JP5385867B2 - データ転送装置及びアクセス解析方法 - Google Patents

データ転送装置及びアクセス解析方法 Download PDF

Info

Publication number
JP5385867B2
JP5385867B2 JP2010150357A JP2010150357A JP5385867B2 JP 5385867 B2 JP5385867 B2 JP 5385867B2 JP 2010150357 A JP2010150357 A JP 2010150357A JP 2010150357 A JP2010150357 A JP 2010150357A JP 5385867 B2 JP5385867 B2 JP 5385867B2
Authority
JP
Japan
Prior art keywords
data
data transfer
transfer
destination
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2010150357A
Other languages
English (en)
Other versions
JP2012014437A (ja
Inventor
毅 八木
直人 谷本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2010150357A priority Critical patent/JP5385867B2/ja
Publication of JP2012014437A publication Critical patent/JP2012014437A/ja
Application granted granted Critical
Publication of JP5385867B2 publication Critical patent/JP5385867B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、データ転送装置及びアクセス解析方法に関する。
近年、インターネットの普及に伴い、個人情報の管理やアプリケーションを配信するサーバ装置に対するサイバー攻撃が急増し、社会問題となっている。かかるサイバー攻撃の例としては、正規ユーザのサーバ装置や端末装置等に不正アクセスするための攻撃ツールプログラムであるマルウェアを利用したDDoS(Distributed Denial of Services)攻撃、スパム送信及び情報盗難等が挙げられる。このようなサイバー攻撃では、主に既存のサーバ装置を乗っ取り、乗っ取ったサーバ装置を利用して他のサーバ装置を攻撃する形で実施されることが多い。
サイバー攻撃を対処する技術としては、例えば、ファイアウォール機能と転送データ監視機能とがルータ等のパケット転送装置に実装されたサーバ監視機能を、攻撃対象となるサーバ装置の前段に配置する技術がある。サーバ監視機能では、送受信されるデータの内容やパケットヘッダの内容に応じて通信が制御される。
詳細には、セキュリティベンダによって収集及び解析された攻撃について、攻撃者がサーバ装置に対して取り得る送信メッセージパターンがシグネチャ化され、シグネチャにマッチする送信メッセージをサーバ監視機能でフィルタする。これにより、サーバ監視機能は、攻撃者の不正アクセスからサーバ装置を防御できる。
また、既存の攻撃を収集及び解析する手法としては、ハニーポットがある。かかるハニーポットは、低対話型と高対話型とに分類される。このうち、低対話型ハニーポットは、特定のオペレーションシステムやアプリケーション等のソフトウェアの動作をエミュレートして、攻撃を監視するものである。一方、高対話型ハニーポットは、脆弱性のある実際のソフトウェアを利用して攻撃を監視するものである。
すなわち、低対話型ハニーポットは、エミュレートした範囲に機能が制限されるため、攻撃の被害を受けることなく、比較的安全に攻撃の情報を収集することができるものの、収集可能な情報が制限される。一方、高対話型ハニーポットは、実際に攻撃を受けてから挙動を観測するため、攻撃に伴う被害が発生する可能性があるものの、低対話型ハニーポットよりも攻撃時の情報を詳細に観測できる。これらにより、収集可能な攻撃の情報量は、高対話型ハニーポットがより有用となる。
八木 毅,谷本 直人,針生 剛男,伊藤 光恭,「高対話型Webハニーポットにおける攻撃情報収集方式の改善」,情報処理学会,コンピュータセキュリティシンポジウム2009.
しかしながら、上述した従来技術では、攻撃対象への攻撃に関する検知精度が低下するという課題がある。具体的には、従来技術に係る高対話型ハニーポットでは、攻撃対象として狙われたプログラムの配置箇所と宛先のURL(Uniform Resource Locator)に記述されたパスが一致しない等の理由により失敗する攻撃について、攻撃を受け付けられないメッセージ等を攻撃者側に送信することしかできない。すなわち、従来技術に係る高対話型ハニーポットでは、攻撃に関する多くの情報を収集することができない。
また、攻撃に関する多くの情報を収集するために、攻撃を故意に成功させたとしても、プログラムの実際の配置箇所とパスが大きく異なる攻撃は失敗してしまうので、該攻撃に関する情報はほとんど収集できない。これらにより、従来技術では、多数の攻撃を収集したとしても、攻撃に対する防御のために抽出可能な攻撃の情報量が減少するので、攻撃対象への攻撃に関する検知精度が低下する。
そこで、本願に開示する技術は、上記に鑑みてなされたものであって、攻撃対象への攻撃に関する検知精度を向上させることが可能なデータ転送装置及びアクセス解析方法を提供することを目的とする。
上述した課題を解決し、目的を達成するため、本願に開示するデータ転送装置は、データを転送するデータ転送装置であって、ファイルが格納された場所を示すパス情報と、データの転送先となる装置を示すデータ転送先装置情報とを対応付けて記憶するデータ転送テーブルと、データの転送先となる装置に対して送信される転送データに含まれる統一資源位置指定子を抽出し、抽出された統一資源位置指定子に対応するパス情報が前記データ転送テーブルに記憶されているか否かを判定する判定部と、前記判定部によってパス情報が前記データ転送テーブルに記憶されていると判定された場合に、該パス情報に対応するデータ転送先装置情報に該当する装置に前記転送データを転送し、パス情報が前記データ転送テーブルに記憶されていないと判定された場合に、予め決定された装置に前記転送データを転送する転送部とを有する。
また、本願に開示するアクセス解析方法は、データを転送するデータ転送装置で実行されるアクセス解析方法であって、データの転送先となる装置に対して送信される転送データに含まれる統一資源位置指定子を抽出する抽出ステップと、前記抽出ステップによって抽出された統一資源位置指定子に対応するパス情報が、ファイルが格納された場所を示すパス情報と、データの転送先となる装置を示すデータ転送先装置情報とを対応付けて記憶するデータ転送テーブルに記憶されているか否かを判定する判定ステップと、前記判定ステップによってパス情報が前記データ転送テーブルに記憶されていると判定された場合に、該パス情報に対応するデータ転送先装置情報に該当する装置に前記転送データを転送し、パス情報が前記データ転送テーブルに記憶されていないと判定された場合に、予め決定された装置に前記転送データを転送する転送ステップとを含む。
本願に開示するデータ転送装置及びアクセス解析方法の一つの様態によれば、攻撃対象への攻撃に関する検知精度を向上させることができるという効果を奏する。
