JP5389740B2 - 更新方法、更新装置及び更新システム - Google Patents
更新方法、更新装置及び更新システム Download PDFInfo
- Publication number
- JP5389740B2 JP5389740B2 JP2010131476A JP2010131476A JP5389740B2 JP 5389740 B2 JP5389740 B2 JP 5389740B2 JP 2010131476 A JP2010131476 A JP 2010131476A JP 2010131476 A JP2010131476 A JP 2010131476A JP 5389740 B2 JP5389740 B2 JP 5389740B2
- Authority
- JP
- Japan
- Prior art keywords
- file
- record
- acquisition
- acquired
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
図1は、実施例1に係る更新システムの全体像を示す図である。図1において、200は、ファイルを記憶するファイルサーバである。300は、悪意の第三者により用いられる端末である。400は、アプリケーションによりユーザにサービスを提供するアプリケーションサーバである。511は、マルウェアダウンロードサイトのリストであるブラックリストを記憶するブラックリストテーブルである。500は、アプリケーションサーバ400からブラックリストテーブル511に登録されたマルウェアダウンロードサイトへのアクセスを遮断するフィルタリング装置である。600は、端末300とファイルサーバ200とフィルタリング装置500とが接続されたネットワークである。更新システム100は、フィルタリング装置500と、アプリケーションサーバ400とを有する。図1に示す例では、説明の便宜上、ファイルサーバ200と端末300とを併せて記載した。
図2は、実施例1に係るフィルタリング装置の構成の一例を示す図である。図2では、説明の便宜上、ファイルサーバ200とアプリケーションサーバ400とを併せて記載した。
図5を用いて、実施例1に係るフィルタリング装置500による更新処理の流れの一例を示す。図5は、実施例1に係るフィルタリング装置による更新処理の流れの一例を示すフローチャートである。以下では、ファイル取得部521が、位置情報「http://host#1/d‐A/d‐B/d‐C/file‐a」と、指定命令「http://server#3/set.php?dir=」と、ファイル識別情報「hash#101」と、ファイル種類「バックドア」とを含むレコードを取得する場合を用いて説明する。
図6を用いて、実施例1における命令送信部523による処理の流れの一例を示す。図6は、実施例1における命令送信部による処理の流れの一例を示すフローチャートである。図6を用いて説明する一連の処理は、図5におけるステップS108に対応する。
上述したように、実施例1によれば、フィルタリング装置500は、位置情報とファイル識別情報とを含むレコードを記憶するブラックリストテーブル511を有する。また、フィルタリング装置500は、ブラックリストテーブル511に記憶されたレコードを取得し、取得レコードに含まれる位置情報により示される位置にあるファイルを取得する。そして、フィルタリング装置500は、取得レコードに含まれるファイル識別情報により識別されるファイルと取得ファイルが同一であるか否かを判定する。そして、フィルタリング装置500は、同一でないと判定した場合に、取得レコードに含まれる位置情報により示される位置にあるファイルを取得して実行する旨の実行指示をアプリケーションサーバ400に送信する。そして、フィルタリング装置500は、送信した実行指示を実行したアプリケーションサーバ400の挙動を分析することで取得ファイルが悪意のあるプログラムであるか否かを判定し、悪意のあるプログラムであると判定した場合には、取得レコードに含まれる識別情報をファイル取得部521により取得されたファイルを識別する識別情報に更新し、悪意のあるプログラムであると判定しなかった場合には、取得レコードを記憶部510から削除する。この結果、フィルタリング装置500によれば、ブラックリストテーブル511を適切に更新でき、マルウェアが削除されたサイトがブラックリストに登録されたままになることを防止可能である。
例えば、ファイル取得部521が、ブラックリストテーブル511から一定周期ごとにレコードを再度取得するようにしても良い。例えば、ブラックリストテーブル511は、レコードごとに、ファイル取得部521により取得されたか否かを示す「処理フラグ」を記憶する。例えば、ブラックリストテーブル511の処理フラグは、「0」が所得されていないことを示し、「1」が取得されたことを示す。ここで、例えば、ファイル取得部521は処理フラグが「0」のレコードを取得し、取得したレコードの処理フラグを「0」から「1」に更新する。また、ファイル取得部521は、例えば、一定時間経過後に、すべての処理フラグをリセットして「0」に更新する。
また、例えば、フィルタリング装置500は、ファイルを取得する際に用いるネットワークにおける自装置の位置を示す位置情報を、適宜変更しても良い。例えば、図7に示すように、フィルタリング装置500の記憶部510は、ファイル取得部521がファイルを取得する際に用いたネットワークにおける自装置の位置を示す位置情報を記憶するアドレステーブル512を更に有する。図7は、アドレステーブルを有するフィルタリング装置の構成を示すブロック図である。アドレステーブル512は、位置情報として、例えば、使用済みのIPアドレスを記憶する。アドレステーブルに記憶された使用済みのIPアドレス(Internet Protocol Address)は、例えば、一定期間経過後に削除し、再度使用可能な状態にする。ファイル取得部521は、アドレステーブルに記憶されていないIPアドレスを用いて、ファイルサーバ200からファイルを取得する。
また、例えば、フィルタリング装置500の制御部520は、実行指示を実行したアプリケーションサーバ400の状態を、実行指示の実行前の状態に変更しても良い。例えば、フィルタリング装置500は、アプリケーションサーバ400を仮想装置上に構築し、仮想装置のイメージファイルを保存しておく、そして、フィルタリング装置500は、実行指示を実行させた後に、保存しておいたイメージファイルで現在の環境を上書きすることで、実行指示の実行前の状態に変更しても良い。ただし、本発明はこれに限定されるものではなく、任意の手法を用いて実行指示の実行前の状態に変更して良い。この結果、アプリケーションサーバ400が実行指示を実行することでマルウェアに感染したとしても、実行指示の実行前の状態に戻すことが可能である。
また、例えば、ファイル取得部521は、一度ファイルの取得に失敗したとしても、ネットワーク環境などに起因した失敗である可能性があることを踏まえ、複数回ファイルの取得を試行しても良い。この場合、例えば、試行するファイル取得回数は予めオペレータが設定しておき、ファイル取得部521は、ファイルの取得に失敗した場合には、予め設定されたファイル取得回数になるまで処理を繰り返す。
また、例えば、上述した実施例では、命令送信部523が、位置情報により示される位置にあるファイルを実行するプログラムを指定する場合を用いて説明したが、本発明はこれに限定されるものではない。例えば、命令送信部523は、ファイルを実行するプログラムを指定することなく、位置情報により示される位置にあるファイルを実行する旨の実行指示を送信しても良い。この場合、ブラックリストテーブル511は、指定命令を記憶してなくても良い。
また、例えば、上述した実施例では、アプリケーションサーバ400が、取得レコードに含まれる位置情報により示されるネットワークの位置からファイルを取得する場合を用いて説明した。つまり、図8に示すように、アプリケーションサーバ400が、ファイルサーバ200からファイルを取得する場合を用いて説明した。言い換えると、ファイルサーバ200がファイルをアプリケーションサーバ400に送信する場合を用いて説明した。図8は、ファイルサーバからファイルを取得する場合について示す図である。
また、図9に示す例では、フィルタリング装置500が中継機能を有し、アプリケーションサーバ400がファイルサーバ200に向けてファイルを取得する要求を送信する場合について説明した。ただし、本発明はこれに限定されるものではない。例えば、フィルタリング装置500では、ファイル取得部521が既にファイルを取得しており、フィルタリング装置500からファイルを取得する旨の命令をアプリケーションサーバ400に送信しても良い。
また、本実施例において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。例えば、この他、上述文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については(図1〜図10)、特記する場合を除いて任意に変更することができる。
図11は、開示の技術に係る更新プログラムによる情報処理がコンピュータを用いて具体的に実現されることを示す図である。図11に例示するように、コンピュータ3000は、例えば、メモリ3010と、CPU(Central Processing Unit)3020と、ハードディスクドライブインタフェース3030と、ディスクドライブインタフェース3040と、シリアルポートインタフェース3050と、ビデオアダプタ3060と、ネットワークインタフェース3070とを有する。コンピュータ3000の各部はバス3100によって接続される。
なお、本実施例で説明した更新プログラムは、インターネットなどのネットワークを介して配布することができる。また、更新プログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
200 ファイルサーバ
300 端末
400 アプリケーションサーバ
500 フィルタリング装置
510 記憶部
511 ブラックリストテーブル
512 アドレステーブル
520 制御部
521 ファイル取得部
522 ファイル内容判定部
523 命令送信部
524 更新処理部
600 ネットワーク
Claims (8)
- コンピュータが、
ネットワークにおける位置を示す位置情報とファイルを識別する識別情報とを含むレコードを記憶する記憶部から、当該レコードを取得するレコード取得ステップと、
前記レコード取得ステップより取得されたレコードに含まれる位置情報により示される位置にあるファイルを取得するファイル取得ステップと、
前記ファイル取得ステップにより取得されたファイルである取得ファイルが前記レコード取得ステップにより取得されたレコードである取得レコードに含まれる識別情報により識別されるファイルと同一であるか否かを判定する判定ステップと、
前記判定ステップにより同一でないと判定された場合に、前記取得レコードに含まれる位置情報により示される位置にあるファイルを取得して実行する旨の実行指示を所定のサーバに送信する送信ステップと、
前記送信ステップにより送信された実行指示を実行した前記所定のサーバの挙動を分析することで前記取得ファイルが悪意のあるプログラムであるか否かを判定し、悪意のあるプログラムであると判定した場合には、前記取得レコードに含まれる識別情報を前記ファイル取得ステップにより取得されたファイルを識別する識別情報に更新し、悪意のあるプログラムであると判定しなかった場合には、前記取得レコードを前記記憶部から削除する更新処理ステップと
を実行することを特徴とする更新方法。 - 前記ファイル取得ステップは、前記レコード取得ステップによりファイルを取得する際に用いられた前記ネットワークにおける自装置の位置を示す位置情報を記憶するアドレス記憶部を参照し、当該アドレス記憶部に記憶されていない位置情報を用いてファイルを取得することを特徴とする請求項1に記載の更新方法。
- 前記記憶部は、前記ファイルを実行するプログラムを指定して当該ファイルを実行させる指定命令を含む前記レコードを記憶し、
前記送信ステップは、前記判定ステップにより同一でないと判定された場合に、前記取得レコードに含まれる指定命令により指定されるプログラムにより実行させる実行指示を所定のサーバに送信し、
前記送信ステップにより送信された実行指示を前記所定のサーバが実行したか否かを監視し、実行しなかったとの監視結果が得られた場合に、前記取得レコードとは別のレコードに含まれる指定命令により指定されるプログラムにより実行させる実行指示を所定のサーバに送信する第二の送信ステップを更に実行することを特徴とする請求項1又は2に記載の更新方法。 - 前記コンピュータが、前記実行指示を実行した前記所定のサーバの状態を、前記実行指示の実行前の状態に変更するサーバ状態変更ステップを更に実行することを特徴とする請求項1〜3のいずれか1つに記載の更新方法。
- 前記コンピュータは、前記所定のサーバによるデータの送受信を中継し、
前記所定のサーバによって前記実行指示により指定される位置にあるファイルを要求するファイル要求が送信されると、当該ファイル要求を当該所定のサーバに送信することなく当該ファイル要求に対する応答を生成し、前記ファイル取得ステップにより取得されたファイルと共に当該所定のサーバに返信する第一の返信ステップを更に実行することを特徴とする請求項1〜4のいずれか1つに記載の更新方法。 - 前記ファイル取得ステップにより取得されたファイルを所定の記憶部に格納する格納ステップを更に実行し、
前記送信ステップは、前記格納ステップにより前記ファイルが格納された前記所定の記憶部から当該ファイルを取得して実行する旨の前記実行指示を前記所定のサーバに送信し、
前記実行指示により指定されるファイルを要求するファイル要求を前記所定のサーバから受信すると、当該ファイル要求に対する応答を生成し、当該ファイル要求により要求されたファイルを前記所定の記憶部から取得し、生成した応答と取得したファイルとを当該所定のサーバに返信する第二の返信ステップを更に実行することを特徴とする請求項1〜5のいずれか1つに記載の更新方法。 - ネットワークにおける位置を示す位置情報とファイルを識別する識別情報とを含むレコードを記憶する記憶部を有するフィルタリング装置と、当該記憶部に記憶されたレコードを更新する更新装置と、当該更新装置により用いられるサーバとを有する更新システムであって、
前記フィルタリング装置は、
ネットワークにおける位置を示す位置情報と、ファイルを識別する識別情報とを含むレコードを記憶する記憶部と、
前記記憶部に記憶されたレコードに基づいてフィルタリングを実行するフィルタリング部とを備え、
前記更新装置は、
前記記憶部から前記レコードを取得するレコード取得部と、
前記レコード取得部により取得されたレコードに含まれる位置情報により示される位置にあるファイルを取得するファイル取得部と、
前記ファイル取得部により取得されたファイルである取得ファイルが前記レコード取得部により取得されたレコードである取得レコードに含まれる識別情報により識別されるファイルと同一であるか否かを判定する判定部と、
前記判定部により同一でないと判定された場合に、前記取得レコードに含まれる位置情報により示される位置にあるファイルを取得して実行する旨の実行指示を所定のサーバに送信する送信部と、
