JP2020129162A - 通信制御装置、通信制御方法及び通信制御プログラム - Google Patents

通信制御装置、通信制御方法及び通信制御プログラム Download PDF

Info

Publication number
JP2020129162A
JP2020129162A JP2019020272A JP2019020272A JP2020129162A JP 2020129162 A JP2020129162 A JP 2020129162A JP 2019020272 A JP2019020272 A JP 2019020272A JP 2019020272 A JP2019020272 A JP 2019020272A JP 2020129162 A JP2020129162 A JP 2020129162A
Authority
JP
Japan
Prior art keywords
communication
identification information
communication flow
flow
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019020272A
Other languages
English (en)
Other versions
JP7206980B2 (ja
Inventor
耕平 土田
Kohei Tsuchida
耕平 土田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2019020272A priority Critical patent/JP7206980B2/ja
Publication of JP2020129162A publication Critical patent/JP2020129162A/ja
Application granted granted Critical
Publication of JP7206980B2 publication Critical patent/JP7206980B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】高度なセキュリティを確保し得る通信制御装置、通信制御方法及び通信制御プログラムを提供する。【解決手段】一実施の形態によれば、通信制御装置200は、サーバ装置300との間で通信を行うクライアント装置100において実行されるプロセス101から送信された複数の通信フローのうち、同一または親子関係にあるプロセスから送信された複数の通信フローを、通信パターンとして抽出する通信パターン抽出部210と、通信パターン抽出部210で抽出された通信パターンと、不正とされた不正通信パターンとの照合結果に基づいて、通信フローのサーバ装置300への通信制御を行う通信パターン検査部212と、を備える。【選択図】図1

Description

本発明は、通信制御装置、通信制御方法及び通信制御プログラムに関し、例えば、高度なセキュリティを確保し得る通信制御装置、通信制御方法及び通信制御プログラムに関する。
近年、サイバー攻撃は多様化しており、従来型のアンチウィルスソフトでは検知できないマルウェアによる被害が増加している。
特に、最近被害が急増しているマルウェアとして、ファイルレス・マルウェアがある。ファイルレス・マルウェアは、ディスクに実行ファイルを保存することなく、powershell.exeやcmd.exeなど、OSの正規のプロセスを悪用し、プロセス内のメモリ上で動作する。ファイルレス・マルウェアを用いた攻撃の一例としては、まず初めに、docファイルにショートカットファイル(LNKファイル)を埋め込み、メールに添付して、ターゲットに送信する。メールを受け取ったユーザが、添付されたdocファイルに埋め込まれたショートカットファイルをダブルクリックすると、powershell.exeが実行される。そして、外部のWebサイトから、おとり用の文書と、スクリプトがダウンロードされる。その後、ダウンロードされたスクリプトにより、不正プログラムの本体がダウンロードされ、メモリ上で実行される。このように、ファイルレス・マルウェアは、攻撃の中で実行ファイルをディスクに保存しないため、シグネチャベースの従来型のアンチウィルスソフトによるファイルスキャンを回避することができる。
特許文献1では、通信を行うアプリケーションの情報を基に通信制御を行うシステムが記載されている。特許文献1に記載されているシステムは、最初に、エージェントが入っている仮想マシンにおいて、アプリケーションが通信を行う。その際、OSI参照モデルのトランスポート層にネットワークソケットイベント要求が到達する前に、エージェントによってインターセプトされる。その後、通信を行うアプリケーションの識別情報をセキュリティサーバに送信し、インターセプトしたネットワークソケットイベント要求の許可又は拒絶の判断を行う。
特表2016−514295号公報
特許文献1に開示されている通信制御システムでは、OSの正規のプロセスによる、内部ネットワークの特定のサーバとの通信のみを許可する場合には、あらかじめプロセスとサーバ間の通信を許可するルールをセキュリティサーバに登録しておく。これにより、特許文献1に開示されている通信制御システムは、セキュリティを確保することができる。しかし、OSの正規のプロセスによる、外部ネットワークの不特定多数のサーバとの通信を許可する場合、ファイルレス・マルウェア等の正規プロセスを利用したマルウェアの通信もフォワーディングすることとなる。
ファイルレス・マルウェアをはじめとする、OSの正規プロセスを利用したマルウェアの特徴として、攻撃の起点は、フィッシングメール等によって、ユーザがダウンローダのスクリプトを実行することにある。ダウンローダのスクリプトは、MSHTA.exeによって実行されるJavaScript(登録商標)や、powershell.exeによって実行されるPowerShellコードなどがある。この時、ダウンロードしてきたスクリプトが、また、別のファイルを別のWebサイトからダウンロードし、最終的にC&Cサーバに接続する、といったように、複数回に分けて外部ネットワークとの通信が行われるケースが多い。
このように、正規プロセスを利用したマルウェアによって行われる複数の通信を伴った攻撃に対するセキュリティを確保することが課題となっていた。
本開示の目的は、上述した課題を鑑み、正規プロセスを利用したマルウェアによって行われる複数の通信フローの解析結果を組み合わせ、通信パターンとして通信制御を行うことで、不正な通信パターンをブロックし、高度なセキュリティを確保し得る通信制御装置、通信制御方法及び通信制御プログラムを提供することにある。
一実施の形態に係る通信制御装置は、サーバ装置との間で通信を行うクライアント装置において実行されるプロセスから送信された複数の通信フローのうち、同一または親子関係にあるプロセスから送信された複数の前記通信フローを、通信パターンとして抽出する通信パターン抽出部と、前記通信パターン抽出部で抽出された前記通信パターンと、不正とされた不正通信パターンとの照合結果に基づいて、前記通信フローの前記サーバ装置への通信制御を行う通信パターン検査部と、を備える。
一実施の形態によれば、高度なセキュリティを確保し得る通信制御装置、通信制御方法及び通信制御プログラムを提供することができる。
実施形態1に係る通信制御装置の要部を例示したブロック図である。 実施形態1に係るクライアント装置及び通信制御装置の構成を例示したブロック図である。 実施形態1に係るクライアント装置及び通信制御装置の構成を例示したブロック図である。 実施形態1に係る通信制御装置において、識別情報記憶部に格納された識別情報を例示した図である。 実施形態1に係る通信制御装置において、制御情報記憶部に格納された通信フロー制御情報を例示した図である。 実施形態1に係る通信制御装置において、通信パターン記憶部に格納された通信パターンを例示した図である。 実施形態1に係る通信制御装置において、不正通信パターン記憶部に格納された不正通信パターンを例示した図である。 実施形態1に係るクライアント装置の動作を示すフロー図である。 実施形態1に係る通信制御装置において、通信フロー送受信部における通信フロー受信処理を例示したフロー図である。 実施形態1に係る通信制御装置において、識別情報受信部における識別情報受信処理を例示したフロー図である。 実施形態1に係る通信制御装置において、照合部における照合処理を例示したフロー図である。 実施形態1に係る通信制御装置において、解析部における解析処理を例示したフロー図である。 実施形態1に係る通信制御装置において、通信フロー検査部における通信フロー検査処理を例示したフロー図である。 実施形態1に係る通信制御装置において、通信パターン抽出部における通信パターン抽出処理を例示したフロー図である。 実施形態1に係る通信制御装置において、通信パターン検査部における通信パターン検査処理を例示したフロー図である。 実施形態1に係る通信制御装置において、通信フロー送受信部における通信フロー送信処理を例示したフロー図である。 実施形態1に係る通信制御装置において、一時情報削除部における一時情報削除処理を例示したフロー図である。 実施形態1に係る通信制御装置において、不正通信パターン制御部における不正通信パターン制御処理を例示したフロー図である。
(実施形態1)
実施形態1に係る通信制御装置を説明する。図1は、実施形態1に係る通信制御装置の要部を例示したブロック図である。図1に示すように、通信制御装置200は、クライアント装置100とサーバ装置300との間のデータ通信を制御するための装置である。クライアント装置100からサーバ装置300に対して通信を行う際は、通信制御装置200を経由することとなる。また、通信制御装置200は、クライアント装置100及びサーバ装置300と共に、通信システムを構築している。
クライアント装置100は、OS(Operating System)を含んでいる。クライアント装置100は、OS上で動作するプロセス101によって、通信制御装置200を介して、サーバ装置300に対して通信を行う端末である。プロセス101は、サーバ装置300との間で通信を行うクライアント装置100において実行される。例えば、クライアント装置100は、業務用端末である。その場合には、サーバ装置300は、業務用データを格納するデータベースサーバである。また、プロセス101は、業務用データを扱う業務用アプリケーションのプロセスである。
クライアント装置100のOS上では、プロセス101だけでなく、複数のプロセスが動いていてもよい。また、本実施形態では、クライアント装置100と同様の動作をする別のクライアント装置が複数台あってもよい。
通信制御装置200は、通信パターン抽出部210と、通信パターン検査部212とを備えている。通信制御装置200の概要を説明すると、通信パターン抽出部210は、クライアント装置100において実行されるプロセス101から送信された複数の通信フローのうち、同一または親子関係にあるプロセス101から送信された複数の通信フローを、通信パターンとして抽出する。通信パターン検査部212は、通信パターン抽出部210で抽出された通信パターンと、不正とされた不正通信パターンとの照合結果に基づいて、通信フローのサーバ装置300への通信制御を行う。以下、クライアント装置100及び通信制御装置200の詳細を説明する。
図2は、実施形態1に係るクライアント装置及び通信制御装置の構成を例示したブロック図である。図2に示すように、クライアント装置100は、識別情報抽出部103と、識別情報送信部104とを備えている。識別情報抽出部103は、クライアント装置100のOS上で実行されるプロセス101がサーバ装置300に対する通信要求を行った場合に、当該通信要求から、識別情報を抽出する。識別情報送信部104は、抽出された識別情報を、通信制御装置200に送信する。
図2に示すように、通信制御装置200は、識別情報受信部201と、通信フロー送受信部202と、照合部206と、通信フロー検査部208と、通信パターン抽出部210と、通信パターン検査部212とを備えている。
識別情報受信部201は、クライアント装置100において実行されるプロセス101が、サーバ装置300に対して、データ通信の通信要求をした場合に、通信要求から抽出された識別情報をクライアント装置100から受信する。具体的には、識別情報受信部201は、クライアント装置100において、識別情報抽出部103が通信要求から抽出し、識別情報送信部104が送信した識別情報を受信する。
通信フロー送受信部202は、クライアント装置100からサーバ装置300に向けて送信された通信フローを受信する。照合部206は、受信された通信フローのヘッダ部分と、識別情報受信部201が受信した識別情報におけるヘッダ識別情報とを照合し、両者が一致するかどうかを判定する。例えば、照合部206は、両者が一致する場合に、通信フローと、識別情報とを紐付けする。
通信フロー検査部208は、照合部206による照合の結果、通信フローのヘッダ部分が識別情報のヘッダ識別情報と一致する通信フローが存在する場合に、一致した通信フローに対して、識別情報と、通信フローのヘッダ部分・データ部分と、から得られる情報に基づいて設定した設定ルールに基づいて、通信制御を実行する。具体的には、通信フロー検査部208は、設定ルールに基づいて、通信フローの送信を許可・不許可する。また、例えば、通信フロー検査部208は、通信フローに紐付けされた識別情報が所定の制御情報と一致する場合に、通信フローを通信パターン抽出部210に出力する。
通信パターン抽出部210は、通信フロー検査部208において、通信フローの送信が許可された場合に、通信フローの受信日時や、通信フローのヘッダ部分、通信フローのデータ部分の解析結果を組み合わせ、通信パターンとして抽出する。通信フローの受信日時や、通信フローのヘッダ部分、通信フローのデータ部分は、プロセス101またはプロセス101と親子関係にあるプロセスから受信した複数の通信フローから得られる。このようにして、通信パターン抽出部210は、同一または親子関係にあるプロセスから送信された複数の通信フローを、通信パターンとして抽出する。また、通信パターン抽出部210は、出力された通信フローが、同一または親子関係にあるプロセスから送信された通信フローである場合に、通信パターンに通信フローを追加する。
通信パターン検査部212は、プロセス101またはプロセス101と親子関係にあるプロセスの通信パターンと、不正通信パターンとを照合し、その結果に基づいて、通信制御を行う。具体的には、通信パターン検査部212は、通信パターン抽出部210で抽出された通信パターンと、不正とされた不正通信パターンとの照合結果に基づいて、通信フローのサーバ装置300への通信制御を行う。
このように、本実施形態では、通信制御装置200は、プロセス101の通信要求より抽出された識別情報をクライアント装置100から取得し、当該識別情報を用いて通信制御を行っている。また、単一の通信フローから得られる情報と識別情報だけでなく、同一または親子関係にあるプロセスから受信した複数の通信フローから得られる情報を組み合わせて通信制御を行っている。つまり、本実施形態によれば、通信制御装置200は、単一の通信フローの解析だけでは得られない情報を利用して、通信制御を行うことができ、その結果、高度なセキュリティの確保が可能となる。
次に、本実施形態におけるクライアント装置100及び通信制御装置200の構成についてより具体的に説明する。図3は、実施形態1に係るクライアント装置及び通信制御装置の構成を例示したブロック図である。まず、クライアント装置100を説明する。
<クライアント装置>
図3に示すように、クライアント装置100は、通信フロー送受信部102と、エージェント105と、を備えている。
通信フロー送受信部102は、プロセス101から通信要求が届いた場合に、通信要求に応じたデータを、サーバ装置300に送信する。通信要求は、例えば、ネットワークソケットイベント要求である。
エージェント105は、上述した識別情報抽出部103と、上述した識別情報送信部104とを有している。エージェント105は、クライアント装置100にインストールされたプログラムによって構築されている。よって、識別情報抽出部103及び識別情報送信部104も、プログラムによって構築されている。
識別情報抽出部103は、本実施形態では、通信要求がプロセス101から通信フロー送受信部102に届く前に、この通信要求をインターセプトする。そして、識別情報抽出部103は、この通信要求から識別情報(後述)を抽出する。識別情報抽出部103は、抽出した識別情報を識別情報送信部104に出力する。また、この時、識別情報抽出部103は、通信ログを監視し、通信ログに基づいて、識別情報を抽出しても良い。
識別情報は、ヘッダ識別情報と、プロセス識別情報と、クライアント識別情報と、を含む。ヘッダ識別情報は、OSI参照モデルのトランスポート層以下の情報である。ヘッダ識別情報としては、例えば、IPヘッダに含まれるIPアドレス、及び、TCP/UDPヘッダに含まれるポート番号が挙げられる。プロセス識別情報は、通信を行ったプロセスを識別するための情報である。プロセス識別情報としては、例えば、プロセス名、親プロセス名、実行ユーザ名が挙げられる。クライアント識別情報は、クライアント装置100を識別するための識別情報である。クライアント識別情報としては、例えば、コンピュータ名、OS名が挙げられる。
識別情報送信部104は、識別情報抽出部103から受け取った識別情報を、通信制御装置200に対して送信する。
このような構成により、エージェント105は、クライアント装置100が外部と通信を行う際に、通信の要求元であるプロセス101の識別情報と、クライアント装置100の識別情報と、通信フローのヘッダ識別情報と、を紐付け、これらを通信制御装置200に送信する。
<通信制御装置>
次に、通信制御装置200の構成を具体的に説明する。本実施形態において、通信制御装置200は、クライアント装置100からサーバ装置300に送信される通信フローを検査し、検査結果に応じて通信フローを中継するか否かを判定する。
図3に示すように、本実施形態では、通信制御装置200は、上述した構成に加え、通信フロー記憶部203と、識別情報記憶部204と、制御情報記憶部205と、解析部207と、通信パターン記憶部209と、不正通信パターン記憶部211、一時情報削除部213と、不正通信パターン制御部214とを備える。
識別情報受信部201は、本実施形態では、エージェント105がインストールされた複数のクライアント装置100から、識別情報が送信されてくると、これを受信し、受信した識別情報と、受信時刻と、エントリ番号と、を識別情報記憶部204に格納する。エントリ番号は、識別情報記憶部204に格納する識別情報ごとに一意に割り当てられる番号である。
識別情報記憶部204は、識別情報を格納する。識別情報記憶部204は、例えば、データベースである。
図4は、実施形態1に係る通信制御装置において、識別情報記憶部に格納された識別情報を例示した図である。図4に示すように、識別情報記憶部204には、エントリ番号と、各識別情報と、受信時刻と、が格納されている。識別情報は、クライアント識別情報、ヘッダ識別情報、プロセス識別情報を含んでいる。クライアント情報は、コンピュータ名及びOSを含む。ヘッダ識別情報は、送信元IPアドレス及び宛先IPアドレスを有するIPヘッダと、送信元ポート番号及び宛先ポート番号を有するTCPヘッダとを含む。プロセス識別情報は、プロセス名、プロセスID、親プロセス名、親プロセスIDを有するプロセスと、ユーザ名、ユーザID、所属グループ名、所属グループIDを有する実行ユーザと、を含む。
通信フロー送受信部202は、本実施形態では、クライアント装置100からサーバ装置300宛に送信された通信フローを受信する。そして、通信フロー送受信部202は、受信した通信フローと、通信フロー格納位置情報(後述)と、を通信フロー記憶部203に格納する。また、通信フロー送受信部202は、本実施形態では、通信フロー格納位置情報に基づいて、該当する位置に格納された通信フローを送信する。
通信フロー格納位置情報は、通信フロー記憶部203における通信フローが格納されている場所を特定するための情報である。通信フロー格納位置情報は、例えば、バッファIDである。
通信フロー記憶部203は、通信フローを記憶する。通信フロー記憶部203は、例えば、メモリの受信バッファである。
このような構成により、通信制御装置200は、クライアント装置100から送信された通信フローを中継する。また、通信制御装置200は、本来の宛先であるサーバ装置300への通信フローの送信を保留することができる。
照合部206は、本実施形態では、通信フロー記憶部203に格納されている通信フローのヘッダ部分と、識別情報記憶部204に格納されているエントリ(入力データ)のヘッダ識別情報と、を照合する。照合部206は、照合処理でマッチする通信フローが見つかった場合には、当該エントリ番号と、当該通信フローの通信フロー格納位置情報とを解析部207に出力する。一方、見つからなかった場合、照合部206は、処理を終了する。
なお、照合部206は、照合処理を、定期的に実行してもよいし、通信フロー送受信部202による通信フロー記憶部203への通信フローの格納をトリガーとして、照合処理を実行してもよい。また、照合部206は、識別情報受信部201による識別情報記憶部204への識別情報の格納をトリガーとして、照合処理を実行しても良い。
このような構成により、クライアント装置100から送信された通信フローの送信元プロセス、プロセスの実行ユーザ等、通信フローのヘッダ情報から得られない情報と、通信フローとが紐付けられることになる。言い換えると、クライアント装置100のエージェント105が抽出した識別情報と通信フローとが紐付けられる。
解析部207は、照合部206から識別情報記憶部204のエントリ番号と通信フロー格納位置情報を受け取ると、受け取った通信フロー格納位置情報に基づいて、通信フロー記憶部203にある通信フローを特定する。また、解析部207は、特定した通信フローに対して、データ部の解析を行い、データ識別情報(後述)を抽出する。そして、解析部207は、通信フロー格納位置情報と、識別情報記憶部204のエントリ番号と、解析結果から抽出したデータ識別情報(後述)と、を通信フロー検査部208に出力する。なお、解析部207は、本実施形態では、通信制御装置200の内部に含む構成としているが、通信制御装置200の外側から接続する構成としてもよい。
データ識別情報は、解析部207が、通信フローのデータ部から抽出する情報であり、通信フローに含まれるデータの内容を特定する。具体的には、データ識別情報は、データの内容として、例えば、データベースへのレコードの挿入(INSERT)、クレジットカード等の秘密情報の取り出し(SELECT)等を特定する。
制御情報記憶部205は、通信フロー制御情報(後述)を記憶する。制御情報記憶部205は、例えば、データベースである。
通信フロー制御情報は、通信フロー検査部208によって通信フロー送信の許可又は破棄を判定するために使用される情報である。通信フロー制御情報は、予め、制御情報記憶部205に登録されている必要がある。
図5は、実施形態1に係る通信制御装置において、制御情報記憶部に格納された通信フロー制御情報を例示した図である。図5に示すように、通信フロー制御情報は、クライアント識別情報と、ヘッダ識別情報と、プロセス識別情報と、データ識別情報と、制御方法と、を含む。データ識別情報は、データ部の内容を有し、例えば、レコードの削除、レコードの更新、秘密情報の取り出しを含むデータベースと、添付ファイルを含むメートと、を有している。制御方法は、通信パターン検査、許可、破棄を有している。
通信フロー制御情報は、クライアント識別情報と、ヘッダ識別情報と、プロセス識別情報と、データ識別情報と、に一致するエントリ(入力データ)がある場合に、通信フロー検査部208が、対象の通信フローの通信制御の内容を決定する情報である。通信フロー制御情報によって決定される通信制御としては、例えば、通信フローの送信の許可、及び、破棄が挙げられる。通信フロー制御情報も、通信フロー検査部208による通信制御のルールを規定している。
通信フロー検査部208は、本実施形態では、ヘッダ識別情報と、プロセス識別情報と、クライアント識別情報と、データ識別情報と、通信フロー制御情報とに基づいて、通信制御を行う。具体的には、通信フロー検査部208は、解析部207から受け取ったエントリ番号に基づいて、識別情報記憶部204から当該エントリ(入力データ)のクライアント識別情報と、ヘッダ識別情報と、プロセス識別情報と、を読み込む。そして、通信フロー検査部208は、読み込んだ各情報と、解析部207から受け取ったデータ識別情報とが、制御情報記憶部205に格納されているエントリとマッチする場合に、当該エントリの制御方法に基づいて、通信フローの制御方法を決定する。
例えば、制御方法が「通信パターン検査」の場合、通信フロー検査部208は、通信パターン抽出部210に通信フロー格納位置情報と、識別情報記憶部204のエントリ番号と、データ識別情報と、を出力する。また、制御方法が「許可」の場合、通信フロー検査部208は、通信フロー送受信部202に通信フロー格納位置情報を出力する。更に、制御方法が「破棄」の場合、通信フロー検査部208は、不正通信パターン制御部214にプロセス識別情報を出力し、通信フロー記憶部203の通信フローを破棄する。
このように、通信フロー制御情報は、例えば、所定の制御情報として、クライアント識別情報、ヘッダ識別情報、プロセス識別情報、データ識別情報の他に、制御方法を含んでいる。制御方法は、通信フローを通信パターン抽出部210に出力する通信パターン検査、通信フローをサーバ装置300に送信する許可、及び、通信フローを削除する破棄を含んでいる。
このような構成により、通信制御装置200によれば、通信フローのヘッダ情報と、データ部の解析結果と、通信フローの送信元プロセスの情報と、クライアント装置100の情報と、を組み合わせた柔軟な通信制御が可能となる。
例えば、特定のクライアント−データベースサーバ間の通信において、あるアプリケーションに対しては、データの参照(SELECT)のみ許可し、別のアプリケーションに対しては、参照(SELECT)、挿入(INSERT)、更新(UPDATE)、削除(DELETE)の全てを許可する、という通信制御が可能となる。
しかしながら、プロセス101が外部ネットワークの任意のサーバと通信を行うアプリケーションのプロセスである場合、単一の通信フローの検査だけでは不正な通信なのか判断できないケースがある。そのため、制御情報記憶部205で、プロセス101から外部ネットワークに対する通信の制御方法を「通信パターン検査」とすることで、後述する通信パターン検査部212で、複数の通信フローの解析結果を組み合わせた通信パターンに基づいて、通信制御を行うことが可能である。
一方で、DNSのように高頻度で行われる通信や、通信パターン検査が必要ない内部ネットワーク間の通信については、制御情報記憶部205で制御方法を「許可」にしておくことで、通信パターン検査対象から除外することが可能である。
通信パターン記憶部209は、通信パターン(後述)を記憶する。通信パターン記憶部209は、例えば、データベースである。
通信パターンは、プロセス識別情報と、クライアント識別情報と、ヘッダ識別情報と、データ識別情報とに基づいて決定される情報である。
図6は、実施形態1に係る通信制御装置において、通信パターン記憶部に格納された通信パターンを例示した図である。図6に示すように、通信パターン記憶部209は、同一または親子関係にあるプロセスが送信する通信フローを1つの通信パターンとして格納する。通信パターンは、例えば、通信パターンIDと、通信フローの受信順序と、PID(プロセスID)と、PPID(親プロセスID)と、プロセス名と、OSと、プロトコルと、ダウンロードファイルタイプと、受信時刻とを含む。図6に示すカラムの他にも、プロセス識別情報と、クライアント識別情報と、ヘッダ識別情報と、データ識別情報と、に含まれる他の情報をカラムに追加してもよい。
通信パターン抽出部210は、本実施形態では、クライアント識別情報と、ヘッダ識別情報と、プロセス識別情報と、データ識別情報とに基づいて、通信パターンを抽出する。具体的には、通信パターン抽出部210は、通信フロー検査部208から、通信フロー格納位置情報と、識別情報記憶部204のエントリ番号と、データ識別情報とを受け取る。通信パターン記憶部209の中に、プロセス識別情報に含まれるPIDまたはPPIDと、PIDまたはPPIDが一致するエントリ(入力データ)が存在する場合に、当該エントリと同じ通信パターンIDで、通信パターンのエントリを追加する。一致するエントリが存在しない場合は、新規通信パターンIDで、通信パターンのエントリを追加する。その後、通信パターン検査部212に、追加したエントリの通信パターンIDと、通信フロー格納位置情報とを出力する。
不正通信パターン記憶部211は、不正通信パターン(後述)を記憶する。通信パターン記憶部209は、例えば、データベースである。
不正通信パターンは、不正なプロセスによる通信パターンを表しており、通信パターン検査部212によって、通信フロー送信の許可又は破棄を判定するために使用される情報である。不正通信パターンは、不正通信パターン制御部214を介して不正通信パターン記憶部211に登録される。
図7は、実施形態1に係る通信制御装置において、不正通信パターン記憶部に格納された不正通信パターンを例示した図である。図7に示すように、不正通信パターン記憶部211には、不正通信パターンとして、通信パターンID、順序、プロセス名、OS、プロトコル、ダウンロードファイルタイプが格納されている。この他にも、プロセス識別情報と、クライアント識別情報と、ヘッダ識別情報と、データ識別情報と、に含まれる他の情報をカラムに追加してもよい。
通信パターン検査部212は、本実施形態では、通信パターンと、不正通信パターンとに基づいて、通信制御を行う。具体的には、通信パターン検査部212は、通信パターン抽出部210から受け取った通信パターンIDに基づいて、通信パターン記憶部209から、通信パターンIDが一致するエントリ(入力データ)を読み込む。そして、読み込んだエントリに含まれる各情報(図6の場合、順序、プロセス名、OS、プロトコル、ダウンロードファイルタイプ)が一致する不正通信パターン記憶部211のエントリが存在する場合、不正な通信パターンと見なす。そして、通信パターン検査部212は、通信フロー格納位置情報に基づいて、通信フロー記憶部203の通信フローを破棄する。通信パターン検査部212は、一致するエントリが存在しない場合、通信フロー送受信部202に通信フロー格納位置情報を出力する。
本実施形態では、通信パターンと不正通信パターンのカラムの値が一致した場合に不正な通信パターンと判定した。しかしながら、別の実施形態では、各カラムに優先度をつけ、優先度の低いカラムの一部が一致していなくても、不正な通信パターンと見なしてもよい。さらに、別の実施形態では、各カラムに重み付けを行い、カラムが一致する度に重みに応じたスコアを加算し、スコアが閾値を超えた場合に不正な通信パターンと見なしてもよい。
このような構成により、単一の通信フローの検査だけでは不正な通信なのか判断できないケースにおいても、複数の通信フローの解析結果を組み合わせた通信パターンに基づいて、通信制御を行うことが可能である。
一時情報削除部213は、識別情報記憶部204と通信パターン記憶部209とを監視し、受信時刻に基づいて、一定時間が経過したエントリを削除する。具体的には、一時情報削除部213は、識別情報記憶部204に格納されたエントリと、通信パターン記憶部209に格納されたエントリの受信時刻を参照し、現在時刻から当該時刻を引いた時間が、予め設定された時間を超えている場合に、当該エントリを削除する。同様に、なお、一時情報削除部213は、削除処理を、定期的に実行してもよいし、別途、プロセス101が終了したタイミングでクライアント装置100から通知を受け取り、通知をトリガーとして実行してもよい。
このような構成により、通信制御装置200は、受信してから一定時間が経過した識別情報を削除することで、不要に読み込まれるエントリ数を減らし、照合部206における照合処理および通信パターン抽出部210における通信パターン抽出処理の速度を向上させることができる。
不正通信パターン制御部214は、本実施形態では、不正通信パターン記憶部211へのエントリの追加・更新・削除を行う。具体的には、不正通信パターン制御部214は、通信フロー検査部208から受け取ったプロセス識別情報に基づいて、通信パターン記憶部209の中に、プロセス識別情報に含まれるPIDまたはPPIDと、PIDまたはPPIDが一致するエントリが存在するかを確認する。ここで、エントリが存在する場合、当該エントリの通信パターンを不正通信パターンとして、不正通信パターン記憶部211に新規エントリを追加する。また、不正通信パターン制御部214は、通信制御装置200の外部から、不正通信パターン記憶部211の不正通信パターンの追加・更新・削除依頼を受け付けてもよい。
このような構成により、不正通信パターンをリアルタイムに追加・更新・削除できるため、サイバー攻撃にいち早く対応することができる。例えば、ダウンローダによる外部サーバとの数回の通信を、通信フロー検査および通信パターン検査で許可してしまったものの、その後の秘密文書を持ち出す通信を通信フロー検査で破棄できたとする。この時、何も対策を実施しないと、同様の手法で別の攻撃を実施される恐れがある。しかし、本実施の形態によれば、通信フロー検査で秘密文書を持ち出す通信フローを破棄する際に、当該プロセスと当該プロセスの親子プロセスによって行われた通信の通信パターンを、不正通信パターンとして登録するため、その後、同様の攻撃が実施されても、秘密文書を持ち出す前の通信を破棄することができる。
<クライアント装置の動作>
次に、クライアント装置100及び通信制御装置200の動作について、図8〜図18を用いて説明する。また、以下の説明においては、適宜、図1〜図7を参照する。また、本実施形態では、クライアント装置100と通信制御装置200とを動作させることによって、通信制御方法が実施される。よって、本実施形態における通信制御方法の説明は、以下のクライアント装置100及び通信制御装置200の動作の説明に代える。
最初に、図8を用いて、本実施形態におけるクライアント装置100の動作について説明する。図8は、実施形態1に係るクライアント装置の動作を示すフロー図である。具体的には、図8は、エージェント105の検出処理及び識別情報送信処理を示している。
図8に示すように、まず、クライアント装置100において、識別情報抽出部103は、クライアント装置100上で動作するプロセス101がサーバ装置300に対して通信要求を出すと、この通信要求が通信フロー送受信部102に到達する前に、これをインターセプトする(ステップS101)。
次に、識別情報抽出部103は、インターセプトした通信要求から識別情報を抽出する(ステップS102)。
次に、識別情報抽出部103は、通信フロー送受信部102を介して、サーバ装置300に、インターセプトした通信要求を送信する(ステップS103)。次に、識別情報抽出部103は、抽出した識別情報を識別情報送信部104に出力する(ステップS104)。
その後、識別情報送信部104は、識別情報抽出部103から出力された識別情報を、通信制御装置200に対して送信する(ステップS105)。
<通信制御装置の動作>
続いて、図9〜図18を用いて、本実施形態における通信制御装置200の動作について説明する。図9は、実施形態1に係る通信制御装置において、通信フロー送受信部における通信フロー受信処理を例示したフロー図である。
図9に示すように、まず、通信フロー送受信部202は、クライアント装置100の通信フロー送受信部102からサーバ装置300宛に送信された通信フローを受信する(ステップS201)。すなわち、クライアント装置100から送信された通信フローを受信する。次に、通信フロー送受信部202は、ステップS201で受信した通信フローを、通信フロー記憶部203に格納する(ステップS202)。
図10は、実施形態1に係る通信制御装置において、識別情報受信部における識別情報受信処理を例示したフロー図である。図10に示すように、まず、識別情報受信部201は、クライアント装置100の識別情報送信部104から送信された識別情報を受信する(ステップS301)。すなわち、クライアント装置100において実行されるプロセス101が、サーバ装置300に対して、データ通信の通信要求をした場合に、通信要求から抽出された識別情報をクライアント装置100から受信する。次に、識別情報受信部201は、受信した識別情報と、受信時刻と、エントリ番号と、を識別情報記憶部204に格納する(ステップS302)。
図11は、実施形態1に係る通信制御装置において、照合部における照合処理を例示したフロー図である。図11に示すように、まず、照合部206は、ステップS202又はステップS302を契機として、ステップS401に進む。ステップS401では、照合部206は、識別情報記憶部204に格納されているエントリ(入力データ)を読み込み、ステップS402に進む。
ステップS402で、照合部206は、通信フロー記憶部203に格納されている通信フローのヘッダ部を解析する。その後、照合部206は、ヘッダ識別情報が一致するヘッダをもつ通信フローが存在するかどうかを判定する(ステップS403)。
ステップS403の判定の結果、ヘッダ識別情報が一致するヘッダをもつ通信フローが存在しない場合は、照合部206は、処理を終了する。一方、ステップS403の判定の結果、ヘッダ識別情報が一致するヘッダをもつ通信フローが存在する場合は、照合部206は、解析部207に、当該エントリのエントリ番号と、当該通信フローの通信フロー格納位置情報とを出力する(ステップS404)。このように、照合部206は、受信された通信フローのヘッダ部分と、識別情報におけるヘッダ識別情報とを照合し、両者が一致する場合に、通信フローと、識別情報とを紐付けする。
図12は、実施形態1に係る通信制御装置において、解析部における解析処理を例示したフロー図である。図12に示すように、まず、解析部207は、照合部206から、通信フロー格納位置情報と、識別情報記憶部204のエントリ番号と、を受け取る(ステップS501)。
次に、解析部207は、通信フロー格納位置情報に基づいて特定した通信フロー記憶部203の通信フローを読み込む(ステップS502)。
次に、解析部207は、読み込んだ通信フローのデータ部を解析する(ステップS503)。その後、解析部207は、通信フロー格納位置情報と、識別情報記憶部204のエントリ番号と、解析結果に基づいて抽出したデータ識別情報と、を通信フロー検査部208に出力する(ステップS504)。
図13は、実施形態1に係る通信制御装置において、通信フロー検査部における通信フロー検査処理を例示したフロー図である。図13に示すように、まず、通信フロー検査部208は、解析部207から、通信フロー格納位置情報と、識別情報記憶部204のエントリ番号と、データ識別情報と、を受け取る(ステップS601)。
次に、通信フロー検査部208は、エントリ番号に基づいて、識別情報記憶部204の当該エントリを読み込む(ステップS602)。次に、通信フロー検査部208は、制御情報記憶部205のエントリ(入力データ)を読み込む(ステップS603)。
次に、通信フロー検査部208は、識別情報記憶部204のエントリのヘッダ識別情報と、プロセス識別情報と、クライアント識別情報と、受け取ったデータ識別情報とに一致するエントリが、制御情報記憶部205に存在するかどうかを判定する(ステップS604)。
ステップS604の判定の結果、一致するエントリが制御情報記憶部205に存在しない場合は、通信フロー検査部208は、ステップS605に進む。一方、ステップS604の判定の結果、一致するエントリが制御情報記憶部205に存在する場合は、通信フロー検査部208は、ステップS606に進む(ステップS604)。
ステップS605では、通信フロー検査部208は、ステップS602で読み込んだエントリのプロセス識別情報を、不正通信パターン制御部214に出力する(ステップS605)。次に、通信フロー検査部208は、通信フロー格納位置情報に基づいて特定した通信フロー記憶部203の通信フローを破棄する(ステップS610)。
ステップS606では、通信フロー検査部208は、当該エントリの制御方法が「破棄」であるかどうかを判定する。ステップS606の判定の結果、当該エントリの制御方法が「破棄」である場合は、通信フロー検査部208は、ステップS605に進む。一方、ステップS606の判定の結果、当該エントリの制御方法が「破棄」でない場合は、通信フロー検査部208は、ステップS607に進む。
ステップS607では、通信フロー検査部208は、当該エントリの制御方法が「許可」であるかどうかを判定する。ステップS607の判定の結果、当該エントリの制御方法が「許可」である場合は、通信フロー検査部208は、ステップS608に進む。一方、ステップS607の判定の結果、当該エントリの制御方法が「許可」でない場合は、通信フロー検査部208は、ステップS609に進む。すなわち、通信フローに紐付けされた識別情報が、所定の制御情報として、「通信パターン検査」に一致する場合は、ステップS609に進む。
ステップS608では、通信フロー検査部208は、通信フロー格納位置情報を通信フロー送受信部202に出力する。ステップS609では、通信フロー検査部208は、通信フロー格納位置情報等を通信パターン抽出部210に出力する。
図14は、実施形態1に係る通信制御装置において、通信パターン抽出部における通信パターン抽出処理を例示したフロー図である。図14に示すように、まず、通信パターン抽出部210は、通信フロー検査部208から、通信フロー格納位置情報と、識別情報記憶部204のエントリ番号と、データ識別情報と、を受け取る(ステップS701)。
次に、通信パターン抽出部210は、エントリ番号に基づいて、識別情報記憶部204の当該エントリを読み込む(ステップS702)。次に、通信パターン抽出部210は、通信パターン記憶部209のエントリを読み込む(ステップS703)。
次に、通信パターン抽出部210は、識別情報記憶部204のエントリのプロセス識別情報に含まれるPIDまたはPPIDが、ステップS703で読み込んだエントリのPIDまたはPPIDと一致するかどうかを判定する(ステップS704)。
ステップS704の判定の結果、一致するエントリが通信パターン記憶部209に存在する場合は、通信パターン抽出部210は、ステップS705に進む。一方、ステップS704の判定の結果、一致するエントリが通信パターン記憶部209に存在しない場合は、通信パターン抽出部210は、ステップS706に進む(ステップS704)。
ステップS705では、通信パターン抽出部210は、通信パターンIDをステップS704で一致したエントリと同じ値に、順序を前記エントリの最大値+1に、その他のカラムはステップS702で読み込んだエントリに含まれる情報に基づいて決定して、新規エントリを通信パターン記憶部に追加し、ステップS707に進む(ステップS705)。このように、通信フローが、同一または親子関係にあるプロセスから送信された通信フローであるか判断し、通信フローが、同一または親子関係にあるプロセスから送信された通信フローである場合に、通信パターンに通信フローを追加する。
ステップS706では、通信パターン抽出部210は、通信パターンIDを既存のエントリと重複しない最小の正数に、順序を1に、その他のカラムをS702で読み込んだエントリの識別情報を基に決定して、新規エントリを通信パターン記憶部に追加し、ステップS707に進む(ステップS706)。
ステップS707では、通信パターン抽出部210は、追加したエントリの通信パターンIDと、通信フロー格納位置情報とを通信パターン検査部212に出力する(ステップS707)。
図15は、実施形態1に係る通信制御装置において、通信パターン検査部における通信パターン検査処理を例示したフロー図である。図15に示すように、まず、通信パターン検査部212は、通信パターン抽出部210から、通信パターンIDと、通信フロー格納位置情報と、を受け取る(ステップS801)。
次に、通信パターン検査部212は、通信パターンIDに基づいて、通信パターン記憶部209の当該エントリを読み込む(ステップS802)。次に、通信パターン検査部212は、不正通信パターン記憶部211のエントリを読み込む(ステップS803)。
次に、通信パターン検査部212は、S802で読み込んだエントリの各カラムの情報が、不正通信パターン記憶部のエントリと一致するかどうかを判定する(ステップS804)。
ステップS804の判定の結果、一致するエントリが不正通信パターン記憶部211に存在する場合は、通信パターン検査部212は、ステップS805に進む。一方、ステップS804の判定の結果、一致するエントリが不正通信パターン記憶部211に存在しない場合は、通信パターン検査部212は、ステップS806に進む(ステップS804)。
ステップS805では、通信パターン検査部212は、通信フロー格納位置情報に基づいて特定した通信フロー記憶部203の通信フローを破棄する(ステップS805)。ステップS806では、通信パターン検査部212は、通信フロー格納位置情報を通信フロー送受信部202に出力する(ステップS806)。
図16は、実施形態1に係る通信制御装置において、通信フロー送受信部における通信フロー送信処理を例示したフロー図である。図16に示すように、まず、通信フロー送受信部202は、通信フロー検査部208または通信パターン検査部212から、通信フロー格納位置情報を受け取る(ステップS901)。
次に、通信フロー送受信部202は、通信フロー格納位置情報を基に特定した通信フロー記憶部203の通信フローを読み込む(ステップS902)。その後、通信フロー送受信部202は、ステップS802で読み込んだ通信フローをサーバ装置300宛に送信する(ステップS903)。
図17は、実施形態1に係る通信制御装置において、一時情報削除部における一時情報削除処理を例示したフロー図である。図17に示すように、まず、一時情報削除部213は、一定時間が経過したこと、又は通信制御装置200で発生するイベントを契機として、ステップS1001に進む。ステップS1001では、一時情報削除部213は、識別情報記憶部204と、通信パターン記憶部209とに格納されているエントリを読み込む。
次に、一時情報削除部213は、読み込んだエントリの受信時刻を、現在時刻から引いた時間が、予め設定した時間を超えているかどうかを判定する(ステップS1002)。
ステップS1002の判定の結果、予め設定した時間を超えている場合は、一時情報削除部213は、ステップS1001で読み込んだエントリを削除する(ステップS1003)。
一方、ステップS1002の判定の結果、予め設定した時間を超えていない場合、一時情報削除部213は、処理を終了する。
図18は、実施形態1に係る通信制御装置において、不正通信パターン制御部における不正通信パターン制御処理を例示したフロー図である。図18に示すように、まず、不正通信パターン制御部214は、通信フロー検査部208から、プロセス識別情報を受け取る(ステップS1101)。
次に、不正通信パターン制御部214は、通信パターン記憶部209のエントリを読み込む(ステップS1102)。次に、不正通信パターン制御部214は、プロセス識別情報に含まれるPIDまたはPPIDが、ステップS1102で読み込んだエントリのPIDまたはPPIDと一致するかどうかを判定する(ステップS1103)。
ステップS1103の判定の結果、一致するエントリが通信パターン記憶部209に存在しない場合は、そのまま終了する。一方、ステップS1103の判定の結果、一致するエントリが通信パターン記憶部209に存在する場合は、不正通信パターン制御部214は、ステップS1104に進む(ステップS1103)。
ステップS1104では、不正通信パターン制御部214は、ステップS1103で一致したエントリの通信パターンを不正通信パターンとして、不正通信パターン記憶部211に新規エントリを追加する(ステップS1104)。
このようにして、通信制御装置200は、クライアント装置100とサーバ装置300との間の通信を制御することができる。
次に、本実施形態の効果を説明する。本実施形態の通信制御装置200によれば、通信フローの送信元プロセスと同一または親子関係にあるプロセスが送信する通信フローを解析し、解析した結果を組み合わせた通信パターンに基づいて、クライアント装置100及びサーバ装置300間の通信を制御することができる。これにより、単一の通信フローの解析だけでは実現できない、高度なセキュリティの確保が可能となる。
また、本実施形態の通信制御装置200は、クライアント装置100におけるプロセス101の要求から抽出された識別情報を取得し、この識別情報を用いて通信制御を行っている。よって、複数の通信フローを所定の識別情報で抽出・検査することができる。
例えば、ファイルレス・マルウェアをはじめとする、OSの正規プロセスを利用したマルウェアによって行われる複数の通信を、通信パターンとして抽出・検査することで、不正な通信をブロックすることが可能である。
また、不正通信パターンを手動で登録するだけでなく、通信フロー検査の結果を基に不正通信パターンを自動登録することで、リアルタイムに同種の攻撃の対策を行うことが可能となる。
このように、本実施形態の通信制御装置は、正規プロセスを利用したマルウェアによって行われる複数の通信フローの解析結果を組み合わせ、通信パターンとして通信制御を行うことで、不正な通信パターンをブロックし、高度なセキュリティを確保することができる。
なお、本発明は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。例えば、本実施形態における通信制御方法をコンピュータに実行させる以下の通信制御プログラムも、実施形態の技術的思想の範囲に含まれる。
すなわち、サーバ装置との間で通信を行うクライアント装置において実行されるプロセスから送信された複数の通信フローのうち、同一または親子関係にあるプロセスから送信された複数の通信フローを、通信パターンとして抽出させ、
抽出させた前記通信パターンと、不正とされた不正通信パターンとの照合結果に基づいて、前記通信フローの前記サーバ装置への通信制御を行わせる、
ことをコンピュータに実行させる通信制御プログラム。
前記クライアント装置において実行される前記プロセスが、前記サーバ装置に対して、データ通信の通信要求をした場合に、前記通信要求から抽出された識別情報を前記クライアント装置から受信させ、
前記クライアント装置から送信された前記通信フローを受信させ、
受信させた前記通信フローのヘッダ部分と、前記識別情報におけるヘッダ識別情報とを照合させ、両者が一致する場合に、前記通信フローと、前記識別情報とを紐付けさせ、
前記通信フローに紐付けさせた前記識別情報が所定の制御情報と一致する場合に、前記通信フローが、前記同一または親子関係にあるプロセスから送信された通信フローであるか判断させ、
前記通信フローが、前記同一または親子関係にあるプロセスから送信された通信フローである場合に、前記通信パターンに前記通信フローを追加させる、
ことをさらにコンピュータに実行させる請求項8に記載の通信制御プログラム。
100 クライアント装置
101 プロセス
102 通信フロー送受信部
103 識別情報抽出部
104 識別情報送信部
105 エージェント
200 通信制御装置
201 識別情報受信部
202 通信フロー送受信部
203 通信フロー記憶部
204 識別情報記憶部
205 制御情報記憶部
206 照合部
207 解析部
208 通信フロー検査部
209 通信パターン記憶部
210 通信パターン抽出部
212 通信パターン検査部
213 一時情報削除部
214 不正通信パターン制御部
300 サーバ装置

Claims (9)

  1. サーバ装置との間で通信を行うクライアント装置において実行されるプロセスから送信された複数の通信フローのうち、同一または親子関係にあるプロセスから送信された複数の前記通信フローを、通信パターンとして抽出する通信パターン抽出部と、
    前記通信パターン抽出部で抽出された前記通信パターンと、不正とされた不正通信パターンとの照合結果に基づいて、前記通信フローの前記サーバ装置への通信制御を行う通信パターン検査部と、
    を備えた通信制御装置。
  2. 前記クライアント装置において実行される前記プロセスが、前記サーバ装置に対して、データ通信の通信要求をした場合に、前記通信要求から抽出された識別情報を前記クライアント装置から受信する識別情報受信部と、
    前記クライアント装置から送信された前記通信フローを受信する通信フロー送受信部と、
    受信された前記通信フローのヘッダ部分と、前記識別情報におけるヘッダ識別情報とを照合し、両者が一致する場合に、前記通信フローと、前記識別情報とを紐付けする照合部と、
    前記通信フローに紐付けされた前記識別情報が所定の制御情報と一致する場合に、前記通信フローを前記通信パターン抽出部に出力する通信フロー検査部と、
    をさらに備え、
    前記通信パターン抽出部は、出力された前記通信フローが、前記同一または親子関係にあるプロセスから送信された通信フローである場合に、前記通信パターンに前記通信フローを追加する、
    請求項1に記載の通信制御装置。
  3. 前記識別情報は、前記クライアント装置を識別するクライアント識別情報、前記ヘッダ識別情報、及び、前記プロセスを識別するプロセス識別情報を含む、
    請求項2に記載の通信制御装置。
  4. 前記所定の制御情報は、前記通信フローを前記通信パターン抽出部に出力する通信パターン検査、前記通信フローを前記サーバ装置に送信する許可、及び、前記通信フローを削除する破棄を含む、
    請求項3に記載の通信制御装置。
  5. 前記通信フローのデータ部からデータ識別情報を抽出する解析部をさらに備え、
    前記所定の制御情報は、前記クライアント識別情報、前記ヘッダ識別情報、前記プロセス識別情報、及び、前記データ識別情報を含む、
    請求項4に記載の通信制御装置。
  6. サーバ装置との間で通信を行うクライアント装置において実行されるプロセスから送信された複数の通信フローのうち、同一または親子関係にあるプロセスから送信された複数の前記通信フローを、通信パターンとして抽出するステップと、
    抽出された前記通信パターンと、不正とされた不正通信パターンとの照合結果に基づいて、前記通信フローの前記サーバ装置への通信制御を行うステップと、
    を備えた通信制御方法。
  7. 前記クライアント装置において実行される前記プロセスが、前記サーバ装置に対して、データ通信の通信要求をした場合に、前記通信要求から抽出された識別情報を前記クライアント装置から受信するステップと、
    前記クライアント装置から送信された前記通信フローを受信するステップと、
    受信された前記通信フローのヘッダ部分と、前記識別情報におけるヘッダ識別情報とを照合し、両者が一致する場合に、前記通信フローと、前記識別情報とを紐付けするステップと、
    前記通信フローに紐付けされた前記識別情報が所定の制御情報と一致する場合に、前記通信フローが、前記同一または親子関係にあるプロセスから送信された前記通信フローであるか判断するステップと、
    前記通信フローが、前記同一または親子関係にあるプロセスから送信された前記通信フローである場合に、前記通信パターンに前記通信フローを追加するステップと、
    をさらに備えた請求項6に記載の通信制御方法。
  8. サーバ装置との間で通信を行うクライアント装置において実行されるプロセスから送信された複数の通信フローのうち、同一または親子関係にあるプロセスから送信された複数の通信フローを、通信パターンとして抽出させ、
    抽出させた前記通信パターンと、不正とされた不正通信パターンとの照合結果に基づいて、前記通信フローの前記サーバ装置への通信制御を行わせる、
    ことをコンピュータに実行させる通信制御プログラム。
  9. 前記クライアント装置において実行される前記プロセスが、前記サーバ装置に対して、データ通信の通信要求をした場合に、前記通信要求から抽出された識別情報を前記クライアント装置から受信させ、
    前記クライアント装置から送信された前記通信フローを受信させ、
    受信させた前記通信フローのヘッダ部分と、前記識別情報におけるヘッダ識別情報とを照合させ、両者が一致する場合に、前記通信フローと、前記識別情報とを紐付けさせ、
    前記通信フローに紐付けさせた前記識別情報が所定の制御情報と一致する場合に、前記通信フローが、前記同一または親子関係にあるプロセスから送信された通信フローであるか判断させ、
    前記通信フローが、前記同一または親子関係にあるプロセスから送信された通信フローである場合に、前記通信パターンに前記通信フローを追加させる、
    ことをさらにコンピュータに実行させる請求項8に記載の通信制御プログラム。
JP2019020272A 2019-02-07 2019-02-07 通信制御装置、通信制御方法及び通信制御プログラム Active JP7206980B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019020272A JP7206980B2 (ja) 2019-02-07 2019-02-07 通信制御装置、通信制御方法及び通信制御プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019020272A JP7206980B2 (ja) 2019-02-07 2019-02-07 通信制御装置、通信制御方法及び通信制御プログラム

Publications (2)

Publication Number Publication Date
JP2020129162A true JP2020129162A (ja) 2020-08-27
JP7206980B2 JP7206980B2 (ja) 2023-01-18

Family

ID=72174592

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019020272A Active JP7206980B2 (ja) 2019-02-07 2019-02-07 通信制御装置、通信制御方法及び通信制御プログラム

Country Status (1)

Country Link
JP (1) JP7206980B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116668372A (zh) * 2023-08-01 2023-08-29 腾讯科技(深圳)有限公司 一种流量控制方法和相关装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006119754A (ja) * 2004-10-19 2006-05-11 Fujitsu Ltd ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム
JP2006304108A (ja) * 2005-04-22 2006-11-02 Ntt Communications Kk ログ集計支援装置、ログ集計支援システム、ログ集計支援プログラム、およびログ集計支援方法
JP2011053893A (ja) * 2009-09-01 2011-03-17 Hitachi Ltd 不正プロセス検知方法および不正プロセス検知システム
WO2016147944A1 (ja) * 2015-03-18 2016-09-22 日本電信電話株式会社 マルウェア感染端末の検出装置、マルウェア感染端末の検出システム、マルウェア感染端末の検出方法およびマルウェア感染端末の検出プログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006119754A (ja) * 2004-10-19 2006-05-11 Fujitsu Ltd ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム
JP2006304108A (ja) * 2005-04-22 2006-11-02 Ntt Communications Kk ログ集計支援装置、ログ集計支援システム、ログ集計支援プログラム、およびログ集計支援方法
JP2011053893A (ja) * 2009-09-01 2011-03-17 Hitachi Ltd 不正プロセス検知方法および不正プロセス検知システム
WO2016147944A1 (ja) * 2015-03-18 2016-09-22 日本電信電話株式会社 マルウェア感染端末の検出装置、マルウェア感染端末の検出システム、マルウェア感染端末の検出方法およびマルウェア感染端末の検出プログラム

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116668372A (zh) * 2023-08-01 2023-08-29 腾讯科技(深圳)有限公司 一种流量控制方法和相关装置
CN116668372B (zh) * 2023-08-01 2023-11-03 腾讯科技(深圳)有限公司 一种流量控制方法和相关装置

Also Published As

Publication number Publication date
JP7206980B2 (ja) 2023-01-18

Similar Documents

Publication Publication Date Title
US9614863B2 (en) System and method for analyzing mobile cyber incident
JP6408395B2 (ja) ブラックリストの管理方法
US9853994B2 (en) Attack analysis system, cooperation apparatus, attack analysis cooperation method, and program
KR100862187B1 (ko) 취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의인터넷 웜 탐지 장치 및 그 방법
US10218717B1 (en) System and method for detecting a malicious activity in a computing environment
US10757135B2 (en) Bot characteristic detection method and apparatus
US11451580B2 (en) Method and system of decentralized malware identification
JPWO2017103974A1 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
JP6106861B1 (ja) ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラム
JP7206980B2 (ja) 通信制御装置、通信制御方法及び通信制御プログラム
JP6943313B2 (ja) ログ解析システム、解析装置、方法、および解析用プログラム
JP5531064B2 (ja) 通信装置、通信システム、通信方法、および、通信プログラム
JP7166969B2 (ja) ルータ攻撃検出装置、ルータ攻撃検出プログラム及びルータ攻撃検出方法
JP4414865B2 (ja) セキュリティ管理方法、セキュリティ管理装置およびセキュリティ管理プログラム
JP6314036B2 (ja) マルウェア特徴抽出装置、マルウェア特徴抽出システム、マルウェア特徴方法及び対策指示装置
US10250625B2 (en) Information processing device, communication history analysis method, and medium
CN111079144B (zh) 一种病毒传播行为检测方法及装置
US11126722B1 (en) Replacement of e-mail attachment with URL
JP2022541250A (ja) インラインマルウェア検出
JP7067187B2 (ja) 通信制御装置、通信制御方法、及びプログラム
CN110830494A (zh) 一种iot攻击防御方法、装置及电子设备和存储介质
US20220245249A1 (en) Specific file detection baked into machine learning pipelines
US20220407871A1 (en) Massive vulnerable surface protection
CN111641611A (zh) 一种数据处理方法、设备、系统及计算机存储介质
CN117955739A (zh) 一种接口安全的识别方法、装置、计算设备和存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220107

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220914

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220920

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20221024

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20221206

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221219

R151 Written notification of patent or utility model registration

Ref document number: 7206980

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151