JP5893787B2 - Information processing apparatus, processing method, and program - Google Patents

Information processing apparatus, processing method, and program Download PDF

Info

Publication number
JP5893787B2
JP5893787B2 JP2015086445A JP2015086445A JP5893787B2 JP 5893787 B2 JP5893787 B2 JP 5893787B2 JP 2015086445 A JP2015086445 A JP 2015086445A JP 2015086445 A JP2015086445 A JP 2015086445A JP 5893787 B2 JP5893787 B2 JP 5893787B2
Authority
JP
Japan
Prior art keywords
access
information
destination
network
identification information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015086445A
Other languages
Japanese (ja)
Other versions
JP2015149781A (en
Inventor
洋 川口
洋 川口
和英 土屋
和英 土屋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Lac Co Ltd
Original Assignee
Lac Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lac Co Ltd filed Critical Lac Co Ltd
Priority to JP2015086445A priority Critical patent/JP5893787B2/en
Publication of JP2015149781A publication Critical patent/JP2015149781A/en
Application granted granted Critical
Publication of JP5893787B2 publication Critical patent/JP5893787B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、ネットワークを介して行われるマルウェア(悪意のあるソフトウェア)の侵入を防止する装置、処理方法およびプログラムに関する。   The present invention relates to an apparatus, a processing method, and a program for preventing intrusion of malware (malicious software) performed via a network.

コンピュータ・ウィルス等のマルウェアは、コンピュータ・システムに侵入して動作し、侵入したコンピュータ・システム自体やこのシステムに接続された他のシステムに、様々な被害を発生させる。マルウェアによる被害の発生を防止する方策として、コンピュータ・システムに侵入しようとするマルウェアを検出して侵入を防止することや、既にコンピュータ・システムに侵入したマルウェアを検出して除去することが行われる。マルウェアを検出する手法としては、一般に、既知のマルウェアに関する情報を集めたリスト(ブラックリスト)を用いたリストマッチングが行われる(例えば、特許文献1を参照)。   Malware such as a computer virus invades and operates on a computer system, and causes various damages to the invaded computer system itself and other systems connected to the system. As measures to prevent the occurrence of damage caused by malware, malware that attempts to invade the computer system is detected to prevent intrusion, or malware that has already entered the computer system is detected and removed. As a technique for detecting malware, list matching is generally performed using a list (black list) in which information on known malware is collected (see, for example, Patent Document 1).

また、未知のマルウェアを検出したり、マルウェアの送信元を特定したりすることも行われる。例えば、ネットワーク上にマルウェアが侵入可能な囮端末(いわゆるハニーポット等)を設け、侵入したマルウェアの動作を検証したり、マルウェアの送信元を特定したりすることが行われている(例えば、特許文献2を参照)。   In addition, unknown malware is detected and the source of the malware is specified. For example, a trap terminal (so-called honeypot or the like) through which malware can invade is provided on the network, and the operation of the invading malware is verified or the source of malware is identified (for example, patents) Reference 2).

特開2009−181233号公報JP 2009-181233 A WO2004/084063号公報WO2004 / 084063

近年、マルウェアの侵入方法は高度化かつ巧妙化し、コンピュータへの侵入を未然に防ぐことが困難となっている。例えば、外部からコンピュータへマルウェアを送りつけて侵入させるのではなく、コンピュータから主体的にマルウェアを取得(ダウンロード)するような工夫が行われる場合がある。これには、ウェブページ等に設けられた仕掛けによって、コンピュータ等のユーザが、マルウェアを取得(ダウンロード)するようにコンピュータ等を操作することを誘導するような場合も含まれる。   In recent years, malware intrusion methods have become more sophisticated and sophisticated, making it difficult to prevent intrusions into computers. For example, there is a case in which the malware is proactively acquired (downloaded) from the computer instead of sending the malware to the computer from the outside to be invaded. This includes a case in which a user such as a computer guides the user to operate the computer or the like to acquire (download) malware by a device provided on a web page or the like.

本発明の目的は、上記のようなコンピュータから主体的にマルウェアを取得させる仕組みに対する防御手段を提供することにある。   The objective of this invention is providing the defense means with respect to the mechanism in which malware is mainly acquired from the above computers.

上記の目的を達成するため、本発明は、次のような装置として実現される。この装置は、ネットワークに接続された情報処理装置であって、ネットワーク上のアクセス先に対して通信を行う通信手段と、ネットワーク上のアクセス対象を特定するアクセス先情報を保持する情報保持手段と、このアクセス先情報により特定されたアクセス対象にアクセスするアクセス制御手段と、このアクセス制御手段がアクセスしたアクセス対象から受信した特定のソフトウェアに付加された、アクセス対象が当該特定のソフトウェアを送信した送信先を識別するために用いる識別情報を抽出する抽出手段と、通信手段によりネットワークにアクセスする場合におけるアクセス要求のアクセス先がアクセス先情報により特定されたアクセス対象であり、このアクセス対象からアクセス要求に対する応答を受信した場合に、この応答に、抽出手段により抽出された識別情報を付加する編集手段と、を備える。
より好ましくは、編集手段は、アクセス先情報により特定されたアクセス対象から受信した応答に対して抽出手段により抽出された第1の識別情報と同一のまたは異なる第2の識別情報が付加されている場合に、この第2の識別情報を第1の識別情報に書き換え、この応答に対して第2の識別情報が付加されていない場合に、この応答に第1の識別情報を付加しない。 In order to achieve the above object, the present invention is realized as the following apparatus. The apparatus is an information processing apparatus connected to a network, a communication unit that communicates with an access destination on the network, an information holding unit that holds access destination information for specifying an access target on the network, The access control means for accessing the access target specified by the access destination information, and the transmission destination added to the specific software received from the access target accessed by the access control means, to which the access target has transmitted the specific software An access means for identifying the access request when the access is made to the network by the communication means, and the response to the access request from the access target. In response to this And a editing means for adding identification information extracted by the extraction means.
More preferably, the editing unit adds second identification information that is the same as or different from the first identification information extracted by the extraction unit to the response received from the access target specified by the access destination information. In this case, the second identification information is rewritten to the first identification information, and when the second identification information is not added to the response, the first identification information is not added to the response.

また、この編集手段は、アクセス先情報により特定されたアクセス対象からの応答に対して識別情報を付加する代わりに、アクセス要求のアクセス先がアクセス先情報により特定されたアクセス対象である場合に、アクセス要求に、抽出手段により抽出された識別情報を付加するようにしても良い。
この場合、より好ましくは、編集手段は、アクセス要求に対して抽出手段により抽出された第1の識別情報と同一のまたは異なる第2の識別情報が付加されている場合に、この第2の識別情報を第1の識別情報に書き換え、このアクセス要求に対して第2の識別情報が付加されていない場合は、このアクセス要求に第1の識別情報を付加しない。 In addition, this editing means, instead of adding identification information to the response from the access target specified by the access destination information, when the access destination of the access request is the access target specified by the access destination information, The identification information extracted by the extracting means may be added to the access request.
In this case, more preferably, the editing unit adds the second identification information when the second identification information that is the same as or different from the first identification information extracted by the extraction unit is added to the access request. When the information is rewritten with the first identification information and the second identification information is not added to the access request, the first identification information is not added to the access request.