図1は、データ転送装置を適用するネットワークモデルの例を示す図である。 図2は、URLの例を示す図である。 図3は、データ転送装置を適用するネットワークモデルの例を示す図である。 図4は、実施例1に係るデータ転送装置の構成例を示す図である。 図5は、実施例1に係るデータ転送テーブルに記憶される情報の例を示す図である。 図6Aは、サーバ端末のディレクトリ構成例を示す図である。 図6Bは、サーバ端末のディレクトリ構成例を示す図である。 図7は、実施例1に係るURLと出力先との例を示す図である。 図8は、実施例1に係るデータ転送処理の流れの例を示すフローチャートである。 図9は、実施例2に係るデータ転送テーブルに記憶される情報の例を示す図である。 図10は、実施例2に係るURLと出力先との例を示す図である。 図11は、実施例2に係るデータ転送処理の流れの例を示すフローチャートである。 図12は、実施例3に係るデータ転送テーブルに記憶される情報の例を示す図である。 図13は、実施例3に係るURLと出力先との例を示す図である。 図14は、実施例3に係るデータ転送処理の流れの例を示すフローチャートである。 図15は、実施例4に係るデータ転送テーブルに記憶される情報の例を示す図である。 図16は、実施例4に係るURLと出力先との例を示す図である。 図17は、実施例4に係るデータ転送処理の流れの例を示すフローチャートである。 図18は、実施例5に係るデータ転送テーブルに記憶される情報の例を示す図である。 図19は、実施例5に係るデータ転送処理の流れの例を示すフローチャートである。 図20は、アクセス解析方法の動作例を説明するためのネットワークモデル例を示す図である。
以下に添付図面を参照して、本願に開示するデータ転送装置及びアクセス解析方法の実施例を説明する。なお、以下の実施例により本発明が限定されるものではない。また、各実施例は、内容を矛盾させない範囲で適宜組み合わせることが可能である。
[ネットワークモデル]
最初に、図1を用いて、本願に係るデータ転送装置を適用するネットワークモデルを説明する。図1は、データ転送装置を適用するネットワークモデルの例を示す図である。
例えば、図1に示すネットワークモデルは、ユーザ端末11と、ユーザ端末12と、サーバ端末21と、サーバ端末22と、サーバ端末23と、データ転送装置100とを有する。これらのうち、データ転送装置100は、例えば、ハイパーテキスト転送プロトコル等によるデータを転送し、ネットワーク1に含まれる。
このネットワーク1は、例えば、インターネット等の広域なネットワークや、企業ネットワーク等の比較的狭域なネットワークであり、ネットワーク2〜4を収容する。また、ネットワーク2は、サーバ端末21〜23を収容し、ネットワーク3は、ユーザ端末11を収容し、ネットワーク4は、ユーザ端末12を収容する。
上記構成において、ユーザ端末11及びユーザ端末12からサーバ端末21〜23へのアクセスは、データ転送装置100を経由するようにネットワーク2のトポロジが構成される。具体的には、ネットワーク2は、ユーザ端末11やユーザ端末12を含まない構成であり、データ転送装置100は、ネットワーク2のゲートウェイとして配置される。さらに、ネットワーク2は、仮想ネットワークとして1台又は複数の物理サーバ上に実装することも可能であり、かかる場合に、データ転送装置100やサーバ端末21〜23は、VMWareやXen等の仮想化技術で構築された仮想端末上に構築可能である。
サーバ端末21には、ホスト名として「host#1」が割り当てられており、サーバ端末22には、ホスト名として「host#2」が割り当てられており、サーバ端末23には、ホスト名として「host#3」が割り当てられている。例えば、ユーザ端末11やユーザ端末12がサーバ端末21の「d−A/d−B/d−C」というパスに配置されたファイル「file−a」にアクセスするためには、宛先のURLとして、「http://host#1/d−A/d−B/d−C/file−a」が指定される。
図2は、URLの例を示す図である。例えば、図2に示すように、宛先のURL「http://host#1/d−A/d−B/d−C/file−a」のうち、「http:」は、アクセス手段識別子を示す。加えて、「host#1」は、ホスト名を示し、「d−A/d−B/d−C/file−a」は、パス名を示し、「file−a」は、ファイル名を示す。本願では、ホスト名を参照して転送先を決定せずに、主にパスを参照して転送先を決定する。
次に、図3を用いて、図1とは異なるネットワークモデルを説明する。図3は、データ転送装置を適用するネットワークモデルの例を示す図である。
例えば、図3に示すネットワークモデルは、ユーザ端末11と、ユーザ端末12と、データ処理装置40とを有する。これらのうち、データ処理装置40は、データ転送装置100と、データ受信部31〜33とを有するサーバ端末であり、ネットワーク1に含まれる。なお、ネットワーク1、ネットワーク3、ネットワーク4、ユーザ端末11及びユーザ端末12は、図1に示したものと同一であるためその説明を省略する。また、データ処理装置40は、ホスト名として「host#4」が割り当てられたサーバ端末である。
上記構成において、ユーザ端末11及びユーザ端末12によるアクセスは、サーバ端末を対象にしたデータの転送ではなく、サーバ端末であるデータ処理装置40内のデータ転送装置100に対してデータを受け渡す。本願では、URLに含まれるホスト名を有するデータ転送装置100がデータを受信した場合に、パス名に含まれるプログラムを含むデータ受信部にデータを受け渡すのではなく、パス名の部分一致に応じてデータを受け渡すデータ受信部を設定する。
このようなネットワークモデルを適用する場合には、出力先として内部識別子が指定される。かかる内部識別子には、例えば、プロセスID(IDentifier)等のデータの受け渡し先の機能を特定できる識別子を適用する。
[データ転送装置の構成]
次に、図4を用いて、実施例1に係るデータ転送装置100の構成を説明する。図4は、実施例1に係るデータ転送装置100の構成例を示す図である。例えば、図4に示すように、データ転送装置100は、記憶部110と、制御部120とを有し、ハイパーテキスト転送プロトコルによるデータを転送する。
記憶部110は、制御部120による各種処理に要するデータや、制御部120による各種処理結果を記憶し、データ転送テーブル111を有する。また、記憶部110は、例えば、RAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置である。
データ転送テーブル111は、パス名に対して出力先を特定するエントリで構成される。具体的には、データ転送テーブル111は、ファイルが格納された場所を示すパス名と、データの転送先となる装置を示す出力先とを対応付けて記憶する。
図5は、実施例1に係るデータ転送テーブル111に記憶される情報の例を示す図である。例えば、図5に示すように、データ転送テーブル111は、パス名「d−A/d−B/d−C/file−a」と、出力先「host#2」とを対応付けて記憶する。また、図5では、パス名に対して出力先を特定するエントリが「エントリ001」である例を示している。
制御部120は、制御プログラム、各種の処理手順等を規定したプログラム及び所要データを格納するための内部メモリを有し、宛先URL抽出部121と、転送先特定部122と、転送部123とを有する。また、制御部120は、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路、又は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)等の電子回路である。
宛先URL抽出部121は、データの転送先となる装置に対して送信される転送データに含まれる統一資源位置指定子を抽出する。例えば、宛先URL抽出部121は、ユーザ端末からサーバ端末宛てへのパケットを受信した場合に、該パケットに含まれる宛先URLを抽出する。
転送先特定部122は、宛先URL抽出部121によって抽出された統一資源位置指定子に対応するパス情報がデータ転送テーブル111に記憶されているか否かを判定し、データを転送する転送先を特定する。例えば、転送先特定部122は、宛先URL抽出部121によって抽出されたURLのパス名に基づいてデータ転送テーブル111を検索し、該パス名に対応する出力先を特定する。このとき、転送先特定部122は、URLのパス名とデータ転送テーブル111のパス名とが完全一致するエントリを検索する。
転送部123は、転送先特定部122によって特定された転送先に転送データを転送する。例えば、転送部123は、転送先特定部122によって特定された出力先にパケットを転送する。また、転送部123は、転送先特定部122によって転送先が特定されない場合、すなわち一致するパス名がデータ転送テーブル111に記憶されていない場合に、予め決定された所定装置に転送データを転送する。
また、転送先がネットワークであり、出力先がホスト名である場合には、上記機能はアプリケーションスイッチとしてレイヤ7での転送を行なう。一方、図3に示したネットワークモデルにおいては、転送先特定部122は出力先として装置内のデータ受信部の識別子を特定し、転送部123は受信部に対してデータを転送する。具体例を挙げると、転送先特定部122は、データ受け渡し先のプロセス識別子を特定し、転送部123は、該プロセスにデータを受け渡す。
ここで、図6A、図6B及び図7を用いて、サーバ端末のディレクトリ構成例と、該ディレクトリ構成に関するURLと出力先との例を説明する。なお、図6Aの例は、図1に示したサーバ端末21のディレクトリ構成を示しており、図6Bの例は、図1に示したサーバ端末22のディレクトリ構成を示している。
例えば、図6Aに示すように、ホスト名「host#1」であるサーバ端末21のディレクトリ構成は、「d−A/d−B/d−C/file−a」や、「d−A/d−B/d−C/file−b」等である。また、例えば、図6Bに示すように、ホスト名「host#2」であるサーバ端末22のディレクトリ構成は、「d−A/d−B/d−C/file−a」や、「d−A/d−B/d−C/file−b」等である。
図7は、実施例1に係るURLと出力先との例を示す図である。例えば、図7に示すように、データ転送装置100は、URLに含まれるパス名が「d−A/d−B/d−C/file−a」である宛先71及び72に関しては、ホスト名に関係なく、ホスト名「host#1」であるサーバ端末21にデータを転送する。
[実施例1に係るデータ転送処理]
次に、図8を用いて、実施例1に係るデータ転送処理を説明する。図8は、実施例1に係るデータ転送処理の流れの例を示すフローチャートである。
例えば、図8に示すように、データ転送装置100は、ユーザ端末等から転送データを受信した場合に(ステップS101肯定)、受信された転送データに含まれるURLを抽出する(ステップS102)。なお、データ転送装置100は、転送データを受信していない場合に(ステップS101否定)、該転送データの受信待ちの状態となる。
そして、データ転送装置100は、抽出されたURLに含まれるパス名がデータ転送テーブル111に記憶されているか否かを判定する(ステップS103)。このとき、データ転送装置100は、パス名がデータ転送テーブル111に記憶されていると判定された場合に(ステップS103肯定)、データ転送テーブル111に記憶されたパス名に対応する出力先の装置に対してデータを転送する(ステップS104)。一方、データ転送装置100は、パス名がデータ転送テーブル111に記憶されていないと判定された場合に(ステップS103否定)、予め決定された所定装置に対してデータを転送する(ステップS105)。
[実施例1による効果]
上述したように、データ転送装置100は、URLに含まれるホスト名に関係なく、攻撃対象となるプログラムが配置されたホストに対してアクセスを転送する。この結果、データ転送装置100は、攻撃を受け付けない旨のメッセージを攻撃者側に送信したり、攻撃を故意に成功させたりする従来技術と比較して、本来失敗する攻撃を成功させて該攻撃に関する多くの情報を獲得させることができるので、攻撃対象への攻撃に関する検知精度を向上させることができる。
ところで、上記実施例1では、URLに全一致するパス名に対応する出力先にデータを転送する場合を説明したが、上位のディレクトリのみの情報としてのパス名に対応する出力先が複数であれば、前方最長一致するパス名に対応する出力先にデータを転送することもできる。そこで、実施例2では、上位のディレクトリのみの情報としてのパス名に対応する出力先が複数であれば、前方最長一致するパス名に対応する出力先にデータを転送する場合を説明する。
[実施例2に係るデータ転送テーブル]
図9を用いて、実施例2に係るデータ転送テーブル111を説明する。図9は、実施例2に係るデータ転送テーブル111に記憶される情報の例を示す図である。
例えば、図9に示すように、データ転送テーブル111は、パス名「d−A」と、出力先「host#1」とを対応付けて記憶する。また、データ転送テーブル111は、パス名「d−A/d−E」と、出力先「host#2」とを対応付けて記憶する。すなわち、データ転送テーブル111は、ディレクトリ単位に分解され、上位のディレクトリのみの情報としてのパス名と、出力先とを対応付けて記憶する。なお、図9では、パス名に対して出力先を特定するエントリが「エントリ002」と「エントリ003」とである例を示している。
図9に示すデータ転送テーブル111を利用し、宛先URL抽出部121は、例えば、ユーザ端末からサーバ端末宛てへのパケットを受信した場合に、該パケットに含まれる宛先URLを抽出する。また、転送先特定部122は、宛先URL抽出部121によって抽出されたURLのパス名に基づいてデータ転送テーブル111を検索し、該パス名に対応する出力先を特定する。
このとき、転送先特定部122は、URLのパス名とデータ転送テーブル111のパス名とが全一致又は部分一致するエントリを検索する。加えて、転送先特定部122は、出力先が複数であれば前方最長一致するパス名に対応するものを出力先として特定する。一方、転送先特定部122は、出力先が単数であれば該当するパス名に対応するものを出力先として特定する。
また、転送部123は、転送先特定部122によって特定された出力先にパケットを転送する。但し、転送部123は、転送先特定部122によって転送先が特定されない場合、すなわち全一致又は部分一致するエントリがデータ転送テーブル111に記憶されていない場合に、予め決定された所定装置にパケットを転送する。
図10は、実施例2に係るURLと出力先との例を示す図である。例えば、図10に示す宛先73のようにURLに含まれるパス名の前方が「d−A」である場合に、データ転送装置100は、ホスト名「host#1」であるサーバ端末21にデータを転送する。一方、図10に示す宛先74のようにURLに含まれるパス名の前方が「d−A/d−E」である場合に、データ転送装置100は、ホスト名「host#2」であるサーバ端末22にデータを転送する。
[実施例2に係るデータ転送処理]
次に、図11を用いて、実施例2に係るデータ転送処理を説明する。図11は、実施例2に係るデータ転送処理の流れの例を示すフローチャートである。
例えば、図11に示すように、データ転送装置100は、ユーザ端末等から転送データを受信した場合に(ステップS201肯定)、受信された転送データに含まれるURLを抽出する(ステップS202)。なお、データ転送装置100は、転送データを受信していない場合に(ステップS201否定)、該転送データの受信待ちの状態となる。
そして、データ転送装置100は、抽出されたURLに含まれるパス名に全一致又は部分一致するパス名がデータ転送テーブル111に記憶されているか否かを判定する(ステップS203)。このとき、データ転送装置100は、全一致又は部分一致するパス名がデータ転送テーブル111に記憶されていると判定された場合に(ステップS203肯定)、出力先が複数存在するか否かを判定する(ステップS204)。一方、データ転送装置100は、全一致又は部分一致するパス名がデータ転送テーブル111に記憶されていないと判定された場合に(ステップS203否定)、予め決定された所定装置に対してデータを転送する(ステップS205)。
また、データ転送装置100は、出力先が複数存在すると判定された場合に(ステップS204肯定)、複数の出力先に対応するパス名のうち、URLのパス名に前方最長一致するものを特定して、特定されたパス名に対応する出力先の装置に対してデータを転送する(ステップS206)。一方、データ転送装置100は、出力先が単数であると判定された場合に(ステップS204否定)、該出力先の装置に対してデータを転送する(ステップS207)。
[実施例2による効果]
上述したように、データ転送装置100は、URLのパス名と全一致又は部分一致するパス名に対応する出力先が複数存在する場合に、前方最長一致するパス名に対応する出力先の装置に対してデータを転送する。換言すると、データ転送装置100は、同一のアプリケーションであっても、攻撃対象となるプログラムが具備されているか否かでアクセスの転送先を変更する。この結果、データ転送装置100は、アプリケーションのバージョンやインストール済みのプラグインの環境の違いに対しても、攻撃対象となるプログラムが配備されているホストにアクセスを転送するので、攻撃を成功させ、該攻撃に関するより多くの情報を獲得させることができ、攻撃対象への攻撃に関する検知精度を向上させることができる。
ところで、上記実施例2では、複数の出力先のうちパス名が前方最長一致するものにデータを転送する場合を説明したが、複数の出力先のうちパス名が後方最長一致するものにデータを転送することもできる。そこで、実施例3では、複数の出力先のうちパス名が後方最長一致するものにデータを転送する場合を説明する。
[実施例3に係るデータ転送テーブル]
図12を用いて、実施例3に係るデータ転送テーブル111を説明する。図12は、実施例3に係るデータ転送テーブル111に記憶される情報の例を示す図である。
例えば、図12に示すように、データ転送テーブル111は、パス名「file−a」と、出力先「host#1」とを対応付けて記憶する。また、データ転送テーブル111は、パス名「d−C/file−a」と、出力先「host#3」とを対応付けて記憶する。すなわち、データ転送テーブル111は、ディレクトリ単位に分解され、上位のディレクトリのみの情報としてのパス名と、出力先とを対応付けて記憶する。なお、図12では、パス名に対して出力先を特定するエントリが「エントリ004」と「エントリ005」とである例を示している。
図12に示すデータ転送テーブル111を利用し、宛先URL抽出部121は、例えば、ユーザ端末からサーバ端末宛てへのパケットを受信した場合に、該パケットに含まれる宛先URLを抽出する。また、転送先特定部122は、宛先URL抽出部121によって抽出されたURLのパス名に基づいてデータ転送テーブル111を検索し、該パス名に対応する出力先を特定する。
このとき、転送先特定部122は、URLのパス名とデータ転送テーブル111のパス名とが全一致又は部分一致するエントリを検索する。加えて、転送先特定部122は、出力先が複数であれば後方最長一致するパス名に対応するものを出力先として特定する。一方、転送先特定部122は、出力先が単数であれば該当するパス名に対応するものを出力先として特定する。
また、転送部123は、転送先特定部122によって特定された出力先にパケットを転送する。但し、転送部123は、転送先特定部122によって転送先が特定されない場合、すなわち全一致又は部分一致するエントリがデータ転送テーブル111に記憶されていない場合に、予め決定された所定装置にパケットを転送する。
図13は、実施例3に係るURLと出力先との例を示す図である。例えば、図13に示す宛先75のようにURLに含まれるパス名の後方が「file−a」である場合に、データ転送装置100は、ホスト名「host#1」であるサーバ端末21にデータを転送する。一方、図13に示す宛先76のようにURLに含まれるパス名の後方が「d−C/file−a」である場合に、データ転送装置100は、ホスト名「host#3」であるサーバ端末23にデータを転送する。
[実施例3に係るデータ転送処理]
次に、図14を用いて、実施例3に係るデータ転送処理を説明する。図14は、実施例3に係るデータ転送処理の流れの例を示すフローチャートである。
例えば、図14に示すように、データ転送装置100は、ユーザ端末等から転送データを受信した場合に(ステップS301肯定)、受信された転送データに含まれるURLを抽出する(ステップS302)。なお、データ転送装置100は、転送データを受信していない場合に(ステップS301否定)、該転送データの受信待ちの状態となる。
そして、データ転送装置100は、抽出されたURLに含まれるパス名に全一致又は部分一致するパス名がデータ転送テーブル111に記憶されているか否かを判定する(ステップS303)。このとき、データ転送装置100は、全一致又は部分一致するパス名がデータ転送テーブル111に記憶されていると判定された場合に(ステップS303肯定)、出力先が複数存在するか否かを判定する(ステップS304)。一方、データ転送装置100は、全一致又は部分一致するパス名がデータ転送テーブル111に記憶されていないと判定された場合に(ステップS303否定)、予め決定された所定装置に対してデータを転送する(ステップS305)。
また、データ転送装置100は、出力先が複数存在すると判定された場合に(ステップS304肯定)、複数の出力先に対応するパス名のうち、URLのパス名に後方最長一致するものを特定して、特定されたパス名に対応する出力先の装置に対してデータを転送する(ステップS306)。一方、データ転送装置100は、出力先が単数であると判定された場合に(ステップS304否定)、該出力先の装置に対してデータを転送する(ステップS307)。
[実施例3による効果]
上述したように、データ転送装置100は、URLのパス名と全一致又は部分一致するパス名に対応する出力先が複数存在する場合に、後方最長一致するパス名に対応する出力先の装置に対してデータを転送する。換言すると、データ転送装置100は、複数のホストのパス構造が類似していても、攻撃対象となるプログラムが配置されている可能性がより高いホストにアクセスを転送できる。この結果、データ転送装置100は、類似するプログラム名が複数存在する環境において、攻撃対象となるプログラムが配置されているホストにアクセスを転送するので、攻撃を成功させ、該攻撃に関するより多くの情報を獲得させることができ、攻撃対象への攻撃に関する検知精度を向上させることができる。
ところで、上記実施例2又は3では、複数の出力先のうちパス名が前方最長一致或いは後方最長一致するものにデータを転送する場合を説明したが、複数の出力先のうちパス名が最長一致するものにデータを転送することもできる。そこで、実施例4では、複数の出力先のうちパス名が最長一致するものにデータを転送する場合を説明する。
[実施例4に係るデータ転送テーブル]
図15を用いて、実施例4に係るデータ転送テーブル111を説明する。図15は、実施例4に係るデータ転送テーブル111に記憶される情報の例を示す図である。
例えば、図15に示すように、データ転送テーブル111は、パス名「d−G/d−D」と、出力先「host#2」とを対応付けて記憶する。また、データ転送テーブル111は、パス名「d−G」と、出力先「host#1」とを対応付けて記憶する。また、データ転送テーブル111は、パス名「*」と、出力先「host#3」とを対応付けて記憶する。図15では、パス名に対して出力先を特定するエントリが「エントリ006」と「エントリ007」と「エントリ008」とである例を示している。また、図15に示す「エントリ008」のパス名「*」は、他のエントリに該当しないパス名を持つURLを含んだ転送データを「host#3」に出力することを意味している。
図15に示すデータ転送テーブル111を利用し、宛先URL抽出部121は、例えば、ユーザ端末からサーバ端末宛てへのパケットを受信した場合に、該パケットに含まれる宛先URLを抽出する。また、転送先特定部122は、宛先URL抽出部121によって抽出されたURLのパス名に基づいてデータ転送テーブル111を検索し、該パス名に対応する出力先を特定する。
このとき、転送先特定部122は、URLのパス名とデータ転送テーブル111のパス名とが全一致又は部分一致するエントリを検索する。加えて、転送先特定部122は、出力先が複数であれば最長一致するパス名に対応するものを出力先として特定する。一方、転送先特定部122は、出力先が単数であれば該当するパス名に対応するものを出力先として特定する。
また、転送部123は、転送先特定部122によって特定された出力先にパケットを転送する。但し、転送部123は、転送先特定部122によって転送先が特定されない場合、すなわち全一致又は部分一致するエントリがデータ転送テーブル111に記憶されていない場合に、予め決定された所定装置にパケットを転送する。
図16は、実施例4に係るURLと出力先との例を示す図である。例えば、図16に示す宛先77のようにURLに含まれるパス名に「d−G」が存在する場合に、データ転送装置100は、ホスト名「host#1」であるサーバ端末21にデータを転送する。一方、図16に示す宛先78のようにURLに含まれるパス名に「d−G/d−D」が存在する場合に、データ転送装置100は、ホスト名「host#2」であるサーバ端末22にデータを転送する。
[実施例4に係るデータ転送処理]
次に、図17を用いて、実施例4に係るデータ転送処理を説明する。図17は、実施例4に係るデータ転送処理の流れの例を示すフローチャートである。
例えば、図17に示すように、データ転送装置100は、ユーザ端末等から転送データを受信した場合に(ステップS401肯定)、受信された転送データに含まれるURLを抽出する(ステップS402)。なお、データ転送装置100は、転送データを受信していない場合に(ステップS401否定)、該転送データの受信待ちの状態となる。
そして、データ転送装置100は、抽出されたURLに含まれるパス名に全一致又は部分一致するパス名がデータ転送テーブル111に記憶されているか否かを判定する(ステップS403)。このとき、データ転送装置100は、全一致又は部分一致するパス名がデータ転送テーブル111に記憶されていると判定された場合に(ステップS403肯定)、出力先が複数存在するか否かを判定する(ステップS404)。一方、データ転送装置100は、全一致又は部分一致するパス名がデータ転送テーブル111に記憶されていないと判定された場合に(ステップS403否定)、予め決定された所定装置に対してデータを転送する(ステップS405)。
また、データ転送装置100は、出力先が複数存在すると判定された場合に(ステップS404肯定)、複数の出力先に対応するパス名のうち、URLのパス名に最長一致するものを特定して、特定されたパス名に対応する出力先の装置に対してデータを転送する(ステップS406)。一方、データ転送装置100は、出力先が単数であると判定された場合に(ステップS404否定)、該出力先の装置に対してデータを転送する(ステップS407)。
[実施例4による効果]
上述したように、データ転送装置100は、URLのパス名と全一致又は部分一致するパス名に対応する出力先が複数存在する場合に、最長一致するパス名に対応する出力先の装置に対してデータを転送する。換言すると、データ転送装置100は、攻撃者が攻撃対象としている可能性が最も高い宛先にアクセスを転送できる。この結果、データ転送装置100は、アプリケーションのバージョンの微小な変化に伴い、攻撃対象となるプログラム名が変更されている場合であっても、攻撃対象となるプログラムが配置されているホストにアクセスを転送するので、攻撃を成功させ、該攻撃に関するより多くの情報を獲得させることができ、攻撃対象への攻撃に関する検知精度を向上させることができる。
ところで、上記実施例1〜4では、パス名に対応する出力先にデータを転送する場合を説明したが、データの転送先となる装置を識別するホスト名が一致しないときに予め決定された出力先にデータを転送することもできる。そこで、実施例5では、データの転送先となる装置を識別するホスト名が一致しないときに予め決定された出力先にデータを転送する場合を説明する。
[実施例5に係るデータ転送テーブル]
図18を用いて、実施例5に係るデータ転送テーブル111を説明する。図18は、実施例5に係るデータ転送テーブル111に記憶される情報の例を示す図である。
例えば、図18に示すように、データ転送テーブル111は、ファイルが格納された場所を示す「パス名」と、データの転送先となる装置を識別する「ホスト名」と、データの転送先となる装置を示す「出力先」とを対応付けて記憶する。具体的に例を挙げると、データ転送テーブル111は、パス名「d−A/d−B/d−C/file−a」と、ホスト名「host#1,host#2」と、出力先「host#2」とを対応付けて記憶する。
また、データ転送テーブル111は、パス名「d−A」と、ホスト名「*」と、出力先「host#1」とを対応付けて記憶する。また、データ転送テーブル111は、パス名「d−A/d−E」と、ホスト名「host#1,host#3」と、出力先「host#2」とを対応付けて記憶する。また、データ転送テーブル111は、パス名「file−a」と、ホスト名「host#1,host#2」と、出力先「host#1」とを対応付けて記憶する。
また、データ転送テーブル111は、パス名「d−C/file−a」と、ホスト名「host#2,host#3」と、出力先「host#3」とを対応付けて記憶する。また、データ転送テーブル111は、パス名「d−G/d−D」と、ホスト名「*」と、出力先「host#2」とを対応付けて記憶する。また、データ転送テーブル111は、パス名「d−G」と、ホスト名「*」と、出力先「host#1」とを対応付けて記憶する。
図18に示すデータ転送テーブル111を利用し、宛先URL抽出部121は、例えば、ユーザ端末からサーバ端末宛てへのパケットを受信した場合に、該パケットに含まれる宛先URLを抽出する。また、転送先特定部122は、宛先URL抽出部121によって抽出されたURLのパス名に基づいてデータ転送テーブル111を検索し、該パス名に対応する出力先を特定する。
このとき、転送先特定部122は、URLのパス名とデータ転送テーブル111のパス名とが全一致又は部分一致するエントリを検索する。加えて、転送先特定部122は、パス名に対応するホスト名がURLに含まれるホスト名と一致するか否かを判定し、一致する場合にパス名に対応するものを出力先として特定する。
また、転送部123は、転送先特定部122によって特定された出力先にパケットを転送する。但し、転送部123は、転送先特定部122によって転送先が特定されない場合、ホスト名が一致しないと判定された場合に、予め決定された所定装置にパケットを転送する。
[実施例5に係るデータ転送処理]
次に、図19を用いて、実施例5に係るデータ転送処理を説明する。図19は、実施例5に係るデータ転送処理の流れの例を示すフローチャートである。
例えば、図19に示すように、データ転送装置100は、ユーザ端末等から転送データを受信した場合に(ステップS501肯定)、受信された転送データに含まれるURLを抽出する(ステップS502)。なお、データ転送装置100は、転送データを受信していない場合に(ステップS501否定)、該転送データの受信待ちの状態となる。
そして、データ転送装置100は、抽出されたURLに含まれるパス名に全一致又は部分一致するパス名がデータ転送テーブル111に記憶されているか否かを判定する(ステップS503)。このとき、データ転送装置100は、全一致又は部分一致するパス名がデータ転送テーブル111に記憶されていると判定された場合に(ステップS503肯定)、パス名に対応するホスト名がURLに含まれるホスト名と一致するか否かを判定する(ステップS504)。
続いて、データ転送装置100は、一致するホスト名が存在する場合に(ステップS504肯定)、パス名に対応する出力先の装置に対しデータを転送する(ステップS505)。一方、データ転送装置100は、全一致又は部分一致するパス名がデータ転送テーブル111に記憶されていないと判定された場合(ステップS503否定)、一致するホスト名が存在しない場合に(ステップS504否定)、予め決定された所定装置に対してデータを転送する(ステップS506)。
[実施例5による効果]
上述したように、データ転送装置100は、URLのパス名と全一致又は部分一致するパス名に対応するホスト名がURLに含まれるホスト名と一致する場合に、該パス名に対応する出力先の装置に対してデータを転送する。換言すると、データ転送装置100は、管理対象外となるホスト宛てへの通信をフィルタして、不自然な挙動の発生を防止する。この結果、データ転送装置100は、攻撃者に攻撃を収集する機構が発見され、以後の攻撃対象から除外されるような事態を回避し、継続的に攻撃に関する情報を獲得させることができるので、攻撃対象への攻撃に関する検知精度を向上させることができる。
さて、これまで本願に開示するデータ転送装置の実施例について説明したが、上述した実施例以外にも種々の異なる形態にて実施されてよいものである。そこで、(1)アクセス解析方法の動作、(2)ホスト名の変換、(3)装置の構成、において異なる実施例を説明する。
(1)アクセス解析方法の動作
図20を用いて、上記実施例を用いたアクセス解析方法の動作を説明する。図20は、アクセス解析方法の動作例を説明するためのネットワークモデル例を示す図である。
例えば、図20に示すネットワークモデルは、ユーザ端末11と、ユーザ端末12と、囮サーバ装置51と、囮サーバ装置52と、囮模倣サーバ装置53と、データ転送装置100とを有する。これらのうち、データ転送装置100は、例えば、ネットワーク1に含まれる。このネットワーク1は、ネットワーク2〜4を収容し、ネットワーク2は、囮サーバ装置51、囮サーバ装置52及び囮模倣サーバ装置53を収容する。また、ネットワーク3は、ユーザ端末11を収容し、ネットワーク4は、ユーザ端末12を収容する。また、囮サーバ装置51と囮サーバ装置52とは、異なるディレクトリ構造を有し、搭載されるアプリケーションのプラグインやバージョン等も異なる可能性がある。
上記構成において、データ転送装置100は、ネットワーク3或いはネットワーク4からデータを受信した場合にURLを参照し、URLに含まれるパス名とデータ転送テーブル111に含まれるパス名とに基づき出力先を特定する。そして、データ転送装置100は、特定された出力先に基づいて、囮サーバ装置51、囮サーバ装置52或いは囮模倣サーバ装置53に対してデータを転送する。
このとき、データ転送テーブル111には、各囮サーバ装置が有するディレクトリ構造の各パスから、各囮サーバ装置を出力先として特定するエントリで構成される。すなわち、データは、データ処理に要するソフトウェアが搭載された囮サーバ装置51や囮サーバ装置52に転送されるか、若しくは、データ処理に要するソフトウェアが搭載された囮サーバが存在しなければ囮模倣サーバ装置53に転送されることになる。
また、転送先は、プラグインのプログラム毎に設定可能であり、例えば、パス名について前方最長一致を採用するデータ転送方法であれば、あるソフトウェアのあるプラグイン宛てのデータのみ該プラグインがインストールされている囮サーバ装置に転送し、その他は囮模倣サーバ装置に転送することができる。
要するに、図20に示すアクセス解析方法では、囮サーバ装置で処理可能なデータは該データを処理可能な囮サーバ装置を特定してデータを特定して内容を解析し、その他は囮模倣サーバ装置にデータを転送して内容を解析することができる。
(2)ホスト名の変換
また、本願では、データ転送時にホスト名を抽出しておき、データ応答時に抽出されたホスト名を適用(ホスト名を変換)することもできる。具体的には、転送部123は、上記実施例1〜5等のデータ転送処理時に、転送データを識別する転送データ識別情報と、URLに含まれるホスト名とを抽出する。転送データ識別情報は、例えば、転送データのセッションID等が挙げられる。
その後、転送部123によって抽出された転送データ識別情報に一致する応答データを受信した場合に、データ転送装置100は、該応答データに送信元のホスト名が含まれているか否かを判定する。このとき、データ転送装置100は、応答データに送信元のホスト名が含まれていると判定すると、該送信元のホスト名を転送部123によって抽出されたホスト名に変換する。ホスト名が変換された応答データは、送信先のユーザ端末等に送信されることになる。
要するに、データ転送装置100は、外部からのHTTP(HyperText Transfer Protocol)リクエストへのHTTPレスポンス等、外部からの要求に対する応答において、外部の要求元装置が送信先と異なるホスト名からの応答であることを認識することを防止することができる。換言すると、攻撃者による要求において、攻撃者が送信先とする装置のホスト名とは異なるホスト名であることを攻撃者によって認識されると、何らかの処理がされていることが攻撃者に伝わってしまうため、データ転送装置100は、転送データ及び応答データにホスト名が含まれている場合に、該ホスト名を転送データに含まれるホスト名に統一する。これらの結果、データ転送装置100は、攻撃対象への攻撃に関する検知精度を向上させるとともに、攻撃者が攻撃に関する検知が行なわれていることを認識することを防止することができる。
(3)装置の構成
また、上記文書中や図面中などで示した処理手順、制御手順、具体的名称、各種のデータやパラメータなどを含む情報(例えば、上記実施例で記載した各ディレクトリ構成等)については、特記する場合を除いて任意に変更することができる。
また、図示した各装置の各構成要素は、機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は、図示のものに限られず、その全部または一部を各種の負担や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合することができる。さらに、各装置にて行われる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、或いは、ワイヤードロジックによるハードウェアとして実現され得る。
以上のように、本発明に係るデータ転送装置及びアクセス解析方法は、データを転送する場合に有用であり、特に、攻撃対象への攻撃に関する検知精度を向上させることに適する。
100 データ転送装置
110 記憶部
111 データ転送テーブル
120 制御部
121 宛先URL抽出部
122 転送先特定部
123 転送部

Claims (3)

  1. データを転送するデータ転送装置であって、
    ファイルが格納された場所を示すパス情報と、ホスト名と、データの転送先となる装置を示すデータ転送先装置情報とを対応付けて記憶するデータ転送テーブルと、
    データの転送先となる装置に対して送信される転送データに含まれる統一資源位置指定子を抽出し、抽出された統一資源位置指定子に対応するパス情報として、全一致または部分一致するパス情報が前記データ転送テーブルに記憶されているか否かを判定し、前記パス情報が前記データ転送テーブルに記憶されていると判定された場合に、該パス情報に対応するホスト名が前記統一資源位置指定子に含まれる情報と一致するか否かをさらに判定する判定部と、
    前記判定部によってパス情報が前記データ転送テーブルに記憶されていると判定され、かつ、該パス情報に対応するホスト名が前記統一資源位置指定子に含まれる情報と一致すると判定された場合に、該パス情報に対応するデータ転送先装置情報に該当する装置に前記転送データを転送し、パス情報が前記データ転送テーブルに記憶されていないと判定された場合、および、該パス情報に対応するホスト名が前記統一資源位置指定子に含まれる情報と一致しないと判定された場合に、予め決定された装置に前記転送データを転送する転送部と
    を有することを特徴とするデータ転送装置。
  2. 前記転送部は、さらに、前記転送データを識別する転送データ識別情報と、前記統一資源位置指定子に含まれるホスト名とを抽出し、
    前記転送部によって転送された転送データの転送データ識別情報と一致する応答データに、送信元のホスト名が含まれている場合に、該送信元のホスト名を前記転送部によって抽出されたホスト名に変換するホスト名変換部をさらに有することを特徴とする請求項に記載のデータ転送装置。
  3. データを転送するデータ転送装置で実行されるアクセス解析方法であって、
    データの転送先となる装置に対して送信される転送データに含まれる統一資源位置指定子を抽出する抽出ステップと、
    前記抽出ステップによって抽出された統一資源位置指定子に対応するパス情報として、全一致または部分一致するパス情報が、ファイルが格納された場所を示すパス情報と、ホスト名と、データの転送先となる装置を示すデータ転送先装置情報とを対応付けて記憶するデータ転送テーブルに記憶されていると判定された場合に、該パス情報に対応するホスト名が前記統一資源位置指定子に含まれる情報と一致するか否かをさらに判定する判定ステップと、
    前記判定ステップによってパス情報が前記データ転送テーブルに記憶されていると判定され、かつ、該パス情報に対応するホスト名が前記統一資源位置指定子に含まれる情報と一致すると判定された場合に、該パス情報に対応するデータ転送先装置情報に該当する装置に前記転送データを転送し、パス情報が前記データ転送テーブルに記憶されていないと判定された場合、および、該パス情報に対応するホスト名が前記統一資源位置指定子に含まれる情報と一致しないと判定された場合に、予め決定された装置に前記転送データを転送する転送ステップと
    を含んだことを特徴とするアクセス解析方法。
JP2010150357A 2010-06-30 2010-06-30 データ転送装置及びアクセス解析方法 Active JP5385867B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010150357A JP5385867B2 (ja) 2010-06-30 2010-06-30 データ転送装置及びアクセス解析方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010150357A JP5385867B2 (ja) 2010-06-30 2010-06-30 データ転送装置及びアクセス解析方法

Publications (2)

Publication Number Publication Date
JP2012014437A JP2012014437A (ja) 2012-01-19
JP5385867B2 true JP5385867B2 (ja) 2014-01-08

Family

ID=45600785

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010150357A Active JP5385867B2 (ja) 2010-06-30 2010-06-30 データ転送装置及びアクセス解析方法

Country Status (1)

Country Link
JP (1) JP5385867B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106687974B (zh) 2014-09-17 2019-06-04 三菱电机株式会社 攻击观察装置以及攻击观察方法
CN107403013A (zh) * 2017-08-01 2017-11-28 杭州安恒信息技术有限公司 Web业务行为的识别方法及装置
EP3852346A4 (en) * 2018-09-14 2022-06-08 Kabushiki Kaisha Toshiba COMMUNICATION CONTROL DEVICE

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002342279A (ja) * 2001-03-13 2002-11-29 Fujitsu Ltd フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム
JP2005004617A (ja) * 2003-06-13 2005-01-06 Mitsubishi Electric Corp 不正侵入対策処理システム、攻撃分析・応答装置およびネットワーク遮断・模擬装置並びに不正侵入対策処理方法
JP5049172B2 (ja) * 2008-03-17 2012-10-17 大阪瓦斯株式会社 リバースプロキシシステム

Also Published As

Publication number Publication date
JP2012014437A (ja) 2012-01-19

Similar Documents

Publication Publication Date Title
Ndatinya et al. Network forensics analysis using Wireshark
JP6053091B2 (ja) トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム
US8561188B1 (en) Command and control channel detection with query string signature
Rieck et al. Botzilla: detecting the" phoning home" of malicious software
JP6006788B2 (ja) ドメイン名をフィルタリングするためのdns通信の使用
EP2156361B1 (en) Reduction of false positive reputations through collection of overrides from customer deployments
EP2147390B1 (en) Detection of adversaries through collection and correlation of assessments
JP5655191B2 (ja) 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム
JP6159018B2 (ja) 抽出条件決定方法、通信監視システム、抽出条件決定装置及び抽出条件決定プログラム
JP5011234B2 (ja) 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム
EP3297248B1 (en) System and method for generating rules for attack detection feedback system
US20100162399A1 (en) Methods, apparatus, and computer program products that monitor and protect home and small office networks from botnet and malware activity
EP3591558A1 (en) System and method for detection of malicious hypertext transfer protocol chains
US20200304521A1 (en) Bot Characteristic Detection Method and Apparatus
JP6086423B2 (ja) 複数センサの観測情報の突合による不正通信検知方法
JP7388613B2 (ja) パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体
WO2013097600A1 (zh) 签名库的匹配路径生成方法及相关装置
JP5385867B2 (ja) データ転送装置及びアクセス解析方法
JP5986340B2 (ja) Url選定方法、url選定システム、url選定装置及びurl選定プログラム
JP5345500B2 (ja) 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
US9419990B2 (en) Apparatus and method for characterizing the risk of a user contracting malicious software
JP5313104B2 (ja) 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム
JP5456636B2 (ja) ファイル収集監視方法、ファイル収集監視装置及びファイル収集監視プログラム
TW201123776A (en) Method of detecting network communication behavior and system thereof

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120928

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130628

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130709

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130906

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20131001

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131004

R150 Certificate of patent or registration of utility model

Ref document number: 5385867

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350