JP2011138189A - Communication device and program - Google Patents
Communication device and program Download PDFInfo
- Publication number
- JP2011138189A JP2011138189A JP2009295961A JP2009295961A JP2011138189A JP 2011138189 A JP2011138189 A JP 2011138189A JP 2009295961 A JP2009295961 A JP 2009295961A JP 2009295961 A JP2009295961 A JP 2009295961A JP 2011138189 A JP2011138189 A JP 2011138189A
- Authority
- JP
- Japan
- Prior art keywords
- file
- data
- extension
- acquisition
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、通信装置及びプログラムに関する。 The present invention relates to a communication device and a program.
近年流行しているコンピュータウィルスの中には、攻撃者が用意したインターネット上のサーバから更に別のウイルスをダウンロードして、企業等のコンピュータに感染させる機能を持っているものがある。ウイルスへの感染が広まると、企業等は、個人情報等の機密情報が漏えいするといった深刻な被害を受けることになる。 Some of the computer viruses that have become popular in recent years have a function of downloading another virus from a server on the Internet prepared by an attacker and infecting a computer of a company or the like. If the virus infection spreads, companies will suffer serious damage such as leakage of confidential information such as personal information.
これらのウイルスの中には、例えば、画像ファイルをダウンロードするように見せかけて、実際には実行形式のEXEファイルをダウンロードするものがある。ここでダウンロードされるファイルは、ファイル名に付けられた拡張子とファイルの中身のデータが整合しておらず、拡張子を詐称するものである。このようなファイルは、ウイルスである可能性が極めて高い不審なものであると言える。 Some of these viruses, for example, appear to download an image file and actually download an executable EXE file. In the file downloaded here, the extension attached to the file name and the data in the file do not match, and the extension is misrepresented. Such a file can be said to be a suspicious one that is very likely to be a virus.
ここで、公報記載の技術として、特許文献1には、コンピュータウィルスの検出に用いられるコンピュータウィルス固有情報を抽出するコンピュータウィルス固有情報抽出装置であって、コンピュータウィルスであると特定された実行ファイルを取得する取得手段と、実行ファイルにおいて固有であるとみなし得る情報の格納領域であると予め決められた特定領域に含まれる情報を、前記取得手段により取得された実行ファイルからコンピュータウィルス固有情報として抽出する抽出手段とを有することを特徴とするコンピュータウィルス固有情報抽出装置が記載されている。
Here, as a technique described in the publication,
この特許文献1の技術では、コンピュータウィルスであると特定された実行ファイルのヘッダ領域の一部から、コンピュータウィルス固有情報を抽出している。一般に、ファイルのヘッダ領域にはファイルの種別を表すデータも格納されており、ファイルが上記のような拡張子を詐称するものである否かを診断する際に、このデータを利用することも考えられる。しかしながら、これまでファイルのヘッダ領域の情報は、コンピュータウィルス固有情報の抽出には使われていても、拡張子を詐称する不審なファイルであるかというような、ファイルの危険性の診断には使われていなかった。
In the technique disclosed in
そこで本発明の目的は、ファイルのデータが受信されるときに、そのデータのうちの特定の部分を利用して、ファイルの危険性を早期に診断することにある。 Therefore, an object of the present invention is to diagnose a risk of a file at an early stage by using a specific portion of the data when the data of the file is received.
かかる目的のもと、本発明は、ネットワーク上を流れるデータを受信する受信手段と、ファイルの名称を表す文字列に含まれる当該ファイルの拡張子を取得する拡張子取得手段と、前記受信手段がファイルを構成するデータを受信するときに、当該データのうち特定の部分に含まれる、拡張子とは異なる当該ファイルの種別を表す種別データを取得する種別データ取得手段と、前記拡張子取得手段が取得した前記ファイルの拡張子と、前記種別データ取得手段が取得した当該ファイルの前記種別データとが整合するか否かに応じて、当該ファイルの危険性の有無を判定する危険性判定手段とを備えたことを特徴とする通信装置を提供する。 For this purpose, the present invention provides a receiving means for receiving data flowing on a network, an extension obtaining means for obtaining an extension of the file included in a character string representing a file name, and the receiving means. When receiving the data constituting the file, type data acquisition means for acquiring type data representing a type of the file different from the extension included in a specific portion of the data, and the extension acquisition means A risk determination unit that determines whether the file has a risk according to whether or not the acquired extension of the file matches the type data of the file acquired by the type data acquisition unit; Provided is a communication device characterized by comprising the above.
ここで、この装置における前記受信手段は、クライアントコンピュータがネットワークを介してサーバコンピュータへ送信するファイル取得要求と、当該ファイル取得要求に対する応答として当該サーバコンピュータが当該クライアントコンピュータへ送信するファイルのデータとを受信し、前記拡張子取得手段は、前記受信手段が受信した前記ファイル取得要求のデータから前記ファイルの拡張子を取得するものであってよい。 Here, the receiving means in this apparatus receives a file acquisition request that the client computer transmits to the server computer via the network, and file data that the server computer transmits to the client computer in response to the file acquisition request. The extension acquiring unit may receive the file extension from the file acquisition request data received by the receiving unit.
また、この装置は、前記危険性判定手段が前記ファイルを危険性のあるものであると判定したときに、前記クライアントコンピュータによる前記サーバコンピュータからの当該ファイルの取得を中止させるファイル取得中止手段を更に備えたものであってよい。 The apparatus further comprises file acquisition stopping means for stopping the client computer from acquiring the file from the server computer when the risk determining means determines that the file is dangerous. It may be provided.
更にまた、この装置における受信手段は、自装置がネットワークを介してサーバコンピュータへ送信したファイル取得要求に対する応答として、当該サーバコンピュータからファイルのデータを受信し、前記拡張子取得手段は、前記自装置が前記サーバコンピュータへ送信する前記ファイル取得要求のデータから前記ファイルの拡張子を取得するものであってもよい。 Furthermore, the receiving means in this apparatus receives file data from the server computer as a response to the file acquisition request sent from the own apparatus to the server computer via the network. May acquire the extension of the file from the data of the file acquisition request transmitted to the server computer.
また、本発明は、コンピュータに、ネットワーク上を流れるデータを受信する機能と、ファイルの名称を表す文字列に含まれる当該ファイルの拡張子を取得する機能と、前記データを受信する機能がファイルを構成するデータを受信するときに、当該データのうち特定の部分に含まれる、拡張子とは異なる当該ファイルの種別を表す種別データを取得する機能と、取得された前記ファイルの拡張子と当該ファイルの前記種別データとが整合するか否かに応じて、当該ファイルの危険性の有無を判定する機能とを実現させるためのプログラムをも提供する。 Further, the present invention provides a computer with a function for receiving data flowing on a network, a function for acquiring an extension of the file included in a character string representing a file name, and a function for receiving the data. A function for acquiring type data representing a type of the file different from the extension included in a specific portion of the data, and the acquired extension of the file and the file There is also provided a program for realizing a function for determining whether or not there is a risk of the file in accordance with whether or not the type data matches.
本発明によれば、ファイルのデータが受信されるときに、そのデータのうちの特定の部分を利用して、ファイルの危険性を早期に診断することが可能になる。 According to the present invention, when data of a file is received, it is possible to diagnose the risk of the file at an early stage using a specific portion of the data.
以下、添付図面を参照して、本発明の実施の形態について詳細に説明する。
まず、本実施の形態が適用されるコンピュータシステムについて説明する。
図1は、このようなコンピュータシステムの全体構成例を示した図である。図示するように、このコンピュータシステムは、クライアント10a,10bと、サーバ20とが、LAN(Local Area Network)70、ルータ40及び外部ネットワーク80を介して接続されている。また、LAN70には、クライアント10a,10bと、LANアナライザ30とが接続されている。外部ネットワーク80としては、インターネットが例示される。
Embodiments of the present invention will be described below in detail with reference to the accompanying drawings.
First, a computer system to which this embodiment is applied will be described.