また、上記の目的を達成する他の本発明は、次のような装置としても実現される。この装置は、ネットワークに接続された情報処理装置であって、ネットワーク上のアクセス先に対して通信を行う通信手段と、アクセス要求を受け付けて当該アクセス要求の送信元へ特定のソフトウェアを送信するアクセス対象を特定するアクセス先情報を保持する第1の情報保持手段と、このアクセス先情報により特定されたアクセス対象が特定のソフトウェアを送信した送信先を識別するために用いる識別情報を保持する第2の情報保持手段と、通信手段によりネットワークにアクセスする場合におけるアクセス要求のアクセス先がアクセス先情報により特定されたアクセス対象であり、このアクセス対象からアクセス要求に対する応答を受信した場合に、この応答に、第2の情報保持手段に保持された識別情報を付加する編集手段と、を備える。
また、この編集手段は、アクセス先情報により特定されたアクセス対象からの応答に対して識別情報を付加する代わりに、アクセス要求のアクセス先がアクセス先情報により特定されたアクセス対象である場合に、アクセス要求に、抽出手段により抽出された識別情報を付加するようにしても良い。 In addition, another aspect of the present invention that achieves the above object is also realized as the following apparatus. This apparatus is an information processing apparatus connected to a network, and communication means for communicating with an access destination on the network, and access for accepting an access request and transmitting specific software to a transmission source of the access request A first information holding unit for holding access destination information for specifying a target; and a second information for holding identification information used for identifying a transmission destination to which the access target specified by the access destination information has transmitted specific software. If the access destination of the access request when accessing the network by the information holding means and the communication means is the access target specified by the access destination information, and the response to the access request is received from this access target, this response Editing means for adding the identification information held in the second information holding means; Provided.
In addition, this editing means, instead of adding identification information to the response from the access target specified by the access destination information, when the access destination of the access request is the access target specified by the access destination information, The identification information extracted by the extracting means may be added to the access request.

また、本発明は、次のような方法としても実現される。この方法は、ネットワークに接続された情報処理装置によるネットワーク通信の処理方法であって、アクセス先を特定するアクセス先情報に基づき、このアクセス先情報により特定されたアクセス対象にアクセスするステップと、このアクセス先情報により特定されたアクセス対象にアクセスし、このアクセス対象から特定のソフトウェアを受信し、この特定のソフトウェアに付加された、このアクセス対象がこの特定のソフトウェアを送信した送信先を識別するために用いる識別情報を抽出するステップと、ネットワークにアクセスする場合におけるアクセス要求のアクセス先がアクセス先情報により特定されたアクセス対象であり、このアクセス対象からアクセス要求に対する応答を受信した場合に、この応答に、先のステップで抽出された識別情報を付加するステップと、を含む。   The present invention is also realized as the following method. This method is a processing method of network communication by an information processing apparatus connected to a network, and based on access destination information specifying an access destination, accessing an access target specified by the access destination information; and In order to access the access target specified by the access destination information, receive specific software from this access target, and identify the destination attached to this specific software to which this access target has transmitted this specific software Extracting the identification information used for the access, and the access destination of the access request when accessing the network is the access target specified by the access destination information, and when the response to the access request is received from this access target, this response Extracted in the previous step And including the steps of adding identification information.

さらにまた、上記の方法において、アクセス先情報により特定されたアクセス対象からの応答に対して識別情報を付加する代わりに、アクセス要求のアクセス先がアクセス先情報により特定されたアクセス対象である場合に、アクセス要求に、先のステップで抽出された識別情報を付加するようにしても良い。
また、アクセス先情報により特定されたアクセス対象が特定のソフトウェアを送信した送信先を識別するために用いる識別情報を記憶手段に保持しておき、先のステップで抽出された識別情報に替えて、記憶手段に保持されている識別情報を、応答またはアクセス要求に付加するようにしても良い。 Furthermore, in the above method, when the access destination of the access request is the access target specified by the access destination information instead of adding the identification information to the response from the access target specified by the access destination information. The identification information extracted in the previous step may be added to the access request.
In addition, the identification information used for identifying the transmission destination to which the access target identified by the access destination information has transmitted the specific software is held in the storage means, and instead of the identification information extracted in the previous step, The identification information held in the storage unit may be added to the response or the access request.

さらに本発明は、コンピュータを制御して上述した装置の各機能を実現するプログラム、またはコンピュータに上記の処理方法における各ステップに対応する処理を実行させるプログラムとしても実現される。このプログラムは、磁気ディスクや光ディスク、半導体メモリ、その他の記録媒体に格納して配布したり、ネットワークを介して配信したりすることにより、提供することができる。   Furthermore, the present invention is also realized as a program that controls a computer to realize each function of the above-described device, or a program that causes a computer to execute processing corresponding to each step in the above processing method. This program can be provided by being stored and distributed in a magnetic disk, an optical disk, a semiconductor memory, or other recording media, or distributed via a network.

本発明によれば、コンピュータから主体的にマルウェアを取得させる仕組みに対する防御を実現し、コンピュータを保護することができる。   ADVANTAGE OF THE INVENTION According to this invention, the defense with respect to the mechanism which acquires malware actively from a computer is implement | achieved, and a computer can be protected.

本実施形態が適用されるコンピュータ・システムの全体構成例を示した図である。It is a figure showing the example of whole composition of the computer system to which this embodiment is applied. インターネット上のウェブサイトがクライアント端末からのアクセスに応じてマルウェアを送信する仕組みを示す図である。It is a figure which shows the mechanism in which the website on the internet transmits malware according to the access from a client terminal. 本実施形態の第1の構成例によるプロキシサーバの機能構成例を示す図である。It is a figure which shows the function structural example of the proxy server by the 1st structural example of this embodiment. 本実施形態の第1の構成例によるプロキシサーバの動作を示すフローチャートである。It is a flowchart which shows operation | movement of the proxy server by the 1st structural example of this embodiment. 本実施形態の第2の構成例によるプロキシサーバの機能構成例を示す図である。It is a figure which shows the function structural example of the proxy server by the 2nd structural example of this embodiment. 第2の構成例のプロキシサーバによるクッキーに関する処理を示すフローチャートであり、クッキーの取得時の動作を示す図である。It is a flowchart which shows the process regarding the cookie by the proxy server of a 2nd structural example, and is a figure which shows the operation | movement at the time of acquisition of a cookie. 第2の構成例のプロキシサーバによるクッキーに関する処理を示すフローチャートであり、クッキーの書き換え時の動作を示す図である。It is a flowchart which shows the process regarding the cookie by the proxy server of a 2nd structural example, and is a figure which shows the operation | movement at the time of rewriting of a cookie. 本実施形態のプロキシサーバを実現するのに好適なコンピュータのハードウェア構成の一例を示す図である。It is a figure which shows an example of the hardware constitutions of the computer suitable for implement | achieving the proxy server of this embodiment.

以下、添付図面を参照して、本発明の実施形態について詳細に説明する。
<システム構成例>
まず、本実施形態が適用されるネットワーク・システムについて説明する。
図1は、このようなネットワーク・システムの全体構成例を示した図である。
図示するように、このネットワーク・システムは、クライアント端末10と、プロキシサーバ20とがLAN(Local Area Network)100に接続されて構成されている。また、LAN100に接続された各装置は、プロキシサーバ20を介してインターネット200に接続される。すなわち、LAN100内の装置から外部ネットワークへの通信は、必ずプロキシサーバ20を介して行われる。 Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.
<System configuration example>
First, a network system to which this embodiment is applied will be described.
FIG. 1 is a diagram showing an example of the overall configuration of such a network system.
As shown in the figure, this network system is configured by connecting a client terminal 10 and a proxy server 20 to a LAN (Local Area Network) 100. Each device connected to the LAN 100 is connected to the Internet 200 via the proxy server 20. That is, communication from the device in the LAN 100 to the external network is always performed via the proxy server 20.

クライアント端末10は、ユーザが使用するコンピュータである。例えば、パーソナルコンピュータやワークステーション、その他のコンピュータ装置にて実現される。上記のように、クライアント端末10は、LAN100に接続されており、プロキシサーバ20を介してインターネット200上のサーバ(図示せず)にアクセスする。なお、図1には4台のクライアント端末10が記載されているが、LAN100に接続されるクライアント端末10の台数は図示の4台には限定されない。   The client terminal 10 is a computer used by a user. For example, it is realized by a personal computer, a workstation, or other computer devices. As described above, the client terminal 10 is connected to the LAN 100 and accesses a server (not shown) on the Internet 200 via the proxy server 20. Although four client terminals 10 are illustrated in FIG. 1, the number of client terminals 10 connected to the LAN 100 is not limited to the four illustrated.

インターネット200上のサーバは、インターネット200においてウェブページ等によりサービスを提供するウェブサイトを構築する。以下の説明では、クライアント端末10およびプロキシサーバ20によるアクセス先やインターネット200上での動作(データ送信等の)主体として、サーバではなくウェブサイトを適宜用いる。なお、このサーバとウェブサイトとは、必ずしも1対1で対応していない。単一のサーバが複数のウェブサイトを提供する場合もあるし、複数のサーバに格納されたウェブページ等により一つのウェブサイトが構成される場合もある。   A server on the Internet 200 constructs a website that provides services on the Internet 200 using web pages and the like. In the following description, as an access destination by the client terminal 10 and the proxy server 20 or an operation (such as data transmission) on the Internet 200, a website is appropriately used instead of a server. Note that this server and website do not necessarily correspond one-on-one. There are cases where a single server provides a plurality of websites, and there is also a case where one website is constituted by web pages stored in a plurality of servers.

プロキシサーバ20は、LAN100内のクライアント端末10とインターネット200上のサーバとの間の通信を中継するサーバ・コンピュータである。上記のように、クライアント端末10は、必ずプロキシサーバ20を介してインターネット200にアクセスする。プロキシサーバ20は、基本的な機能である中継機能の他、ファイア・ウォールや通信データのキャッシュ機能等、既存のプロキシサーバが備える一般的な機能を備えても良い。   The proxy server 20 is a server computer that relays communication between the client terminal 10 in the LAN 100 and a server on the Internet 200. As described above, the client terminal 10 always accesses the Internet 200 via the proxy server 20. The proxy server 20 may include general functions provided in an existing proxy server, such as a firewall function and a communication data cache function, in addition to a basic relay function.

本実施形態のプロキシサーバ20は、上記の通常のプロキシサーバ20としての機能に加え、所定のアクセス先リストに基づいて、インターネット200上のウェブサイトを、自ら巡回アクセスする機能を有する。本実施形態におけるプロキシサーバ20の機能および動作、またアクセス先リストの詳細については後述する。   In addition to the function as the normal proxy server 20 described above, the proxy server 20 of the present embodiment has a function of making a cyclic access to a website on the Internet 200 based on a predetermined access destination list. Details of the function and operation of the proxy server 20 and the access destination list in this embodiment will be described later.

LAN100は、クライアント端末10やネットワーク・プリンタ(図示せず)等の端末装置を各種回線で接続し、これらの間でデータを送受信できるようにしたネットワークである。インターネット200は、TCP/IPを用いて全世界のネットワークを相互に接続した巨大なネットワークである。   The LAN 100 is a network in which terminal devices such as a client terminal 10 and a network printer (not shown) are connected through various lines so that data can be transmitted and received between them. The Internet 200 is a huge network that connects networks all over the world using TCP / IP.

<マルウェアを侵入させる仕組み>
ここで、本実施形態が対象とする、マルウェアを侵入させる仕組みについて説明する。
図2は、インターネット上のウェブサイトがクライアント端末からのアクセスに応じてマルウェアを送信する仕組みを示す図である。
図2において、インターネット200上に設けられたウェブサイト210は、マルウェアを配信するウェブサイト(マルウェア配信サイト)である。図2に示す仕組みでは、まず、クライアント端末10からウェブサイト210へアクセス要求が行われる。そして、クライアント端末10からウェブサイト210へのアクセス要求が行われると、ウェブサイト210は、アクセス要求を行ったクライアント端末10へマルウェアを送信する。 <Mechanism for intruding malware>
Here, a mechanism for invading malware targeted by the present embodiment will be described.
FIG. 2 is a diagram illustrating a mechanism in which a website on the Internet transmits malware in response to access from a client terminal.
In FIG. 2, a website 210 provided on the Internet 200 is a website for distributing malware (malware distribution site). In the mechanism shown in FIG. 2, first, an access request is made from the client terminal 10 to the website 210. When an access request from the client terminal 10 to the website 210 is made, the website 210 transmits malware to the client terminal 10 that has made the access request.

インターネット200上では、クライアント端末10からウェブサイト210へのアクセス要求を行わせるための様々な仕掛けがなされている。例えば、他のウェブサイト(図示せず)のウェブページに、ウェブサイト210へアクセスするスクリプトを記述しておき、クライアント端末10がそのウェブページをダウンロードした際に自動的にウェブサイト210へアクセスさせる仕組みがある。また、他のウェブサイト(図示せず)のウェブページ上に、ウェブサイト210へアクセスするためのリンクを設けておき、そのウェブページを閲覧したユーザが自らウェブサイト210へアクセスするように仕向けることもある。   On the Internet 200, various devices for making an access request from the client terminal 10 to the website 210 are made. For example, a script for accessing the website 210 is described in a web page of another website (not shown), and when the client terminal 10 downloads the web page, the website 210 is automatically accessed. There is a mechanism. In addition, a link for accessing the website 210 is provided on a web page of another website (not shown), and the user viewing the web page is directed to access the website 210 by himself / herself. There is also.

従来、このような手法に対するセキュリティ上の対応策として、囮となるクライアント端末10(囮端末)を用いて、このようなマルウェアの配信サイトを発見することが行われている。具体的には、クライアント端末10からのアクセスを受け付けてマルウェアをダウンロードさせている可能性のあるウェブサイト210へ囮端末からアクセスし、そのウェブサイト210がマルウェアを送信するか否かを確認することが行われていた。   2. Description of the Related Art Conventionally, as a security measure for such a technique, a malware distribution site has been discovered by using a client terminal 10 (a cocoon terminal) that becomes a cocoon. Specifically, access from the client terminal 10 to a website 210 that may have received malware from the client terminal 10 and downloaded malware, and confirm whether the website 210 transmits malware Was done.

これに対し、そのような調査による発見を回避するため、マルウェア配信サイトであるウェブサイト210は、所定の条件を満たす場合にのみ、アクセス要求を行ったクライアント端末10に対してマルウェアを送信することがあった。具体的には、マルウェアをダウンロードさせたクライアント端末10を記憶しておき、例えば一定期間以内に、同じクライアント端末10からのアクセス要求があった場合には、そのクライアント端末10に対してマルウェアを送信しないウェブサイト210があった。   On the other hand, in order to avoid the discovery by such investigation, the website 210 that is a malware distribution site transmits malware to the client terminal 10 that has requested access only when a predetermined condition is satisfied. was there. Specifically, the client terminal 10 that has downloaded the malware is stored, and when there is an access request from the same client terminal 10 within a certain period of time, for example, the malware is transmitted to the client terminal 10 There was no website 210.

マルウェア配信サイトであるウェブサイト210を提供するサーバがクライアント端末10を識別する手法としては、種々の手法が考えられるが、代表的な手法として、IPアドレスを用いる手法とクッキー(Cookie)を用いる手法が挙げられる。前者の手法では、ウェブサイト210のサーバは、アクセス要求元のIPアドレスに基づいて、そのアクセス要求を行ったクライアント端末10を特定する。後者の手法では、ウェブサイト210のサーバが、アクセス要求を受け付けた際に、クッキーを作成して、アクセス要求元のクライアント端末10に対して送信する。そして、次にクライアント端末10からアクセス要求を受け付けた際に、ウェブサイト210のサーバは、アクセス要求に付されたクッキーに基づいて、そのアクセス要求を行ったクライアント端末10を特定する。   Various methods are conceivable as a method for identifying the client terminal 10 by the server that provides the website 210 that is a malware distribution site. Typical methods include a method using an IP address and a method using a cookie. Is mentioned. In the former method, the server of the website 210 identifies the client terminal 10 that made the access request based on the IP address of the access request source. In the latter method, when the server of the website 210 receives an access request, it creates a cookie and transmits it to the client terminal 10 that is the access request source. When the access request is received from the client terminal 10 next time, the server of the website 210 identifies the client terminal 10 that has made the access request based on the cookie attached to the access request.

<プロキシサーバによる巡回アクセスおよび偽装>
本実施形態では、上記のように、一定期間以内に複数回のアクセス要求を行ったクライアント端末10に対して2回目以降のアクセス要求に応じたマルウェアの送信を行わないウェブサイト210を対象として、プロキシサーバ20による巡回アクセスを行う。そして、プロキシサーバ20がウェブサイト210からマルウェアをダウンロードする。また、プロキシサーバ20は、自身が設けられたLAN100内のクライアント端末10からウェブサイト210へのアクセス要求を、2回目以降のアクセス要求であるかのように偽装する。このようなプロキシサーバ20を備えたLAN100では、予めプロキシサーバ20がウェブサイト210にアクセスしてマルウェアをダウンロードするため、その後、クライアント端末10がウェブサイト210にアクセスしてもマルウェアをダウンロードすることがない。 <Circuit access and impersonation by proxy server>
In the present embodiment, as described above, for the website 210 that does not transmit malware in response to the second and subsequent access requests to the client terminal 10 that has made multiple access requests within a certain period, Cyclic access by the proxy server 20 is performed. Then, the proxy server 20 downloads malware from the website 210. In addition, the proxy server 20 impersonates an access request from the client terminal 10 in the LAN 100 in which the proxy server 20 is provided to the website 210 as if it were the second and subsequent access requests. In the LAN 100 provided with such a proxy server 20, the proxy server 20 accesses the website 210 in advance and downloads the malware. Therefore, even if the client terminal 10 accesses the website 210 thereafter, the malware may be downloaded. Absent.

上記のように、ウェブサイト210を提供するサーバがクライアント端末10を識別するための代表的な手法として、IPアドレスを用いる手法とクッキーを用いる手法が考えられる。そこで、以下では、各々の場合に分けて、本実施形態におけるプロキシサーバ20の機能構成および動作について説明する。   As described above, as a typical technique for the server providing the website 210 to identify the client terminal 10, a technique using an IP address and a technique using a cookie are conceivable. Thus, hereinafter, the functional configuration and operation of the proxy server 20 in the present embodiment will be described separately for each case.

<第1の構成例>
まず、ウェブサイト210のサーバがIPアドレスを用いてアクセス元のクライアント端末10を識別する場合について、マルウェアの侵入を防ぐためのシステム構成およびその動作について説明する。本構成例では、プロキシサーバ20の機能により本システムを実現する。 <First configuration example>
First, in the case where the server of the website 210 identifies an access source client terminal 10 using an IP address, a system configuration and its operation for preventing malware intrusion will be described. In this configuration example, the system is realized by the function of the proxy server 20.

<プロキシサーバの機能構成>
図3は、本実施形態によるプロキシサーバ20の機能構成例を示す図である。
図3に示すプロキシサーバ20は、アクセス中継部21と、リスト保持部22と、アクセス制御部23と、ソフトウェア解析部24と、ソフトウェア処理部25とを備える。なお、図3においては、アクセス中継部21を除き、本実施形態における固有の機能のみを記載している。実際には、図3に示す機能の他、ファイア・ウォール機能やキャッシュ機能等の既存のプロキシサーバが備える種々の機能を設けることができる。 <Functional configuration of proxy server>
FIG. 3 is a diagram illustrating a functional configuration example of the proxy server 20 according to the present embodiment.
The proxy server 20 illustrated in FIG. 3 includes an access relay unit 21, a list holding unit 22, an access control unit 23, a software analysis unit 24, and a software processing unit 25. In FIG. 3, only the unique functions in the present embodiment are described except for the access relay unit 21. Actually, in addition to the functions shown in FIG. 3, various functions of an existing proxy server such as a firewall function and a cache function can be provided.

アクセス中継部21は、LAN100に接続されたクライアント端末10とインターネット200上のウェブサイト210(サーバ)との間の通信を中継する。すなわち、クライアント端末10から送信されたデータを受け付けて送信先のウェブサイト210へ送信し、ウェブサイト210から送信されたデータを受け付けて送信先のクライアント端末10へ送信する。   The access relay unit 21 relays communication between the client terminal 10 connected to the LAN 100 and the website 210 (server) on the Internet 200. That is, the data transmitted from the client terminal 10 is received and transmitted to the transmission destination website 210, and the data transmitted from the website 210 is received and transmitted to the transmission destination client terminal 10.

リスト保持部22は、プロキシサーバ20がアクセスすべきアクセス先のリストを保持する情報保持手段である。本実施形態におけるプロキシサーバ20のアクセス先は、アクセス元のクライアント端末10に対してマルウェアを送信しているウェブサイト210またはその疑いのあるウェブサイト210である。特に、一定期間以内に複数回のアクセス要求を行ったクライアント端末10に対して2回目以降のアクセス要求に応じたマルウェアの送信を行わないウェブサイト210を対象とする。このアクセス先リストは、例えば、情報セキュリティのサービス提供者等から取得したり、公開されたマルウェア配信サイトの情報を利用したりすることができる。   The list holding unit 22 is information holding means for holding a list of access destinations to be accessed by the proxy server 20. The access destination of the proxy server 20 in the present embodiment is the website 210 that is transmitting malware to the client terminal 10 that is the access source, or the website 210 that is suspected of the website. In particular, the website 210 that does not transmit malware corresponding to the second and subsequent access requests to the client terminal 10 that has made a plurality of access requests within a certain period is targeted. This access destination list can be obtained from, for example, an information security service provider, or can use information on a published malware distribution site.

なお、アクセス先リストに登録されるウェブサイト210は、実際にマルウェアを送信するウェブサイト210の他、マルウェアを送信している可能性があると認識されたウェブサイト210、そのようなウェブサイト210へ自動的に遷移するウェブサイト210等を含むものとする。   The website 210 registered in the access destination list includes the website 210 that actually transmits malware, the website 210 that is recognized as possibly transmitting malware, and such website 210. It is assumed to include a website 210 that automatically transitions to.

アクセス制御部23は、リスト保持部22に保持されているアクセス先リストに基づき、ウェブサイト210にアクセスするアクセス制御手段である。ウェブサイト210へのアクセスは、予め定められたタイミングで行われる。例えば、定期的に(一日に一度、予め定められた時刻等)行っても良いし、システムが特定の状態になったことを契機として行っても良い。具体例を挙げると、時間帯によってLAN100に接続されているクライアント端末10が全て停止するようなシステムでは、全てのクライアント端末10が停止した後、いずれかのクライアント端末10が起動した際に、プロキシサーバ20がウェブサイト210へアクセスすることが考えられる。また、アクセス先リストに登録された各ウェブサイト210に関して、LAN100に接続されているいずれかのクライアント端末10がそのウェブサイト210に最後にアクセスしてから一定時間が経過した場合に、プロキシサーバ20がウェブサイト210へアクセスすることも考えられる。   The access control unit 23 is an access control unit that accesses the website 210 based on the access destination list held in the list holding unit 22. Access to the website 210 is performed at a predetermined timing. For example, it may be performed periodically (once a day, a predetermined time, etc.), or may be performed when the system is in a specific state. As a specific example, in a system in which all the client terminals 10 connected to the LAN 100 are stopped depending on the time zone, the proxy is activated when any one of the client terminals 10 is started after all the client terminals 10 are stopped. It is conceivable that the server 20 accesses the website 210. Further, for each website 210 registered in the access destination list, the proxy server 20 when a certain time has elapsed since any client terminal 10 connected to the LAN 100 last accessed the website 210. May also access the website 210.

ソフトウェア解析部24は、アクセス制御部23の制御によるウェブサイト210へのアクセスでダウンロードされたソフトウェアを解析し、マルウェアか否かを判断する。この判断は、例えば、ブラックリストを用いたリストマッチング等の既存の手法を用いて良い。この場合、ブラックリストには、予め処理対象であるマルウェアとして定められたソフトウェアが登録されている。   The software analysis unit 24 analyzes the software downloaded by accessing the website 210 under the control of the access control unit 23, and determines whether it is malware. For this determination, for example, an existing method such as list matching using a black list may be used. In this case, software defined in advance as malware to be processed is registered in the black list.

ソフトウェア処理部25は、ソフトウェア解析部24によりマルウェアと判断されたソフトウェアを処理し、そのソフトウェアが実行されない状態とする。具体的には、対象のソフトウェアを削除したり、特別のフォルダに格納(隔離)して実行できないようにしたりする。   The software processing unit 25 processes the software determined to be malware by the software analysis unit 24 and puts the software into a state where it is not executed. Specifically, the target software is deleted or stored in a special folder (isolated) so that it cannot be executed.

<第1の構成例におけるプロキシサーバの動作>
図4は、本実施形態によるプロキシサーバ20の動作を示すフローチャートである。
上記のように構成されたシステムにおいて、プロキシサーバ20は、アクセス制御部23の制御により、リスト保持部22に保持されているアクセス先リストにしたがって、所定のタイミングで(時間要件を満たす場合に)ウェブサイト210にアクセスする(ステップ401、402)。そして、ウェブサイト210からソフトウェアを取得(ダウンロード)したならば、ソフトウェア解析部24が、取得したソフトウェアを解析する(ステップ403、404)。ソフトウェア解析部24による解析の結果、取得したソフトウェアがマルウェアであると判断されたならば、次にソフトウェア処理部25が、そのソフトウェアを処理(削除、隔離等)する(ステップ405、406)。 <Operation of Proxy Server in First Configuration Example>
FIG. 4 is a flowchart showing the operation of the proxy server 20 according to the present embodiment.
In the system configured as described above, the proxy server 20 controls the access control unit 23 according to the access destination list held in the list holding unit 22 at a predetermined timing (when the time requirement is satisfied). The website 210 is accessed (steps 401 and 402). When the software is acquired (downloaded) from the website 210, the software analysis unit 24 analyzes the acquired software (steps 403 and 404). If it is determined as a result of analysis by the software analysis unit 24 that the acquired software is malware, the software processing unit 25 next processes (deletes, isolates, etc.) the software (steps 405 and 406).

以上のようにして、本実施形態によれば、プロキシサーバ20が、アクセス先リストに基づき、マルウェアの配信サイトであるウェブサイト210(またはその可能性のあるウェブサイト210)に、所定のタイミングでアクセスする。プロキシサーバ20が設けられたLAN100の特性上、LAN100に接続された端末装置(クライアント端末10を含む)からアクセス要求が行われた場合、プロキシサーバ20により中継された時点で、アクセス元のIPアドレスは、プロキシサーバ20のIPアドレスとなる。このため、ウェブサイト210において、プロキシサーバ20によってアクセスされた後、このLAN100内のクライアント端末10からのアクセスは、全て同じIPアドレス(同じ端末装置)からのアクセスと判断される。   As described above, according to the present embodiment, the proxy server 20 sends the malware 210 to the website 210 (or the website 210 with the possibility) at a predetermined timing based on the access destination list. to access. Due to the characteristics of the LAN 100 provided with the proxy server 20, when an access request is made from a terminal device (including the client terminal 10) connected to the LAN 100, the IP address of the access source is relayed by the proxy server 20 Is the IP address of the proxy server 20. For this reason, after accessing by the proxy server 20 in the website 210, all accesses from the client terminal 10 in the LAN 100 are determined to be accesses from the same IP address (the same terminal device).

ここで、ウェブサイト210が、一定期間以内に複数回のアクセス要求を行ったクライアント端末10に対して2回目以降のアクセス要求に応じたマルウェアの送信を行わないものとする。すると、このウェブサイト210は、プロキシサーバ20がアクセスした後、一定期間は、LAN100内のクライアント端末10からのアクセス要求があっても、アクセス要求の送信元へマルウェアを送信しない。   Here, it is assumed that the website 210 does not transmit malware corresponding to the second and subsequent access requests to the client terminal 10 that has made a plurality of access requests within a certain period. Then, even if there is an access request from the client terminal 10 in the LAN 100, the website 210 does not transmit malware to the access request transmission source for a certain period after the proxy server 20 accesses.

<第1の構成の変形例>
上記のように、プロキシサーバ20が設けられたLAN100では、LAN100に接続された各端末装置からのアクセス要求におけるアクセス元のIPアドレスは、プロキシサーバ20のIPアドレスとなる。したがって、上記構成例におけるプロキシサーバ20のアクセス制御部23の機能を、プロキシサーバ20ではなく、LAN100に接続された特定のクライアント端末10に設けても良い。 <Modification of the first configuration>
As described above, in the LAN 100 provided with the proxy server 20, the IP address of the access source in the access request from each terminal device connected to the LAN 100 is the IP address of the proxy server 20. Therefore, the function of the access control unit 23 of the proxy server 20 in the above configuration example may be provided in a specific client terminal 10 connected to the LAN 100 instead of the proxy server 20.

この場合、この特定のクライアント端末10が、上記のリスト保持部22に保持されたものと同様のアクセス先リストを保持する。そして、このアクセス先リストに基づいて、所定のタイミングでウェブサイト210にアクセスする。   In this case, the specific client terminal 10 holds an access destination list similar to that held in the list holding unit 22. Based on this access destination list, the website 210 is accessed at a predetermined timing.

<第2の構成例>
次に、ウェブサイト210のサーバがクッキーを用いてアクセス元のクライアント端末10を識別する場合について、マルウェアの侵入を防ぐためのシステム構成およびその動作について説明する。本構成例では、プロキシサーバ20の機能により本システムを実現する。 <Second configuration example>
Next, a system configuration and its operation for preventing malware intrusion when the server of the website 210 identifies the access source client terminal 10 using a cookie will be described. In this configuration example, the system is realized by the function of the proxy server 20.

第2の構成例において、ウェブサイト210は、アクセス要求を行ったクライアント端末10に対して応答する際に送信データにクッキーを付加するものとする。クッキーを受け取ったクライアント端末10は、次回、同じウェブサイト210にアクセスする際に、アクセス要求や送信データに受け取ったクッキーを付加して送信する。ウェブサイト210は、受信したアクセス要求や送信データに自身が発行したクッキーが付加されていた場合、このクッキーに基づいて、アクセス要求の送信元のクライアント端末10やその状態を識別する。   In the second configuration example, the website 210 adds a cookie to the transmission data when responding to the client terminal 10 that has made the access request. The client terminal 10 that has received the cookie adds the received cookie to the access request or transmission data when accessing the same website 210 next time, and transmits it. When a cookie issued by itself is added to the received access request or transmission data, the website 210 identifies the client terminal 10 that has transmitted the access request and its state based on the cookie.

したがって、ウェブサイト210は、クライアント端末10にマルウェアを送信する際、マルウェアの送信時に固有のクッキーを付加して送信すれば、その後に同じクライアント端末10から受けたアクセス要求に付加されたクッキーに基づき、このクライアント端末10にはマルウェアを既に送信済みであることを認識することができる。そこで、第2の構成例では、クライアント端末10とウェブサイト210との間のデータ交換において、ウェブサイト210からの応答またはクライアント端末10からのアクセス要求に付加されているクッキーを、マルウェア送信時のクッキーに書き換える。これにより、アクセス要求の送信元であるクライアント端末10に対して既にマルウェアを送信していると、ウェブサイト210が認識するように偽装する。   Accordingly, when the website 210 transmits malware to the client terminal 10 and adds a unique cookie at the time of transmission of the malware, the website 210 subsequently transmits the malware based on the cookie added to the access request received from the same client terminal 10. It can be recognized that malware has already been transmitted to the client terminal 10. Therefore, in the second configuration example, in the data exchange between the client terminal 10 and the website 210, the cookie added to the response from the website 210 or the access request from the client terminal 10 is transmitted at the time of malware transmission. Replace with cookies. This disguises the website 210 to recognize that the malware has already been transmitted to the client terminal 10 that is the source of the access request.

<プロキシサーバの機能構成>
図5は、本実施形態によるプロキシサーバ20の機能構成例を示す図である。
図5に示すプロキシサーバ20は、アクセス中継部21と、リスト保持部22と、アクセス制御部23と、ソフトウェア解析部24と、ソフトウェア処理部25と、情報編集部26とを備える。ここで、アクセス中継部21、リスト保持部22、アクセス制御部23、ソフトウェア解析部24およびソフトウェア処理部25は、図3に示した第1の構成例におけるプロキシサーバ20の構成と同様である。したがって、同一の符号を付して説明を省略する。なお、図5においては、アクセス中継部21を除き、本実施形態における固有の機能のみを記載している。実際には、図5に示す機能の他、ファイア・ウォール機能やキャッシュ機能等の既存のプロキシサーバが備える種々の機能を設けることができる。 <Functional configuration of proxy server>
FIG. 5 is a diagram illustrating a functional configuration example of the proxy server 20 according to the present embodiment.
The proxy server 20 illustrated in FIG. 5 includes an access relay unit 21, a list holding unit 22, an access control unit 23, a software analysis unit 24, a software processing unit 25, and an information editing unit 26. Here, the access relay unit 21, the list holding unit 22, the access control unit 23, the software analysis unit 24, and the software processing unit 25 are the same as the configuration of the proxy server 20 in the first configuration example illustrated in FIG. Accordingly, the same reference numerals are given and description thereof is omitted. In FIG. 5, only the unique functions in the present embodiment are described except for the access relay unit 21. Actually, in addition to the functions shown in FIG. 5, various functions of an existing proxy server such as a firewall function and a cache function can be provided.

図5に示す本構成例のプロキシサーバ20において、情報編集部26は、ウェブサイト210からLAN100内のクライアント端末10へ送信されたデータに付加されているクッキーの抽出および書き換えを行う。すなわち、情報編集部26は、ウェブサイト210からの受信データからクッキーを抽出する抽出手段であり、受信データに付加されているクッキーを書き換える編集手段である。以下、情報編集部26によるクッキーの書き換え処理の内容について、詳細に説明する。   In the proxy server 20 of this configuration example shown in FIG. 5, the information editing unit 26 extracts and rewrites a cookie added to data transmitted from the website 210 to the client terminal 10 in the LAN 100. That is, the information editing unit 26 is an extracting unit that extracts a cookie from the received data from the website 210, and an editing unit that rewrites the cookie added to the received data. The contents of the cookie rewriting process by the information editing unit 26 will be described in detail below.

前提として、図5に示す第2の構成例によるプロキシサーバ20は、図3及び図4を参照して説明した第1の構成例によるプロキシサーバ20と同様に、リスト保持部22に保持されたアクセス先リストに基づき、所定のタイミングでウェブサイト210にアクセスする。そして、ソフトウェア解析部24によりウェブサイト210からダウンロードされたソフトウェアを解析し、そのソフトウェアがマルウェアであった場合は、ソフトウェア処理部25により処理(削除、隔離等)する。   As a premise, the proxy server 20 according to the second configuration example shown in FIG. 5 is held in the list holding unit 22 similarly to the proxy server 20 according to the first configuration example described with reference to FIGS. 3 and 4. Based on the access destination list, the website 210 is accessed at a predetermined timing. Then, the software downloaded from the website 210 is analyzed by the software analysis unit 24, and when the software is malware, the software processing unit 25 processes (deletes, isolates, etc.).