前記送信部により送信された実行指示を実行した前記所定のサーバの挙動を分析することで前記取得ファイルが悪意のあるプログラムであるか否かを判定し、悪意のあるプログラムであると判定した場合には、前記取得レコードに含まれる識別情報を前記ファイル取得部により取得されたファイルを識別する識別情報に更新し、悪意のあるプログラムであると判定しなかった場合には、前記取得レコードを前記記憶部から削除する更新処理部とを備え、
前記所定のサーバは、
前記送信部により送信された実行指示を実行する実行部を備えたことを特徴とする更新システム。 - ネットワークにおける位置を示す位置情報と、ファイルを識別する識別情報とを含むレコードを記憶する記憶部と、
前記記憶部に記憶されたレコードを取得するレコード取得部と、
前記レコード取得部により取得されたレコードに含まれる位置情報により示される位置にあるファイルを取得するファイル取得部と、
前記ファイル取得部により取得されたファイルである取得ファイルが前記レコード取得部により取得されたレコードである取得レコードに含まれる識別情報により識別されるファイルと同一であるか否かを判定する判定部と、
前記判定部により同一でないと判定された場合に、前記取得レコードに含まれる位置情報により示される位置にあるファイルを取得して実行する旨の実行指示を所定のサーバに送信する送信部と、
前記送信部により送信された実行指示を実行した前記所定のサーバの挙動を分析することで前記取得ファイルが悪意のあるプログラムであるか否かを判定し、悪意のあるプログラムであると判定した場合には、前記取得レコードに含まれる識別情報を前記ファイル取得部により取得されたファイルを識別する識別情報に更新し、悪意のあるプログラムであると判定しなかった場合には、前記取得レコードを前記記憶部から削除する更新処理部と
を備えたことを特徴とする更新装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010131476A JP5389740B2 (ja) | 2010-06-08 | 2010-06-08 | 更新方法、更新装置及び更新システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010131476A JP5389740B2 (ja) | 2010-06-08 | 2010-06-08 | 更新方法、更新装置及び更新システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011257960A JP2011257960A (ja) | 2011-12-22 |
JP5389740B2 true JP5389740B2 (ja) | 2014-01-15 |
Family
ID=45474077
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010131476A Active JP5389740B2 (ja) | 2010-06-08 | 2010-06-08 | 更新方法、更新装置及び更新システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5389740B2 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5952219B2 (ja) * | 2013-05-23 | 2016-07-13 | 日本電信電話株式会社 | ファイル監視周期制御装置、ファイル監視周期制御システム、ファイル監視周期制御方法及びファイル監視周期制御プログラム |
JP5952220B2 (ja) * | 2013-05-23 | 2016-07-13 | 日本電信電話株式会社 | ファイル監視周期算出装置、ファイル監視周期算出システム、ファイル監視周期算出方法及びファイル監視周期算出プログラム |
US10789597B2 (en) * | 2016-09-21 | 2020-09-29 | R-Stor Inc. | Systems and methods for using a distributed ledger for data handling |
JP6829168B2 (ja) | 2017-09-04 | 2021-02-10 | 株式会社東芝 | 情報処理装置、情報処理方法およびプログラム |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4542544B2 (ja) * | 2006-12-28 | 2010-09-15 | キヤノンItソリューションズ株式会社 | 通信データ監視装置および通信データ監視方法およびプログラム |
JP5111073B2 (ja) * | 2007-11-27 | 2012-12-26 | Kddi株式会社 | ポリシ生成システム、プログラム、および記録媒体 |
JP2009230663A (ja) * | 2008-03-25 | 2009-10-08 | Kddi Corp | ウェブページの異常検知装置、プログラム、および記録媒体 |
JP5009244B2 (ja) * | 2008-07-07 | 2012-08-22 | 日本電信電話株式会社 | マルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラム |
-
2010
- 2010-06-08 JP JP2010131476A patent/JP5389740B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2011257960A (ja) | 2011-12-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20230388349A1 (en) | Policy enforcement using host information profile | |
JP6553524B2 (ja) | 専用のコンピュータセキュリティサービスを利用するシステムおよび方法 | |
US8234705B1 (en) | Contagion isolation and inoculation | |
US9774601B2 (en) | Security of computer resources | |
EP2865165B1 (en) | Method and device for secure content retrieval | |
US8256003B2 (en) | Real-time network malware protection | |
US8595803B2 (en) | Protection against malware on web resources utilizing scripts for content scanning | |
US8392995B2 (en) | Network management | |
US8321936B1 (en) | System and method for malicious software detection in multiple protocols | |
US7702772B2 (en) | Discovering and determining characteristics of network proxies | |
JP5655191B2 (ja) | 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム | |
JP5872704B2 (ja) | 悪意あるインターネットホストをトラッキング及びブロッキングするための分散システム及び方法 | |
KR20060047551A (ko) | 네트워크 검역을 제공하기 위한 방법 및 시스템 | |
JP2008072655A (ja) | サービス通信制御方法、サービス中継装置およびサービス通信制御システム | |
JP2008538249A (ja) | コンピュータの状態のモニタリング及びサポート | |
US9762444B1 (en) | Detecting a configuration profile from a management agent | |
JP5389740B2 (ja) | 更新方法、更新装置及び更新システム | |
WO2022166166A1 (zh) | 安全组件的功能验证方法及装置 | |
JP2011087189A (ja) | 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム | |
JP5313104B2 (ja) | 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム | |
JP5952219B2 (ja) | ファイル監視周期制御装置、ファイル監視周期制御システム、ファイル監視周期制御方法及びファイル監視周期制御プログラム | |
JP5952220B2 (ja) | ファイル監視周期算出装置、ファイル監視周期算出システム、ファイル監視周期算出方法及びファイル監視周期算出プログラム | |
US20150334046A1 (en) | A method and a server for evaluating a request for access to content from a server in a computer network | |
CN112565203A (zh) | 一种集中管理平台 | |
JP6096700B2 (ja) | Api提供システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120928 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130930 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131008 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131009 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5389740 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |