JP4358212B2 - 通信制御方法及び通信制御処理装置 - Google Patents
通信制御方法及び通信制御処理装置 Download PDFInfo
- Publication number
- JP4358212B2 JP4358212B2 JP2006235982A JP2006235982A JP4358212B2 JP 4358212 B2 JP4358212 B2 JP 4358212B2 JP 2006235982 A JP2006235982 A JP 2006235982A JP 2006235982 A JP2006235982 A JP 2006235982A JP 4358212 B2 JP4358212 B2 JP 4358212B2
- Authority
- JP
- Japan
- Prior art keywords
- address
- communication
- address range
- target list
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
本発明は、外部からの命令を待ち、その命令に従って悪質な動作をするプログラムであるボット(BOT)による通信を遮断するための技術に関する。
従来から、迷惑メールやスパムメールについての対策については多数の技術が存在している。例えば、特開2004−199505号公報、特開2004−173315号公報や特開2002−64531号公報には、メールによる攻撃をサーバ側で対処する技術が開示されているが、これは送信されてしまったメールを宛先のユーザに届けないようにする技術である。
特開2004−199505号公報
特開2004−173315号公報
特開2002−64531号公報
例えば悪意のある者によって指示を受けたBOTは、例えばメールサーバに対する攻撃を開始するが、BOTへの感染が広がるにつれ、メールサーバはBOTへの対処のため高負荷となり通常のメールの配信が遅延するなどの問題が生ずる。しかしながら、BOTは明らかに攻撃と分かるような攻撃を行わない場合が多く、従来では十分に対処できなかった。また、BOTへの感染は、亜種が多く、変形したり自ら隠蔽したりするため、パーソナル・コンピュータ(PC)での駆除も困難である。
従って、本発明の目的は、BOTに対して有効に対処するための技術を提供することである。
また、本発明の他の目的は、BOTの特性に基づきBOTによる攻撃を有効に遮断するための技術を提供することである。
本発明に係る通信制御方法は、ログ格納部に格納されている通信ログデータを解析して、任意の段階まで所定のプロトコルに従って通信を行って任意の段階より後ろの通信手順を明示的に又は非明示的に破棄する動作を行っている通信相手のアドレスを特定するステップと、当該特定された通信相手のアドレスを、通信を遮断する通信相手のリストである遮断対象リストに登録するステップとを含む。
BOTには様々な動作を行うものがあるが、例えば任意の段階で手続きを強制的に中止したり、タイムアウトになるまで放置したりする場合は、通常であればほとんど無いことなので、BOTに感染していると判断するものである。
また、予め設定されているアドレス範囲内において遮断対象リストに登録されているアドレスの割合又は数が予め設定されている閾値以上となったか判断する判断ステップと、判断ステップの判断結果が肯定的である場合、当該アドレス範囲又は当該アドレス範囲内の未登録アドレスを、遮断対象リストに登録するステップとをさらに含むようにしてもよい。
例えば、BOTに感染しているPCが、常時接続ではなく、インターネットに接続したり、切断したりする場合には、IPアドレスがその都度振られるため、IPアドレスを1つだけ特定したのでは効果が薄いことがある。上で述べたような処理を実施することによって、このようなケースに対応することができるようになる。
さらに、予め設定されているアドレス範囲より広い第2のアドレス範囲内において遮断対象リストに登録されているアドレス範囲又はアドレスの割合又は数が予め設定されている第2の閾値以上となったか判断する第2判断ステップと、第2判断ステップの判断結果が肯定的である場合、当該第2のアドレス範囲又は当該第2のアドレス範囲内の未登録アドレスを、遮断対象リストに登録するステップとをさらに含むようにしてもよい。
感染がさらに広がってきた場合にも、上で述べたような処理を実施することによって、不正な通信のために負荷が上がることが無くなる。
なお、遮断対象リストには、アドレス又はアドレス範囲と共に登録日時又は有効期限が登録されるようにしてもよい。その場合、遮断対象リストを走査して、登録日時又は有効期限と現在日時とに基づき遮断対象リストから除外すべきアドレス又はアドレス範囲を特定し、遮断対象リストから当該特定されたアドレス又はアドレス範囲を除外するステップをさらに含むようにしてもよい。BOTが駆除された場合に対処するためである。なお、遮断対象リスト内の有効期間は、アドレスによって可変の場合もある。
また、上で述べた閾値が、地域に基づき特定されるアドレス又はアドレス範囲毎に設定されている場合もある。BOTの感染には地域性があることが知られているためである。
本発明に係る方法は、コンピュータ・ハードウエアとプログラムとの組み合わせにより実施される場合があり、このプログラムは、例えばフレキシブルディスク、CD−ROM、光磁気ディスク、半導体メモリ、ハードディスク等の記憶媒体又は記憶装置に格納される。また、ネットワークなどを介してデジタル信号として配信される場合もある。尚、中間的な処理結果はメインメモリ等の記憶装置に一時保管される。
本発明によれば、BOTに対して有効に対処することができるようになる。
また、本発明の他の側面によれば、BOTの特性に基づきBOTによる攻撃を有効に遮断することができるようになる。
図1に本発明の一実施の形態に係るシステム概要図を示す。インターネットなどのネットワーク1には、BOT31に感染しているPCと、BOT31に感染していないPCと、メールサーバ7と、本実施の形態における主要な処理を実施する通信制御処理装置5とが接続されている。
通信制御処理装置5は、BOT31からの攻撃を検出するBOT攻撃検出部511を有する遮断リスト生成部51と、遮断リスト更新部52と、遮断リスト修正部53とを有する。また、通信制御処理装置5は、遮断リストを格納する遮断リスト格納部54を管理している。
メールサーバ7は、その動作のログを格納するログ格納部71と、遮断リスト格納部73とを管理している。メールサーバ7は、ネットワーク1に接続された例えばPCとの通信のログをログ格納部71に格納する。また、接続要求元のPCのIPアドレスが、遮断リスト格納部73内の遮断リストに登録されているか確認し、登録されていれば接続を拒否する。遮断リスト格納部73には、通信制御処理装置5の遮断リスト格納部54に格納された最新の遮断リストが格納される。
なお、メールサーバ7は、ルータなどの通信機器9を介してネットワーク1に接続されており、通信制御処理装置5の機能は、当該通信機器9又はメールサーバ7に含まれる場合もある。また、ログ格納部71は、通信機器9に含まれる場合もある。さらに、同一ネットワーク内の他のログ集積用サーバに含まれる場合もある。なお、通信機器9が、遮断リスト格納部73を有して通信の遮断又は通過の判断を行うようにしても良い。
次に、図2乃至図9を用いて、通信制御処理装置5の処理内容について説明する。まず、遮断リスト生成部51は、ユーザからネットワーク分割率、閾値である汚染率及びネットワーク統合率の設定入力を受け付け、例えばメインメモリなどの記憶装置に格納する(図2:ステップS1)。
ネットワーク分割率は、1ネットワークを分割する割合である。例えば1/4である場合、202.248.20.0/24については、202.248.20.0から63と、202.248.20.64から127と、202.248.20.128から191と、202.248.20.192から255とに分けられる。
汚染率は、該当アドレス範囲の全体を遮断するかどうかを判断するための閾値である。例えば、図3に示すように、アドレス範囲毎に、汚染率が登録される。例えば、所定の地域からBOT31による攻撃が多いという現実に対応して、当該所定の地域に割り当てられているIPアドレスの範囲については低めの汚染率を設定し、他の地域に割り当てられているIPアドレスの範囲については高めの汚染率を設定する場合もある。2種類ではなく1種類又は3種類以上汚染率を設定する場合もある。また、地域以外の要素に基づきアドレス範囲を設定する場合もある。
さらに、ネットワーク統合率は、1ネットワーク全体を遮断リストに登録するかどうかを判断するための、遮断リストに登録されたアドレス範囲の割合に対する閾値である。例えば、202.248.20.0/24について、1/2が設定され、2つのアドレス範囲が登録されると、202.248.20.0/24全体が遮断リストに登録される。
次に、遮断リスト生成部51は、例えばメールサーバ7のログ格納部71のデータを取得して、未処理ログ及び当該未処理ログに関連するログ(例えばIPアドレスが同じログ)を抽出する(ステップS3)。
そして、遮断リスト生成部51のBOT攻撃検出部511は、BOT31による攻撃であるか判断する(ステップS5)。通常、通信ログを解析すると、BOT31に感染していないPCとメールサーバ7は、図4に示すような通信手順で通信を行ってことが分かる。但し、以下の説明は単に一例に過ぎない。すなわち、(1)PC側がメールサーバ7にSMTP(Simple Mail Transfer Protocol)接続を行う。(2)そうすると、メールサーバ7は、220 <メールサーバ名> ESMTPを返信する。(3)次に、PC側はHELO <発信元ホスト名>をメールサーバ7に送信する。(4)これに対してメールサーバ7は、250 <発信元ホスト名>を返信する。(5)PC側は、MAIL FROM:<発信元メールアドレス>をメールサーバ7に送信する。(6)これに対して、メールサーバ7は、250 <発信元メールアドレス> ...Sender okを返信する。(7)さらに、PC側は、RCPT TO:<宛先メールアドレス>をメールサーバ7に送信する。(8)これに対してメールサーバ7は、250 <宛先メールアドレス> ...Recipent okを返信する。(9)そして、PC側は、DATAをメールサーバ7に送信する。(10)これに対して、メールサーバ7は、354 Enter mail, end with ”.” on a line by itselfを返信する。(11)そうすると、PC側は、From:<発信元ヘッダアドレス>、To:<発信先ヘッダアドレス>、Subject:<題名>、(空行)、(メール本文)、”.”をメールサーバ7に送信する。(12)これに対してメールサーバ7は、250 Okを返信する。(13)その後PC側は、QUITを送信する。(14)これに対してメールサーバ7は、221 Byeを返信する。このような手順にてメールの送信が行われる。
一方、BOT31による攻撃の場合には、あたかも通常の通信を装って、任意の段階まで通常どおり通信手順に従って通信を行い、任意の段階より後ろの段階の通信手順を明示的に又は非明示的に放棄する。すなわち、PC側で、急にQUITを送信したり、放置してタイムアウトを生じさせる。さらに、PC側で、前触れもなくセッション自体を切断する場合もある。
具体的には、図5に示すような現象がログから抽出される。但し以下の説明は一例に過ぎない。(1)PC側がメールサーバ7にSMTP(Simple Mail Transfer Protocol)接続を行う。(2)そうすると、メールサーバ7は、220 <メールサーバ名> ESMTPを返信する。(3)次に、PC側はHELO <発信元ホスト名>をメールサーバ7に送信する。(4)これに対してメールサーバ7は、250 <発信元ホスト名>を返信する。(5)PC側は、MAIL FROM:<発信元メールアドレス>をメールサーバ7に送信する。(6)これに対して、メールサーバ7は、250 <発信元メールアドレス> ...Sender okを返信する。(7)さらに、PC側は、RCPT TO:<宛先メールアドレス>をメールサーバ7に送信する。(8)これに対してメールサーバ7は、250 <宛先メールアドレス> ...Recipent okを返信する。ここまでは、上で述べた通常の場合と同様である。しかし、この後、BOT31は、セッションを保持したまま、次のコマンドを全く発行せず、時間経って、接続元であるBOT31がQUITを発行して切断する。この場合には、メールサーバ7側のタイムアウトにはならない程度の長さセッションを保持してメールサーバ7の資源を消費して、意味無く処理を明示的に終了させている。
また、図6に示すような現象もログから抽出される。但し以下の説明は一例に過ぎない。(1)PC側がメールサーバ7にSMTP(Simple Mail Transfer Protocol)接続を行う。(2)そうすると、メールサーバ7は、220 <メールサーバ名> ESMTPを返信する。(3)次に、PC側はHELO <発信元ホスト名>をメールサーバ7に送信する。(4)これに対してメールサーバ7は、250 <発信元ホスト名>を返信する。ここまでは、上で述べた通常の場合と同様である。しかし、この後、BOT31は、セッションを保持し次のコマンドを全く発行しないため、時間が経ってメールサーバ7側のタイムアウト時間を過ぎて、メールサーバ7がセッションを切断する。
このように、任意の段階でそれより後ろの通信手順を放棄するため、無駄にメールサーバ7の資源が消費されるという現象を特定する。このような現象がログから抽出できれば、接続元のIPアドレスと現在時刻を遮断リスト格納部54の遮断リストに登録する(ステップS7)。そしてステップS9に移行する。
遮断リストは、例えば図7のようなデータである。すなわち、開始アドレスと終了アドレスと登録時刻とを登録するようになっている。但し、ステップS7では、第1レコード乃至第4レコードに示すように、開始アドレスと登録時刻とが登録されて、終了アドレスは登録されない。
一方、BOT攻撃検出部511が、未処理ログ及びその関連ログからBOT攻撃を特定できない場合にはステップS9に移行する。
すなわち、遮断リスト生成部51は、例えば未処理のログが存在せず処理を終了させるべきか判断し(ステップS9)、処理終了でなければステップS3に戻る。処理終了であれば、処理を終了させる。
このようにすれば、BOT攻撃の元となるIPアドレスが遮断リストに登録されるので、ルータなどの通信機器9やメールサーバ7で、当該遮断リストに従って、接続を遮断することができるようになる。すなわち、無駄な資源の消費を抑えることができるようになる。
次に、遮断リスト更新部52による遮断リスト更新処理を図8を用いて説明する。まず、遮断リスト更新部52は、処理対象のアドレス範囲を特定する(ステップS11)。ステップS1で設定されたネットワーク分割率によって特定される各アドレス範囲であって、既に遮断リストに登録されているアドレス範囲(ネットワーク全体が登録されている場合はそのネットワークに含まれるアドレス範囲を含む)以外の未処理のアドレス範囲が処理対象となる。
そして、遮断リスト格納部54内の遮断リストを走査して、特定されたアドレス範囲に含まれるIPアドレスをカウントして、ステップS1で設定された汚染率を超えるIPアドレスが遮断リストに登録されているか判断する(ステップS13)。例えば、上で述べた例でネットワーク分割率が1/4であれば、1つのアドレス範囲には64のIPアドレスが含まれる。そして、汚染率が1/2であれば、33個以上のIPアドレスが遮断リストに登録されている場合、ステップS13での判断ではYesルートに移行する。なお、汚染率は図3に示したように、アドレス範囲よって可変の場合もあるので、該当する汚染率に基づき判断する。
特定されたアドレス範囲において、遮断リストに汚染率を超えるIPアドレスが登録されていると判断された場合には、処理対象のアドレス範囲及び現在時刻を遮断リストに登録する(ステップS15)。図7の例では、例えば第1レコード乃至第4レコードなどにおいて、202.248.20.0から202.248.20.63までのアドレス範囲において汚染率を超えるだけIPアドレスが登録されていれば、第11レコードのように開始アドレス202.248.20.0、終了アドレス202.248.20.63及び登録時刻20060728170000が登録される。なお、特定されたアドレス範囲において、遮断リストに汚染率を超えるIPアドレスが登録されていない場合にはステップS25に移行する。
さらに、処理対象のアドレス範囲に含まれ且つ遮断リストに登録されている該当IPアドレスを、遮断リストから削除する(ステップS17)。図7の例では、第1乃至第4レコードなどが削除される。
次に、遮断リストを走査して、処理対象のアドレス範囲が所属するネットワークに含まれるアドレス範囲のレコードを特定して、登録されているアドレス範囲が予め設定されているネットワーク統合率以上となっているか判断する(ステップS19)。例えば、ネットワーク統合率が1/2であって、図7の第6及び第7レコードのようなデータが登録されている場合には、202.248.21.0/24において、ネットワーク統合率以上のアドレス範囲が登録されていることになる。
処理対象のアドレス範囲が所属するネットワークに含まれるアドレス範囲が、遮断リストにおいてネットワーク統合率以上となっている場合には、遮断リストに、当該ネットワーク全体及び現在時刻を追加する(ステップS21)。例えば、図7の第6及び第7レコードのようなデータに対応して、第13レコードのように202.248.21.0/24というネットワーク全体(202.248.21.0から202.248.21.255)及び現在時刻20060728143559が登録される。一方、処理対象のアドレス範囲が所属するネットワークに含まれるアドレス範囲が、遮断リストにおいてネットワーク統合率未満である場合には、ステップS25に移行する。
そして、ステップS21で追加されたネットワークに含まれるアドレス範囲のレコードを、遮断リストから削除する(ステップS23)。第7の例では、第6及び第7レコードが削除される。
その後、処理終了が指示されるなど処理終了の事象が発生するまで、ステップS11に戻って処理を繰り返す(ステップS25)。
以上のような処理を実施することによって、BOT31に感染したPCの数が増えたり、BOT31に感染したPCのアドレスが変動する場合に対処することができるようになる。
但し、図8の処理のみでは、一度遮断リストに登録されると、メールサーバ7への接続が常に遮断されてしまい、BOT31を駆除できても通信できなくなってしまう。そこで、図9に示すような遮断リスト修正処理を実施する。
まず、遮断リスト修正部53は、ユーザから有効期限の設定を受け付け、例えばメインメモリなどの記憶装置に格納する(ステップS31)。有効期限についても複数種類設定してもよい。すなわち、初めて遮断リストに登録された個別IPアドレスについては比較的短い有効期限を設定し、2回以上遮断リストに登録された個別IPアドレス(例えばステップS37で削除したレコードに係る個別IPアドレスについては別途リストに保持しておく)については比較的長い有効期限を設定するようにしてもよい。
そして、遮断リスト格納部54内の遮断リストにおいて、登録レコードを1つ読み出す(ステップS33)。そして、登録レコードの登録時刻と現在時刻と有効期限のデータから、当該登録レコードがその有効期限を過ぎたか判断する(ステップS35)。有効期限を過ぎたと判断された場合には、ステップS33で取得された登録レコードを遮断リストから削除する(ステップS37)。一方、有効期限内である場合には、ステップS39に移行する。
そして、処理を終了する事象が発生するまでステップS33に戻って処理を繰り返す(ステップS39)。
このような処理を実施することによって、BOT31を駆除した場合にメールサーバ7への接続を再開させることができるようになる。
なお、遮断リスト生成処理、遮断リスト更新処理、遮断リスト修正処理は、非同期で実行される。
以上本発明の実施の形態を説明したが、本発明はこれに限定されるものではない。例えば、図7に示した遮断リストに登録される登録時刻は、有効期限そのものを登録するようにしてもよい。また、開始アドレスと終了アドレスとを明示する例を示したが、他の表現方法でアドレスを登録するようにしてもよい。さらに、遮断リスト更新処理については、実施しない場合もある。さらに、メールサーバ7への接続を遮断する例を示しているが、他のコンピュータについても本実施の形態は適用可能である。
なお、BOT31の攻撃は、他の種類もあり、可能であれば、ログ格納部71に格納されているログデータを解析して、タイムアウト時間より短い所定時間以上の間隔をあけつつSMTPに従って所定数以上の通信手順を進める動作を行っている通信相手のアドレスを特定して、遮断リストに登録するようにしてもよい。
汚染率やネットワーク統合率については、割合ではなく数であってもよい。
また、PC、メールサーバ7、通信制御処理装置5は、図10のようなコンピュータ装置であって、メモリ2501(記憶装置)とCPU2503(処理装置)とハードディスク・ドライブ(HDD)2505と表示装置2509に接続される表示制御部2507とリムーバブル・ディスク2511用のドライブ装置2513と入力装置2515とネットワークに接続するための通信制御部2517とがバス2519で接続されている。オペレーティング・システム(OS:Operating System)及び本実施の形態における処理を実施するためのアプリケーション・プログラムは、HDD2505に格納されており、CPU2503により実行される際にはHDD2505からメモリ2501に読み出される。必要に応じてCPU2503は、表示制御部2507、通信制御部2517、ドライブ装置2513を制御して、必要な動作を行わせる。また、処理途中のデータについては、メモリ2501に格納され、必要があればHDD2505に格納される。本発明の実施の形態では、上で述べた処理を実施するためのアプリケーション・プログラムはリムーバブル・ディスク2511に格納されて頒布され、ドライブ装置2513からHDD2505にインストールされる。インターネットなどのネットワーク及び通信制御部2517を経由して、HDD2505にインストールされる場合もある。このようなコンピュータ装置は、上で述べたCPU2503、メモリ2501などのハードウエアとOS及び必要なアプリケーション・プログラムとが有機的に協働することにより、上で述べたような各種機能を実現する。
ルータなどの通信機器9についても、HDD2505やドライブ装置2513などを有さず、他に通信機器9として必要なネットワークとの接続機能及びルーティング機能などを追加で保持する構成である。
1 ネットワーク 31 BOT
5 通信制御処理装置 7 メールサーバ
9 通信機器
51 遮断リスト生成部 52 遮断リスト更新部 53 遮断リスト修正部
54 遮断リスト格納部 511 BOT攻撃検出部
71 ログ格納部 73 遮断リスト格納部
5 通信制御処理装置 7 メールサーバ
9 通信機器
51 遮断リスト生成部 52 遮断リスト更新部 53 遮断リスト修正部
54 遮断リスト格納部 511 BOT攻撃検出部
71 ログ格納部 73 遮断リスト格納部
Claims (6)
- ログ格納部に格納されている通信ログデータを解析して、任意の段階まで所定のプロトコルに従って通信を行って前記任意の段階より後ろの通信手順を明示的に又は非明示的に破棄する動作を行っている通信相手のアドレスを特定するステップと、
当該特定された通信相手のアドレスを、通信を遮断する通信相手のリストである遮断対象リストに登録するステップと、
予め設定されているアドレス範囲内において前記遮断対象リストに登録されているアドレスの割合が、前記予め設定されているアドレス範囲が割り当てられている地域に基づき設定される閾値以上となったか判断する判断ステップと、
前記判断ステップの判断結果が肯定的である場合、当該アドレス範囲又は当該アドレス範囲内の未登録アドレスを、前記遮断対象リストに登録するステップと、
を含み、コンピュータにより実行される通信制御方法。 - ログ格納部に格納されている通信ログデータを解析して、任意の段階まで所定のプロトコルに従って通信を行って前記任意の段階より後ろの通信手順を明示的に又は非明示的に破棄する動作を行っている通信相手のアドレスを特定するステップと、
当該特定された通信相手のアドレスを、通信を遮断する通信相手のリストである遮断対象リストに登録するステップと、
予め設定されているアドレス範囲内において前記遮断対象リストに登録されているアドレスの割合が、前記予め設定されているアドレス範囲が割り当てられている地域に基づき設定される閾値以上となったか判断する判断ステップと、
前記判断ステップの判断結果が肯定的である場合、当該アドレス範囲又は当該アドレス範囲内の未登録アドレスを、前記遮断対象リストに登録するステップと、
前記判断ステップの判断結果が肯定的である場合、前記予め設定されているアドレス範囲より広い第2のアドレス範囲内において前記遮断対象リストに登録されているアドレス範囲又はアドレスの割合が、前記第2のアドレス範囲が割り当てられている地域に基づき設定される第2の閾値以上となったか判断する第2判断ステップと、
前記第2判断ステップの判断結果が肯定的である場合、当該第2のアドレス範囲又は当該第2のアドレス範囲内の未登録アドレスを、前記遮断対象リストに登録するステップと、
を含み、コンピュータにより実行される通信制御方法。 - 前記遮断対象リストには、前記アドレス又は前記アドレス範囲と共に登録日時又は有効期限が登録され、
前記遮断対象リストを走査して、前記登録日時又は前記有効期限と現在日時とに基づき前記遮断対象リストから除外すべきアドレス又はアドレス範囲を特定し、前記遮断対象リストから当該特定されたアドレス又はアドレス範囲を除外するステップ
をさらに含む請求項1又は2記載の通信制御方法。 - 請求項1乃至3のいずれか1つ記載の通信制御方法をコンピュータに実行させるためのプログラム。
- ログ格納部に格納されている通信ログデータを解析して、任意の段階まで所定のプロトコルに従って通信を行って前記任意の段階より後ろの通信手順を明示的に又は非明示的に破棄する動作を行っている通信相手のアドレスを特定する手段と、
当該特定された通信相手のアドレスを、通信を遮断する通信相手のリストである遮断対象リストに登録する手段と、
予め設定されているアドレス範囲内において前記遮断対象リストに登録されているアドレスの割合が、前記予め設定されているアドレス範囲が割り当てられている地域に基づき設定される閾値以上となったか判断する判断手段と、
前記判断手段による判断の結果が肯定的である場合、当該アドレス範囲又は当該アドレス範囲内の未登録アドレスを、前記遮断対象リストに登録する手段と、
を有する通信制御処理装置。 - ログ格納部に格納されている通信ログデータを解析して、任意の段階まで所定のプロトコルに従って通信を行って前記任意の段階より後ろの通信手順を明示的に又は非明示的に破棄する動作を行っている通信相手のアドレスを特定する手段と、
当該特定された通信相手のアドレスを、通信を遮断する通信相手のリストである遮断対象リストに登録する手段と、
予め設定されているアドレス範囲内において前記遮断対象リストに登録されているアドレスの割合が、前記予め設定されているアドレス範囲が割り当てられている地域に基づき設定される閾値以上となったか判断する判断手段と、
前記判断手段による判断の結果が肯定的である場合、当該アドレス範囲又は当該アドレス範囲内の未登録アドレスを、前記遮断対象リストに登録する手段と、
前記判断手段による判断の結果が肯定的である場合、前記予め設定されているアドレス範囲より広い第2のアドレス範囲内において前記遮断対象リストに登録されているアドレス範囲又はアドレスの割合が、前記第2のアドレス範囲が割り当てられている地域に基づき設定される第2の閾値以上となったか判断する第2判断手段と、
前記第2判断手段による判断の結果が肯定的である場合、当該第2のアドレス範囲又は当該第2のアドレス範囲内の未登録アドレスを、前記遮断対象リストに登録する手段と、
を有する通信制御処理装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006235982A JP4358212B2 (ja) | 2006-08-31 | 2006-08-31 | 通信制御方法及び通信制御処理装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006235982A JP4358212B2 (ja) | 2006-08-31 | 2006-08-31 | 通信制御方法及び通信制御処理装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008060954A JP2008060954A (ja) | 2008-03-13 |
| JP4358212B2 true JP4358212B2 (ja) | 2009-11-04 |
Family
ID=39243190
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006235982A Expired - Fee Related JP4358212B2 (ja) | 2006-08-31 | 2006-08-31 | 通信制御方法及び通信制御処理装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4358212B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8849921B2 (en) * | 2007-06-28 | 2014-09-30 | Symantec Corporation | Method and apparatus for creating predictive filters for messages |
-
2006
- 2006-08-31 JP JP2006235982A patent/JP4358212B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2008060954A (ja) | 2008-03-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107276878B (zh) | 在网络环境下使用本地策略应用进行云电子邮件消息扫描 | |
| JP2008210203A (ja) | 電子メール処理方法および電子メール処理システム | |
| JP4387205B2 (ja) | アンチスパム技術の統合を可能にするフレームワーク | |
| US8069213B2 (en) | Method of controlling access to network resources using information in electronic mail messages | |
| US8327445B2 (en) | Time travelling email messages after delivery | |
| US20060224673A1 (en) | Throttling inbound electronic messages in a message processing system | |
| US20070226297A1 (en) | Method and system to stop spam and validate incoming email | |
| US7634543B1 (en) | Method of controlling access to network resources referenced in electronic mail messages | |
| JP2008187425A (ja) | 中継装置、プログラム及び中継方法 | |
| US20070101009A1 (en) | Method and system for automatic/dynamic instant messaging location switch | |
| KR100784474B1 (ko) | 요청되지 않은 메시지에 대한 노크 통지 시스템 및 방법 | |
| US8195754B2 (en) | Unsolicited message communication characteristics | |
| US20080168563A1 (en) | Storage medium storing terminal identifying program terminal identifying apparatus, and mail system | |
| JP4358212B2 (ja) | 通信制御方法及び通信制御処理装置 | |
| JP2006251882A (ja) | 迷惑メール処理システム、迷惑メール処理方法、プログラム | |
| US20090210500A1 (en) | System, computer program product and method of enabling internet service providers to synergistically identify and control spam e-mail | |
| JP2009118174A (ja) | 情報処理装置、承認方法、およびプログラム | |
| US20050216588A1 (en) | Blocking specified unread messages to avoid mailbox overflow | |
| JP2005210240A (ja) | メールフィルタシステム、メールフィルタ装置及びそれらに用いるメールフィルタ方法並びにそのプログラム | |
| JP2005251230A (ja) | メールサーバ | |
| KR100461984B1 (ko) | 바이러스 감염 클라이언트의 자발적 바이러스 치료를 유도하는 전자우편 메시지의 처리방법 | |
| WO2005101770A1 (ja) | 迷惑メール処理装置およびその方法 | |
| JP2005210455A (ja) | 電子メール中継装置 | |
| JP4477396B2 (ja) | 電子メール送受信システム | |
| JP2007104511A (ja) | メール処理システム及び方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080925 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080930 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081027 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090414 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090612 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20090722 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090804 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090805 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120814 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130814 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |