JP2016136745A - 情報処理装置、処理方法およびプログラム - Google Patents
情報処理装置、処理方法およびプログラム Download PDFInfo
- Publication number
- JP2016136745A JP2016136745A JP2016032737A JP2016032737A JP2016136745A JP 2016136745 A JP2016136745 A JP 2016136745A JP 2016032737 A JP2016032737 A JP 2016032737A JP 2016032737 A JP2016032737 A JP 2016032737A JP 2016136745 A JP2016136745 A JP 2016136745A
- Authority
- JP
- Japan
- Prior art keywords
- website
- access
- malware
- client terminal
- proxy server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
<システム構成例>
まず、本実施形態が適用されるネットワーク・システムについて説明する。
図1は、このようなネットワーク・システムの全体構成例を示した図である。
図示するように、このネットワーク・システムは、クライアント端末10と、プロキシサーバ20とがLAN(Local Area Network)100に接続されて構成されている。また、LAN100に接続された各装置は、プロキシサーバ20を介してインターネット200に接続される。すなわち、LAN100内の装置から外部ネットワークへの通信は、必ずプロキシサーバ20を介して行われる。
ここで、本実施形態が対象とする、マルウェアを侵入させる仕組みについて説明する。
図2は、インターネット上のウェブサイトがクライアント端末からのアクセスに応じてマルウェアを送信する仕組みを示す図である。
図2において、インターネット200上に設けられたウェブサイト210は、マルウェアを配信するウェブサイト(マルウェア配信サイト)である。図2に示す仕組みでは、まず、クライアント端末10からウェブサイト210へアクセス要求が行われる。そして、クライアント端末10からウェブサイト210へのアクセス要求が行われると、ウェブサイト210は、アクセス要求を行ったクライアント端末10へマルウェアを送信する。
本実施形態では、上記のように、一定期間以内に複数回のアクセス要求を行ったクライアント端末10に対して2回目以降のアクセス要求に応じたマルウェアの送信を行わないウェブサイト210を対象として、プロキシサーバ20による巡回アクセスを行う。そして、プロキシサーバ20がウェブサイト210からマルウェアをダウンロードする。また、プロキシサーバ20は、自身が設けられたLAN100内のクライアント端末10からウェブサイト210へのアクセス要求を、2回目以降のアクセス要求であるかのように偽装する。このようなプロキシサーバ20を備えたLAN100では、予めプロキシサーバ20がウェブサイト210にアクセスしてマルウェアをダウンロードするため、その後、クライアント端末10がウェブサイト210にアクセスしてもマルウェアをダウンロードすることがない。
まず、ウェブサイト210のサーバがIPアドレスを用いてアクセス元のクライアント端末10を識別する場合について、マルウェアの侵入を防ぐためのシステム構成およびその動作について説明する。本構成例では、プロキシサーバ20の機能により本システムを実現する。
図3は、本実施形態によるプロキシサーバ20の機能構成例を示す図である。
図3に示すプロキシサーバ20は、アクセス中継部21と、リスト保持部22と、アクセス制御部23と、ソフトウェア解析部24と、ソフトウェア処理部25とを備える。なお、図3においては、アクセス中継部21を除き、本実施形態における固有の機能のみを記載している。実際には、図3に示す機能の他、ファイア・ウォール機能やキャッシュ機能等の既存のプロキシサーバが備える種々の機能を設けることができる。
図4は、本実施形態によるプロキシサーバ20の動作を示すフローチャートである。
上記のように構成されたシステムにおいて、プロキシサーバ20は、アクセス制御部23の制御により、リスト保持部22に保持されているアクセス先リストにしたがって、所定のタイミングで(時間要件を満たす場合に)ウェブサイト210にアクセスする(ステップ401、402)。そして、ウェブサイト210からソフトウェアを取得(ダウンロード)したならば、ソフトウェア解析部24が、取得したソフトウェアを解析する(ステップ403、404)。ソフトウェア解析部24による解析の結果、取得したソフトウェアがマルウェアであると判断されたならば、次にソフトウェア処理部25が、そのソフトウェアを処理(削除、隔離等)する(ステップ405、406)。
上記のように、プロキシサーバ20が設けられたLAN100では、LAN100に接続された各端末装置からのアクセス要求におけるアクセス元のIPアドレスは、プロキシサーバ20のIPアドレスとなる。したがって、上記構成例におけるプロキシサーバ20のアクセス制御部23の機能を、プロキシサーバ20ではなく、LAN100に接続された特定のクライアント端末10に設けても良い。
次に、ウェブサイト210のサーバがクッキーを用いてアクセス元のクライアント端末10を識別する場合について、マルウェアの侵入を防ぐためのシステム構成およびその動作について説明する。本構成例では、プロキシサーバ20の機能により本システムを実現する。
図5は、本実施形態によるプロキシサーバ20の機能構成例を示す図である。
図5に示すプロキシサーバ20は、アクセス中継部21と、リスト保持部22と、アクセス制御部23と、ソフトウェア解析部24と、ソフトウェア処理部25と、情報編集部26とを備える。ここで、アクセス中継部21、リスト保持部22、アクセス制御部23、ソフトウェア解析部24およびソフトウェア処理部25は、図3に示した第1の構成例におけるプロキシサーバ20の構成と同様である。したがって、同一の符号を付して説明を省略する。なお、図5においては、アクセス中継部21を除き、本実施形態における固有の機能のみを記載している。実際には、図5に示す機能の他、ファイア・ウォール機能やキャッシュ機能等の既存のプロキシサーバが備える種々の機能を設けることができる。
図6および図7は、本実施形態のプロキシサーバ20によるクッキーに関する処理を示すフローチャートである。図6はクッキーの取得時の動作を示し、図7はクッキーの書き換え時の動作を示す。
図6に示す動作において、プロキシサーバ20がアクセス先リストに基づいてウェブサイト210にアクセスし、ダウンロードしたソフトウェアを解析するまでの動作(ステップ601〜604)は、図4に示した第1の構成例によるステップ401〜404までの動作と同様である。
上記の構成例では、プロキシサーバ20がLAN100内のクライアント端末10に先立ってウェブサイト210にアクセスし、マルウェアの送信時に付加されるクッキーを取得した。これに対し、アクセス先リストに登録されているウェブサイト210がマルウェアを送信する際に付加するクッキーを予め他の手段で取得し、プロキシサーバ20に保持しておく構成としても良い。この場合、クッキーは、例えばアクセス先リストと共に情報セキュリティサービス提供者が提供することが考えられる。ウェブサイト210からの応答またはクライアント端末10からのアクセス要求に付加されているクッキーを書き換えたり、付加したりする手法および手順については、上記の構成例と同様である。
最後に、本実施形態のプロキシサーバ20を実現するのに好適なコンピュータのハードウェア構成について説明する。
図8は、このようなコンピュータのハードウェア構成の一例を示す図である。
図8に示すコンピュータは、演算手段であるCPU(Central Processing Unit)300aと、主記憶手段であるメモリ300cを備える。また、外部デバイスとして、磁気ディスク装置(HDD:Hard Disk Drive)300g、ネットワーク・インターフェイス300f、表示機構300d、音声機構300h、キーボードやマウス等の入力デバイス300i等を備える。
Claims (4)
- ネットワークに接続された情報処理装置であって、
ネットワークを介して所定のアクセス対象にアクセスするアクセス制御手段と、
前記アクセス制御手段により前記アクセス対象との間で送信または受信されたコンテンツに関する識別情報を、当該アクセス対象との間で行われる通信の少なくとも一部に付加する編集手段と、
を備える、情報処理装置。 - 前記編集手段は、前記アクセス対象との間で行われる通信に、コンテンツに関する前記識別情報とは異なる他の識別情報が付加されている場合に、当該通信における当該他の識別情報をコンテンツに関する前記識別情報に書き換える、請求項1に記載の情報処理装置。
- ネットワークに接続された情報処理装置によるネットワーク通信の処理方法であって、
ネットワークを介して所定のアクセス対象にアクセスするステップと、
前記アクセス対象との間で送信または受信されたコンテンツに関する識別情報を、当該アクセス対象との間で行われる通信の少なくとも一部に付加するステップと、
を含む、処理方法。 - ネットワークに接続されたコンピュータを制御するプログラムにおいて、
ネットワークを介して所定のアクセス対象にアクセスするアクセス制御手段と、
前記アクセス制御手段により前記アクセス対象との間で送信または受信されたコンテンツに関する識別情報を、当該アクセス対象との間で行われる通信の少なくとも一部に付加する編集手段と、
前記コンピュータを機能させる、プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016032737A JP5986695B2 (ja) | 2016-02-24 | 2016-02-24 | 情報処理装置、処理方法およびプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016032737A JP5986695B2 (ja) | 2016-02-24 | 2016-02-24 | 情報処理装置、処理方法およびプログラム |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015086445A Division JP5893787B2 (ja) | 2015-04-21 | 2015-04-21 | 情報処理装置、処理方法およびプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016136745A true JP2016136745A (ja) | 2016-07-28 |
JP5986695B2 JP5986695B2 (ja) | 2016-09-06 |
Family
ID=56512159
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016032737A Active JP5986695B2 (ja) | 2016-02-24 | 2016-02-24 | 情報処理装置、処理方法およびプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5986695B2 (ja) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008226015A (ja) * | 2007-03-14 | 2008-09-25 | Fujitsu Ltd | セッション権限管理方法 |
JP2011034290A (ja) * | 2009-07-31 | 2011-02-17 | Fujitsu Ltd | 中継装置、中継方法、および中継プログラム |
-
2016
- 2016-02-24 JP JP2016032737A patent/JP5986695B2/ja active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008226015A (ja) * | 2007-03-14 | 2008-09-25 | Fujitsu Ltd | セッション権限管理方法 |
JP2011034290A (ja) * | 2009-07-31 | 2011-02-17 | Fujitsu Ltd | 中継装置、中継方法、および中継プログラム |
Also Published As
Publication number | Publication date |
---|---|
JP5986695B2 (ja) | 2016-09-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10666686B1 (en) | Virtualized exploit detection system | |
US10637880B1 (en) | Classifying sets of malicious indicators for detecting command and control communications associated with malware | |
US10021129B2 (en) | Systems and methods for malware detection and scanning | |
US9654494B2 (en) | Detecting and marking client devices | |
US10200384B1 (en) | Distributed systems and methods for automatically detecting unknown bots and botnets | |
US10395031B2 (en) | Systems and methods for malware detection and scanning | |
EP3871392B1 (en) | Network security system with enhanced traffic analysis based on feedback loop | |
US8161538B2 (en) | Stateful application firewall | |
US11861008B2 (en) | Using browser context in evasive web-based malware detection | |
CN105635073B (zh) | 访问控制方法、装置和网络接入设备 | |
JP5980968B2 (ja) | 情報処理装置、情報処理方法及びプログラム | |
RU2738337C1 (ru) | Система и способ обнаружения интеллектуальных ботов и защиты от них | |
JP2024023875A (ja) | インラインマルウェア検出 | |
US10360379B2 (en) | Method and apparatus for detecting exploits | |
KR102125966B1 (ko) | 사설 네트워크 및 가상머신을 이용한 토르 네트워크의 트래픽 및 특징점 수집 시스템 | |
Miller et al. | Detection of anonymising proxies using machine learning | |
CN112491836A (zh) | 通信系统、方法、装置及电子设备 | |
JP5738042B2 (ja) | ゲートウェイ装置、情報処理装置、処理方法およびプログラム | |
JP5986695B2 (ja) | 情報処理装置、処理方法およびプログラム | |
JP6635029B2 (ja) | 情報処理装置、情報処理システム及び通信履歴解析方法 | |
JP5893787B2 (ja) | 情報処理装置、処理方法およびプログラム | |
JP6563872B2 (ja) | 通信システム、および、通信方法 | |
JP6286314B2 (ja) | マルウェア通信制御装置 | |
KR102156600B1 (ko) | 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법 | |
US11949707B1 (en) | Isolating suspicious links in email messages |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160510 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160629 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160719 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160805 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5986695 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |