JP2012083799A - ファイル収集監視方法、ファイル収集監視装置及びファイル収集監視プログラム - Google Patents
ファイル収集監視方法、ファイル収集監視装置及びファイル収集監視プログラム Download PDFInfo
- Publication number
- JP2012083799A JP2012083799A JP2010226815A JP2010226815A JP2012083799A JP 2012083799 A JP2012083799 A JP 2012083799A JP 2010226815 A JP2010226815 A JP 2010226815A JP 2010226815 A JP2010226815 A JP 2010226815A JP 2012083799 A JP2012083799 A JP 2012083799A
- Authority
- JP
- Japan
- Prior art keywords
- file
- request
- unit
- network
- character string
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【解決手段】ファイル収集監視装置6において、サーバ送受信アクセス監視部621はネットワーク上の任意のファイルをサーバ端末に取得させる要求である動作実行要求を外部から受信し、また、動作実行要求に応じたサーバ端末によるファイル取得発生の有無を判定する。データ受信部63がサーバ送受信アクセス監視部621によってサーバ端末によるファイル取得が発生しないと判定された場合に、動作実行要求を解析して、ネットワークにおける任意のファイルの位置である統一資源位置指定子を特定する。データ受信部アクセス監視部621がデータ受信部によって特定された統一資源位置指定子を用いて任意のファイルを取得する要求であるファイル取得要求を生成する。さらに、データ受信部アクセス監視部621が生成したファイル取得要求をネットワークに送出することで、任意のファイルを取得する。
【選択図】図2
Description
まず、実施例1に係るファイル収集監視装置の構成について説明する。図1は、実施例1に係るファイル収集監視装置を適用するネットワークモデルの一例を示す図である。図1に示すネットワークモデルでは、ネットワーク1にネットワーク2と、ネットワーク3と、ファイル収集監視装置6とを有する。
次に実施例1に係るファイル収集監視装置6による処理の手順を説明する。
図9は、実施例1に係るファイル収集監視装置6によるリクエスト解析処理の手順を示すシーケンス図である。図9に示すように、実施例1に係るファイル収集監視装置6においては、ネットワークからリクエストを受信すると(ステップS101)、サーバ送受信アクセス監視部621は、サーバ端末部61にリクエストを送信する(ステップS102)。
図10は、実施例1に係るファイル収集監視装置6によるファイル取得要求送信処理の手順を示すシーケンス図である。図10に示すように、実施例1に係るファイル収集監視装置6においては、文字列解析環境631、動作環境632又は動作環境633は、文字列又はファイル取得要求を抽出すると(ステップS109)、抽出した文字列又はファイル取得要求をデータ受信部アクセス監視部623に送信する(ステップS201)。
図11は、実施例1に係るファイル収集監視装置6によるファイル解析処理の手順を示すシーケンス図である。図11に示すように、実施例1に係るファイル収集監視装置6においては、データ受信部アクセス監視部623は、ネットワークからファイル取得要求に応じたファイルを受信すると(ステップS301)、アクセスデータ管理部624にファイル取得を通知し(ステップS302)、取得したファイルを転送先特定部622に送信する(ステップS304)。
図12は、実施例1に係るファイル収集監視装置6によるデータの保存処理の手順を示すシーケンス図である。図12に示すように、実施例1に係るファイル収集監視装置6においては、サーバ送受信アクセス監視部621は、ネットワークからデータを受信し(ステップS401)、それに対するデータを送信すると(ステップS402)、それら通信の情報を解析データ収集部625に送信する(ステップS403)。
上述したように、実施例1によれば、サーバ送受信アクセス監視部621がネットワーク上の任意のファイルをサーバ端末に取得させるリクエストを受信する。さらに、サーバ送受信アクセス監視部621が、リクエストに応じたサーバ端末によるファイル取得発生の有無を判定する。そして、データ受信部63がサーバ送受信アクセス監視部621によってサーバ端末によるファイル取得が発生しないと判定された場合に、リクエストを解析して、ネットワークにおける任意のファイルの位置であるURLを特定する。データ受信部アクセス監視部623がデータ受信部63によって特定されたURLを用いて任意のファイルを取得する要求であるファイル取得要求を生成する。さらに、データ受信部アクセス監視部623が生成したファイル取得要求をネットワークに送出することで、任意のファイルを取得する。従って、実施例1に係るファイル収集監視装置6は、サーバ端末部61がリクエストに対する応答に失敗した場合であっても、当該リクエストに係る通信の情報やレスポンスに係る通信の情報を収集することができ、攻撃対象への攻撃に関する検知精度を向上させることを可能にする。
