and the data in the file do not match, and the extension is misrepresented. Such a file can be said to be a suspicious one that is very likely to be a virus.

ここで、公報記載の技術として、特許文献1には、コンピュータウィルスの検出に用いられるコンピュータウィルス固有情報を抽出するコンピュータウィルス固有情報抽出装置であって、コンピュータウィルスであると特定された実行ファイルを取得する取得手段と、実行ファイルにおいて固有であるとみなし得る情報の格納領域であると予め決められた特定領域に含まれる情報を、前記取得手段により取得された実行ファイルからコンピュータウィルス固有情報として抽出する抽出手段とを有することを特徴とするコンピュータウィルス固有情報抽出装置が記載されている。   Here, as a technique described in the publication, Patent Document 1 discloses a computer virus specific information extraction apparatus that extracts computer virus specific information used for detection of a computer virus, and an executable file that is identified as a computer virus. Extracting information included in a specific area that is determined to be a storage area for information that can be regarded as unique in the execution file and the acquisition means to be acquired as computer virus specific information from the execution file acquired by the acquisition means There is described a computer virus specific information extracting device characterized in that it has an extracting means.

再表2005−103895号公報No. 2005-103895

この特許文献1の技術では、コンピュータウィルスであると特定された実行ファイルのヘッダ領域の一部から、コンピュータウィルス固有情報を抽出している。一般に、ファイルのヘッダ領域にはファイルの種別を表すデータも格納されており、ファイルが上記のような拡張子を詐称するものである否かを診断する際に、このデータを利用することも考えられる。しかしながら、これまでファイルのヘッダ領域の情報は、コンピュータウィルス固有情報の抽出には使われていても、拡張子を詐称する不審なファイルであるかというような、ファイルの危険性の診断には使われていなかった。   In the technique disclosed in Patent Document 1, computer virus specific information is extracted from a part of the header area of an executable file identified as a computer virus. In general, data indicating the type of file is also stored in the header area of the file, and it may be considered to use this data when diagnosing whether or not the file spoofs the above extension. It is done. However, even though the information in the header area of the file has been used to extract computer virus specific information so far, it is used for diagnosing the risk of the file, such as whether it is a suspicious file that misrepresents the extension. It wasn't.

そこで本発明の目的は、ファイルのデータが受信されるときに、そのデータのうちの特定の部分を利用して、ファイルの危険性を早期に診断することにある。   Therefore, an object of the present invention is to diagnose a risk of a file at an early stage by using a specific portion of the data when the data of the file is received.

かかる目的のもと、本発明は、ネットワーク上を流れるデータを受信する受信手段と、ファイルの名称を表す文字列に含まれる当該ファイルの拡張子を取得する拡張子取得手段と、前記受信手段がファイルを構成するデータを受信するときに、当該データのうち特定の部分に含まれる、拡張子とは異なる当該ファイルの種別を表す種別データを取得する種別データ取得手段と、前記拡張子取得手段が取得した前記ファイルの拡張子と、前記種別データ取得手段が取得した当該ファイルの前記種別データとが整合するか否かに応じて、当該ファイルの危険性の有無を判定する危険性判定手段とを備えたことを特徴とする通信装置を提供する。   For this purpose, the present invention provides a receiving means for receiving data flowing on a network, an extension obtaining means for obtaining an extension of the file included in a character string representing a file name, and the receiving means. When receiving the data constituting the file, type data acquisition means for acquiring type data representing a type of the file different from the extension included in a specific portion of the data, and the extension acquisition means A risk determination unit that determines whether the file has a risk according to whether or not the acquired extension of the file matches the type data of the file acquired by the type data acquisition unit; Provided is a communication device characterized by comprising the above.

ここで、この装置における前記受信手段は、クライアントコンピュータがネットワークを介してサーバコンピュータへ送信するファイル取得要求と、当該ファイル取得要求に対する応答として当該サーバコンピュータが当該クライアントコンピュータへ送信するファイルのデータとを受信し、前記拡張子取得手段は、前記受信手段が受信した前記ファイル取得要求のデータから前記ファイルの拡張子を取得するものであってよい。   Here, the receiving means in this apparatus receives a file acquisition request that the client computer transmits to the server computer via the network, and file data that the server computer transmits to the client computer in response to the file acquisition request. The extension acquiring unit may receive the file extension from the file acquisition request data received by the receiving unit.

また、この装置は、前記危険性判定手段が前記ファイルを危険性のあるものであると判定したときに、前記クライアントコンピュータによる前記サーバコンピュータからの当該ファイルの取得を中止させるファイル取得中止手段を更に備えたものであってよい。   The apparatus further comprises file acquisition stopping means for stopping the client computer from acquiring the file from the server computer when the risk determining means determines that the file is dangerous. It may be provided.

更にまた、この装置における受信手段は、自装置がネットワークを介してサーバコンピュータへ送信したファイル取得要求に対する応答として、当該サーバコンピュータからファイルのデータを受信し、前記拡張子取得手段は、前記自装置が前記サーバコンピュータへ送信する前記ファイル取得要求のデータから前記ファイルの拡張子を取得するものであってもよい。   Furthermore, the receiving means in this apparatus receives file data from the server computer as a response to the file acquisition request sent from the own apparatus to the server computer via the network. May acquire the extension of the file from the data of the file acquisition request transmitted to the server computer.

また、本発明は、コンピュータに、ネットワーク上を流れるデータを受信する機能と、ファイルの名称を表す文字列に含まれる当該ファイルの拡張子を取得する機能と、前記データを受信する機能がファイルを構成するデータを受信するときに、当該データのうち特定の部分に含まれる、拡張子とは異なる当該ファイルの種別を表す種別データを取得する機能と、取得された前記ファイルの拡張子と当該ファイルの前記種別データとが整合するか否かに応じて、当該ファイルの危険性の有無を判定する機能とを実現させるためのプログラムをも提供する。   Further, the present invention provides a computer with a function for receiving data flowing on a network, a function for acquiring an extension of the file included in a character string representing a file name, and a function for receiving the data. A function for acquiring type data representing a type of the file different from the extension included in a specific portion of the data, and the acquired extension of the file and the file There is also provided a program for realizing a function for determining whether or not there is a risk of the file in accordance with whether or not the type data matches.

本発明によれば、ファイルのデータが受信されるときに、そのデータのうちの特定の部分を利用して、ファイルの危険性を早期に診断することが可能になる。   According to the present invention, when data of a file is received, it is possible to diagnose the risk of the file at an early stage using a specific portion of the data.

本実施の形態が適用されるコンピュータシステムの全体構成図である。1 is an overall configuration diagram of a computer system to which this exemplary embodiment is applied. 本実施の形態におけるLANアナライザの機能構成例を示したブロック図である。It is the block diagram which showed the function structural example of the LAN analyzer in this Embodiment. クライアントとサーバがHTTP通信を行う際の通信シーケンスの概略を示した図である。It is the figure which showed the outline of the communication sequence at the time of a client and a server performing HTTP communication. HTTPリクエスト及びHTTPレスポンスのデータの例を示した図である。It is the figure which showed the example of the data of an HTTP request and an HTTP response. 本実施の形態においてダウンロードされるファイルの危険性を診断する際のLANアナライザの動作例を示したフローチャートである。It is the flowchart which showed the operation example of the LAN analyzer at the time of diagnosing the danger of the file downloaded in this Embodiment. 本実施の形態が適用されるコンピュータシステムの変形例の全体構成図である。It is a whole block diagram of the modification of the computer system to which this Embodiment is applied. 本実施の形態が適用されるコンピュータのハードウェア構成図である。It is a hardware block diagram of the computer to which this Embodiment is applied.

以下、添付図面を参照して、本発明の実施の形態について詳細に説明する。
まず、本実施の形態が適用されるコンピュータシステムについて説明する。
図1は、このようなコンピュータシステムの全体構成例を示した図である。図示するように、このコンピュータシステムは、クライアント10a,10bと、サーバ20とが、LAN(Local Area Network)70、ルータ40及び外部ネットワーク80を介して接続されている。また、LAN70には、クライアント10a,10bと、LANアナライザ30とが接続されている。外部ネットワーク80としては、インターネットが例示される。 Embodiments of the present invention will be described below in detail with reference to the accompanying drawings.
First, a computer system to which this embodiment is applied will be described.
FIG. 1 is a diagram showing an example of the overall configuration of such a computer system. As shown in the figure, in this computer system, clients 10 a and 10 b and a server 20 are connected via a LAN (Local Area Network) 70, a router 40, and an external network 80. In addition, clients 10 a and 10 b and a LAN analyzer 30 are connected to the LAN 70. The external network 80 is exemplified by the Internet.

本実施の形態では、通信プロトコルとして、TCP/IP(Transmission Control Protocol/Internet Protocol)を用いる。また、本実施の形態において、クライアント10a,10bは、HTTP(HyperText Transfer Protocol)に従い、LAN70、ルータ40及び外部ネットワーク80を介してサーバ20からファイルをダウンロードする。   In the present embodiment, TCP / IP (Transmission Control Protocol / Internet Protocol) is used as a communication protocol. In the present embodiment, the clients 10a and 10b download files from the server 20 via the LAN 70, the router 40, and the external network 80 according to HTTP (HyperText Transfer Protocol).

クライアント10a,10bは、ユーザが使用するクライアントコンピュータである。例えば、パーソナルコンピュータやワークステーション、その他のコンピュータ装置にて実現される。以下の説明では、クライアント10a,10bは、クライアントコンピュータにインストールされたWebブラウザを指すこともある。尚、図1では、クライアント10a,10bを示したが、これらを区別する必要がない場合は、クライアント10と称することもある。また、図1では、2台のクライアント10しか示していないが、3台以上のクライアント10を設けてもよい。   The clients 10a and 10b are client computers used by the user. For example, it is realized by a personal computer, a workstation, or other computer devices. In the following description, the clients 10a and 10b may refer to Web browsers installed on client computers. In FIG. 1, the clients 10a and 10b are shown. However, when it is not necessary to distinguish between them, they may be called clients 10. Further, in FIG. 1, only two clients 10 are shown, but three or more clients 10 may be provided.

サーバ20は、HTML(HyperText Markup Language)文書や画像などの情報を蓄積しているWebサーバである。サーバ20は、例えば、パーソナルコンピュータやワークステーション、その他のコンピュータ装置にて実現される。   The server 20 is a Web server that stores information such as HTML (HyperText Markup Language) documents and images. The server 20 is realized by, for example, a personal computer, a workstation, or other computer devices.

LANアナライザ30(通信装置の一例)は、LAN70を流れるパケットを捕獲(キャプチャ)して記録するハードウェア又はソフトウェアである。LANアナライザ30は、トラフィックの監視専用の装置であってもよいし、パケット・キャプチャ・ソフトウェアがインストールされたパーソナルコンピュータ等であってもよい。本実施の形態では、クライアント10がダウンロードするファイルの危険性の診断を、このLANアナライザ30が行う。   The LAN analyzer 30 (an example of a communication device) is hardware or software that captures and records packets flowing through the LAN 70. The LAN analyzer 30 may be a device dedicated to monitoring traffic, or may be a personal computer installed with packet capture software. In the present embodiment, the LAN analyzer 30 diagnoses the risk of files downloaded by the client 10.

次に、LANアナライザ30の機能構成について説明する。
図2は、LANアナライザ30の機能構成例を示したブロック図である。図示するように、LANアナライザ30は、キャプチャ部31と、ログデータ記憶部32と、制御情報記憶部33と、パケット抽出部34と、ファイル種別取得部35と、危険性判定部36と、ダウンロード制御部37とを備えている。 Next, the functional configuration of the LAN analyzer 30 will be described.
FIG. 2 is a block diagram illustrating a functional configuration example of the LAN analyzer 30. As illustrated, the LAN analyzer 30 includes a capture unit 31, a log data storage unit 32, a control information storage unit 33, a packet extraction unit 34, a file type acquisition unit 35, a risk determination unit 36, and a download. And a control unit 37.

キャプチャ部31は、LAN70を流れるパケットを捕獲する。本実施の形態では、受信手段の一例として、キャプチャ部31を設けている。
ログデータ記憶部32は、キャプチャ部31が捕獲したパケットをログデータとして記憶する。 The capture unit 31 captures a packet flowing through the LAN 70. In the present embodiment, a capture unit 31 is provided as an example of a receiving unit.
The log data storage unit 32 stores the packet captured by the capture unit 31 as log data.

制御情報記憶部33は、LANアナライザ30がファイルの危険性の診断を行う際に必要となる、拡張子とマジックナンバー(後述)との対応関係や、クライアント10のIPアドレス等を記憶する。
パケット抽出部34は、制御情報記憶部33に記憶されているクライアント10のIPアドレス等を参照して、キャプチャ部31が捕獲したパケットの中から、クライアント10がファイルをダウンロードする際に送出されるHTTPリクエストのパケットと、それに対するHTTPレスポンスのパケットを抽出する。この抽出方法については後述する。 The control information storage unit 33 stores a correspondence relationship between an extension and a magic number (described later), an IP address of the client 10, and the like, which are necessary when the LAN analyzer 30 diagnoses the risk of a file.
The packet extraction unit 34 refers to the IP address and the like of the client 10 stored in the control information storage unit 33, and is sent out when the client 10 downloads a file from the packets captured by the capture unit 31. An HTTP request packet and an HTTP response packet corresponding thereto are extracted. This extraction method will be described later.

ファイル種別取得部35は、パケット抽出部34により抽出されたパケットに含まれるHTTPリクエストのデータから、クライアント10がダウンロードしようとするファイルの拡張子を取得する。また、ファイル種別取得部35は、パケット抽出部34により抽出されたパケットに含まれるHTTPレスポンスのデータから、クライアント10がダウンロードするファイルのデータに埋め込まれたそのファイルの種別を表すマジックナンバー(種別データの一例)を取得する。
本実施の形態では、拡張子取得手段及び種別データ取得手段の一例として、パケット抽出部34及びファイル種別取得部35を設けている。 The file type acquisition unit 35 acquires the extension of the file to be downloaded by the client 10 from the HTTP request data included in the packet extracted by the packet extraction unit 34. Further, the file type acquisition unit 35 uses a magic number (type data) indicating the type of the file embedded in the file data downloaded by the client 10 from the HTTP response data included in the packet extracted by the packet extraction unit 34. Example).
In the present embodiment, a packet extraction unit 34 and a file type acquisition unit 35 are provided as an example of an extension acquisition unit and a type data acquisition unit.

危険性判定部36は、ファイル種別取得部35が取得したファイルの拡張子とそのファイルのマジックナンバーとがそれぞれ同じ種別を表す(即ち、整合する)場合は、そのファイルを安全であると判定する。逆に、ファイル種別取得部35が取得したファイルの拡張子とそのファイルのマジックナンバーとが異なる種別を表す場合は、そのファイルを危険であると判定する。本実施の形態では、危険性判定手段の一例として、危険性判定部36を設けている。   The risk determination unit 36 determines that the file is safe when the file extension acquired by the file type acquisition unit 35 and the magic number of the file represent the same type (that is, match). . On the other hand, when the file extension acquired by the file type acquisition unit 35 represents a different type from the magic number of the file, the file is determined to be dangerous. In the present embodiment, a risk determination unit 36 is provided as an example of the risk determination means.

ダウンロード制御部37は、クライアント10がダウンロードするファイルが危険なものであると危険性判定部36が判定したときに、クライアント10に対してその旨の警告を送信し、ルータ40に対してサーバ20からクライアント10へのパケットを遮断させる(即ち、ダウンロードを中止させる)指示を送信する。本実施の形態では、ファイル取得中止手段の一例として、ダウンロード制御部37を設けている。   When the risk determination unit 36 determines that the file downloaded by the client 10 is dangerous, the download control unit 37 transmits a warning to that effect to the client 10, and transmits the warning to the server 20 to the router 40. Sends an instruction to block the packet from the client to the client 10 (that is, stop the download). In the present embodiment, a download control unit 37 is provided as an example of a file acquisition stop unit.

ここで、ファイルのマジックナンバーについて説明する。
電子ファイルの名称を表す文字列には、例えば、実行形式のファイルであれば“exe”、JPEG(Joint Photographic Experts Group)形式の画像ファイルであれば“jpg”のように、通常そのファイルの種別を表す拡張子が付加されている。マジックナンバーは、この拡張子とは別に、ファイルの先頭部分の数バイトに埋め込まれたそのファイルの種別を表すデータである。例えば、実行形式のファイルには16進表記で“4D 5A”(ASCIIコードで“MZ”という文字列に相当する)の2バイトが、JPEG形式の画像ファイルには16進表記で“FF D8 FF”の3バイトが、マジックナンバーとして埋め込まれている。 Here, the magic number of the file will be described.
The character string representing the name of the electronic file usually includes, for example, “exe” for an executable file and “jpg” for an image file in JPEG (Joint Photographic Experts Group) format. An extension indicating is added. Apart from this extension, the magic number is data representing the type of the file embedded in several bytes at the beginning of the file. For example, 2 bytes of “4D 5A” (corresponding to the character string “MZ” in the ASCII code) in hexadecimal format for executable files, and “FF D8 FF” in hexadecimal format for image files in JPEG format. "3 bytes" are embedded as a magic number.

これらのうち、拡張子は上記のように詐称される可能性もあるが、マジックナンバーはそれを参照することによりそのファイルの種別を正しく認識できるものである。したがって、例えば、同じファイルの拡張子とマジックナンバーを調べた結果がそれぞれ“jpg”と“FF D8 FF”であれば、両者は整合しておりそのファイルはJPEG形式の画像ファイルであると判断できる。しかしながら、例えば、拡張子が“jpg”であるにもかかわらずマジックナンバーが“4D 5A”(“MZ”)であれば、そのファイルは実際には実行形式のファイルであり、拡張子が詐称されたものであると判断できる。   Among these, the extension may be misrepresented as described above, but the magic number can correctly recognize the type of the file by referring to it. Therefore, for example, if the results of examining the extension and magic number of the same file are “jpg” and “FF D8 FF”, respectively, they are consistent and it can be determined that the file is a JPEG image file. . However, for example, if the extension is “jpg” but the magic number is “4D 5A” (“MZ”), the file is actually an executable file and the extension is misrepresented. It can be judged that

次に、本実施の形態においてファイルのダウンロードが行われる際のHTTP通信の概略について説明する。
図3は、クライアントとサーバがHTTP通信を行う際の通信シーケンスの概略を示した図である。また、図4は、HTTPリクエスト及びHTTPレスポンスのデータの例を示した図である。 Next, an outline of HTTP communication when a file is downloaded in the present embodiment will be described.
FIG. 3 is a diagram showing an outline of a communication sequence when the client and the server perform HTTP communication. FIG. 4 is a diagram showing an example of HTTP request and HTTP response data.

図3に示すように、最初にクライアント10とサーバ20との間でTCPコネクションが確立される。これは、クライアント10、サーバ20間でSYNパケット(コネクションの確立要求)とACKパケット(確認応答)をやり取りする3ウェイハンドシェイクにより行われる。   As shown in FIG. 3, a TCP connection is first established between the client 10 and the server 20. This is performed by a three-way handshake in which a SYN packet (connection establishment request) and an ACK packet (acknowledgment response) are exchanged between the client 10 and the server 20.

TCPコネクションが確立すると、クライアント10とサーバ20との間でデータの送受信を行うため、本実施の形態では、まずクライアント10がサーバ20へHTTPリクエストを送信する。図4(A)は、HTTPリクエストのデータの一部を示したものである。枠で囲んだ記述151は、“メソッド パス名 HTTP/バージョン番号”の書式で表されるリクエスト行であり、図4(A)の例では、GETメソッドによりクライアント10がサーバ20に対して“notepad.jpg”というJPEG形式の画像ファイルの取得を要求していることを表している。パス名には、URL(Uniform Resource Locator)が指定されることもある。   When the TCP connection is established, data is transmitted and received between the client 10 and the server 20, so in this embodiment, the client 10 first transmits an HTTP request to the server 20. FIG. 4A shows a part of HTTP request data. A description 151 enclosed in a frame is a request line expressed in the format of “method path name HTTP / version number”. In the example of FIG. 4A, the client 10 sends “notepad” to the server 20 by the GET method. This indicates that the acquisition of a JPEG format image file “.jpg” is requested. A URL (Uniform Resource Locator) may be specified as the path name.

次に、これに対する応答としてサーバ20がクライアント10へHTTPレスポンスを送信する。図4(B)は、HTTPレスポンスのデータの一部を示したものである。枠で囲んだ記述152は、“HTTP/バージョン番号 ステータス番号 メッセージ”の書式表されるレスポンス行であり、図4(B)の例では、上記のファイルの取得に成功した(“200 OK”)ことを表している。
また、枠で囲んだ記述153以降が、ダウンロードされる“notepad.jpg”のファイルのデータである。記述153は実行形式のファイルのマジックナンバー“MZ”であり、要求されたファイル名の拡張子“jpg”とは整合していないことがわかる。 Next, as a response to this, the server 20 transmits an HTTP response to the client 10. FIG. 4B shows a part of HTTP response data. A description 152 enclosed in a frame is a response line formatted as “HTTP / version number, status number, message”. In the example of FIG. 4B, the above file has been successfully acquired (“200 OK”). Represents that.
Further, the description 153 and the following enclosed in a frame is the data of the “notepad.jpg” file to be downloaded. The description 153 is the magic number “MZ” of the executable file, and it can be seen that it does not match the extension “jpg” of the requested file name.

HTTPによる一通りの通信が終わると、クライアント10とサーバ20との間でFINパケット(コネクションの切断要求)とACKパケットがやり取りされ、TCPコネクションが切断される(再び図3を参照)。   When one communication using HTTP is completed, a FIN packet (connection disconnection request) and an ACK packet are exchanged between the client 10 and the server 20, and the TCP connection is disconnected (see FIG. 3 again).

以下では、本実施の形態におけるLANアナライザ30の動作について説明する。
図5は、本実施の形態においてダウンロードされるファイルの危険性を診断する際のLANアナライザ30の動作例を示したフローチャートである。 Below, operation | movement of the LAN analyzer 30 in this Embodiment is demonstrated.
FIG. 5 is a flowchart showing an example of the operation of the LAN analyzer 30 when diagnosing the danger of a downloaded file in the present embodiment.

まず、パケット抽出部34は、キャプチャ部31が捕獲したパケットのうちで、クライアント10が送信した、ファイルの取得を要求するHTTPリクエストのデータを含むものを抽出する(ステップ101)。ファイルの取得を要求するHTTPリクエストであることは、パケットに載っているHTTPのデータが、記述151のようなGETメソッド又はPOSTメソッドのような、ファイルの取得に使われるメソッドのリクエスト行を含むことにより判断される。   First, the packet extraction unit 34 extracts, from the packets captured by the capture unit 31, those including data of an HTTP request transmitted by the client 10 and requesting file acquisition (step 101). An HTTP request for requesting acquisition of a file means that the HTTP data included in the packet includes a request line of a method used for acquiring the file, such as a GET method or a POST method described in the description 151. It is judged by.

