JP2018142927A - System and method for addressing malware unauthorized communication - Google Patents

System and method for addressing malware unauthorized communication Download PDF

Info

Publication number
JP2018142927A
JP2018142927A JP2017037497A JP2017037497A JP2018142927A JP 2018142927 A JP2018142927 A JP 2018142927A JP 2017037497 A JP2017037497 A JP 2017037497A JP 2017037497 A JP2017037497 A JP 2017037497A JP 2018142927 A JP2018142927 A JP 2018142927A
Authority
JP
Japan
Prior art keywords
communication
server
malware
address
internet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017037497A
Other languages
Japanese (ja)
Other versions
JP6870386B2 (en
Inventor
恒生 濱田
Tsuneo Hamada
恒生 濱田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2017037497A priority Critical patent/JP6870386B2/en
Publication of JP2018142927A publication Critical patent/JP2018142927A/en
Application granted granted Critical
Publication of JP6870386B2 publication Critical patent/JP6870386B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide a system and method for addressing malware unauthorized communication that can quickly address unauthorized communication caused by malware.SOLUTION: A system for addressing malware unauthorized communication comprises: means that fetches a file transmitted through the Internet; means that executes the fetched file under a virtual environment and determines whether the fetched file is malware on the basis of the details of the execution; means that, when the fetched file is determined to be malware, detects the address of a server from the details of the execution of the file under the virtual environment; means that detects communication with the server through the Internet on the basis of the address of the server; means that, when the communication with the server is detected, detects the address of the counterpart of the communication with the server; and means that transmits, to the Internet, a command indicating forcible termination of the communication to the address of the server and the address of the counterpart of the communication.SELECTED DRAWING: Figure 1

Description

本発明はマルウェアによって起こされる不正通信に対処する不正通信対処システム及び方法に関する。   The present invention relates to an unauthorized communication handling system and method for dealing with unauthorized communications caused by malware.

マルウェアの中には、ユーザ端末内のプログラムに感染してそのプログラムの動作を妨げたり、ユーザの意図に反する有害な作用を及ぼすものがある。このようなマルウェアは、実行されると、インターネット内に配置されたC&Cサーバ(コマンド&コントロールサーバ:以下、「C2サーバ」と称す)と不正通信を行ってC2サーバからインターネットを介してユーザ端末などのマルウェア感染装置を遠隔操作するボットネットを構成する。遠隔操作の指令者は指令者装置を操作してマルウェア感染装置に対してC2サーバ経由で指令を送信することが行われる。C2サーバから命令が送信されると、遠隔操作されるマルウェア感染装置はそのユーザの意図とは関係なく、他の端末やサーバを攻撃したり、個人情報を盗み出したりする。このようなマルウェアが拡散して多数の端末やコンピュータ装置が感染すると、それら多数のマルウェア感染装置はC2サーバと接続して不正通信を行うことになる。   Some malware infects a program in a user terminal and interferes with the operation of the program, or has a harmful effect contrary to the user's intention. When such malware is executed, it performs unauthorized communication with a C & C server (command & control server: hereinafter referred to as “C2 server”) arranged in the Internet, and a user terminal or the like from the C2 server via the Internet. A botnet that remotely controls the malware-infected device. The remote operation commander operates the commander device to transmit a command to the malware infection device via the C2 server. When a command is transmitted from the C2 server, the remotely infected malware infection apparatus attacks other terminals and servers or steals personal information regardless of the user's intention. When such malware spreads and many terminals and computer devices are infected, these many malware-infected devices connect to the C2 server and perform unauthorized communication.

このようなマルウェア感染装置とC2サーバとの間の不正通信を断つ方法としては、従来、特許文献1に開示されたように、C2サーバを経由して感染装置に対して操作指令を行う指令者装置を特定し、指令者装置とC2サーバとの間の接続を断つことを可能とする技術がある。   As a method for cutting off such unauthorized communication between the malware-infected device and the C2 server, a commander who issues an operation command to the infected device via the C2 server as disclosed in Patent Document 1 conventionally. There is a technology that makes it possible to identify a device and disconnect the connection between the commander device and the C2 server.

特開2014−219741号公報Japanese Patent Laid-Open No. 2014-219741

しかしながら、指令者装置を特定するためには、インターネット全域に渡って網羅的に監視装置を配置することになり、海外のネットワークを監視することは現実的ではない上、海外のネットワークに存在するC2サーバを監視して追跡するには、海外のインターネットプロバイダの協力や依頼が必要になり、不正通信の脅威に対して迅速に対処することができず、その間にマルウェアの拡散が進んで感染状況が悪化していくという課題があった。また、国内ネットワークのインターネットサービスプロバイダ(ISP)での対処では、そのプロバイダに所属しているユーザネットワークのみへの対処に留まってしまうという課題がある。   However, in order to specify the commander apparatus, the monitoring apparatus is arranged exhaustively over the entire Internet, and it is not realistic to monitor the overseas network, and C2 existing in the overseas network is not practical. Monitoring and tracking servers requires cooperation and requests from overseas Internet providers, and cannot respond quickly to the threat of unauthorized communications. There was a problem of getting worse. In addition, in the case of coping with an Internet service provider (ISP) in a domestic network, there is a problem that the coping with only a user network belonging to the provider is limited.

そこで、本発明の目的は、マルウェアによって起こされる不正通信に迅速に対処することができるマルウェア不正通信対処システム及び方法を提供することである。   SUMMARY OF THE INVENTION An object of the present invention is to provide a malware fraudulent communication handling system and method that can quickly deal with fraudulent communication caused by malware.

本発明のマルウェア不正通信対処システムは、インターネットに接続されたマルウェア不正通信対処システムであって、前記インターネットを介して転送されるファイルを取り込むファイル取込手段と、前記ファイル取込手段によって取り込まれた前記ファイルを仮想環境下で実行し、当該実行内容に基づいて前記ファイルがマルウェアであるか否かを判定するマルウェア判定手段と、前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき前記ファイルの前記仮想環境下での前記実行内容からサーバのアドレスを検出するサーバアドレス検出手段と、前記サーバのアドレスに基づいて前記インターネットを介した前記サーバとの通信を検出するサーバ通信検出手段と、前記サーバ通信検出手段によって前記サーバとの通信が検出されたとき前記サーバの通信相手のアドレスを検出する通信相手アドレス検出手段と、前記サーバのアドレス及び前記通信相手のアドレスの各々に向けて通信強制終了を示すコマンドを前記インターネットに送出するコマンド送信手段と、を含むことを特徴としている。   The anti-malware communication system of the present invention is an anti-malware communication system connected to the Internet, and is acquired by a file capturing means for capturing a file transferred via the Internet and the file capturing means. Malware determining means for executing the file under a virtual environment and determining whether the file is malware based on the execution content, and when the malware determining means determines that the file is malware Server address detecting means for detecting a server address from the execution contents of the file under the virtual environment, and server communication detecting means for detecting communication with the server via the Internet based on the server address; The server communication detecting means provides the server. A communication partner address detecting means for detecting the address of the communication partner of the server when communication with the server is detected, and a command indicating the forced termination of communication toward each of the address of the server and the address of the communication partner. And command sending means for sending out.

本発明のマルウェア不正通信対処方法は、インターネットに接続されたネットワーク監視装置のマルウェア不正通信対処方法であって、前記インターネットを介して転送されるファイルを取り込むファイル取込ステップと、前記ファイル取込ステップで取り込まれた前記ファイルを仮想環境下で実行し、当該実行内容に基づいて前記ファイルがマルウェアであるか否かを判定するマルウェア判定ステップと、前記マルウェア判定ステップで前記ファイルがマルウェアであると判定されたとき前記ファイルの前記仮想環境下での前記実行内容からサーバのアドレスを検出するサーバアドレス検出ステップと、前記サーバのアドレスに基づいて前記インターネットを介した前記サーバとの通信を検出するサーバ通信検出ステップと、前記サーバ通信検出ステップで前記サーバとの通信が検出されたとき前記サーバの通信相手のアドレスを検出する通信相手アドレス検出ステップと、前記サーバのアドレス及び前記通信相手のアドレスの各々に向けて通信強制終了を示すコマンドを前記インターネットに送出するコマンド送信ステップと、を含むことを特徴としている。   The malware illegal communication countermeasure method of the present invention is a malware illegal communication countermeasure method of a network monitoring device connected to the Internet, and includes a file capturing step for capturing a file transferred via the Internet, and the file capturing step. The malware captured in the virtual environment is executed in a virtual environment, and it is determined in the malware determination step whether or not the file is malware based on the execution content, and the malware determination step determines that the file is malware A server address detecting step for detecting a server address from the execution contents of the file under the virtual environment, and a server communication for detecting communication with the server via the Internet based on the server address A detecting step and the server communication A communication partner address detection step for detecting the address of the communication partner of the server when communication with the server is detected in the detection step; and a forcible termination of communication toward each of the server address and the communication partner address A command transmission step of transmitting a command to the Internet.

本発明のマルウェア不正通信対処システム及び方法によれば、マルウェアによって起こされる不正通信を検出して不正通信のサーバ及びその通信相手の各々のアドレスに向けて通信強制終了を示すコマンドを送信するので、不正通信を強制的に終了させることができる。よって、不正通信に迅速に対処することができることができる。   According to the malware unauthorized communication handling system and method of the present invention, since the unauthorized communication caused by the malware is detected and a command indicating the forced termination of communication is transmitted to each address of the unauthorized communication server and the communication partner, Unauthorized communication can be forcibly terminated. Therefore, it is possible to deal with unauthorized communication promptly.

本発明によるマルウェア不正通信対処システムの構成を示す図である。It is a figure which shows the structure of the malware unauthorized communication countermeasure system by this invention. 図1のシステム中の各装置の具体的構成を示すブロック図である。It is a block diagram which shows the specific structure of each apparatus in the system of FIG. 図1のシステムの動作を示すフローチャートである。It is a flowchart which shows operation | movement of the system of FIG. ユーザ端末とC2サーバとの間の不正通信の開始から遮断までのシーケンスを示す図である。It is a figure which shows the sequence from the start of unauthorized communication between a user terminal and a C2 server to interruption | blocking.

以下、本発明の実施例を、図面を参照しつつ詳細に説明する。   Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.

図1は本発明によるマルウェア不正通信対処システムの構成を示している。このシステムでは、IX(Internet eXchange)11、ASP(Application Service Provider)12、及びISP(Internet Service Provider)13、14、15がインターネット10に接続されている。なお、IX11、ASP12、及びISP13、14、15各々は本実施例では装置として示している。   FIG. 1 shows the configuration of a system for dealing with unauthorized malware communication according to the present invention. In this system, IX (Internet eXchange) 11, ASP (Application Service Provider) 12, and ISP (Internet Service Provider) 13, 14, 15 are connected to the Internet 10. Note that each of IX11, ASP12, and ISP13, 14, 15 is shown as a device in this embodiment.

ISP13、14、15にはユーザネットワーク16、17、18が各々接続されている。ISP13、14、15はインターネット10と、ローカルネットワークであるユーザネットワーク16、17、18との間の通信を各々中継する中継装置である。ユーザネットワーク16、17、18各々には各種のユーザ端末が接続されている。  User networks 16, 17, and 18 are connected to the ISPs 13, 14, and 15, respectively. ISPs 13, 14, and 15 are relay devices that relay communications between the Internet 10 and user networks 16, 17, and 18 that are local networks. Various user terminals are connected to each of the user networks 16, 17, and 18.

IX11はサンドボックス装置101、C2サーバリストDB(データベース)装置102、及びC2サーバ検知装置103を含んでいる。サンドボックス装置101、C2サーバリストDB装置102、及びC2サーバ検知装置103はインターネット10に接続されている。   The IX 11 includes a sandbox device 101, a C2 server list DB (database) device 102, and a C2 server detection device 103. The sandbox device 101, the C2 server list DB device 102, and the C2 server detection device 103 are connected to the Internet 10.

サンドボックス装置101はファイル取込手段、マルウェア判定手段、及びサーバアドレス検出手段を構成し、C2サーバ検知装置103はサーバ通信検出手段及び通信相手アドレス検出手段を構成する。   The sandbox device 101 constitutes file fetching means, malware determination means, and server address detection means, and the C2 server detection device 103 constitutes server communication detection means and communication partner address detection means.

サンドボックス装置101は、ネットワーク、すなわちインターネット10上のプログラム等のファイルを取り込み、そのファイルを仮想環境下で実行し、実行中の通信挙動からファイルがマルウェアか否かを判定する。仮想環境はサンドボックス装置101内に形成され、マルウェアであるファイルを実行しても装置外のインターネットに何ら影響を与えない隔離された領域である。また、サンドボックス装置101は、ファイルがマルウェアであると判断した場合には送信先のC2サーバのIPアドレスを取得し、取得したIPアドレスをC2サーバリストDB装置102に供給する。   The sandbox device 101 takes in a file such as a program on the network, that is, the Internet 10, executes the file in a virtual environment, and determines whether the file is malware from the communication behavior being executed. The virtual environment is an isolated area that is formed in the sandbox device 101 and does not affect the Internet outside the device even if a file that is malware is executed. If the sandbox device 101 determines that the file is malware, the sandbox device 101 acquires the IP address of the destination C2 server and supplies the acquired IP address to the C2 server list DB device 102.

C2サーバリストDB装置102は、サンドボックス装置101から供給されたC2サーバのIPアドレスを蓄積する。C2サーバ検知装置103は、インターネット10からユーザネットワーク16、17、18に至るラインの通信を監視してそれらのユーザネットワークを介したC2サーバの通信を検出する。   The C2 server list DB device 102 stores the IP address of the C2 server supplied from the sandbox device 101. The C2 server detection device 103 monitors communication on the line from the Internet 10 to the user networks 16, 17, 18 and detects communication of the C2 server via those user networks.

ASP12は、不正通信ユーザ通知装置104、オーダ受付装置105、RST発信装置106、及びユーザ課金装置107を含んでいる。不正通信ユーザ通知装置104、オーダ受付装置105、RST発信装置106、及びユーザ課金装置107はインターネット10に接続されている。   The ASP 12 includes an unauthorized communication user notification device 104, an order reception device 105, an RST transmission device 106, and a user billing device 107. The unauthorized communication user notification device 104, the order reception device 105, the RST transmission device 106, and the user billing device 107 are connected to the Internet 10.

不正通信ユーザ通知装置104はネットワーク特定手段及び不正通信通知手段を構成し、オーダ受付装置105はオーダ受信手段を構成し、RST発信装置106はコマンド送信手段を構成する。また、ユーザ課金装置107は課金手段を構成する。   The unauthorized communication user notification device 104 constitutes network specifying means and unauthorized communication notification means, the order reception device 105 constitutes an order reception means, and the RST transmission device 106 constitutes a command transmission means. The user billing apparatus 107 constitutes billing means.

不正通信ユーザ通知装置104は、ユーザネットワークの管理者に対して、不正通信の検知をメールで通知する。オーダ受付装置105はユーザネットワークの管理者からの不正通信の遮断オーダをメール又は特定のWebページで受け付ける。RST発信装置106は、オーダ受付装置105がオーダ受付を行うと、通信遮断対象のC2サーバとユーザネットワークの端末との各々に対してリセットコマンドであるRSTパケットを発信して通信を遮断する。ユーザ課金装置107は遮断オーダを発信した管理者に対して課金を行う。   The unauthorized communication user notification device 104 notifies the administrator of the user network by email of detection of unauthorized communication. The order receiving device 105 receives an unauthorized communication blocking order from an administrator of the user network by e-mail or a specific Web page. When the order reception device 105 receives an order, the RST transmission device 106 transmits an RST packet, which is a reset command, to each of the communication cutoff target C2 server and the user network terminal and blocks communication. The user billing apparatus 107 charges the administrator who has transmitted the blocking order.

サンドボックス装置101、C2サーバ検知装置103、不正通信ユーザ通知装置104、オーダ受付装置105、RST発信装置106、及びユーザ課金装置107各々は、例えば、図2に示すように、CPU(Central Processing Unit)201、メモリ202、補助記憶部203、表示部204、通信IF部205、及び入力部206が共通の内部バス207に接続されたコンピュータ装置200からなる。通信IF部205は上記したインターネット10等のネットワーク回線に接続される。CPU201がメモリ202又は補助記憶部203に記憶されたプログラムを実行することにより、各装置の動作を実行する。また、ユーザは入力部206より入力操作を行ってCPU201に対して指令し、また、CPU201は表示部204に動作結果等の情報を表示させる。このような構成により、サンドボックス装置101、C2サーバリストDB装置102、C2サーバ検知装置103、不正通信ユーザ通知装置104、オーダ受付装置105、RST発信装置106、及びユーザ課金装置107各々は、以下に示す動作を行い、また、それら装置間において通信可能にされている。   Each of the sandbox device 101, the C2 server detection device 103, the unauthorized communication user notification device 104, the order reception device 105, the RST transmission device 106, and the user billing device 107 includes, for example, a CPU (Central Processing Unit) as shown in FIG. ) 201, a memory 202, an auxiliary storage unit 203, a display unit 204, a communication IF unit 205, and an input unit 206 are composed of a computer device 200 connected to a common internal bus 207. The communication IF unit 205 is connected to the network line such as the Internet 10 described above. The CPU 201 executes the program stored in the memory 202 or the auxiliary storage unit 203 to execute the operation of each device. In addition, the user performs an input operation from the input unit 206 to instruct the CPU 201, and the CPU 201 causes the display unit 204 to display information such as an operation result. With such a configuration, each of the sandbox device 101, the C2 server list DB device 102, the C2 server detection device 103, the unauthorized communication user notification device 104, the order reception device 105, the RST transmission device 106, and the user billing device 107 is as follows. The operation shown in FIG. 5 is performed, and communication between these devices is enabled.

次に、かかるマルウェア不正通信対処システムの動作の流れについて図3のフローチャートを用いて説明する。   Next, the operation flow of the malware unauthorized communication countermeasure system will be described with reference to the flowchart of FIG.

先ず、サンドボックス装置101がIX11に転送されるファイルを受信する(ステップS100)。これはファイル取込ステップであり、例えば、メールの添付ファイルやWEBデータに含まれているスクリプトファイルである。サンドボックス装置101は、このようなファイルを受信すると、予め定められた仮想環境下でその受信ファイルを実行し(ステップS101)、実行内容である実行中の挙動を分析してファイルがマルウェアか否かを判定する(ステップS102)。ステップS101及びS102はマルウェア判定ステップである。挙動としてはC2サーバとの通信挙動が挙げられ、スパムメールやDDos攻撃の発生源となるような遠隔操作のコマンド及び制御をC2サーバから受ける通信である。マルウェアと判定した場合には、サンドボックス装置101は、仮想環境下でのC2サーバとの通信挙動からC2サーバのIPアドレスを取得し(ステップS103)、取得したIPアドレスをC2サーバリストDB装置102に供給する(ステップS104)。サーバアドレス検出ステップであるステップS103では例えば、遠隔操作を行うC2サーバとの通信際においてマルウェアの実行マシンの送信パケットの送信先となるIPアドレスがC2サーバのIPアドレスとして検出される。ステップS104によりC2サーバリストDB装置102にはC2サーバのIPアドレスが蓄積される。   First, the sandbox device 101 receives a file transferred to the IX 11 (step S100). This is a file fetching step, for example, a script file included in a mail attachment file or WEB data. When the sandbox device 101 receives such a file, the sandbox device 101 executes the received file under a predetermined virtual environment (step S101), analyzes the behavior being executed as the execution content, and determines whether the file is malware. Is determined (step S102). Steps S101 and S102 are malware determination steps. The behavior includes a communication behavior with the C2 server, and is a communication that receives a remote operation command and control from the C2 server, which is a source of spam mail or a DDos attack. If it is determined as malware, the sandbox device 101 acquires the IP address of the C2 server from the communication behavior with the C2 server in the virtual environment (step S103), and uses the acquired IP address as the C2 server list DB device 102. (Step S104). In step S103, which is a server address detection step, for example, the IP address that is the transmission destination of the transmission packet of the malware execution machine is detected as the IP address of the C2 server when communicating with the C2 server that performs remote operation. In step S104, the IP address of the C2 server is stored in the C2 server list DB apparatus 102.

C2サーバ検知装置103は、例えば、予め定められた周期で又はサンドボックス装置101からの指令を受けて、C2サーバリストDB装置102にアクセスしてC2サーバリストDB装置102からC2サーバのIPアドレスを取り出す(ステップS201)。その取り出したIPアドレスを用いた通信を監視する(ステップS202)。C2サーバ検知装置103はインターネット10の本体とISP13、14、15との間の通信回線に接続されているので、監視はこの通信回線を転送されるパケットを受信することになり、その受信パケットに含まれる送信先のIPアドレスをステップS201で取り出したIPアドレスと比較することにより行われる。監視の結果、C2サーバの通信を検出すると(ステップS203)、当該受信パケットに含まれる送信元のIPアドレス(C2サーバの通信相手のIPアドレス)を不正通信ユーザ通知装置104に送出する(ステップS204)。ステップS201〜S204はサーバ通信検出ステップである。   For example, the C2 server detection device 103 accesses the C2 server list DB device 102 in response to an instruction from the sandbox device 101 at a predetermined cycle or receives the IP address of the C2 server from the C2 server list DB device 102. Take out (step S201). Communication using the extracted IP address is monitored (step S202). Since the C2 server detection device 103 is connected to a communication line between the main body of the Internet 10 and the ISPs 13, 14, and 15, the monitoring receives a packet transferred through this communication line, and the received packet This is done by comparing the included destination IP address with the IP address extracted in step S201. As a result of monitoring, when communication of the C2 server is detected (step S203), the IP address of the transmission source (IP address of the communication partner of the C2 server) included in the received packet is sent to the unauthorized communication user notification device 104 (step S204). ). Steps S201 to S204 are server communication detection steps.

不正通信ユーザ通知装置104は、C2サーバ検知装置103から送信元のIPアドレスを受信すると、送信元のIPアドレスに応じてユーザネットワークを特定する(ステップS301)。不正通信ユーザ通知装置104は、例えば、予めIPアドレスとユーザネットワークとの関係をデータテーブルとして保有しており、IPアドレスが分かればデータテーブルを用いてどこのユーザネットワークに割当たられたアドレスであるかを特定することができる。また、不正通信ユーザ通知装置104は、各ユーザネットワークの管理者のメールアドレスをデータとして保有しているので、特定されたユーザネットワークの管理者宛にメールで不正通信の検知を通知する(ステップS302)。当該メールには、例えば、管理者の管理下のユーザネットワークを介した不正通信を検知したこと、その不正通信を遮断する有料サービスを提供していること、及びその有料サービスのオーダ、すなわち不正通信遮断オーダをメール又は特定のWebページで受け付けることが記載されている。   Upon receiving the transmission source IP address from the C2 server detection device 103, the unauthorized communication user notification device 104 specifies the user network according to the transmission source IP address (step S301). The unauthorized communication user notification device 104 holds, for example, the relationship between the IP address and the user network in advance as a data table, and if the IP address is known, it is an address assigned to which user network using the data table. Can be identified. Further, since the unauthorized communication user notification device 104 holds the email address of the administrator of each user network as data, the unauthorized communication user notification device 104 notifies the identified user network administrator of the detection of unauthorized communication by email (step S302). ). The email includes, for example, detection of unauthorized communication via a user network managed by the administrator, provision of a paid service for blocking the unauthorized communication, and order of the paid service, that is, unauthorized communication. It is described that the blocking order is received by e-mail or a specific Web page.

オーダ受付装置105は、例えば、予め定められた周期で又はサンドボックス装置101からの指令を受けて、C2サーバリストDB装置102にアクセスしてC2サーバリストDB装置102からC2サーバのIPアドレスを取り出す(ステップS401)。そして、管理者からの不正通信遮断オーダを受信するまで待機する(ステップS402)。   For example, the order receiving apparatus 105 accesses the C2 server list DB apparatus 102 and retrieves the IP address of the C2 server from the C2 server list DB apparatus 102 at a predetermined cycle or in response to a command from the sandbox apparatus 101. (Step S401). And it waits until it receives the unauthorized communication blocking order from the administrator (step S402).

オーダ受付装置105は、不正通信遮断オーダを受信すると(ステップS403)、RST発信装置106に対して、取り出したIPアドレスが割り当てられたC2サーバとの不正通信の遮断を指令する(ステップS404)。   Upon receiving the unauthorized communication blocking order (step S403), the order receiving apparatus 105 instructs the RST transmitting apparatus 106 to block unauthorized communication with the C2 server to which the extracted IP address is assigned (step S404).

RST発信装置106は、不正通信遮断指令を受信すると、C2サーバリストDB装置102にアクセスしてC2サーバリストDB装置102から該当するC2サーバのIPアドレスを取り出す(ステップS501)。また、該当C2サーバと不正通信中の送信元のIPアドレス、すなわち不正通信遮断オーダを発した管理者のネットワークに接続されたユーザ端末のIPアドレスを得る(ステップS502)。これはRST発信装置106が、C2サーバ検知装置103又は不正通信ユーザ通知装置104と通信して得ることができる。また、不正通信遮断オーダを受けた不正通信のC2サーバ及びユーザ端末各々のIPアドレス等の不正通信情報をASP12内の図示しない記憶装置で共有し、その記憶装置にASP12内の装置104〜107が適宜アクセスして不正通信情報を読み出すことができるようにしても良い。   When receiving the unauthorized communication cutoff command, the RST transmission device 106 accesses the C2 server list DB device 102 and takes out the IP address of the corresponding C2 server from the C2 server list DB device 102 (step S501). In addition, the IP address of the transmission source during illegal communication with the corresponding C2 server, that is, the IP address of the user terminal connected to the network of the administrator who issued the unauthorized communication blocking order is obtained (step S502). This can be obtained by the RST transmission device 106 communicating with the C2 server detection device 103 or the unauthorized communication user notification device 104. Further, unauthorized communication information such as the IP address of each of the C2 server and user terminal for unauthorized communication that has received an unauthorized communication blocking order is shared by a storage device (not shown) in the ASP 12, and the devices 104 to 107 in the ASP 12 are stored in the storage device. The unauthorized communication information may be read by appropriately accessing.

RST発信装置106は、不正通信遮断オーダを受けた不正通信のC2サーバ及びユーザ端末各々のIPアドレスを得ると、それらのIPアドレスを送信先アドレスとしたRSTパケットをインターネット10に各々送出する(ステップS503)。ステップS503はコマンド送信ステップである。一方のRSTパケットは不正通信中のユーザ端末に転送され、他方のRSTパケットは不正通信中のC2サーバに転送される。これにより、C2サーバとユーザ端末との間の不正通信が強制的に遮断される。   Upon obtaining the IP addresses of the unauthorized communication C2 server and the user terminal that have received the unauthorized communication blocking order, the RST transmission device 106 transmits RST packets having these IP addresses as transmission destination addresses to the Internet 10 (steps). S503). Step S503 is a command transmission step. One RST packet is transferred to the user terminal during illegal communication, and the other RST packet is transferred to the C2 server during illegal communication. This forcibly blocks unauthorized communication between the C2 server and the user terminal.

ユーザ課金装置107は、例えば、オーダ受付装置105からは不正通信遮断オーダの受信があったことが通知される。また、RST発信装置106がRSTパケットを送信した後、RST発信装置106からはRSTパケット送信終了通知を受ける。RSTパケット送信終了通知に応答してユーザ課金装置107は、不正通信遮断オーダを発した管理者に対して課金処理を実行する(ステップS601)。課金処理は例えば、予め登録された管理者のクレジットカード口座からの自動引き落とし、或いは管理者のメールアドレスに銀行口座振込依頼を記したメールを送信することにより行われる。   For example, the user billing apparatus 107 is notified from the order receiving apparatus 105 that an unauthorized communication blocking order has been received. In addition, after the RST transmission device 106 transmits the RST packet, the RST transmission device 106 receives an RST packet transmission end notification. In response to the RST packet transmission end notification, the user billing apparatus 107 performs billing processing for the administrator who has issued the unauthorized communication blocking order (step S601). The billing process is performed, for example, by automatically debiting from a pre-registered administrator's credit card account or by sending an e-mail with a bank account transfer request to the administrator's e-mail address.

図4はユーザ端末108とC2サーバ109との不正通信の開始からそれが強制的に遮断されるまでのシーケンスを示している。図1に示したように、ユーザ端末108はユーザネットワーク17に接続された端末であり、そこではマルウェアが実行されるとする。C2サーバ109は例えば、海外のネットワーク20に配置され、そのネットワーク20を介してインターネット10に接続されている。また、C2サーバ109はユーザ端末108に侵入したマルウェア110の実行によりユーザ端末108との間で不正通信を実行するサーバである。   FIG. 4 shows a sequence from the start of unauthorized communication between the user terminal 108 and the C2 server 109 until it is forcibly blocked. As shown in FIG. 1, it is assumed that the user terminal 108 is a terminal connected to the user network 17, where malware is executed. For example, the C2 server 109 is arranged in an overseas network 20 and is connected to the Internet 10 via the network 20. The C2 server 109 is a server that executes unauthorized communication with the user terminal 108 by executing the malware 110 that has entered the user terminal 108.

ユーザ端末108がマルウェア110の実行を開始すると、先ず、C2サーバ109との間でTCPコネクションの確立要求が行われる。図4に示すように、ユーザ端末108はSYNパケットをC2サーバ109に向けて送信し(ステップS701)、これに応答してC2サーバ109はSYN+ACKパケットをユーザ端末108に向けて送信する(ステップS702)。ユーザ端末108はSYN+ACKパケットに応答してACKパケットをC2サーバ109に向けて送信する(ステップS703)。これによりTCPコネクションが確立する(TCPコネクションオープン)。   When the user terminal 108 starts executing the malware 110, first, a request for establishing a TCP connection with the C2 server 109 is made. As shown in FIG. 4, the user terminal 108 transmits a SYN packet to the C2 server 109 (step S701), and in response, the C2 server 109 transmits a SYN + ACK packet to the user terminal 108 (step S702). ). In response to the SYN + ACK packet, the user terminal 108 transmits an ACK packet to the C2 server 109 (step S703). Thereby, a TCP connection is established (TCP connection open).

TCPコネクションが確立すると、ユーザ端末108とC2サーバ109との間でHTTPデータ+ACKを含むパケットが交互に転送され(例えば、ステップS704、S705)、これにより図1に示した不正通信111が実行される。   When the TCP connection is established, packets including HTTP data + ACK are alternately transferred between the user terminal 108 and the C2 server 109 (for example, steps S704 and S705), thereby executing the unauthorized communication 111 shown in FIG. The

この不正通信111の実行中に、上記した不正通信対処システムの動作が開始されると、RSTパケット(図1の112、113)がユーザ端末108及びC2サーバ109の各々に送信される(ステップS706、S707)。これは上記したRST発信装置106のステップS503の動作に相当する。ユーザ端末108及びC2サーバ109の各々はRSTパケット112、113を受信すると、ユーザ端末108とC2サーバ109との間の通信を終了してTCPコネクションを強制的に切断する(TCPコネクションクローズ)。   When the operation of the above-described unauthorized communication countermeasure system is started during the execution of the unauthorized communication 111, an RST packet (112 and 113 in FIG. 1) is transmitted to each of the user terminal 108 and the C2 server 109 (step S706). , S707). This corresponds to the operation in step S503 of the RST transmitter 106 described above. When each of the user terminal 108 and the C2 server 109 receives the RST packets 112 and 113, the communication between the user terminal 108 and the C2 server 109 is terminated and the TCP connection is forcibly disconnected (TCP connection close).

このように、本発明による不正通信対処システムにおいては、海外ネットワークに存在するC2サーバを監視して追跡することなく、ユーザ端末におけるマルウェアの実行による不正通信の検知及び遮断を迅速に実施することが可能となる。   As described above, in the unauthorized communication countermeasure system according to the present invention, it is possible to quickly detect and block unauthorized communication by executing malware in the user terminal without monitoring and tracking the C2 server existing in the overseas network. It becomes possible.

また、ユーザネットワーク内にマルウェアの対策装置を配置することなく、更には、ユーザネットワークを接続するISPに依存せず、ASPのサービスとして、マルウェアの不正通信の検知及び遮断が可能となる。   Further, it is possible to detect and block unauthorized communication of malware as an ASP service without arranging a malware countermeasure device in the user network and without depending on the ISP connecting the user network.

通常、不正通信の遮断はユーザネットワークとインターネットの間に配置されたファイアウォール装置での遮断になるが、本発明による不正通信対処システムにおいては、RSTパケットの発信による通信遮断により、ファイルウォール装置が不要となり、正常通信の通信品質の劣化を抑制することが可能となる。また、ファイアウォール装置を使用しないで済むことにより、遮断を除外したいユーザ端末があった場合のルール設定など煩雑な作業が不要になる。   Normally, unauthorized communication is blocked by a firewall device arranged between the user network and the Internet. However, in the unauthorized communication countermeasure system according to the present invention, a file wall device is not required because communication is blocked by transmission of an RST packet. Thus, it is possible to suppress deterioration in communication quality of normal communication. Further, since it is not necessary to use a firewall device, complicated work such as rule setting when there is a user terminal that is desired to be excluded from blocking is not required.

なお、上記した実施例においては、インターネット10に接続されたサンドボックス装置101、C2サーバ検知装置103、不正通信ユーザ通知装置104、オーダ受付装置105、RST発信装置106、及びユーザ課金装置107によって分散動作が行われているが、これに限らず、適宜の数の装置に分散することができる。また、インターネット10に接続された、図2に示した如き構成を有する単一のネットワーク監視装置によって全ての動作が実行されても良い。   In the above-described embodiment, distributed by the sandbox device 101, the C2 server detection device 103, the unauthorized communication user notification device 104, the order reception device 105, the RST transmission device 106, and the user billing device 107 connected to the Internet 10. Although the operation is performed, the present invention is not limited to this, and can be distributed to an appropriate number of apparatuses. Further, all the operations may be executed by a single network monitoring apparatus connected to the Internet 10 and having the configuration shown in FIG.

10 インターネット
11 IX
12 ASP
13、14、15 ISP
20 海外ネットワーク
101 サンドボックス装置
102 C2サーバリストDB装置
103 C2サーバ検知装置
104 不正通信ユーザ通知装置
105 オーダ受付装置
106 RST発信装置
107 ユーザ課金装置
108 ユーザ端末
109 C2サーバ 10 Internet 11 IX
12 ASP
13, 14, 15 ISP
20 Overseas network 101 Sandbox device 102 C2 server list DB device 103 C2 server detection device 104 Unauthorized communication user notification device 105 Order reception device 106 RST transmission device 107 User billing device 108 User terminal 109 C2 server

Claims (9)

インターネットに接続されたマルウェア不正通信対処システムであって、
前記インターネットを介して転送されるファイルを取り込むファイル取込手段と、
前記ファイル取込手段によって取り込まれた前記ファイルを仮想環境下で実行し、当該実行内容に基づいて前記ファイルがマルウェアであるか否かを判定するマルウェア判定手段と、
前記マルウェア判定手段によって前記ファイルがマルウェアであると判定されたとき前記ファイルの前記仮想環境下での前記実行内容からサーバのアドレスを検出するサーバアドレス検出手段と、
前記サーバのアドレスに基づいて前記インターネットを介した前記サーバとの通信を検出するサーバ通信検出手段と、
前記サーバ通信検出手段によって前記サーバとの通信が検出されたとき前記サーバの通信相手のアドレスを検出する通信相手アドレス検出手段と、
前記サーバのアドレス及び前記通信相手のアドレスの各々に向けて通信強制終了を示すコマンドを前記インターネットに送出するコマンド送信手段と、を含むことを特徴とするマルウェア不正通信対処システム。 An anti-malware communication system connected to the Internet,
File capturing means for capturing a file transferred via the Internet;
Malware determination means for executing the file captured by the file capture means in a virtual environment and determining whether the file is malware based on the execution content;
Server address detection means for detecting a server address from the execution content of the file under the virtual environment when the malware determination means determines that the file is malware;
Server communication detecting means for detecting communication with the server via the Internet based on the address of the server;
A communication partner address detection unit that detects a communication partner address of the server when communication with the server is detected by the server communication detection unit;
Command transmission means for sending a command indicating the forced termination of communication to each of the address of the server and the address of the communication partner, to the Internet. 前記サーバの通信相手のアドレスが割り当てられたローカルネットワークを特定するネットワーク特定手段と、
前記ローカルネットワークの管理者宛に不正通信の検知を前記インターネットを介して通知する不正通信通知手段と、
前記不正通信の検知通知に対する不正通信遮断オーダを前記インターネットを介して受信するオーダ受信手段と、を含み、
前記ローカルネットワークは前記インターネットに中継装置を介して接続されており、
前記パケット送信手段は前記不正通信遮断オーダを受信すると、前記通信強制終了を示すパケットを送信することを特徴とする請求項1記載のマルウェア不正通信対処システム。 Network specifying means for specifying a local network to which an address of a communication partner of the server is assigned;
Unauthorized communication notification means for notifying the local network administrator of the detection of unauthorized communication via the Internet;
Order receiving means for receiving the unauthorized communication blocking order for the unauthorized communication detection notification via the Internet, and
The local network is connected to the Internet via a relay device;
2. The malware unauthorized communication countermeasure system according to claim 1, wherein the packet transmitting means transmits a packet indicating the forced termination of communication when the unauthorized communication blocking order is received. 前記通信強制終了を示すコマンドの送出後、前記管理者に対する課金処理を行う課金手段を含むことを特徴とする請求項2記載のマルウェア不正通信対処システム。   3. The system for dealing with illegal malware communication according to claim 2, further comprising billing means for performing billing processing for the administrator after sending the command indicating forced termination of communication. 前記通信強制終了を示すコマンドはRSTパケットであることを特徴とする請求項1乃至3のいずれか1記載のマルウェア不正通信対処システム。   4. The system for dealing with unauthorized malware communication according to claim 1, wherein the command indicating forced termination of communication is an RST packet. 前記ローカルネットワークはインターネットプロバイダ管理下のネットワークであり、前記中継装置はインターネットサービスプロバイダ装置であることを特徴とする請求項2又は3記載のマルウェア不正通信対処システム。   4. The system for dealing with unauthorized malware communication according to claim 2, wherein the local network is a network managed by an Internet provider, and the relay device is an Internet service provider device. 前記サーバはコマンド&コントロールサーバであることを特徴とする請求項1乃至5のいずれか1記載のマルウェア不正通信対処システム。   6. The malware unauthorized communication countermeasure system according to claim 1, wherein the server is a command & control server. 前記ファイル取込手段、前記マルウェア判定手段、及び前記サーバアドレス検出手段はサンドボックス装置によって構成され、前記サーバ通信検出手段及び前記通信相手アドレス検出手段はC2サーバ検知装置によって構成され、
前記サンドボックス装置及びC2サーバ検知装置はIX(インターネットエックスチェンジ)に含まれることを特徴とする請求項1乃至6のいずれか1記載のマルウェア不正通信対処システム。 The file capture means, the malware determination means, and the server address detection means are configured by a sandbox device, and the server communication detection means and the communication partner address detection means are configured by a C2 server detection device,
The anti-malware communication system according to any one of claims 1 to 6, wherein the sandbox device and the C2 server detection device are included in IX (Internet Exchange). 前記ネットワーク特定手段及び前記不正通信通知手段は不正通信ユーザ通知装置によって構成され、前記オーダ受信手段はオーダ受付装置によって構成され、前記コマンド送信手段はRST発信装置によって構成され、前記課金手段はユーザ課金装置によって構成され、
前記不正通信ユーザ通知装置、前記オーダ受付装置、前記RST発信装置、及び前記ユーザ課金装置はASP(アプリケーションサービスプロバイダ)に含まれることを特徴とする請求項2、3及び5のいずれか1記載のマルウェア不正通信対処システム。 The network specifying unit and the unauthorized communication notification unit are configured by an unauthorized communication user notification device, the order reception unit is configured by an order reception device, the command transmission unit is configured by an RST transmission device, and the charging unit is user charging. Composed by the device,
6. The unauthorized communication user notification device, the order reception device, the RST transmission device, and the user billing device are included in an ASP (Application Service Provider). Malware unauthorized communication countermeasure system. インターネットに接続されたネットワーク監視装置のマルウェア不正通信対処方法であって、
前記インターネットを介して転送されるファイルを取り込むファイル取込ステップと、
前記ファイル取込ステップで取り込まれた前記ファイルを仮想環境下で実行し、当該実行内容に基づいて前記ファイルがマルウェアであるか否かを判定するマルウェア判定ステップと、
前記マルウェア判定ステップで前記ファイルがマルウェアであると判定されたとき前記ファイルの前記仮想環境下での前記実行内容からサーバのアドレスを検出するサーバアドレス検出ステップと、
前記サーバのアドレスに基づいて前記インターネットを介した前記サーバとの通信を検出するサーバ通信検出ステップと、
前記サーバ通信検出ステップで前記サーバとの通信が検出されたとき前記サーバの通信相手のアドレスを検出する通信相手アドレス検出ステップと、
前記サーバのアドレス及び前記通信相手のアドレスの各々に向けて通信強制終了を示すコマンドを前記インターネットに送出するコマンド送信ステップと、を含むことを特徴とするネットワーク監視装置のマルウェア不正通信対処方法。 An anti-malware communication method for a network monitoring device connected to the Internet,
A file capture step for capturing a file transferred via the Internet;
A malware determination step of executing the file captured in the file capture step in a virtual environment and determining whether the file is malware based on the execution content;
A server address detection step of detecting a server address from the execution content of the file under the virtual environment when the file is determined to be malware in the malware determination step;
A server communication detection step of detecting communication with the server via the Internet based on the address of the server;
A communication partner address detection step of detecting a communication partner address of the server when communication with the server is detected in the server communication detection step;
And a command transmission step of sending a command indicating forced termination of communication to each of the address of the server and the address of the communication partner to the Internet.
JP2017037497A 2017-02-28 2017-02-28 Malware unauthorized communication countermeasure system and method Active JP6870386B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017037497A JP6870386B2 (en) 2017-02-28 2017-02-28 Malware unauthorized communication countermeasure system and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017037497A JP6870386B2 (en) 2017-02-28 2017-02-28 Malware unauthorized communication countermeasure system and method

Publications (2)

Publication Number Publication Date
JP2018142927A true JP2018142927A (en) 2018-09-13
JP6870386B2 JP6870386B2 (en) 2021-05-12

Family

ID=63528350

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017037497A Active JP6870386B2 (en) 2017-02-28 2017-02-28 Malware unauthorized communication countermeasure system and method

Country Status (1)

Country Link
JP (1) JP6870386B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020140550A (en) * 2019-02-28 2020-09-03 沖電気工業株式会社 Support control device, support control program, and support control system
JP2020194503A (en) * 2019-05-30 2020-12-03 株式会社デンソーウェーブ Transmission system and transmission method

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002290407A (en) * 2001-03-23 2002-10-04 Mitsubishi Electric Corp Apparatus guaranteeing secure communications
JP2005012606A (en) * 2003-06-20 2005-01-13 Nec Corp Network cutoff system, and network cutoff judging apparatus and program
JP2005128784A (en) * 2003-10-23 2005-05-19 Toshiba Corp Monitoring controlling network system
JP2005517349A (en) * 2002-02-08 2005-06-09 ネットスクリーン・テクノロジーズ・インコーポレイテッド Network security system and method based on multi-method gateway
JP2014071796A (en) * 2012-10-01 2014-04-21 Nec Corp Malware detection device, malware detection system, malware detection method, and program
JP2014179025A (en) * 2013-03-15 2014-09-25 Ntt Communications Corp Connection destination information extraction device, connection destination information extraction method, and connection destination information extraction program
WO2015114804A1 (en) * 2014-01-31 2015-08-06 株式会社日立製作所 Unauthorized-access detection method and detection system
WO2015137235A1 (en) * 2014-03-13 2015-09-17 日本電信電話株式会社 Identification device, identification method, and identification program
WO2016093182A1 (en) * 2014-12-09 2016-06-16 日本電信電話株式会社 Identification device, identification method, and identification program
US20170039369A1 (en) * 2015-03-31 2017-02-09 Juniper Networks, Inc. Configuring a sandbox environment for malware testing

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002290407A (en) * 2001-03-23 2002-10-04 Mitsubishi Electric Corp Apparatus guaranteeing secure communications
JP2005517349A (en) * 2002-02-08 2005-06-09 ネットスクリーン・テクノロジーズ・インコーポレイテッド Network security system and method based on multi-method gateway
JP2005012606A (en) * 2003-06-20 2005-01-13 Nec Corp Network cutoff system, and network cutoff judging apparatus and program
JP2005128784A (en) * 2003-10-23 2005-05-19 Toshiba Corp Monitoring controlling network system
JP2014071796A (en) * 2012-10-01 2014-04-21 Nec Corp Malware detection device, malware detection system, malware detection method, and program
JP2014179025A (en) * 2013-03-15 2014-09-25 Ntt Communications Corp Connection destination information extraction device, connection destination information extraction method, and connection destination information extraction program
WO2015114804A1 (en) * 2014-01-31 2015-08-06 株式会社日立製作所 Unauthorized-access detection method and detection system
WO2015137235A1 (en) * 2014-03-13 2015-09-17 日本電信電話株式会社 Identification device, identification method, and identification program
WO2016093182A1 (en) * 2014-12-09 2016-06-16 日本電信電話株式会社 Identification device, identification method, and identification program
US20170039369A1 (en) * 2015-03-31 2017-02-09 Juniper Networks, Inc. Configuring a sandbox environment for malware testing

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
針生 剛男 TAKEO HARIU: "進化する脅威とこれからのサイバーセキュリティ", NTT技術ジャーナル 第24巻 第8号, vol. 第24巻, JPN6020035534, 1 August 2012 (2012-08-01), pages 13 - 17, ISSN: 0004349374 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020140550A (en) * 2019-02-28 2020-09-03 沖電気工業株式会社 Support control device, support control program, and support control system
JP7151552B2 (en) 2019-02-28 2022-10-12 沖電気工業株式会社 Support control device, support control program, and support control system
JP2020194503A (en) * 2019-05-30 2020-12-03 株式会社デンソーウェーブ Transmission system and transmission method
JP7247753B2 (en) 2019-05-30 2023-03-29 株式会社デンソーウェーブ Transmission system and transmission method

Also Published As

Publication number Publication date
JP6870386B2 (en) 2021-05-12

Similar Documents

Publication Publication Date Title
US10616246B2 (en) SDN controller
EP3143714B1 (en) Method to enable deep packet inspection (dpi) in openflow-based software defined network (sdn)
US8935419B2 (en) Filtering device for detecting HTTP request and disconnecting TCP connection
CN102884764B (en) Message receiving method, deep packet inspection device, and system
US11316861B2 (en) Automatic device selection for private network security
EP3203710A1 (en) Systems for improved domain name system firewall protection
US10397225B2 (en) System and method for network access control
US20210112093A1 (en) Measuring address resolution protocol spoofing success
JP7102780B2 (en) Unauthorized communication countermeasure system and method
JP6870386B2 (en) Malware unauthorized communication countermeasure system and method
US9203851B1 (en) Redirection of data from an on-premise computer to a cloud scanning service
KR101494329B1 (en) System and Method for detecting malignant process
US20160205135A1 (en) Method and system to actively defend network infrastructure
JP5551061B2 (en) Information processing apparatus, address duplication coping method, and address duplication coping program
CN110198298B (en) Information processing method, device and storage medium
CN116723020A (en) Network service simulation method and device, electronic equipment and storage medium
US11736528B2 (en) Low latency cloud-assisted network security with local cache
JP5420465B2 (en) Communication monitoring apparatus, method and program
JP6577921B2 (en) Security countermeasure system and security countermeasure method
CN106357536B (en) Message transmission method and device
US10320751B2 (en) DNS server selective block and DNS address modification method using proxy
US20230269236A1 (en) Automatic proxy system, automatic proxy method and non-transitory computer readable medium
US20220337488A1 (en) Network device type classification
JP4005047B2 (en) Server computer protection device
US10887399B2 (en) System, method, and computer program product for managing a connection between a device and a network

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20191115

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200909

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200923

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201124

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210316

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210329

R150 Certificate of patent or registration of utility model

Ref document number: 6870386

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150