上述した実施例1では、リクエストやファイルなどを直接解析する場合について説明した。しかしながら、開示の技術はこれに限定されるものではなく、例えば、エンコードされたリクエストをデコード処理した後に解析する場合であってもよい。かかる場合には、転送先特定部622又はデータ受信部63における各環境にデコード処理を実行させる機能を備えるようにすればよい。図13は、デコード処理に用いられるテーブルの一例を説明するための図である。
上述した実施例1では、ネットワーク1にファイル収集監視装置6と、ネットワーク2と、ネットワーク3とが収容されたネットワークモデルを用いる場合について説明した。しかしながら、開示の技術はこれに限定されるものではなく、種々の形態のネットワークモデルに適用することが可能である。以下では、実施例1とは異なるネットワークモデルについて説明する。
上述した実施例1では、データ受信部63に文字列解析環境631及び動作環境632、633を配置する場合について説明した。しかしながら、開示の技術はこれに限定されるものではなく、例えば、文字列解析環境631のみを配置する場合であってもよい。また、動作環境632、633のみを配置する場合であってもよい。なお、文字列解析環境631のみを配置する場合には、データ転送部62における転送先特定部622を取り除くことが可能である。
データ受信部アクセス監視部623が文字列解析環境631から受信した文字列を宛先URLとしたファイル取得要求を生成する場合について説明した。しかしながら、開示の技術はこれに限定されるものではなく、例えば、文字列解析環境631が抽出した文字列を宛先URLとしたファイル取得要求を生成する場合であってもよい。
例えば、各装置の分散・統合の具体的形態(例えば、図2の形態)は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的又は物理的に分散・統合することができる。一例を挙げると、サーバ送受信アクセス監視部621とデータ受信部アクセス監視部623とを一つのアクセス監視部として統合してもよく、一方、アクセスデータ管理部を、URLが記憶されているか否かを判定する判定部と、判定結果を通知する通知部とに分散してもよい。
上記実施例で説明したファイル収集監視装置6は、あらかじめ用意されたプログラムをコンピュータで実行することで実現することもできる。そこで、以下では、図2に示したファイル収集監視装置6と同様の機能を実現するファイル収集監視プログラムを実行するコンピュータの一例を説明する。
6 ファイル収集監視装置
7 データ転送処理機能
61 サーバ端末部
62 データ転送部
63 データ受信部
621 サーバ送受信アクセス監視部
622 転送先特定部
623 データ受信部アクセス監視部
624 アクセスデータ管理部
625 解析データ収集部
631 文字列解析環境
632、633 動作環境
Claims (9)
- サーバ端末の通信を監視するコンピュータによるファイル収集監視方法であって、
前記コンピュータが、
ネットワーク上の任意のファイルをサーバ端末に取得させる要求である動作実行要求を外部から受信する受信ステップと、
前記受信ステップによって受信された前記動作実行要求に応じた前記サーバ端末によるファイル取得発生の有無を判定する判定ステップと、
前記判定ステップによって前記サーバ端末によるファイル取得が発生しないと判定された場合に、前記動作実行要求を解析して、前記ネットワークにおける前記任意のファイルの位置である統一資源位置指定子を特定する特定ステップと、
前記特定ステップによって特定された統一資源位置指定子を用いて前記任意のファイルを取得する要求であるファイル取得要求を生成する生成ステップと、
前記生成ステップによって生成された前記ファイル取得要求をネットワークに送出することで、前記任意のファイルを取得する取得ステップと、
を含んだことを特徴とするファイル収集監視方法。 - 前記特定ステップは、前記動作実行要求の文字列において予め定められた第1の文字列から別に定められた第2の文字列の直前までの文字列を前記統一資源位置指定子として特定することを特徴とする請求項1に記載のファイル収集監視方法。
- 前記動作実行要求に応じた動作を実行する実行ステップをさらに含み、
前記特定ステップは、前記動作実行要求に含まれる文字列の特徴を参照して、当該動作実行要求に応じた動作を実行する実行ステップを特定し、特定した実行ステップに前記動作実行要求に応じた動作を実行させることにより、前記統一資源位置指定子を特定することを特徴とする請求項1に記載のファイル収集監視方法。 - 前記特定ステップは、前記取得ステップによって取得された前記任意のファイルに含まれる文字列において予め定められた第1の文字列から別に定められた第2の文字列の直前までの文字列を前記統一資源位置指定子として特定することを特徴とする請求項1〜3のいずれか1つに記載のファイル収集監視方法。
- 前記特定ステップは、前記取得ステップによって取得された前記任意のファイルに含まれる文字列の特徴を参照して、当該任意のファイルに応じた動作を実行する実行ステップを特定し、特定した実行ステップに前記任意のファイルに応じた動作を実行させることにより、前記統一資源位置指定子を特定することを特徴とする請求項3に記載のファイル収集監視方法。
- 前記取得ステップは、前記ファイル取得要求をネットワークに送出する前段階で、統一資源位置指定子を記憶する記憶部を参照し、現時点で取得しようとしているファイルの統一資源位置指定子が記憶されているか否かを判定し、当該統一資源位置指定子が前記記憶部に記憶されていないことを条件に、前記ファイル取得要求をネットワークに送出することを特徴とする請求項1に記載のファイル収集監視方法。
- 前記特定ステップは、前記動作実行要求が符号化されていた場合には、当該動作実行要求を復号化させ、復号化させた動作実行要求の文字列を解析して、前記任意のファイルの統一資源位置指定子を特定することを特徴とする請求項1〜6のいずれか1つに記載のファイル収集監視方法。
- ネットワーク上の任意のファイルをサーバ端末に取得させる要求である動作実行要求を外部から受信する受信部と、
前記受信部によって受信された前記動作実行要求に応じた前記サーバ端末によるファイル取得発生の有無を判定する判定部と、
前記判定部によって前記サーバ端末によるファイル取得が発生しないと判定された場合に、前記動作実行要求を解析して、前記ネットワークにおける前記任意のファイルの位置である統一資源位置指定子を特定する特定部と、
前記特定部によって特定された統一資源位置指定子を用いて前記任意のファイルを取得する要求であるファイル取得要求を生成する生成部と、
前記生成部によって生成された前記ファイル取得要求をネットワークに送出することで、前記任意のファイルを取得する取得部と、
を有することを特徴とするファイル収集監視装置。 - ネットワーク上の任意のファイルをサーバ端末に取得させる要求である動作実行要求を外部から受信する受信手順と、
前記受信手順によって受信された前記動作実行要求に応じた前記サーバ端末によるファイル取得発生の有無を判定する判定手順と、
前記判定手順によって前記サーバ端末によるファイル取得が発生しないと判定された場合に、前記動作実行要求を解析して、前記ネットワークにおける前記任意のファイルの位置である統一資源位置指定子を特定する特定手順と、
前記特定手順によって特定された統一資源位置指定子を用いて前記任意のファイルを取得する要求であるファイル取得要求を生成する生成手順と、
前記生成手順によって生成された前記ファイル取得要求をネットワークに送出することで、前記任意のファイルを取得する取得手順と、
をコンピュータに実行させることを特徴とするファイル収集監視プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010226815A JP5456636B2 (ja) | 2010-10-06 | 2010-10-06 | ファイル収集監視方法、ファイル収集監視装置及びファイル収集監視プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010226815A JP5456636B2 (ja) | 2010-10-06 | 2010-10-06 | ファイル収集監視方法、ファイル収集監視装置及びファイル収集監視プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012083799A true JP2012083799A (ja) | 2012-04-26 |
JP5456636B2 JP5456636B2 (ja) | 2014-04-02 |
Family
ID=46242628
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010226815A Active JP5456636B2 (ja) | 2010-10-06 | 2010-10-06 | ファイル収集監視方法、ファイル収集監視装置及びファイル収集監視プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5456636B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10491628B2 (en) | 2014-09-17 | 2019-11-26 | Mitsubishi Electric Corporation | Attack observation apparatus and attack observation method |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001249841A (ja) * | 2000-03-07 | 2001-09-14 | Hitachi Ltd | プロキシサーバを用いた自動再リクエスト方法 |
JP2010198386A (ja) * | 2009-02-25 | 2010-09-09 | Nippon Telegr & Teleph Corp <Ntt> | 不正アクセス監視システムおよび不正アクセス監視方法 |
-
2010
- 2010-10-06 JP JP2010226815A patent/JP5456636B2/ja active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001249841A (ja) * | 2000-03-07 | 2001-09-14 | Hitachi Ltd | プロキシサーバを用いた自動再リクエスト方法 |
JP2010198386A (ja) * | 2009-02-25 | 2010-09-09 | Nippon Telegr & Teleph Corp <Ntt> | 不正アクセス監視システムおよび不正アクセス監視方法 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10491628B2 (en) | 2014-09-17 | 2019-11-26 | Mitsubishi Electric Corporation | Attack observation apparatus and attack observation method |
Also Published As
Publication number | Publication date |
---|---|
JP5456636B2 (ja) | 2014-04-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11863587B2 (en) | Webshell detection method and apparatus | |
EP3424178B1 (en) | Deterministic reproduction of client/server computer state or output sent to one or more client computers | |
EP3295359B1 (en) | Detection of sql injection attacks | |
EP2659416B1 (en) | Systems and methods for malware detection and scanning | |
JP5396051B2 (ja) | 承認済みファイルと信頼されたドメインのデータベースを作成及び更新する方法及びシステム | |
JP5920169B2 (ja) | 不正コネクション検出方法、ネットワーク監視装置及びプログラム | |
RU2653241C1 (ru) | Обнаружение угрозы нулевого дня с использованием сопоставления ведущего приложения/программы с пользовательским агентом | |
US20160134658A1 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
JP5752642B2 (ja) | 監視装置および監視方法 | |
JP6050162B2 (ja) | 接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム | |
CN103856524A (zh) | 基于用户代理的白名单识别合法内容的方法和系统 | |
US8127033B1 (en) | Method and apparatus for accessing local computer system resources from a browser | |
CN108351941B (zh) | 分析装置、分析方法、以及计算机可读存储介质 | |
KR101487476B1 (ko) | 악성도메인을 검출하기 위한 방법 및 장치 | |
CN108809950B (zh) | 一种基于云端影子系统的无线路由器保护方法和系统 | |
JP6092759B2 (ja) | 通信制御装置、通信制御方法、および通信制御プログラム | |
JP5456636B2 (ja) | ファイル収集監視方法、ファイル収集監視装置及びファイル収集監視プログラム | |
JP6333763B2 (ja) | マルウェア解析装置およびマルウェア解析方法 | |
WO2015178002A1 (ja) | 情報処理装置、情報処理システム及び通信履歴解析方法 | |
JP6911723B2 (ja) | ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム | |
JP6286314B2 (ja) | マルウェア通信制御装置 | |
KR102156600B1 (ko) | 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법 | |
JP5738042B2 (ja) | ゲートウェイ装置、情報処理装置、処理方法およびプログラム | |
JP6676790B2 (ja) | リクエスト制御装置、リクエスト制御方法、および、リクエスト制御プログラム | |
JP5986695B2 (ja) | 情報処理装置、処理方法およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20121226 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131016 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131022 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131211 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140107 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140108 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5456636 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |