JP4249174B2 - スパイウェア通信管理装置およびスパイウェア通信管理プログラム - Google Patents
スパイウェア通信管理装置およびスパイウェア通信管理プログラム Download PDFInfo
- Publication number
- JP4249174B2 JP4249174B2 JP2005316302A JP2005316302A JP4249174B2 JP 4249174 B2 JP4249174 B2 JP 4249174B2 JP 2005316302 A JP2005316302 A JP 2005316302A JP 2005316302 A JP2005316302 A JP 2005316302A JP 4249174 B2 JP4249174 B2 JP 4249174B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- spyware
- address
- terminal
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 360
- 230000005540 biological transmission Effects 0.000 claims description 50
- 238000012545 processing Methods 0.000 claims description 34
- 238000001514 detection method Methods 0.000 claims description 33
- 238000012790 confirmation Methods 0.000 claims description 18
- 230000004044 response Effects 0.000 claims description 13
- 238000006243 chemical reaction Methods 0.000 claims description 12
- 238000012544 monitoring process Methods 0.000 claims description 10
- 238000007726 management method Methods 0.000 description 41
- 238000000034 method Methods 0.000 description 29
- 238000012806 monitoring device Methods 0.000 description 21
- 238000010586 diagram Methods 0.000 description 15
- 230000008569 process Effects 0.000 description 14
- 230000004913 activation Effects 0.000 description 5
- 238000010079 rubber tapping Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000013144 data compression Methods 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007717 exclusion Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
また、上述した課題を解決するために、本発明は、ネットワークを介して情報を送受信可能な端末による外部ネットワークへの通信を管理するスパイウェア通信管理装置のコンピュータに、前記端末から外部ネットワークへの通信を監視し、スパイウェアプログラムによる特徴的な通信形態を検知する通信検知ステップと、前記スパイウェアプログラムによる特徴的な通信形態が検知されると、前記端末から外部ネットワークへの通信の通信先アドレスを、特定のアドレスに変換するアドレス変換ステップとを実行させ、前記アドレス変換ステップにおいては、前記通信検知ステップにおいて前記スパイウェアプログラムによる特徴的な通信形態が検知されると、前記端末から送信が行われた際の通信情報から前記端末のアドレスを特定する内部アドレス特定ステップと、前記検知された通信形態に係る第1の通信先アドレスを特定する通信先アドレス特定ステップと、前記内部アドレス特定ステップにおいて特定された前記端末のアドレスと前記通信先アドレス特定ステップにおいて特定された第1の通信先アドレスとに基づいて、前記外部ネットワークから送信された情報を特定する情報特定ステップと、前記情報特定ステップにおいて特定された情報に含まれている前記外部ネットワークへの第2の通信先アドレスを検索する通信先アドレス検索ステップと、前記通信先アドレス検索ステップにおいて検索された前記第2の通信先アドレスを前記特定のアドレスに書き換え、前記端末に送信する通信先アドレス書き換ステップとを実行させる、ことを特徴とするスパイウェア通信管理プログラムである。
また、本発明は、上述の発明において、前記スパイウェア通信管理装置のコンピュータに、前記端末から前記特定のアドレスへの通信を検出した場合、前記通信があった旨の通知を前記端末に送信し、解除処理の可否の確認を求めるステップをさらに実行させることを特徴とするスパイウェア通信プログラムである。
また、本発明は、上記の発明において、前記スパイウェア通信管理装置のコンピュータに、前記通信があった旨の通知に対して前記端末から解除処理要求を受信し、当該通信に係る送信元および送信先の情報を対応付けて記憶手段に記録するステップと、前記記憶手段に記憶されている送信元および送信先の情報に基づく前記外部ネットワークへの通信を検知対象外とするステップとをさらに実行させることを特徴とする。
また、上述した課題を解決するために、本発明は、ネットワークを介して情報を送受信可能な端末による外部ネットワークへの通信を管理するスパイウェア通信管理装置のコンピュータに、前記端末から外部ネットワークへの通信を監視し、スパイウェアプログラムによる特徴的な通信形態を検知する通信検知ステップと、前記スパイウェアプログラムによる特徴的な通信形態が検知されると、前記端末から外部ネットワークへの通信の通信先アドレスを、特定のアドレスに変換するアドレス変換ステップと、前記端末から前記特定のアドレスへの通信を検出した場合、前記通信があった旨の通知を前記端末に送信し、解除処理の可否の確認を求める確認提示ステップと、前記通信があった旨の通知に対して前記端末から解除処理要求を受信し、当該通信に係る送信元および送信先の情報を対応付けて記憶手段に記録する記録ステップとを実行させ、前記通信検知ステップにおいては、前記記憶手段に記憶されている送信元および送信先の情報に基づく前記外部ネットワークへの通信を検知対象外とすることを特徴とするスパイウェア通信プログラムである。
Sa1:スパイウェア(感染PC)は、スパイウェア自身が初めて起動したときや、端末4、5の起動にあわせてスパイウェアが起動したときなど、スパイウェア管理サーバ11へ初期登録や状態通知のための通信を行う。但し、HTTPを使用するため、パケット的には他のWebアクセスと見分けがつきにくい。ゆえに、ファイアウォールで防ぐことは難しい。IDS(Intrusion Detection System)/IPS(Intrusion Prevention System)でも検出が困難なスパイウェアもある。
SA1:スパイウェア通信監視装置8は、スパイウェア通信検知部8−1により、上記Sa1の通信の特徴を捉えて、すなわち、予めルールとして記憶しておいた、スパイウェアによる特徴的な通信形態に合致するか否かを判定してスパイウェア(感染PC)による通信を検出し、アドレス特定部8−2により、感染PC(図示の例では端末4)のアドレスを特定する。
次に、本発明の第2実施形態について説明する。ここで、図10は、本第2実施形態によるスパイウェア通信管理装置を適用したネットワークの構成を示すブロック図である。本第2実施形態では、図1に示すスパイウェア通信監視装置8、スパイウェア通信書き換え装置9および偽装情報収集サーバ10を一体として構成したことを特徴とする。なお、個々の機能は、前述した第1実施形態と同様である。このように一体化することで、システム構成を簡略化することができ、スパイウェア通信管理装置を容易に管理、運用することができる。
2−1、2−2 リピータ
3 ブリッジ
4、5 感染PC
6 境界ルータ
7 インターネット
8 スパイウェア通信監視装置
8−1 スパイウェア通信検知部(通信検知手段)
8−2 アドレス特定部(内部アドレス特定手段)
8−3 通信先アドレス特定部(通信先アドレス特定手段)
8−4 スパイウェア通信書き換え装置起動部
9 スパイウェア通信書き換え装置
9−1 情報特定部(情報特定手段)
9−2 通信先アドレス検索部(通信先アドレス検索手段)
9−3 通信先アドレス書き換え部(アドレス変換手段)
10 偽装情報収集サーバ
10−1 情報受信部(収集手段、記録手段)
10−2 情報データベース(収集手段)
10−3 ホワイトリスト
10−4 ウェブ処理部(確認提示手段)
11 スパイウェア管理サーバ
12 情報収集サーバ
13 一般のWebサーバ
20 内部ネットワーク
21 タッピング装置
22、25 通信中継装置
23 ネットワーク機器
23−1 プロキシサーバ
23−2 ファイアウォール
23−3 境界ルータ
24 外部ネットワーク
Claims (8)
- ネットワークを介して情報を送受信可能な端末による外部ネットワークへの通信を管理するスパイウェア通信管理装置であって、
前記端末から外部ネットワークへの通信を監視し、スパイウェアプログラムによる特徴的な通信形態を検知する通信検知手段と、
前記通信検知手段によって前記スパイウェアプログラムによる特徴的な通信形態が検知されると、前記端末から外部ネットワークへの通信の通信先アドレスを、特定のアドレスに変換するアドレス変換手段と
を具備し、
前記アドレス変換手段は、
前記通信検知手段によって前記スパイウェアプログラムによる特徴的な通信形態が検知されると、前記端末から送信が行われた際の通信情報から前記端末のアドレスを特定する内部アドレス特定手段と、
前記検知された通信形態に係る第1の通信先アドレスを特定する通信先アドレス特定手段と、
前記内部アドレス特定手段によって特定された前記端末のアドレスと前記通信先アドレス特定手段によって特定された第1の通信先アドレスとに基づいて、前記外部ネットワークから送信された情報を特定する情報特定手段と、
前記情報特定手段によって特定された情報に含まれている前記外部ネットワークへの第2の通信先アドレスを検索する通信先アドレス検索手段と、
前記通信先アドレス検索手段によって検索された前記第2の通信先アドレスを前記特定のアドレスに書き換え、前記端末に送信する通信先アドレス書き換え手段と
を具備する、
ことを特徴とするスパイウェア通信管理装置。 - 前記端末から前記特定のアドレスへの通信を検出した場合、前記通信があった旨の通知を前記端末に送信し、解除処理の可否の確認を求める確認提示手段を具備することを特徴とする請求項1に記載のスパイウェア通信管理装置。
- 前記確認提示手段からの前記通信があった旨の通知に対して前記端末から解除処理要求を受信し、当該通信に係る送信元および送信先の情報を対応付けて記憶手段に記録する記録手段を備え、
前記通信検知手段は、
前記記憶手段に記憶されている送信元および送信先の情報に基づく前記外部ネットワークへの通信を検知対象外とすることを特徴とする請求項2に記載のスパイウェア通信管理装置。 - ネットワークを介して情報を送受信可能な端末による外部ネットワークへの通信を管理するスパイウェア通信管理装置であって、
前記端末から外部ネットワークへの通信を監視し、スパイウェアプログラムによる特徴的な通信形態を検知する通信検知手段と、
前記通信検知手段によって前記スパイウェアプログラムによる特徴的な通信形態が検知されると、前記端末から外部ネットワークへの通信の通信先アドレスを、特定のアドレスに変換するアドレス変換手段と、
前記端末から前記特定のアドレスへの通信を検出した場合、前記通信があった旨の通知を前記端末に送信し、解除処理の可否の確認を求める確認提示手段と、
前記確認提示手段からの前記通信があった旨の通知に対して前記端末から解除処理要求を受信し、当該通信に係る送信元および送信先の情報を対応付けて記憶手段に記録する記録手段とを具備し、
前記通信検知手段は、
前記記憶手段に記憶されている送信元および送信先の情報に基づく前記外部ネットワークへの通信を検知対象外とすることを特徴とするスパイウェア通信管理装置。 - ネットワークを介して情報を送受信可能な端末による外部ネットワークへの通信を管理するスパイウェア通信管理装置のコンピュータに、
前記端末から外部ネットワークへの通信を監視し、スパイウェアプログラムによる特徴的な通信形態を検知する通信検知ステップと、
前記スパイウェアプログラムによる特徴的な通信形態が検知されると、前記端末から外部ネットワークへの通信の通信先アドレスを、特定のアドレスに変換するアドレス変換ステップと
を実行させ、
前記アドレス変換ステップにおいては、
前記通信検知ステップにおいて前記スパイウェアプログラムによる特徴的な通信形態が検知されると、前記端末から送信が行われた際の通信情報から前記端末のアドレスを特定する内部アドレス特定ステップと、
前記検知された通信形態に係る第1の通信先アドレスを特定する通信先アドレス特定ステップと、
前記内部アドレス特定ステップにおいて特定された前記端末のアドレスと前記通信先アドレス特定ステップにおいて特定された第1の通信先アドレスとに基づいて、前記外部ネットワークから送信された情報を特定する情報特定ステップと、
前記情報特定ステップにおいて特定された情報に含まれている前記外部ネットワークへの第2の通信先アドレスを検索する通信先アドレス検索ステップと、
前記通信先アドレス検索ステップにおいて検索された前記第2の通信先アドレスを前記特定のアドレスに書き換え、前記端末に送信する通信先アドレス書き換ステップとを実行させる、
ことを特徴とするスパイウェア通信管理プログラム。 - 前記スパイウェア通信管理装置のコンピュータに、
前記端末から前記特定のアドレスへの通信を検出した場合、前記通信があった旨の通知を前記端末に送信し、解除処理の可否の確認を求めるステップをさらに実行させる、
ことを特徴とする請求項5に記載のスパイウェア通信管理プログラム。
- 前記スパイウェア通信管理装置のコンピュータに、
前記通信があった旨の通知に対して前記端末から解除処理要求を受信し、当該通信に係る送信元および送信先の情報を対応付けて記憶手段に記録するステップと、
前記記憶手段に記憶されている送信元および送信先の情報に基づく前記外部ネットワークへの通信を検知対象外とするステップと
をさらに実行させることを特徴とする請求項6に記載のスパイウェア通信プログラム。 - ネットワークを介して情報を送受信可能な端末による外部ネットワークへの通信を管理するスパイウェア通信管理装置のコンピュータに、
前記端末から外部ネットワークへの通信を監視し、スパイウェアプログラムによる特徴的な通信形態を検知する通信検知ステップと、
前記スパイウェアプログラムによる特徴的な通信形態が検知されると、前記端末から外部ネットワークへの通信の通信先アドレスを、特定のアドレスに変換するアドレス変換ステップと、
前記端末から前記特定のアドレスへの通信を検出した場合、前記通信があった旨の通知を前記端末に送信し、解除処理の可否の確認を求める確認提示ステップと、
前記通信があった旨の通知に対して前記端末から解除処理要求を受信し、当該通信に係る送信元および送信先の情報を対応付けて記憶手段に記録する記録ステップとを実行させ、
前記通信検知ステップにおいては、
前記記憶手段に記憶されている送信元および送信先の情報に基づく前記外部ネットワークへの通信を検知対象外とすることを特徴とするスパイウェア通信プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005316302A JP4249174B2 (ja) | 2005-10-31 | 2005-10-31 | スパイウェア通信管理装置およびスパイウェア通信管理プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005316302A JP4249174B2 (ja) | 2005-10-31 | 2005-10-31 | スパイウェア通信管理装置およびスパイウェア通信管理プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007124482A JP2007124482A (ja) | 2007-05-17 |
JP4249174B2 true JP4249174B2 (ja) | 2009-04-02 |
Family
ID=38147796
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005316302A Active JP4249174B2 (ja) | 2005-10-31 | 2005-10-31 | スパイウェア通信管理装置およびスパイウェア通信管理プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4249174B2 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5116577B2 (ja) * | 2008-06-25 | 2013-01-09 | 株式会社Kddi研究所 | 情報処理装置、情報処理システム、プログラム、および記録媒体 |
JP5345500B2 (ja) * | 2009-10-16 | 2013-11-20 | 日本電信電話株式会社 | 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム |
JP5804883B2 (ja) * | 2011-10-05 | 2015-11-04 | 三菱電機株式会社 | アドレス抽出装置 |
JP6101525B2 (ja) * | 2013-03-19 | 2017-03-22 | 株式会社エヌ・ティ・ティ・データ | 通信制御装置、通信制御方法、通信制御プログラム |
-
2005
- 2005-10-31 JP JP2005316302A patent/JP4249174B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2007124482A (ja) | 2007-05-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9306964B2 (en) | Using trust profiles for network breach detection | |
JP6304833B2 (ja) | マルウェア定義パッケージサイズを縮小するためのテレメトリの使用 | |
US10469531B2 (en) | Fraud detection network system and fraud detection method | |
US7752668B2 (en) | Network virus activity detecting system, method, and program, and storage medium storing said program | |
JP5920169B2 (ja) | 不正コネクション検出方法、ネットワーク監視装置及びプログラム | |
US10033761B2 (en) | System and method for monitoring falsification of content after detection of unauthorized access | |
JP2004520636A (ja) | オンライン上での有害情報遮断システム及び方法、並びにそのためのコンピュータで読出し可能な記録媒体 | |
JP2006262019A (ja) | ネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク検疫装置 | |
EP3144845B1 (en) | Detection device, detection method, and detection program | |
JP5549281B2 (ja) | 不正侵入検知・防御システム、クライアントコンピュータ、不正侵入検知・防御装置、方法およびプログラム | |
JP4249174B2 (ja) | スパイウェア通信管理装置およびスパイウェア通信管理プログラム | |
KR101259910B1 (ko) | 변조된 url 탐지 장치 및 그 방법 | |
JP2006094258A (ja) | 端末装置、そのポリシー強制方法およびそのプログラム | |
KR101088084B1 (ko) | 전자상거래 불법 침입 감시 및 차단 방법과 시스템 | |
JP6092759B2 (ja) | 通信制御装置、通信制御方法、および通信制御プログラム | |
US20180316697A1 (en) | Method of aiding the detection of infection of a terminal by malware | |
US20030212807A1 (en) | Data relay system having Web connection or data relay regulating function and method of controlling regulation of the same | |
KR101934516B1 (ko) | 메일열람시 보안을 위한 전자메일처리시스템 | |
KR101521903B1 (ko) | 링크정보의 악성코드에 대응한 단말기의 로컬환경 보호방법과 보호시스템 | |
US9049170B2 (en) | Building filter through utilization of automated generation of regular expression | |
WO2015178002A1 (ja) | 情報処理装置、情報処理システム及び通信履歴解析方法 | |
JP6900328B2 (ja) | 攻撃種別判定装置、攻撃種別判定方法、及びプログラム | |
US11977648B2 (en) | Information protection apparatus, information protection method and program | |
KR101410445B1 (ko) | 스크립트에 의한 서버작업 식별시스템과 이를 이용한 식별방법 | |
JP2002199024A (ja) | 不正アクセス監視方法および内部通信ネットワーク |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080117 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080205 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080327 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080715 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080909 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090106 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090114 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120123 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4249174 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120123 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130123 Year of fee payment: 4 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130123 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140123 Year of fee payment: 5 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |