JP2017092755A - ネットワーク監視装置及びネットワーク監視装置におけるウイルス検知方法。 - Google Patents

ネットワーク監視装置及びネットワーク監視装置におけるウイルス検知方法。 Download PDF

Info

Publication number
JP2017092755A
JP2017092755A JP2015221971A JP2015221971A JP2017092755A JP 2017092755 A JP2017092755 A JP 2017092755A JP 2015221971 A JP2015221971 A JP 2015221971A JP 2015221971 A JP2015221971 A JP 2015221971A JP 2017092755 A JP2017092755 A JP 2017092755A
Authority
JP
Japan
Prior art keywords
content
virus
detection method
determined
determination unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015221971A
Other languages
English (en)
Other versions
JP6623702B2 (ja
Inventor
敦剛 小熊
Atsutake Oguma
敦剛 小熊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Saxa Inc
Original Assignee
Saxa Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Saxa Inc filed Critical Saxa Inc
Priority to JP2015221971A priority Critical patent/JP6623702B2/ja
Publication of JP2017092755A publication Critical patent/JP2017092755A/ja
Application granted granted Critical
Publication of JP6623702B2 publication Critical patent/JP6623702B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】利用シーンに応じてセキュリティレベルを動的に変更可能にする装置及び方法を提供する。【解決手段】ネットワーク監視装置(UTM)10は、複数のアクセス先を記憶する記憶部100と、複数のアクセス先が提供するコンテンツのカテゴリが制限対象であるか否かについて判定する第1判定部101と、制限対象でないことが判定されたアクセス先が提供するコンテンツを受信し、コンテンツの属するカテゴリが危険か安全かを判定する第2判定部102と、安全と判定されたコンテンツのファイルタイプを判定する第3判定部103と、アクセス可能と判定されたコンテンツのウイルスを検知する検知部104とを備える。検知部が、アクセス先が提供するコンテンツのカテゴリ及び/又はファイルタイプに応じて、ウイルスの検知方式を、第1検知方式と第2検知方式に切り替える。【選択図】図3

Description

本発明は、ネットワーク監視装置及びネットワーク監視装置におけるウイルス検知方法に関する。
ウイルス検知等、複数のセキュリティ機能を1台の筐体に収納したUTM(統合脅威管理:Unified Threat Management)は、例えば、企業内LAN(Local Area Network)と、インターネット等外部ネットワークとの境界に設置し、セキュリティゲートウエイとして使用されるネットワーク監視装置である。
ところで、ウイルス検知方式には2種類ある。一つはプロキシ方式と称され、パケットからファイルを構築してウイルス検知を行う方式である。他の一つはストリーム方式と称され、パケット単位でウイルス検知を行う方式である。
プロキシ方式は、ファイル単位でウイルス検知を行うため、ウイルス検知率が高い反面、パケットを一旦バッファリングしてからファイルを構築するため、多くのメモリ資源を必要としウイルス検知に要する時間が長くなる。一方、ストリーム方式は、パケット単位でウイルス検知を行うため、短時間で多くのデータ量のウイルス検知を行うことができる反面、パケット間に跨るウイルス、つまり、ファイルを構築した際にウイルスとして機能するウイルスの検知ができない。
このため、従来のネットワーク監視装置は、セキュリティを優先してプロキシ方式に設定するか、処理速度等の性能を優先してプロキシ方式に設定するかの二者択一で運用せざるを得なかった。したがって、安全性か性能のいずれかを犠牲にすることになる。
このため、例えば、特許文献1に、ユーザの意志によりセキュリティレベルを変更可能とし、汎用ソフト等の実行時に効率的なウイルスチェックが可能な再生装置が提案されている。
特開2006−85816号公報
特許文献1に開示された技術によれば、ウイルスチェックを複数段階に分けて行うことができる再生装置について説明されているが、ユーザがそのセキュリティレベルを設定するものであり、再生装置に予め記憶されたソフトウエアを実行する際に、設定されたセキュリティレベルに応じた認証動作を行う。したがって、利用シーンに応じて動的にセキュリティレベルを変更することはできない。
本発明は上記課題を解決するためになされたものであり、利用シーンに応じてセキュリティレベルを動的に変更可能なネットワーク監視装置及びネットワーク監視装置におけるウイルス検知方法を提供することを目的とする。
上記課題を解決するため、本発明のネットワーク監視装置及びネットワーク監視装置におけるウイルス検知方法は、以下のような解決手段を提供する。
(1)本発明に係る第1の態様は、ネットワーク監視装置であって、複数のアクセス先を記憶する記憶部と、前記複数のアクセス先が提供するコンテンツのカテゴリが制限対象であるか否かについて、前記記憶部又はネットワークを介して接続される外部サーバを参照して判定する第1判定部と、前記第1判定部によって制限対象でないことが判定されたアクセス先が提供するコンテンツを受信し、前記コンテンツの属するカテゴリが危険か安全かを判定する第2判定部と、前記第2判定部によって安全と判定された前記コンテンツのファイルタイプを判定する第3判定部と、前記第2判定部、又は前記第3判定部によってアクセス可能と判定された前記コンテンツのウイルスを検知する検知部とを備え、前記検知部が、前記アクセス先が提供する前記コンテンツのカテゴリ及び/又はファイルタイプに応じて、前記ウイルスの検知方式を、第1検知方式と第2検知方式に切り替えることを特徴とする。
(2)また、本発明は、(1)のネットワーク監視装置において、前記検知部が、前記第2判定部によってアクセス先のカテゴリが危険と判定された場合は、前記ウイルスを前記第1検知方式によって検知し、安全と判定された場合は、更に、前記第3判定部によってアクセス先のファイルタイプを判定し、その判定結果からリアルタイム性を要すると判定された場合に前記第2検知方式により検知し、リアルタイム性を要しないと判定された場合に前記第1検知方式により検知することを特徴とする。
(3)また、本発明は、(1)又は(2)のネットワーク監視装置において、前記第1検知方式が、パケットからファイルを構築してウイルスを検知するプロキシ方式であり、前記第2検知方式が、パケット単位でウイルスを検知するストリーム方式であることを特徴とする。
(4)また、本発明は、(1)〜(3)のいずれか1項に記載のネットワーク監視装置において、前記第3判定部が、前記アクセス先のファイルタイプが動画又は音声である場合に、前記アクセス先が提供するコンテンツにリアルタイム性があると判定することを特徴とする。
(5)また、本発明は、(1)〜(4)のいずれか1項に記載のネットワーク監視装置において、前記第1判定部が、制限対象であると判定した前記アクセス先が提供するコンテンツを一定期間記憶し、以降、前記コンテンツに対する前記検知部によるウイルス検知を前記一定期間だけ禁止することを特徴とする。
(6)本発明の第2の態様は、ネットワーク監視装置におけるウイルス検知方法であって、記憶部に記憶された複数のアクセス先が提供するコンテンツのカテゴリが制限対象であるか否かを、前記記憶部又はネットワークを介して接続される外部サーバを参照して判定する第1のステップと、前記第1のステップで制限対象でないことが判定されたアクセス先が提供するコンテンツを受信し、前記コンテンツの属するカテゴリが危険か安全かを判定する第2のステップと、前記第2のステップで安全と判定された前記コンテンツのファイルタイプを判定する第3のステップと、前記第2のステップ又は前記第3のステップでアクセス可能と判定された前記コンテンツのウイルスを検知する第4のステップとを有し、前記第4のステップが、前記アクセス先が提供する前記コンテンツのカテゴリ及び/又はファイルタイプに応じて、前記ウイルスの検知方式を、第1検知方式と第2検知方式に切り替えることを特徴とする。
本発明によれば、利用シーンに応じてセキュリティレベルを動的に変更可能なネットワーク監視装置及びネットワーク監視装置におけるウイルス検知方法を提供することができる。
本発明の実施の形態に係るネットワーク監視装置を含むシステムの構成及びその動作シーケンスを示す図である。 本発明の実施の形態に係るネットワーク監視装置の基本的な処理の流れを示すフローチャートである。 本発明の実施の形態に係るネットワーク監視装置の構成を示すブロック図である。 本発明の実施の形態に係るネットワーク監視装置の詳細な処理の流れを示すフローチャートである。 プロキシ方式によるウイルスチェックとストリーム方式によるウイルスチェックの手順を説明するために引用した動作概念図である。
以下、添付図面を参照して、本発明を実施するための形態(以下、実施形態と称する)について、詳細に説明する。なお、実施形態の説明の全体を通して同じ要素には同じ番号を付している。
(実施形態の構成)
図1に示すように、ネットワーク監視システムは、本実施形態に係るネットワーク監視装置(UTM10)と、複数のユーザ端末(PC20)と、UTM10に記憶されたアクセス先のURL(Uniform Resource Locator)が示す複数のコンテンツサーバ40と、コンテンツサーバ40が提供するコンテンツのカテゴリチェックを行う外部サーバ50と、からなる。UTM10、複数のコンテンツサーバ40、外部サーバ50は、共にインターネット30(ネットワーク)に接続され、PC20は、セキュリティゲートウエイとして機能するUTM10を介してインターネット30に接続されている。
図1と図2を用いてネットワーク監視システムの概略動作シーケンス及び基本動作の流れについて説明する。
最初にPC20がHTTP(Hyper Text Transfer Protocol)を使用してインターネットに接続するときUTM10がウイルス検知を行う(図1のa)。これを受けてUTM10は、内蔵DB(後述する記憶部100)を参照してアクセス先のURLを取得し、実装されているURLのフィルタリング機能により、アクセス先のURLのカテゴリチェックを行う(図2のステップS10)。ここで、アダルト、ギャンブル、ゲーム等、UTM10が設置された企業の業務に関係のないサイト等、アクセスが制限されているサイトが提供するコンテンツであれば、アクセスを終了する。
UTM10は、更に、外部サーバ50を使用してアクセス先のURLのカテゴリチェックを依頼し(図1のb)、外部サーバ50からアクセス先のURLのカテゴリチェックの結果を受信する(図1のc,図2のステップS20)。ここで、アクセス先のURLが禁止されているカテゴリに属していれば、アクセスを終了する。続いてUTM10は、アクセス先のURLのコンテンツサーバ40にHTTP(Hyper Text Transfer Protocol)によるアクセスを行い(図1のd,図2のステップS30)、該当のコンテンツサーバ40から要求コンテンツを受信し(図1のe)、受信したコンテンツに対してカテゴリやファイルタイプの判定を行う(図2のステップS40)。
最後にUTM10は、アクセス先のURLのカテゴリが危険と判定された場合及び安全並びにコンテンツがリアルタイム性を要しないと判定された場合は、パケットからファイルを構築してウイルスを検知するプロキシ方式を選択し、一方、コンテンツが安全及びリアルタイム性を要するコンテンツであると判定された場合は、パケット単位でウイルスを検知するストリーム方式によるウイルスチェック方式を選択する(図2のステップS50)。そして、それぞれの方式に従うウイルスチェックを行い、その結果によりPC20にコンテンツとウイルス検知結果を提供する(図1のf)。
図3に示すように、本実施形態に係るUTM10は、例えば、マイクロプロセッサを制御中枢とし、メモリを含むデータ送受信のための周辺LSIとを実装し、マイクロプロセッサがメモリに記憶されたプログラムに従い周辺LSIを制御することにより、図2に示した基本的な処理内容を実行する。このため、UTM10は、記憶部100と、第1判定部101と、第2判定部102と、第3判定部103と、検知部104とを含む。
記憶部100には、複数のアクセス先であるURLが記憶されている。第1判定部101は、複数のアクセス先(コンテンツサーバ40)が提供するコンテンツのカテゴリが制限対象であるか否かについて、記憶部100及び/又は図1におけるネットワーク(インターネット30)経由で接続される外部サーバ50を参照して判定する。
第2判定部102は、第1判定部101によって制限対象でないことが判定されたアクセス先が提供するコンテンツを受信し、当該コンテンツの属するカテゴリが危険か安全かを判定する。第2判定部102は、アクセス先のカテゴリがアダルト系又は犯罪系である場合には、アクセス先を危険であると判定する。
第3判定部103は、第2判定部102によって安全と判定されたコンテンツのファイルタイプを判定し、当該コンテンツがリアルタイム性を有するコンテンツか否かを判定する。第3判定部103は、アクセス先のファイルタイプが動画又は音声である場合にアクセス先が提供するコンテンツにリアルタイム性があると判定する。
検知部104は、第2判定部102又は第3判定部103によってアクセス可能と判定されたコンテンツのウイルスを検知する。検知部104は、アクセス先が提供するコンテンツのカテゴリ及び/又はファイルタイプに応じて、ウイルスの検知方式を、パケットからファイルを構築してウイルスを検知するプロキシ方式(第1検知方式)と、パケット単位でウイルスを検知するストリーム方式(第2検知方式)に切り替える。
検知部104は、第2判定部102によってアクセス先のカテゴリが危険と判定された場合は、ウイルスをプロキシ方式によって検知し、安全と判定された場合は、更に第3判定部103によってアクセス先のファイルタイプを判定し、判定したファイルタイプからリアルタイム性を要すると判定された場合、ストリーム方式により検知し、リアルタイム性を要しないと判定された場合は、プロキシ方式により検知する。
なお、第1判定部101は、制限対象であると判定したアクセス先が提供するコンテンツを一定期間記憶し、以降、当該コンテンツに対する検知部104によるウイルス検知を一定期間だけ禁止してもよい。
(実施形態の動作)
以下、図4のフローチャート及び図5の動作概念図を参照しながら、図2に示した本実施形態に係るUTM10の動作について詳細に説明する。
UTM10は、まず、第1判定部101が、記憶部100に記憶されたアクセス先のURL情報を取得し(ステップS101)、記憶部100(装置内DB)を参照してアクセス先のURLに相当するコンテンツサーバ40が提供するコンテンツのカテゴリチェックを行う(ステップS102)。ここで、アクセス制限対象のカテゴリに属すると判定されると(ステップS103“YES”)、以降、UTM10は、当該コンテンツサーバ40へのアクセスを禁止し、アクセスが禁止されていることをユーザ(PC20)へ通知する(ステップS114)。
一方、アクセス制限対象のカテゴリに属さないと判定されると(ステップS103“NO”)、第1判定部101は、更に、外部サーバ50を参照してアクセス先のURLのカテゴリチェックを行う(ステップS104)。第1判定部101は、外部サーバ50からアクセス先のURLのカテゴリチェックの結果を受信すると、そのアクセス先のURLに該当するコンテンツサーバ40が提供するコンテンツはアクセス制限対象のカテゴリに属するか否かを判定する(ステップS105)。
ここで、アクセス制限対象のカテゴリに属すると判定されると(ステップS105“YES”)、第1判定部101は、以降、当該コンテンツサーバ40に対するアクセスを禁止し、当該アクセスが禁止されていることをユーザ(PC20)へ通知する(ステップS114)。一方、アクセス制限対象のカテゴリに属さないと判定されると(ステップS105“NO”)、第1判定部101は、そのアクセス先のURLを用いて該当のコンテンツサーバ40へHTTPによる接続を行い、該当コンテンツを受信する(ステップS106)。
ここで、UTM10は、第1判定部101から第2判定部102に制御を移す。第2判定部102は、受信したコンテンツのカテゴリが危険か否かを判定する(ステップS107)。第2判定部102は、アクセス先のURLに相当するコンテンツサーバ40が提供するコンテンツのカテゴリがアダルト系又は犯罪系である場合にアクセス先を危険であると判定する。ここで、危険であると判定されると(ステップS107“YES”)、検知部104に制御が移る。検知部104は、第2判定部102の判定結果(危険なカテゴリに属する)に従い、パケットからファイルを構築してウイルスを検知する、セキュリティ重視のプロキシ方式によるウイルス検知を実行する(ステップS110)。
一方、受信したコンテンツのカテゴリがアダルト系又は犯罪系に属さず、安全であると判定されると(ステップS107“NO”)、UTM10は、第2判定部102から第3判定部103に制御を移す。第3判定部103は、受信したコンテンツのファイルタイプをチェックし、そのファイルタイプから、例えば、動画コンテンツや音声コンテンツ等のリアルタイム性を有するコンテンツか否かを判定する(ステップS108)。ここで、リアルタイム性を有するコンテンツであると判定されれば(ステップS108“YES”)、検知部104に制御が移る。
検知部104は、第3判定部103でリアルタイム性を有すると判定されたコンテンツに対し、パケット単位でウイルスを検知する、性能重視のストリーム方式によるウイルスチェック方式を実行する(ステップS109)。なお、リアルタイム性を有しないと判定されたコンテンツについては(ステップS108“NO”)、パケットからファイルを構築してウイルスを検知する、セキュリティ重視のプロキシ方式によるウイルスチェックが実行される(ステップS110)。
プロキシ方式によるウイルスチェック(ステップS110)の手順が図5(a)に、ストリーム方式によるウイルスチェック(ステップS109)の手順が図5(b)に、それぞれ動作概念図として示されている。いずれの方式も検知部104がウイルスチェックを行うために、メモリと、検索エンジンとをハードウエア資源として要するものとする。
図5(a)に示すように、プロキシ方式によれば、検知部104は、ファイルからパケットに分解し(ステップS110a)、所定量内蔵のメモリに保存した後に(ステップS110b)、パケットを再構築する(ステップS110c)。そして、検索エンジンがファイルのウイルスチェックを行い(ステップS110d)、パケットに分解して送信する(ステップS110e)。このため、パケットの再構築のために多くのリソースを必要とし、また、チェック可能なファイルサイズに制限があるという欠点を持つ。但し、セキュリティ性能はストリーム方式より高い。
一方、図5(b)に示すように、ストリーム方式によれば、ファイルをパケットに分解して(ステップS109a)、順次メモリに格納し(ステップS109b)、検索エンジンがメモリから読み出されるパケットを単位にウイルスチェックを行い(ステップS109c)、送信する(ステップS109d)。このため、ファイルサイズに依存しないウイルスチェックが可能であり、検査対象プロトコルが多く、チェック速度が速いという利点がある。但し、セキュリティ性能はプロキシ方式より低い。
説明を図4のフローチャートに戻す。検知部104による、ストリーム方式、あるいはプロキシ方式によるウイルスチェックの結果、受信したコンテンツへのウイルス混入の有無が判定される。ウイルスが検知されなかった場合(ステップS111“NO”)、検知部104は、PC20へそのコンテンツを送信し(ステップS112)、ウイルスが検知された場合(ステップS111“YES”)、PC20へそのコンテンツの送信を禁止し、ユーザにウイルスが検知されたことを通知する(ステップS113)。
なお、図2及び図4のフローチャートでは図示省略したが、第1判定部101は、制限対象であると判定したアクセス先が提供するコンテンツ(のインデックス)を記憶部100に一定期間記憶し、以降、そのコンテンツに対する検知部104によるウイルス検知を、一定期間だけ禁止する学習処理を行ってもよい。このことにより、検知部104による不要なウイルス検知のための処理を省略でき、リソースの有効活用が図れる。また、本実施形態に係るネットワーク監視装置(UTM10)によれば、アダルト系又は犯罪系に属するコンテンツを危険なカテゴリとして振り分けたが、アクセス先のURLのドメインで振り分けることも可能である。
(実施形態の効果)
以上の説明のように、本実施形態に係るネットワーク監視装置(UTM10)によれば、複数のアクセス先のURLのカテゴリが制限対象であるか否かを判定し、制限対象でないと判定されたアクセス先が提供するコンテンツを受信し、そのコンテンツが属するカテゴリが安全と判定された場合の当該コンテンツのファイルタイプに基づき、第1検知方式(プロキシ方式)と第2検知方式(ストリーム方式)に切り替える。具体的に、動画や音声等のリアルタイム性を有するコンテンツの場合、性能を優先してウイルスの検知方式を、パケットからファイルを構築してウイルスを検知するプロキシ方式を選択し、リアルタイム性を要しない場合、パケット単位でウイルスを検知するストリーム方式に切り替える。
このため、本実施形態に係るネットワーク監視装置(UTM10)によれば、利用シーンに応じて動的にウイルス検知方式を切り替えることができ、サイトが安全か否かに合わせてセキュリティレベルを変更し、安全なサイトにおいては比較的高速にウイルス検知が可能になる。特に、リアルタイム性が要求される動画コンテンツの再生及び比較的サイズが大きなファイルサイズを持つコンテンツのダウンロードに対し、実際に処理が開始されるまでに多くの時間を必要としていたものが、安全なサイトである場合に限りユーザに与えるストレスを解消することができる。
以上、実施形態を用いて本発明を説明したが、本発明の技術的範囲は上記実施形態に記載の範囲には限定されないことはいうまでもない。上記実施形態に、多様な変更又は改良を加えることが可能であることが当業者に明らかである。また、そのような変更又は改良を加えた形態も本発明の技術的範囲に含まれ得ることが、特許請求の範囲の記載から明らかである。なお、上記の実施形態では、本発明を物の発明として、ネットワーク監視システム(UTM10)について説明したが、本発明は、方法の発明(ネットワーク監視装置におけるウイルス検知方法)として捉えることもできる。
その場合、例えば、図1,図2に示すネットワーク監視装置(UTM10)に適用され、そしてそのウイルス検知方法は、図4のフローチャートに示すように、記憶部100に記憶された複数のアクセス先が提供するコンテンツのカテゴリが制限対象であるか否かを、前記記憶部100又はネットワーク(インターネット30)経由で接続される外部サーバ50を参照して判定する第1のステップ(ステップS102,ステップS104)と、前記第1のステップで制限対象でないことが判定されたアクセス先が提供するコンテンツを受信し、前記コンテンツの属するカテゴリが危険か安全かを判定する第2のステップ(ステップS107)と、前記第2のステップで安全と判定された前記コンテンツのファイルタイプを判定する第3のステップ(ステップS108)と、前記第2のステップ又は前記第3のステップでアクセス可能と判定された前記コンテンツのウイルスを検知する第4のステップ(ステップS111)とを有し、前記第4のステップが、前記アクセス先が提供する前記コンテンツのカテゴリ及び/又はファイルタイプに応じて、前記ウイルスの検知方式を、第1検知方式と第2検知方式に切り替える(ステップS109,ステップS110)ことを特徴とする。
本実施形態に係るネットワーク監視装置におけるウイルス検知方法によれば、利用シーンに応じてセキュリティレベルを動的に変更することができる。
10 ネットワーク監視装置(UTM)、20 ユーザ端末(PC)、30 ネットワーク(インターネット)、40 コンテンツサーバ、50 外部サーバ、100 記憶部、101 第1判定部、102 第2判定部、103 第3判定部、104 検知部

Claims (6)

  1. ネットワーク監視装置であって、
    複数のアクセス先を記憶する記憶部と、
    前記複数のアクセス先が提供するコンテンツのカテゴリが制限対象であるか否かについて、前記記憶部又はネットワークを介して接続される外部サーバを参照して判定する第1判定部と、
    前記第1判定部によって制限対象でないことが判定されたアクセス先が提供するコンテンツを受信し、前記コンテンツの属するカテゴリが危険か安全かを判定する第2判定部と、
    前記第2判定部によって安全と判定された前記コンテンツのファイルタイプを判定する第3判定部と、
    前記第2判定部又は前記第3判定部によってアクセス可能と判定された前記コンテンツのウイルスを検知する検知部とを備え、
    前記検知部が、
    前記アクセス先が提供する前記コンテンツのカテゴリ及び/又はファイルタイプに応じて、前記ウイルスの検知方式を、第1検知方式と第2検知方式に切り替えることを特徴とするネットワーク監視装置。
  2. 前記検知部が、
    前記第2判定部によってアクセス先のカテゴリが危険と判定された場合は、前記ウイルスを前記第1検知方式によって検知し、安全と判定された場合は、更に、前記第3判定部によってアクセス先のファイルタイプを判定し、その判定結果からリアルタイム性を要すると判定された場合に前記第2検知方式により検知し、リアルタイム性を要しないと判定された場合に前記第1検知方式により検知することを特徴とする請求項1記載のネットワーク監視装置。
  3. 前記第1検知方式が、パケットからファイルを構築してウイルスを検知するプロキシ方式であり、前記第2検知方式が、パケット単位でウイルスを検知するストリーム方式であることを特徴とする請求項1または2に記載のネットワーク監視装置。
  4. 前記第3判定部が、前記アクセス先のファイルタイプが動画又は音声である場合に、前記アクセス先が提供するコンテンツにリアルタイム性があると判定することを特徴とする請求項1〜3のいずれか1項に記載のネットワーク監視装置。
  5. 前記第1判定部が、制限対象であると判定した前記アクセス先が提供するコンテンツを一定期間記憶し、以降、前記コンテンツに対する前記検知部によるウイルス検知を前記一定期間だけ禁止することを特徴とする請求項1〜4のいずれか1項に記載のネットワーク監視装置。
  6. ネットワーク監視装置におけるウイルス検知方法であって、
    記憶部に記憶された複数のアクセス先が提供するコンテンツのカテゴリが制限対象であるか否かを、前記記憶部又はネットワークを介して接続される外部サーバを参照して判定する第1のステップと、
    前記第1のステップで制限対象でないことが判定されたアクセス先が提供するコンテンツを受信し、前記コンテンツの属するカテゴリが危険か安全かを判定する第2のステップと、
    前記第2のステップで安全と判定された前記コンテンツのファイルタイプを判定する第3のステップと、
    前記第2のステップ又は前記第3のステップでアクセス可能と判定された前記コンテンツのウイルスを検知する第4のステップとを有し、
    前記第4のステップが、
    前記アクセス先が提供する前記コンテンツのカテゴリ及び/又はファイルタイプに応じて、前記ウイルスの検知方式を、第1検知方式と第2検知方式に切り替えることを特徴とするネットワーク監視装置におけるウイルス検知方法。
JP2015221971A 2015-11-12 2015-11-12 ネットワーク監視装置及びネットワーク監視装置におけるウイルス検知方法。 Active JP6623702B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015221971A JP6623702B2 (ja) 2015-11-12 2015-11-12 ネットワーク監視装置及びネットワーク監視装置におけるウイルス検知方法。

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015221971A JP6623702B2 (ja) 2015-11-12 2015-11-12 ネットワーク監視装置及びネットワーク監視装置におけるウイルス検知方法。

Publications (2)

Publication Number Publication Date
JP2017092755A true JP2017092755A (ja) 2017-05-25
JP6623702B2 JP6623702B2 (ja) 2019-12-25

Family

ID=58768439

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015221971A Active JP6623702B2 (ja) 2015-11-12 2015-11-12 ネットワーク監視装置及びネットワーク監視装置におけるウイルス検知方法。

Country Status (1)

Country Link
JP (1) JP6623702B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109962886A (zh) * 2017-12-22 2019-07-02 北京安天网络安全技术有限公司 网络终端威胁的检测方法及装置
WO2021186763A1 (ja) 2020-03-19 2021-09-23 株式会社日立製作所 通信検査装置及び通信検査方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109962886A (zh) * 2017-12-22 2019-07-02 北京安天网络安全技术有限公司 网络终端威胁的检测方法及装置
CN109962886B (zh) * 2017-12-22 2021-10-29 北京安天网络安全技术有限公司 网络终端威胁的检测方法及装置
WO2021186763A1 (ja) 2020-03-19 2021-09-23 株式会社日立製作所 通信検査装置及び通信検査方法
JP7428561B2 (ja) 2020-03-19 2024-02-06 株式会社日立製作所 通信検査装置及び通信検査方法

Also Published As

Publication number Publication date
JP6623702B2 (ja) 2019-12-25

Similar Documents

Publication Publication Date Title
US11082436B1 (en) System and method for offloading packet processing and static analysis operations
US10965716B2 (en) Hostname validation and policy evasion prevention
US7849507B1 (en) Apparatus for filtering server responses
CN105940655B (zh) 用于防范DDos攻击的系统
US10135785B2 (en) Network security system to intercept inline domain name system requests
JPWO2016006520A1 (ja) 検知装置、検知方法及び検知プログラム
Deri et al. Combining System Visibility and Security Using eBPF.
US10083322B2 (en) Obscuring user web usage patterns
JP7388613B2 (ja) パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体
JP2022531878A (ja) Dnsメッセージを使用してコンピュータ・フォレンジック・データを選択的に収集するためのシステムおよび方法
US10893065B2 (en) Malware detection in distributed computer systems
JP5980968B2 (ja) 情報処理装置、情報処理方法及びプログラム
US11874845B2 (en) Centralized state database storing state information
JP6623702B2 (ja) ネットワーク監視装置及びネットワーク監視装置におけるウイルス検知方法。
US10757118B2 (en) Method of aiding the detection of infection of a terminal by malware
JP6146829B2 (ja) ネットワークデバイスを制御するための方法と装置
US11784993B2 (en) Cross site request forgery (CSRF) protection for web browsers
Choi et al. Slowloris dos countermeasure over websocket
KR101535381B1 (ko) Ip 주소 및 url를 이용한 인터넷 접속 차단 방법
JP6114204B2 (ja) 通信システム、フィルタリング装置、フィルタリング方法およびプログラム
Huraj et al. Smart Home Defense Against DDoS Attacks
Moorthy et al. Intrusion detection in cloud computing implementation of (saas & iaas) using grid environment
JP2020107335A (ja) 情報処理システム、サーバ装置、サーバ装置の制御方法およびプログラム
CN116865983A (zh) 攻击检测方法和网络安全装置
JP2016071384A (ja) 不正アクセス検知システム、不正アクセス検知装置、不正アクセス検知方法、および不正アクセス検知プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180417

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190521

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20190717

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190913

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20191029

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20191111

R150 Certificate of patent or registration of utility model

Ref document number: 6623702

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150