FIG. 1 is a diagram showing an example of the overall configuration of such a computer system. As shown in the figure, in this computer system,
本実施の形態では、通信プロトコルとして、TCP/IP(Transmission Control Protocol/Internet Protocol)を用いる。また、本実施の形態において、クライアント10a,10bは、HTTP(HyperText Transfer Protocol)に従い、LAN70、ルータ40及び外部ネットワーク80を介してサーバ20からファイルをダウンロードする。
In the present embodiment, TCP / IP (Transmission Control Protocol / Internet Protocol) is used as a communication protocol. In the present embodiment, the
クライアント10a,10bは、ユーザが使用するクライアントコンピュータである。例えば、パーソナルコンピュータやワークステーション、その他のコンピュータ装置にて実現される。以下の説明では、クライアント10a,10bは、クライアントコンピュータにインストールされたWebブラウザを指すこともある。尚、図1では、クライアント10a,10bを示したが、これらを区別する必要がない場合は、クライアント10と称することもある。また、図1では、2台のクライアント10しか示していないが、3台以上のクライアント10を設けてもよい。
The
サーバ20は、HTML(HyperText Markup Language)文書や画像などの情報を蓄積しているWebサーバである。サーバ20は、例えば、パーソナルコンピュータやワークステーション、その他のコンピュータ装置にて実現される。
The
LANアナライザ30(通信装置の一例)は、LAN70を流れるパケットを捕獲(キャプチャ)して記録するハードウェア又はソフトウェアである。LANアナライザ30は、トラフィックの監視専用の装置であってもよいし、パケット・キャプチャ・ソフトウェアがインストールされたパーソナルコンピュータ等であってもよい。本実施の形態では、クライアント10がダウンロードするファイルの危険性の診断を、このLANアナライザ30が行う。
The LAN analyzer 30 (an example of a communication device) is hardware or software that captures and records packets flowing through the
次に、LANアナライザ30の機能構成について説明する。
図2は、LANアナライザ30の機能構成例を示したブロック図である。図示するように、LANアナライザ30は、キャプチャ部31と、ログデータ記憶部32と、制御情報記憶部33と、パケット抽出部34と、ファイル種別取得部35と、危険性判定部36と、ダウンロード制御部37とを備えている。
Next, the functional configuration of the
FIG. 2 is a block diagram illustrating a functional configuration example of the
キャプチャ部31は、LAN70を流れるパケットを捕獲する。本実施の形態では、受信手段の一例として、キャプチャ部31を設けている。
ログデータ記憶部32は、キャプチャ部31が捕獲したパケットをログデータとして記憶する。
The
The log
制御情報記憶部33は、LANアナライザ30がファイルの危険性の診断を行う際に必要となる、拡張子とマジックナンバー(後述)との対応関係や、クライアント10のIPアドレス等を記憶する。
パケット抽出部34は、制御情報記憶部33に記憶されているクライアント10のIPアドレス等を参照して、キャプチャ部31が捕獲したパケットの中から、クライアント10がファイルをダウンロードする際に送出されるHTTPリクエストのパケットと、それに対するHTTPレスポンスのパケットを抽出する。この抽出方法については後述する。
The control information storage unit 33 stores a correspondence relationship between an extension and a magic number (described later), an IP address of the client 10, and the like, which are necessary when the
The
ファイル種別取得部35は、パケット抽出部34により抽出されたパケットに含まれるHTTPリクエストのデータから、クライアント10がダウンロードしようとするファイルの拡張子を取得する。また、ファイル種別取得部35は、パケット抽出部34により抽出されたパケットに含まれるHTTPレスポンスのデータから、クライアント10がダウンロードするファイルのデータに埋め込まれたそのファイルの種別を表すマジックナンバー(種別データの一例)を取得する。
本実施の形態では、拡張子取得手段及び種別データ取得手段の一例として、パケット抽出部34及びファイル種別取得部35を設けている。
The file
In the present embodiment, a
危険性判定部36は、ファイル種別取得部35が取得したファイルの拡張子とそのファイルのマジックナンバーとがそれぞれ同じ種別を表す(即ち、整合する)場合は、そのファイルを安全であると判定する。逆に、ファイル種別取得部35が取得したファイルの拡張子とそのファイルのマジックナンバーとが異なる種別を表す場合は、そのファイルを危険であると判定する。本実施の形態では、危険性判定手段の一例として、危険性判定部36を設けている。
The
ダウンロード制御部37は、クライアント10がダウンロードするファイルが危険なものであると危険性判定部36が判定したときに、クライアント10に対してその旨の警告を送信し、ルータ40に対してサーバ20からクライアント10へのパケットを遮断させる(即ち、ダウンロードを中止させる)指示を送信する。本実施の形態では、ファイル取得中止手段の一例として、ダウンロード制御部37を設けている。
When the
ここで、ファイルのマジックナンバーについて説明する。
電子ファイルの名称を表す文字列には、例えば、実行形式のファイルであれば“exe”、JPEG(Joint Photographic Experts Group)形式の画像ファイルであれば“jpg”のように、通常そのファイルの種別を表す拡張子が付加されている。マジックナンバーは、この拡張子とは別に、ファイルの先頭部分の数バイトに埋め込まれたそのファイルの種別を表すデータである。例えば、実行形式のファイルには16進表記で“4D 5A”(ASCIIコードで“MZ”という文字列に相当する)の2バイトが、JPEG形式の画像ファイルには16進表記で“FF D8 FF”の3バイトが、マジックナンバーとして埋め込まれている。
Here, the magic number of the file will be described.
The character string representing the name of the electronic file usually includes, for example, “exe” for an executable file and “jpg” for an image file in JPEG (Joint Photographic Experts Group) format. An extension indicating is added. Apart from this extension, the magic number is data representing the type of the file embedded in several bytes at the beginning of the file. For example, 2 bytes of “4D 5A” (corresponding to the character string “MZ” in the ASCII code) in hexadecimal format for executable files, and “FF D8 FF” in hexadecimal format for image files in JPEG format. "3 bytes" are embedded as a magic number.
これらのうち、拡張子は上記のように詐称される可能性もあるが、マジックナンバーはそれを参照することによりそのファイルの種別を正しく認識できるものである。したがって、例えば、同じファイルの拡張子とマジックナンバーを調べた結果がそれぞれ“jpg”と“FF D8 FF”であれば、両者は整合しておりそのファイルはJPEG形式の画像ファイルであると判断できる。しかしながら、例えば、拡張子が“jpg”であるにもかかわらずマジックナンバーが“4D 5A”(“MZ”)であれば、そのファイルは実際には実行形式のファイルであり、拡張子が詐称されたものであると判断できる。 Among these, the extension may be misrepresented as described above, but the magic number can correctly recognize the type of the file by referring to it. Therefore, for example, if the results of examining the extension and magic number of the same file are “jpg” and “FF D8 FF”, respectively, they are consistent and it can be determined that the file is a JPEG image file. . However, for example, if the extension is “jpg” but the magic number is “4D 5A” (“MZ”), the file is actually an executable file and the extension is misrepresented. It can be judged that
次に、本実施の形態においてファイルのダウンロードが行われる際のHTTP通信の概略について説明する。
図3は、クライアントとサーバがHTTP通信を行う際の通信シーケンスの概略を示した図である。また、図4は、HTTPリクエスト及びHTTPレスポンスのデータの例を示した図である。
Next, an outline of HTTP communication when a file is downloaded in the present embodiment will be described.
FIG. 3 is a diagram showing an outline of a communication sequence when the client and the server perform HTTP communication. FIG. 4 is a diagram showing an example of HTTP request and HTTP response data.
図3に示すように、最初にクライアント10とサーバ20との間でTCPコネクションが確立される。これは、クライアント10、サーバ20間でSYNパケット(コネクションの確立要求)とACKパケット(確認応答)をやり取りする3ウェイハンドシェイクにより行われる。
As shown in FIG. 3, a TCP connection is first established between the client 10 and the
TCPコネクションが確立すると、クライアント10とサーバ20との間でデータの送受信を行うため、本実施の形態では、まずクライアント10がサーバ20へHTTPリクエストを送信する。図4(A)は、HTTPリクエストのデータの一部を示したものである。枠で囲んだ記述151は、“メソッド パス名 HTTP/バージョン番号”の書式で表されるリクエスト行であり、図4(A)の例では、GETメソッドによりクライアント10がサーバ20に対して“notepad.jpg”というJPEG形式の画像ファイルの取得を要求していることを表している。パス名には、URL(Uniform Resource Locator)が指定されることもある。
When the TCP connection is established, data is transmitted and received between the client 10 and the
次に、これに対する応答としてサーバ20がクライアント10へHTTPレスポンスを送信する。図4(B)は、HTTPレスポンスのデータの一部を示したものである。枠で囲んだ記述152は、“HTTP/バージョン番号 ステータス番号 メッセージ”の書式表されるレスポンス行であり、図4(B)の例では、上記のファイルの取得に成功した(“200 OK”)ことを表している。
また、枠で囲んだ記述153以降が、ダウンロードされる“notepad.jpg”のファイルのデータである。記述153は実行形式のファイルのマジックナンバー“MZ”であり、要求されたファイル名の拡張子“jpg”とは整合していないことがわかる。
Next, as a response to this, the
Further, the description 153 and the following enclosed in a frame is the data of the “notepad.jpg” file to be downloaded. The description 153 is the magic number “MZ” of the executable file, and it can be seen that it does not match the extension “jpg” of the requested file name.
HTTPによる一通りの通信が終わると、クライアント10とサーバ20との間でFINパケット(コネクションの切断要求)とACKパケットがやり取りされ、TCPコネクションが切断される(再び図3を参照)。
When one communication using HTTP is completed, a FIN packet (connection disconnection request) and an ACK packet are exchanged between the client 10 and the
以下では、本実施の形態におけるLANアナライザ30の動作について説明する。
図5は、本実施の形態においてダウンロードされるファイルの危険性を診断する際のLANアナライザ30の動作例を示したフローチャートである。
Below, operation | movement of the
FIG. 5 is a flowchart showing an example of the operation of the
まず、パケット抽出部34は、キャプチャ部31が捕獲したパケットのうちで、クライアント10が送信した、ファイルの取得を要求するHTTPリクエストのデータを含むものを抽出する(ステップ101)。ファイルの取得を要求するHTTPリクエストであることは、パケットに載っているHTTPのデータが、記述151のようなGETメソッド又はPOSTメソッドのような、ファイルの取得に使われるメソッドのリクエスト行を含むことにより判断される。
First, the
対象となるパケットが抽出されると、更にパケット抽出部34は、そのパケットのIPヘッダを参照し、送信元(クライアント10)のIPアドレス及び送信先(サーバ20)のIPアドレスを取得する。また、パケット抽出部34は、そのパケットのTCPヘッダを参照し、送信元のポート番号、送信先のポート番号及びTCPのシーケンス番号を取得する(ステップ102)。取得されたIPアドレス、ポート番号及びシーケンス番号は、制御情報記憶部33が記憶する。これらの情報は、捕獲されたパケットの中からHTTPリクエストと同一のTCPコネクションにおけるHTTPレスポンスのパケットを抽出する際に参照される。
When the target packet is extracted, the
また、ファイル種別取得部35は、パケット抽出部34が抽出したパケットにおけるHTTPリクエストのリクエスト行から、取得が要求されたファイルの拡張子を取得する(ステップ103)。この拡張子も制御情報記憶部33が記憶する。
Further, the file
次に、パケット抽出部34は、キャプチャ部31が捕獲したパケットのうちで、上記のHTTPリクエストに対応するHTTPレスポンスのデータを含むものを抽出する(ステップ104)。HTTPレスポンスであることは、パケットに載っているHTTPのデータが記述152のようなレスポンス行を含むことにより判断される。また、上記のHTTPリクエストに対応するものであるか否かは、HTTPリクエストと同一のTCPコネクションにおけるものか否かにより判断される。そして、同一のTCPコネクションか否かは、キャプチャ部31が捕獲したHTTPレスポンスのパケットについて、ステップ102と同様に、パケット抽出部34が送信元のIPアドレス、送信先のIPアドレス、送信元のポート番号、送信先のポート番号及びシーケンス番号を取得し、制御情報記憶部33に記憶されているものと(送信元及び送信先が逆になっていることを除いて)同一であるか否かを調べることにより判断される。
Next, the
対象となるパケットが抽出されると、ファイル種別取得部35は、そのパケットにおけるHTTPレスポンスに含まれるファイルのデータの先頭から、そのファイルのマジックナンバーを取得する(ステップ105)。
When the target packet is extracted, the file
そして、危険性判定部36は、制御情報記憶部33に記憶されているファイルの拡張子とファイル種別取得部35が取得したそのファイルのマジックナンバーとがそれぞれ同じ種別を表すか(整合するか)否かを判定する(ステップ106)。拡張子とマジックナンバーが同じ種別を表している場合は、危険性判定部36はそのファイルを安全であると判定し、処理を終了する。
Then, the
逆に、拡張子とマジックナンバーが異なる種別を表している場合は、危険性判定部36はそのファイルを危険であると判定する。図4の例では、“notepad.jpg”のファイルの拡張子“jpg”とマジックナンバー“MZ”とが異なる種別を表しているため、危険性判定部36はそのファイルを危険であると判定する。このとき、ダウンロード制御部37は、クライアント10に対してその旨の警告を送信し(ステップ107)、ルータ40に対してサーバ20からクライアント10へのパケットを遮断させる(ダウンロードを中止させる)指示を送信する(ステップ108)。
以上で、LANアナライザ30がファイルの危険性を診断する際の処理は終了する。
Conversely, if the extension and the magic number represent different types, the
Thus, the process when the
尚、ダウンロード制御部37が行う上記の警告は、LANアナライザ30からクライアント10に対してメールを送信することにより行ってもよいし、また、LANアナライザ30が有する表示部に表示される管理画面において警告を発してもよい。
更に、危険性判定部36による判定結果は、ログデータ記憶部32に記憶しておいてもよい。キャプチャ部31がパケットを捕獲した日時、ダウンロード元及びダウンロード先のIPアドレス、拡張子、並びにマジックナンバー等をログとして記憶しておけば、不審なファイルのダウンロードがされたか否かを後から解析することができ、システム監査、セキュリティ監査のときの監査証跡としても利用できる。
Note that the warning given by the
Furthermore, the determination result by the
また、上記のLANアナライザ30の動作例では、危険性判定部36により危険であると判定されたファイルのダウンロードを中止させる処理を行っているが(図5のステップ108を参照)、危険性判定部36が判定を誤ることにより必要なファイルのダウンロードまでが中止される可能性があり、ユーザが煩わしく感じることも考えられる。このような場合は、ダウンロードを中止させる処理を行わないようにしてもよい。
Further, in the operation example of the
また、図6は、本実施の形態が適用されるコンピュータシステムの変形例の全体構成図である。この変形例においても、上記と同様に、クライアント10と、サーバ20とが、LAN70、ルータ40及び外部ネットワーク80を介して接続されている。しかしながら、ここではLANアナライザ30が、図示するようにLAN70と外部ネットワーク80との境界においてインラインに接続されている。この変形例の場合は、図5のステップ108において、危険であると判定されたファイルのダウンロードをLANアナライザ30自体が中止させることができる。
FIG. 6 is an overall configuration diagram of a modified example of the computer system to which this exemplary embodiment is applied. Also in this modified example, the client 10 and the
ところで、以上の説明では、ファイルの危険性についての診断はLANアナライザ30が行ったが、クライアント10が自ら診断処理を行っても良い。その場合のクライアント10は、図2に示したようなLANアナライザ30と同様の構成を備える必要がある。ただしクライアント10は、キャプチャ部31に代えて、LAN70を介してデータを受信する受信部(不図示)を備える。この受信部は、受信手段の一例である。
By the way, in the above description, the
そして、図5のステップ101においては、パケット抽出部34は、自装置が出力したパケットの中からファイルの取得を要求するHTTPリクエストのデータを含むものを抽出する。またステップ107では、ダウンロード制御部37が自装置の表示部(不図示)に警告を表示する。更にステップ108では、ダウンロード制御部37が、受信部に対してサーバ20からクライアント10へのパケットの受信を遮断するように指示する。
In step 101 of FIG. 5, the
尚、図6を用いて説明した変形例の場合は、LANアナライザ30に代えてLAN70上の同じ位置にIPS(Intrusion Prevention System:侵入防御システム)を設け、そのIPSに本実施の形態におけるLANアナライザ30と同様の機能を持たせてもよい。
In the case of the modification described with reference to FIG. 6, an IPS (Intrusion Prevention System) is provided at the same position on the
以上述べたように、本実施の形態では、ダウンロードされるファイルの拡張子をクライアント10が送信したHTTPリクエストのデータから取得し、そのファイルのマジックナンバーをそのHTTPリクエストに対するHTTPレスポンスに含まれるファイルのデータから取得して、拡張子とマジックナンバーとが整合するか否かを判断するようにした。マジックナンバーはファイルの先頭に埋め込まれているため、ファイル全体のデータを受信する前でもそのファイルの危険性についての診断を行うことができる。このため、上記の構成により、ファイルのデータが受信されるときに、そのデータのうちの特定の部分を利用して、ファイルの危険性を早期に診断することが可能になった。 As described above, in the present embodiment, the extension of the file to be downloaded is obtained from the data of the HTTP request transmitted by the client 10, and the magic number of the file is obtained from the file included in the HTTP response to the HTTP request. Obtained from the data, it was determined whether the extension and the magic number match. Since the magic number is embedded at the beginning of the file, it is possible to diagnose the risk of the file even before the data of the entire file is received. For this reason, with the above configuration, when file data is received, it becomes possible to diagnose the risk of the file at an early stage by using a specific portion of the data.
最後に、本実施の形態におけるクライアント10及びLANアナライザ30のハードウェア構成について説明する。図7は、このようなコンピュータのハードウェア構成の一例を示した図である。図示するように、コンピュータは、演算手段であるCPU(Central Processing Unit)90と、M/B(マザーボード)チップセット91を介してCPU90に接続されたメインメモリ92と、同じくM/Bチップセット91を介してCPU90に接続された表示機構93とを備える。また、M/Bチップセット91には、ブリッジ回路94を介して、ネットワークインターフェイス95と、磁気ディスク装置(HDD)96と、音声機構97と、キーボード/マウス98と、フレキシブルディスクドライブ99とが接続されている。
Finally, the hardware configuration of the client 10 and the
尚、図7において、各構成要素は、バスを介して接続される。例えば、CPU90とM/Bチップセット91の間や、M/Bチップセット91とメインメモリ92の間は、CPUバスを介して接続される。また、M/Bチップセット91と表示機構93との間は、AGP(Accelerated Graphics Port)を介して接続されてもよいが、表示機構93がPCI Express対応のビデオカードを含む場合、M/Bチップセット91とこのビデオカードの間は、PCI Express(PCIe)バスを介して接続される。また、ブリッジ回路94と接続する場合、ネットワークインターフェイス95については、例えば、PCI Expressを用いることができる。また、磁気ディスク装置96については、例えば、シリアルATA(AT Attachment)、パラレル転送のATA、PCI(Peripheral Components Interconnect)を用いることができる。更に、キーボード/マウス98、及び、フレキシブルディスクドライブ99については、USB(Universal Serial Bus)を用いることができる。
In FIG. 7, each component is connected through a bus. For example, the
尚、クライアント10及びLANアナライザ30の各機能は、ソフトウェアとハードウェア資源とが協働することにより実現される。具体的には、CPU90が、キャプチャ部31(受信部)と、パケット抽出部34と、ファイル種別取得部35と、危険性判定部36と、ダウンロード制御部37との各機能を実現するプログラムを、例えば磁気ディスク装置96からメインメモリ92に読み込んで処理を行う。また、ログデータ記憶部32及び制御情報記憶部33は、例えば磁気ディスク装置96によって実現される。
The functions of the client 10 and the
10…クライアント、20…サーバ、30…LANアナライザ、31…キャプチャ部、32…ログデータ記憶部、33…制御情報記憶部、34…パケット抽出部、35…ファイル種別取得部、36…危険性判定部、37…ダウンロード制御部、40…ルータ DESCRIPTION OF SYMBOLS 10 ... Client, 20 ... Server, 30 ... LAN analyzer, 31 ... Capture part, 32 ... Log data storage part, 33 ... Control information storage part, 34 ... Packet extraction part, 35 ... File type acquisition part, 36 ... Risk determination Part, 37 ... download control part, 40 ... router
Claims (5)
ファイルの名称を表す文字列に含まれる当該ファイルの拡張子を取得する拡張子取得手段と、
前記受信手段がファイルを構成するデータを受信するときに、当該データのうち特定の部分に含まれる、拡張子とは異なる当該ファイルの種別を表す種別データを取得する種別データ取得手段と、
前記拡張子取得手段が取得した前記ファイルの拡張子と、前記種別データ取得手段が取得した当該ファイルの前記種別データとが整合するか否かに応じて、当該ファイルの危険性の有無を判定する危険性判定手段と
を備えたことを特徴とする通信装置。 Receiving means for receiving data flowing on the network;
An extension acquisition means for acquiring the extension of the file included in the character string representing the name of the file;
A type data obtaining unit for obtaining type data representing a type of the file different from the extension included in a specific part of the data when the receiving unit receives data constituting the file;
The presence / absence of the file is determined based on whether the extension of the file acquired by the extension acquisition unit matches the type data of the file acquired by the type data acquisition unit. A communication apparatus comprising: a risk determination unit.
前記拡張子取得手段は、前記受信手段が受信した前記ファイル取得要求のデータから前記ファイルの拡張子を取得することを特徴とする請求項1に記載の通信装置。 The receiving means receives a file acquisition request that the client computer transmits to the server computer via the network, and file data that the server computer transmits to the client computer in response to the file acquisition request,
The communication apparatus according to claim 1, wherein the extension acquisition unit acquires the extension of the file from the data of the file acquisition request received by the reception unit.
前記拡張子取得手段は、前記自装置が前記サーバコンピュータへ送信する前記ファイル取得要求のデータから前記ファイルの拡張子を取得することを特徴とする請求項1に記載の通信装置。 The receiving means receives data of a file from the server computer as a response to the file acquisition request transmitted from the own device to the server computer via the network;
2. The communication apparatus according to claim 1, wherein the extension acquisition unit acquires an extension of the file from data of the file acquisition request transmitted from the own apparatus to the server computer.
ネットワーク上を流れるデータを受信する機能と、
ファイルの名称を表す文字列に含まれる当該ファイルの拡張子を取得する機能と、
前記データを受信する機能がファイルを構成するデータを受信するときに、当該データのうち特定の部分に含まれる、拡張子とは異なる当該ファイルの種別を表す種別データを取得する機能と、
取得された前記ファイルの拡張子と当該ファイルの前記種別データとが整合するか否かに応じて、当該ファイルの危険性の有無を判定する機能と
を実現させるためのプログラム。 On the computer,
The ability to receive data flowing over the network;
A function for acquiring the extension of the file included in the character string representing the name of the file;
A function of receiving the data constituting the file when the function of receiving the data receives the type data representing the type of the file different from the extension included in the specific part of the data;
A program for realizing a function for determining whether or not a file has a risk according to whether or not the obtained extension of the file matches the type data of the file.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009295961A JP2011138189A (en) | 2009-12-25 | 2009-12-25 | Communication device and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009295961A JP2011138189A (en) | 2009-12-25 | 2009-12-25 | Communication device and program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2011138189A true JP2011138189A (en) | 2011-07-14 |
Family
ID=44349603
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009295961A Pending JP2011138189A (en) | 2009-12-25 | 2009-12-25 | Communication device and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2011138189A (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013097481A1 (en) * | 2011-12-31 | 2013-07-04 | 华为技术有限公司 | Method and system for identifying file type |
KR101390475B1 (en) * | 2013-02-05 | 2014-04-29 | 주식회사 윈스 | System and method for detecting malicious code based on network |
JP2018110445A (en) * | 2013-03-15 | 2018-07-12 | パナソニックIpマネジメント株式会社 | Content distribution method, content distribution system, and source equipment |
CN112182363A (en) * | 2020-09-05 | 2021-01-05 | 南方电网数字电网研究院有限公司 | Intelligent inspection method, device, equipment and storage medium based on micro-service framework |
-
2009
- 2009-12-25 JP JP2009295961A patent/JP2011138189A/en active Pending
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013097481A1 (en) * | 2011-12-31 | 2013-07-04 | 华为技术有限公司 | Method and system for identifying file type |
US9405758B2 (en) | 2011-12-31 | 2016-08-02 | Huawei Technologies Co., Ltd. | Method and system for identifying file type |
KR101390475B1 (en) * | 2013-02-05 | 2014-04-29 | 주식회사 윈스 | System and method for detecting malicious code based on network |
JP2018110445A (en) * | 2013-03-15 | 2018-07-12 | パナソニックIpマネジメント株式会社 | Content distribution method, content distribution system, and source equipment |
CN112182363A (en) * | 2020-09-05 | 2021-01-05 | 南方电网数字电网研究院有限公司 | Intelligent inspection method, device, equipment and storage medium based on micro-service framework |
CN112182363B (en) * | 2020-09-05 | 2024-02-02 | 南方电网数字电网研究院有限公司 | Intelligent auditing method, device, equipment and storage medium based on micro-service framework |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3295359B1 (en) | Detection of sql injection attacks | |
JP5003556B2 (en) | Communication detection device, communication detection method, and communication detection program | |
JP5018329B2 (en) | Program for controlling communication device and communication device | |
EP2810412B1 (en) | Systems and methods for extracting structured application data from a communications link | |
JP5920169B2 (en) | Unauthorized connection detection method, network monitoring apparatus and program | |
JP7388613B2 (en) | Packet processing method and apparatus, device, and computer readable storage medium | |
JP6502902B2 (en) | Attack detection device, attack detection system and attack detection method | |
JP2010015513A (en) | Malware detection system, malware detection method, and malware detection program | |
WO2012065551A1 (en) | Method for cloud security download | |
JP4877145B2 (en) | Program for controlling communication device and communication device | |
WO2013010394A1 (en) | Internet virus detection method, apparatus thereof and system thereof | |
JP2011138189A (en) | Communication device and program | |
KR101463873B1 (en) | Method and apparatus for preventing data loss | |
CN113315678A (en) | Encrypted TCP (Transmission control protocol) traffic acquisition method and device | |
JP2008205954A (en) | Communication information audit device, method, and program | |
JP4249174B2 (en) | Spyware communication management device and spyware communication management program | |
JP5536962B2 (en) | Packet data extraction apparatus, packet data extraction apparatus control method, control program, and computer-readable recording medium | |
JP2012150658A (en) | Information processing device, system, communication monitoring method and program | |
JPWO2015178002A1 (en) | Information processing apparatus, information processing system, and communication history analysis method | |
WO2023216792A1 (en) | Attack detection method, and apparatus | |
KR100647274B1 (en) | Fire wall system of controlling http traffic and method of operating the system | |
JP5456636B2 (en) | File collection monitoring method, file collection monitoring apparatus, and file collection monitoring program | |
JP2019092106A (en) | Network monitoring device, network monitoring method, and network monitoring program | |
JP2005025378A (en) | Computer virus detection method and network system using this method | |
JP5738042B2 (en) | Gateway device, information processing device, processing method, and program |