対象となるパケットが抽出されると、更にパケット抽出部34は、そのパケットのIPヘッダを参照し、送信元(クライアント10)のIPアドレス及び送信先(サーバ20)のIPアドレスを取得する。また、パケット抽出部34は、そのパケットのTCPヘッダを参照し、送信元のポート番号、送信先のポート番号及びTCPのシーケンス番号を取得する(ステップ102)。取得されたIPアドレス、ポート番号及びシーケンス番号は、制御情報記憶部33が記憶する。これらの情報は、捕獲されたパケットの中からHTTPリクエストと同一のTCPコネクションにおけるHTTPレスポンスのパケットを抽出する際に参照される。   When the target packet is extracted, the packet extraction unit 34 refers to the IP header of the packet and acquires the IP address of the transmission source (client 10) and the IP address of the transmission destination (server 20). Further, the packet extraction unit 34 refers to the TCP header of the packet, and acquires the source port number, the destination port number, and the TCP sequence number (step 102). The control information storage unit 33 stores the acquired IP address, port number, and sequence number. These pieces of information are referred to when an HTTP response packet in the same TCP connection as the HTTP request is extracted from the captured packets.

また、ファイル種別取得部35は、パケット抽出部34が抽出したパケットにおけるHTTPリクエストのリクエスト行から、取得が要求されたファイルの拡張子を取得する(ステップ103)。この拡張子も制御情報記憶部33が記憶する。   Further, the file type acquisition unit 35 acquires the extension of the file requested for acquisition from the request line of the HTTP request in the packet extracted by the packet extraction unit 34 (step 103). This extension is also stored in the control information storage unit 33.

次に、パケット抽出部34は、キャプチャ部31が捕獲したパケットのうちで、上記のHTTPリクエストに対応するHTTPレスポンスのデータを含むものを抽出する(ステップ104)。HTTPレスポンスであることは、パケットに載っているHTTPのデータが記述152のようなレスポンス行を含むことにより判断される。また、上記のHTTPリクエストに対応するものであるか否かは、HTTPリクエストと同一のTCPコネクションにおけるものか否かにより判断される。そして、同一のTCPコネクションか否かは、キャプチャ部31が捕獲したHTTPレスポンスのパケットについて、ステップ102と同様に、パケット抽出部34が送信元のIPアドレス、送信先のIPアドレス、送信元のポート番号、送信先のポート番号及びシーケンス番号を取得し、制御情報記憶部33に記憶されているものと(送信元及び送信先が逆になっていることを除いて)同一であるか否かを調べることにより判断される。   Next, the packet extraction unit 34 extracts packets including HTTP response data corresponding to the HTTP request from the packets captured by the capture unit 31 (step 104). An HTTP response is determined by the fact that HTTP data included in the packet includes a response line such as description 152. Whether or not the request corresponds to the HTTP request is determined based on whether or not the request is in the same TCP connection as the HTTP request. Whether or not the TCP connection is the same, whether or not the packet of the HTTP response captured by the capture unit 31 is the same as in step 102, the packet extraction unit 34 is the transmission source IP address, the transmission destination IP address, and the transmission source port. Number, transmission destination port number and sequence number are acquired, and whether or not they are the same as those stored in the control information storage unit 33 (except that the transmission source and transmission destination are reversed) Judged by examining.

対象となるパケットが抽出されると、ファイル種別取得部35は、そのパケットにおけるHTTPレスポンスに含まれるファイルのデータの先頭から、そのファイルのマジックナンバーを取得する(ステップ105)。   When the target packet is extracted, the file type acquisition unit 35 acquires the magic number of the file from the head of the file data included in the HTTP response in the packet (step 105).

そして、危険性判定部36は、制御情報記憶部33に記憶されているファイルの拡張子とファイル種別取得部35が取得したそのファイルのマジックナンバーとがそれぞれ同じ種別を表すか(整合するか)否かを判定する(ステップ106)。拡張子とマジックナンバーが同じ種別を表している場合は、危険性判定部36はそのファイルを安全であると判定し、処理を終了する。   Then, the risk determination unit 36 indicates whether the extension of the file stored in the control information storage unit 33 and the magic number of the file acquired by the file type acquisition unit 35 represent the same type (match). It is determined whether or not (step 106). If the extension and the magic number represent the same type, the risk determination unit 36 determines that the file is safe and ends the process.

逆に、拡張子とマジックナンバーが異なる種別を表している場合は、危険性判定部36はそのファイルを危険であると判定する。図4の例では、“notepad.jpg”のファイルの拡張子“jpg”とマジックナンバー“MZ”とが異なる種別を表しているため、危険性判定部36はそのファイルを危険であると判定する。このとき、ダウンロード制御部37は、クライアント10に対してその旨の警告を送信し(ステップ107)、ルータ40に対してサーバ20からクライアント10へのパケットを遮断させる(ダウンロードを中止させる)指示を送信する(ステップ108)。
以上で、LANアナライザ30がファイルの危険性を診断する際の処理は終了する。 Conversely, if the extension and the magic number represent different types, the risk determination unit 36 determines that the file is dangerous. In the example of FIG. 4, since the extension “jpg” of the file “notepad.jpg” and the magic number “MZ” represent different types, the risk determination unit 36 determines that the file is dangerous. . At this time, the download control unit 37 transmits a warning to that effect to the client 10 (step 107), and instructs the router 40 to block the packet from the server 20 to the client 10 (stop the download). Transmit (step 108).
Thus, the process when the LAN analyzer 30 diagnoses the risk of the file ends.

尚、ダウンロード制御部37が行う上記の警告は、LANアナライザ30からクライアント10に対してメールを送信することにより行ってもよいし、また、LANアナライザ30が有する表示部に表示される管理画面において警告を発してもよい。
更に、危険性判定部36による判定結果は、ログデータ記憶部32に記憶しておいてもよい。キャプチャ部31がパケットを捕獲した日時、ダウンロード元及びダウンロード先のIPアドレス、拡張子、並びにマジックナンバー等をログとして記憶しておけば、不審なファイルのダウンロードがされたか否かを後から解析することができ、システム監査、セキュリティ監査のときの監査証跡としても利用できる。 Note that the warning given by the download control unit 37 may be performed by sending an email from the LAN analyzer 30 to the client 10, or in a management screen displayed on the display unit of the LAN analyzer 30. A warning may be issued.
Furthermore, the determination result by the risk determination unit 36 may be stored in the log data storage unit 32. If the capture unit 31 captures the packet date, download source and download destination IP addresses, extension, magic number, etc. as a log, it analyzes later whether or not a suspicious file has been downloaded. It can also be used as an audit trail for system audits and security audits.

また、上記のLANアナライザ30の動作例では、危険性判定部36により危険であると判定されたファイルのダウンロードを中止させる処理を行っているが(図5のステップ108を参照)、危険性判定部36が判定を誤ることにより必要なファイルのダウンロードまでが中止される可能性があり、ユーザが煩わしく感じることも考えられる。このような場合は、ダウンロードを中止させる処理を行わないようにしてもよい。   Further, in the operation example of the LAN analyzer 30 described above, the process of stopping the download of the file determined to be dangerous by the risk determination unit 36 is performed (see step 108 in FIG. 5). There is a possibility that the download of a necessary file may be interrupted due to an erroneous determination by the unit 36, and the user may feel troublesome. In such a case, the process for canceling the download may not be performed.

また、図6は、本実施の形態が適用されるコンピュータシステムの変形例の全体構成図である。この変形例においても、上記と同様に、クライアント10と、サーバ20とが、LAN70、ルータ40及び外部ネットワーク80を介して接続されている。しかしながら、ここではLANアナライザ30が、図示するようにLAN70と外部ネットワーク80との境界においてインラインに接続されている。この変形例の場合は、図5のステップ108において、危険であると判定されたファイルのダウンロードをLANアナライザ30自体が中止させることができる。   FIG. 6 is an overall configuration diagram of a modified example of the computer system to which this exemplary embodiment is applied. Also in this modified example, the client 10 and the server 20 are connected via the LAN 70, the router 40, and the external network 80 as described above. However, here, the LAN analyzer 30 is connected inline at the boundary between the LAN 70 and the external network 80 as shown. In the case of this modification, the LAN analyzer 30 itself can stop the download of the file determined to be dangerous in step 108 of FIG.

ところで、以上の説明では、ファイルの危険性についての診断はLANアナライザ30が行ったが、クライアント10が自ら診断処理を行っても良い。その場合のクライアント10は、図2に示したようなLANアナライザ30と同様の構成を備える必要がある。ただしクライアント10は、キャプチャ部31に代えて、LAN70を介してデータを受信する受信部(不図示)を備える。この受信部は、受信手段の一例である。   By the way, in the above description, the LAN analyzer 30 performs the diagnosis on the risk of the file, but the client 10 may perform the diagnosis process by itself. The client 10 in that case needs to have the same configuration as the LAN analyzer 30 as shown in FIG. However, the client 10 includes a reception unit (not shown) that receives data via the LAN 70 instead of the capture unit 31. This receiving unit is an example of a receiving unit.

そして、図5のステップ101においては、パケット抽出部34は、自装置が出力したパケットの中からファイルの取得を要求するHTTPリクエストのデータを含むものを抽出する。またステップ107では、ダウンロード制御部37が自装置の表示部(不図示)に警告を表示する。更にステップ108では、ダウンロード制御部37が、受信部に対してサーバ20からクライアント10へのパケットの受信を遮断するように指示する。   In step 101 of FIG. 5, the packet extraction unit 34 extracts a packet including HTTP request data for requesting file acquisition from the packet output by the own apparatus. In step 107, the download control unit 37 displays a warning on a display unit (not shown) of the own apparatus. In step 108, the download control unit 37 instructs the receiving unit to block reception of packets from the server 20 to the client 10.

尚、図6を用いて説明した変形例の場合は、LANアナライザ30に代えてLAN70上の同じ位置にIPS(Intrusion Prevention System:侵入防御システム)を設け、そのIPSに本実施の形態におけるLANアナライザ30と同様の機能を持たせてもよい。   In the case of the modification described with reference to FIG. 6, an IPS (Intrusion Prevention System) is provided at the same position on the LAN 70 in place of the LAN analyzer 30, and the LAN analyzer according to the present embodiment is provided in the IPS. You may give the function similar to 30.

以上述べたように、本実施の形態では、ダウンロードされるファイルの拡張子をクライアント10が送信したHTTPリクエストのデータから取得し、そのファイルのマジックナンバーをそのHTTPリクエストに対するHTTPレスポンスに含まれるファイルのデータから取得して、拡張子とマジックナンバーとが整合するか否かを判断するようにした。マジックナンバーはファイルの先頭に埋め込まれているため、ファイル全体のデータを受信する前でもそのファイルの危険性についての診断を行うことができる。このため、上記の構成により、ファイルのデータが受信されるときに、そのデータのうちの特定の部分を利用して、ファイルの危険性を早期に診断することが可能になった。   As described above, in the present embodiment, the extension of the file to be downloaded is obtained from the data of the HTTP request transmitted by the client 10, and the magic number of the file is obtained from the file included in the HTTP response to the HTTP request. Obtained from the data, it was determined whether the extension and the magic number match. Since the magic number is embedded at the beginning of the file, it is possible to diagnose the risk of the file even before the data of the entire file is received. For this reason, with the above configuration, when file data is received, it becomes possible to diagnose the risk of the file at an early stage by using a specific portion of the data.

最後に、本実施の形態におけるクライアント10及びLANアナライザ30のハードウェア構成について説明する。図7は、このようなコンピュータのハードウェア構成の一例を示した図である。図示するように、コンピュータは、演算手段であるCPU(Central Processing Unit)90と、M/B(マザーボード)チップセット91を介してCPU90に接続されたメインメモリ92と、同じくM/Bチップセット91を介してCPU90に接続された表示機構93とを備える。また、M/Bチップセット91には、ブリッジ回路94を介して、ネットワークインターフェイス95と、磁気ディスク装置(HDD)96と、音声機構97と、キーボード/マウス98と、フレキシブルディスクドライブ99とが接続されている。   Finally, the hardware configuration of the client 10 and the LAN analyzer 30 in the present embodiment will be described. FIG. 7 is a diagram showing an example of the hardware configuration of such a computer. As shown in the figure, the computer includes a CPU (Central Processing Unit) 90 which is a calculation means, a main memory 92 connected to the CPU 90 via an M / B (motherboard) chip set 91, and an M / B chip set 91. And a display mechanism 93 connected to the CPU 90 via Further, a network interface 95, a magnetic disk device (HDD) 96, an audio mechanism 97, a keyboard / mouse 98, and a flexible disk drive 99 are connected to the M / B chipset 91 via a bridge circuit 94. Has been.

尚、図7において、各構成要素は、バスを介して接続される。例えば、CPU90とM/Bチップセット91の間や、M/Bチップセット91とメインメモリ92の間は、CPUバスを介して接続される。また、M/Bチップセット91と表示機構93との間は、AGP(Accelerated Graphics Port)を介して接続されてもよいが、表示機構93がPCI Express対応のビデオカードを含む場合、M/Bチップセット91とこのビデオカードの間は、PCI Express(PCIe)バスを介して接続される。また、ブリッジ回路94と接続する場合、ネットワークインターフェイス95については、例えば、PCI Expressを用いることができる。また、磁気ディスク装置96については、例えば、シリアルATA(AT Attachment)、パラレル転送のATA、PCI(Peripheral Components Interconnect)を用いることができる。更に、キーボード/マウス98、及び、フレキシブルディスクドライブ99については、USB(Universal Serial Bus)を用いることができる。   In FIG. 7, each component is connected through a bus. For example, the CPU 90 and the M / B chip set 91 and the M / B chip set 91 and the main memory 92 are connected via a CPU bus. Further, the M / B chipset 91 and the display mechanism 93 may be connected via an AGP (Accelerated Graphics Port), but if the display mechanism 93 includes a PCI Express compatible video card, the M / B The chip set 91 and the video card are connected via a PCI Express (PCIe) bus. When connecting to the bridge circuit 94, for example, PCI Express can be used for the network interface 95. For the magnetic disk device 96, for example, serial ATA (AT Attachment), parallel transfer ATA, and PCI (Peripheral Components Interconnect) can be used. Furthermore, USB (Universal Serial Bus) can be used for the keyboard / mouse 98 and the flexible disk drive 99.

尚、クライアント10及びLANアナライザ30の各機能は、ソフトウェアとハードウェア資源とが協働することにより実現される。具体的には、CPU90が、キャプチャ部31(受信部)と、パケット抽出部34と、ファイル種別取得部35と、危険性判定部36と、ダウンロード制御部37との各機能を実現するプログラムを、例えば磁気ディスク装置96からメインメモリ92に読み込んで処理を行う。また、ログデータ記憶部32及び制御情報記憶部33は、例えば磁気ディスク装置96によって実現される。   The functions of the client 10 and the LAN analyzer 30 are realized by cooperation of software and hardware resources. Specifically, the CPU 90 executes a program for realizing the functions of the capture unit 31 (reception unit), the packet extraction unit 34, the file type acquisition unit 35, the risk determination unit 36, and the download control unit 37. For example, the program is read from the magnetic disk device 96 into the main memory 92 and processed. Further, the log data storage unit 32 and the control information storage unit 33 are realized by a magnetic disk device 96, for example.

10…クライアント、20…サーバ、30…LANアナライザ、31…キャプチャ部、32…ログデータ記憶部、33…制御情報記憶部、34…パケット抽出部、35…ファイル種別取得部、36…危険性判定部、37…ダウンロード制御部、40…ルータ DESCRIPTION OF SYMBOLS 10 ... Client, 20 ... Server, 30 ... LAN analyzer, 31 ... Capture part, 32 ... Log data storage part, 33 ... Control information storage part, 34 ... Packet extraction part, 35 ... File type acquisition part, 36 ... Risk determination Part, 37 ... download control part, 40 ... router

Claims (5)

ネットワーク上を流れるデータを受信する受信手段と、
ファイルの名称を表す文字列に含まれる当該ファイルの拡張子を取得する拡張子取得手段と、
前記受信手段がファイルを構成するデータを受信するときに、当該データのうち特定の部分に含まれる、拡張子とは異なる当該ファイルの種別を表す種別データを取得する種別データ取得手段と、
前記拡張子取得手段が取得した前記ファイルの拡張子と、前記種別データ取得手段が取得した当該ファイルの前記種別データとが整合するか否かに応じて、当該ファイルの危険性の有無を判定する危険性判定手段と
を備えたことを特徴とする通信装置。 Receiving means for receiving data flowing on the network;
An extension acquisition means for acquiring the extension of the file included in the character string representing the name of the file;
A type data obtaining unit for obtaining type data representing a type of the file different from the extension included in a specific part of the data when the receiving unit receives data constituting the file;
The presence / absence of the file is determined based on whether the extension of the file acquired by the extension acquisition unit matches the type data of the file acquired by the type data acquisition unit. A communication apparatus comprising: a risk determination unit. 前記受信手段は、クライアントコンピュータがネットワークを介してサーバコンピュータへ送信するファイル取得要求と、当該ファイル取得要求に対する応答として当該サーバコンピュータが当該クライアントコンピュータへ送信するファイルのデータとを受信し、
前記拡張子取得手段は、前記受信手段が受信した前記ファイル取得要求のデータから前記ファイルの拡張子を取得することを特徴とする請求項1に記載の通信装置。 The receiving means receives a file acquisition request that the client computer transmits to the server computer via the network, and file data that the server computer transmits to the client computer in response to the file acquisition request,
The communication apparatus according to claim 1, wherein the extension acquisition unit acquires the extension of the file from the data of the file acquisition request received by the reception unit. 前記危険性判定手段が前記ファイルを危険性のあるものであると判定したときに、前記クライアントコンピュータによる前記サーバコンピュータからの当該ファイルの取得を中止させるファイル取得中止手段を更に備えたことを特徴とする請求項2に記載の通信装置。   When the risk determination means determines that the file is dangerous, the client computer further comprises file acquisition stop means for stopping acquisition of the file from the server computer by the client computer. The communication device according to claim 2. 前記受信手段は、自装置がネットワークを介してサーバコンピュータへ送信したファイル取得要求に対する応答として、当該サーバコンピュータからファイルのデータを受信し、
前記拡張子取得手段は、前記自装置が前記サーバコンピュータへ送信する前記ファイル取得要求のデータから前記ファイルの拡張子を取得することを特徴とする請求項1に記載の通信装置。 The receiving means receives data of a file from the server computer as a response to the file acquisition request transmitted from the own device to the server computer via the network;
2. The communication apparatus according to claim 1, wherein the extension acquisition unit acquires an extension of the file from data of the file acquisition request transmitted from the own apparatus to the server computer. コンピュータに、
ネットワーク上を流れるデータを受信する機能と、
ファイルの名称を表す文字列に含まれる当該ファイルの拡張子を取得する機能と、
前記データを受信する機能がファイルを構成するデータを受信するときに、当該データのうち特定の部分に含まれる、拡張子とは異なる当該ファイルの種別を表す種別データを取得する機能と、
取得された前記ファイルの拡張子と当該ファイルの前記種別データとが整合するか否かに応じて、当該ファイルの危険性の有無を判定する機能と
を実現させるためのプログラム。 On the computer,
The ability to receive data flowing over the network;
A function for acquiring the extension of the file included in the character string representing the name of the file;
A function of receiving the data constituting the file when the function of receiving the data receives the type data representing the type of the file different from the extension included in the specific part of the data;
A program for realizing a function for determining whether or not a file has a risk according to whether or not the obtained extension of the file matches the type data of the file.
JP2009295961A 2009-12-25 2009-12-25 Communication device and program Pending JP2011138189A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009295961A JP2011138189A (en) 2009-12-25 2009-12-25 Communication device and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009295961A JP2011138189A (en) 2009-12-25 2009-12-25 Communication device and program

Publications (1)

Publication Number Publication Date
JP2011138189A true JP2011138189A (en) 2011-07-14

Family

ID=44349603

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009295961A Pending JP2011138189A (en) 2009-12-25 2009-12-25 Communication device and program

Country Status (1)

Country Link
JP (1) JP2011138189A (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013097481A1 (en) * 2011-12-31 2013-07-04 华为技术有限公司 Method and system for identifying file type
KR101390475B1 (en) * 2013-02-05 2014-04-29 주식회사 윈스 System and method for detecting malicious code based on network
JP2018110445A (en) * 2013-03-15 2018-07-12 パナソニックIpマネジメント株式会社 Content distribution method, content distribution system, and source equipment
CN112182363A (en) * 2020-09-05 2021-01-05 南方电网数字电网研究院有限公司 Intelligent inspection method, device, equipment and storage medium based on micro-service framework

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013097481A1 (en) * 2011-12-31 2013-07-04 华为技术有限公司 Method and system for identifying file type
US9405758B2 (en) 2011-12-31 2016-08-02 Huawei Technologies Co., Ltd. Method and system for identifying file type
KR101390475B1 (en) * 2013-02-05 2014-04-29 주식회사 윈스 System and method for detecting malicious code based on network
JP2018110445A (en) * 2013-03-15 2018-07-12 パナソニックIpマネジメント株式会社 Content distribution method, content distribution system, and source equipment
CN112182363A (en) * 2020-09-05 2021-01-05 南方电网数字电网研究院有限公司 Intelligent inspection method, device, equipment and storage medium based on micro-service framework
CN112182363B (en) * 2020-09-05 2024-02-02 南方电网数字电网研究院有限公司 Intelligent auditing method, device, equipment and storage medium based on micro-service framework

Similar Documents

Publication Publication Date Title
EP3295359B1 (en) Detection of sql injection attacks
JP5003556B2 (en) Communication detection device, communication detection method, and communication detection program
JP5018329B2 (en) Program for controlling communication device and communication device
EP2810412B1 (en) Systems and methods for extracting structured application data from a communications link
JP5920169B2 (en) Unauthorized connection detection method, network monitoring apparatus and program
JP7388613B2 (en) Packet processing method and apparatus, device, and computer readable storage medium
JP6502902B2 (en) Attack detection device, attack detection system and attack detection method
JP2010015513A (en) Malware detection system, malware detection method, and malware detection program
WO2012065551A1 (en) Method for cloud security download
JP4877145B2 (en) Program for controlling communication device and communication device
WO2013010394A1 (en) Internet virus detection method, apparatus thereof and system thereof
JP2011138189A (en) Communication device and program
KR101463873B1 (en) Method and apparatus for preventing data loss
CN113315678A (en) Encrypted TCP (Transmission control protocol) traffic acquisition method and device
JP2008205954A (en) Communication information audit device, method, and program
JP4249174B2 (en) Spyware communication management device and spyware communication management program
JP5536962B2 (en) Packet data extraction apparatus, packet data extraction apparatus control method, control program, and computer-readable recording medium
JP2012150658A (en) Information processing device, system, communication monitoring method and program
JPWO2015178002A1 (en) Information processing apparatus, information processing system, and communication history analysis method
WO2023216792A1 (en) Attack detection method, and apparatus
KR100647274B1 (en) Fire wall system of controlling http traffic and method of operating the system
JP5456636B2 (en) File collection monitoring method, file collection monitoring apparatus, and file collection monitoring program
JP2019092106A (en) Network monitoring device, network monitoring method, and network monitoring program
JP2005025378A (en) Computer virus detection method and network system using this method
JP5738042B2 (en) Gateway device, information processing device, processing method, and program