ここで、ウェブサイト210からダウンロードしたソフトウェアがマルウェアであると判断された場合、本構成のプロキシサーバ20では、情報編集部26が、そのソフトウェアに付加されたクッキーのデータを抽出する。抽出されたクッキーのデータは、送信元のウェブサイト210を特定する情報に関連付けられて、所定の記憶手段に保持される。   Here, when it is determined that the software downloaded from the website 210 is malware, in the proxy server 20 of this configuration, the information editing unit 26 extracts the data of the cookie added to the software. The extracted cookie data is stored in a predetermined storage unit in association with information specifying the transmission source website 210.

そして、LAN100内のクライアント端末10からウェブサイト210へのアクセス要求がなされ、ウェブサイト210からの応答があった場合に、情報編集部26は、ウェブサイト210からの応答に付加されているクッキーを、保持しているクッキー(すなわち、マルウェアの送信時に付加されたクッキー)に書き換える。   Then, when an access request to the website 210 is made from the client terminal 10 in the LAN 100 and there is a response from the website 210, the information editing unit 26 uses the cookie added to the response from the website 210. , And rewrite it as a cookie (ie, a cookie added when sending malware).

<第2の構成例におけるプロキシサーバの動作>
図6および図7は、本実施形態のプロキシサーバ20によるクッキーに関する処理を示すフローチャートである。図6はクッキーの取得時の動作を示し、図7はクッキーの書き換え時の動作を示す。
図6に示す動作において、プロキシサーバ20がアクセス先リストに基づいてウェブサイト210にアクセスし、ダウンロードしたソフトウェアを解析するまでの動作(ステップ601〜604)は、図4に示した第1の構成例によるステップ401〜404までの動作と同様である。 <Operation of Proxy Server in Second Configuration Example>
6 and 7 are flowcharts showing processing related to cookies by the proxy server 20 of this embodiment. FIG. 6 shows the operation at the time of obtaining the cookie, and FIG. 7 shows the operation at the time of rewriting the cookie.
In the operation shown in FIG. 6, the operation until the proxy server 20 accesses the website 210 based on the access destination list and analyzes the downloaded software (steps 601 to 604) is the first configuration shown in FIG. 4. The operation is the same as that in steps 401 to 404 according to the example.

本構成例におけるプロキシサーバ20は、ソフトウェア解析部24による解析の結果、取得したソフトウェアがマルウェアであると判断されたならば、そのソフトウェアを処理(削除、隔離等)し、さらにそのソフトウェアに付加されたクッキーを取得する(ステップ605、606)。すなわち、このときに取得されたクッキーは、ウェブサイト210がマルウェアを送信する際に付加するクッキーである。   The proxy server 20 in this configuration example processes (deletes, isolates, etc.) the acquired software if it is determined that the acquired software is malware as a result of analysis by the software analyzing unit 24, and is added to the software. Cookies are acquired (steps 605 and 606). That is, the cookie acquired at this time is a cookie added when the website 210 transmits malware.

次に、図7を参照する。まず、プロキシサーバ20のアクセス中継部21が、LAN100内のクライアント端末10からのアクセス要求に対するウェブサイト210からの応答を受信する(ステップ701)。すると、情報編集部26が、事前にこのウェブサイト210にアクセスして取得したクッキー(図6のステップ606で取得したクッキー)を保持しているか調べる(ステップ702)。そして、このウェブサイト210から取得したクッキーが保持されている場合、情報編集部26は、ステップ701で受信した応答に付加されているクッキーを、ステップ702で検出したクッキーに書き換える(ステップ703)。そして、アクセス中継部21は、情報編集部26によりクッキーが書き換えられた応答を、このアクセス要求の送信元であるクライアント端末10に送信する(ステップ704)。   Reference is now made to FIG. First, the access relay unit 21 of the proxy server 20 receives a response from the website 210 to the access request from the client terminal 10 in the LAN 100 (step 701). Then, the information editing unit 26 checks whether or not the cookie acquired by accessing the website 210 in advance (the cookie acquired in step 606 in FIG. 6) is held (step 702). If the cookie acquired from the website 210 is held, the information editing unit 26 rewrites the cookie added to the response received in step 701 with the cookie detected in step 702 (step 703). Then, the access relay unit 21 transmits a response in which the cookie is rewritten by the information editing unit 26 to the client terminal 10 that is the transmission source of the access request (step 704).

この後、クライアント端末10は、再度ウェブサイト210にアクセスする場合、ステップ703でプロキシサーバ20により付加されたクッキーをアクセス要求に付加する。このため、このアクセス要求を受信したウェブサイト210は、クッキーに基づき、受信したアクセス要求が既にマルウェアを送信したクライアント端末10からのアクセス要求であると判断する。   Thereafter, when accessing the website 210 again, the client terminal 10 adds the cookie added by the proxy server 20 in Step 703 to the access request. For this reason, the website 210 that has received this access request determines, based on the cookie, that the received access request is an access request from the client terminal 10 that has already transmitted malware.

ここで、ウェブサイト210が、既にマルウェアを送信したクライアント端末10に対して、一定期間はマルウェアを再送しないものとする。すると、このウェブサイト210は、上記のクッキーが付加されたアクセス要求の送信元であるクライアント端末10にはマルウェアを送信しない。   Here, it is assumed that the website 210 does not retransmit the malware for a certain period to the client terminal 10 that has already transmitted the malware. Then, the website 210 does not transmit malware to the client terminal 10 that is the transmission source of the access request to which the cookie is added.

なお、上記の動作例では、プロキシサーバ20がウェブサイト210からの応答を受信した時点で、情報編集部26がクッキーを書き換えることとした。これに対し、LAN100内のクライアント端末10がアクセス先リストに登録されているウェブサイト210をアクセス先としてアクセス要求を行った場合に、そのアクセス要求に付加されているクッキーを情報編集部26が保持しているクッキーに書き換える手順としても良い。   In the above operation example, the information editing unit 26 rewrites the cookie when the proxy server 20 receives a response from the website 210. On the other hand, when the client terminal 10 in the LAN 100 makes an access request with the website 210 registered in the access destination list as an access destination, the information editing unit 26 holds the cookie added to the access request. It is good also as a procedure to rewrite the cookie.

また、上記の動作例では、ウェブサイト210からの応答またはクライアント端末10からのアクセス要求に付加されているクッキーを書き換える(すなわち、既に付加されているクッキーを削除してマルウェア送信時のクッキーを付加する)こととした。これに対し、ウェブサイト210からの応答またはクライアント端末10からのアクセス要求にクッキーが付加されていない場合に、情報編集部26がクッキーを単に付加する構成も考えられる。   In the above operation example, the cookie added to the response from the website 210 or the access request from the client terminal 10 is rewritten (that is, the cookie added at the time of malware transmission is deleted by deleting the already added cookie). It was decided to. On the other hand, when the cookie is not added to the response from the website 210 or the access request from the client terminal 10, the information editing unit 26 may simply add the cookie.

<第2の構成の変形例>
上記の構成例では、プロキシサーバ20がLAN100内のクライアント端末10に先立ってウェブサイト210にアクセスし、マルウェアの送信時に付加されるクッキーを取得した。これに対し、アクセス先リストに登録されているウェブサイト210がマルウェアを送信する際に付加するクッキーを予め他の手段で取得し、プロキシサーバ20に保持しておく構成としても良い。この場合、クッキーは、例えばアクセス先リストと共に情報セキュリティサービス提供者が提供することが考えられる。ウェブサイト210からの応答またはクライアント端末10からのアクセス要求に付加されているクッキーを書き換えたり、付加したりする手法および手順については、上記の構成例と同様である。 <Modification of Second Configuration>
In the above configuration example, the proxy server 20 accesses the website 210 prior to the client terminal 10 in the LAN 100, and acquires a cookie that is added when malware is transmitted. On the other hand, it is good also as a structure which acquires the cookie added when the website 210 registered in the access destination list transmits malware with another means beforehand, and hold | maintains it in the proxy server 20. FIG. In this case, it is conceivable that the information security service provider provides the cookie together with the access destination list, for example. A technique and procedure for rewriting or adding a cookie added to a response from the website 210 or an access request from the client terminal 10 are the same as in the above configuration example.

<ハードウェアの構成例>
最後に、本実施形態のプロキシサーバ20を実現するのに好適なコンピュータのハードウェア構成について説明する。
図8は、このようなコンピュータのハードウェア構成の一例を示す図である。
図8に示すコンピュータは、演算手段であるCPU(Central Processing Unit)300aと、主記憶手段であるメモリ300cを備える。また、外部デバイスとして、磁気ディスク装置(HDD:Hard Disk Drive)300g、ネットワーク・インターフェイス300f、表示機構300d、音声機構300h、キーボードやマウス等の入力デバイス300i等を備える。 <Example of hardware configuration>
Finally, a hardware configuration of a computer suitable for realizing the proxy server 20 of this embodiment will be described.
FIG. 8 is a diagram illustrating an example of the hardware configuration of such a computer.
The computer shown in FIG. 8 includes a CPU (Central Processing Unit) 300a that is a calculation means and a memory 300c that is a main storage means. As external devices, a hard disk drive (HDD) 300g, a network interface 300f, a display mechanism 300d, an audio mechanism 300h, an input device 300i such as a keyboard and a mouse, and the like are provided.

図8に示す構成例では、メモリ300cおよび表示機構300dは、システム・コントローラ300bを介してCPU300aに接続されている。また、ネットワーク・インターフェイス300f、磁気ディスク装置300g、音声機構300hおよび入力デバイス300iは、I/Oコントローラ300eを介してシステム・コントローラ300bと接続されている。各構成要素は、システム・バスや入出力バス等の各種のバスによって接続される。   In the configuration example shown in FIG. 8, the memory 300c and the display mechanism 300d are connected to the CPU 300a via the system controller 300b. The network interface 300f, the magnetic disk device 300g, the audio mechanism 300h, and the input device 300i are connected to the system controller 300b via the I / O controller 300e. Each component is connected by various buses such as a system bus and an input / output bus.

なお、図8は、本実施形態が適用されるのに好適なコンピュータのハードウェア構成を例示するに過ぎない。本実施形態は、ネットワーク・トラフィック等から得られるデータファイルを解析する情報処理システムに広く適用できるものであり、図示の構成においてのみ本実施例が実現されるのではない。   FIG. 8 merely exemplifies a hardware configuration of a computer suitable for applying the present embodiment. The present embodiment can be widely applied to an information processing system that analyzes a data file obtained from network traffic or the like, and the present embodiment is not realized only in the configuration shown in the figure.

図8において、磁気ディスク装置300gにはOSやアプリケーション・ソフトのプログラムが格納されている。そして、これらのプログラムがメモリ300cに読み込まれてCPU300aに実行されることにより、図3および図5に示したアクセス中継部21、アクセス制御部23、ソフトウェア解析部24、ソフトウェア処理部25および情報編集部26を含む各種の機能が実現される。また、磁気ディスク装置300gやメモリ300c等の記憶手段により、リスト保持部22や、情報編集部26により抽出されたクッキーの保持手段が実現される。   In FIG. 8, the OS and application software programs are stored in the magnetic disk device 300 g. These programs are read into the memory 300c and executed by the CPU 300a, so that the access relay unit 21, the access control unit 23, the software analysis unit 24, the software processing unit 25, and the information editing unit shown in FIGS. Various functions including the unit 26 are realized. Further, the storage means such as the magnetic disk device 300g and the memory 300c realizes the holding means for the cookies extracted by the list holding unit 22 and the information editing unit 26.

なお、本実施形態の各構成例では、第1の構成の変形例を除き、プロキシサーバ20がアクセス先リストに基づくウェブサイト210の巡回アクセスを行ったが、実際のシステムにおいては、かかる構成に限定されない。すなわち、LAN100とインターネット200との間の通信経路上に設けられる各種のゲートウェイ装置によりウェブサイト210のアクセスを行う構成とすることができる。さらに、アクセス先リストに基づいてウェブサイト210を巡回アクセスする専用の情報処理装置をLAN100内に設け、プロキシサーバ20等のゲートウェイを介してインターネット200上のウェブサイト210にアクセスするように構成しても良い。   In each configuration example of the present embodiment, the proxy server 20 makes a cyclic access to the website 210 based on the access destination list except for the modified example of the first configuration. However, in an actual system, such a configuration is used. It is not limited. That is, the website 210 can be accessed by various gateway devices provided on the communication path between the LAN 100 and the Internet 200. Further, a dedicated information processing apparatus that cyclically accesses the website 210 based on the access destination list is provided in the LAN 100 and configured to access the website 210 on the Internet 200 via a gateway such as the proxy server 20. Also good.

10…クライアント端末、20…プロキシサーバ、21…アクセス中継部、22…リスト保持部、23…アクセス制御部、24…ソフトウェア解析部、25…ソフトウェア処理部、26…情報編集部、100…LAN(Local Area Network)、200…インターネット DESCRIPTION OF SYMBOLS 10 ... Client terminal, 20 ... Proxy server, 21 ... Access relay part, 22 ... List holding part, 23 ... Access control part, 24 ... Software analysis part, 25 ... Software processing part, 26 ... Information editing part, 100 ... LAN ( Local Area Network), 200 ... Internet

Claims (13)

ネットワークに接続された情報処理装置であって、
ネットワーク上のアクセス先に対して通信を行う通信手段と、
ネットワーク上のアクセス対象を特定するアクセス先情報を保持する情報保持手段と、
前記アクセス先情報により特定された前記アクセス対象にアクセスするアクセス制御手段と、
前記アクセス制御手段がアクセスした前記アクセス対象から受信した特定のソフトウェアに付加された、当該アクセス対象が当該特定のソフトウェアを送信した送信先を識別するために用いる識別情報を抽出する抽出手段と、
前記通信手段によりネットワークにアクセスする場合におけるアクセス要求のアクセス先が前記アクセス先情報により特定された前記アクセス対象であり、当該アクセス対象から当該アクセス要求に対する応答を受信した場合に、当該応答に、前記抽出手段により抽出された前記識別情報を付加する編集手段と、
を備える、情報処理装置。 An information processing apparatus connected to a network,
A communication means for communicating with an access destination on the network;
Information holding means for holding access destination information for specifying an access target on the network;
Access control means for accessing the access target specified by the access destination information;
Extraction means for extracting identification information added to the specific software received from the access target accessed by the access control means and used to identify the transmission destination to which the access target has transmitted the specific software;
The access destination of the access request when accessing the network by the communication means is the access target specified by the access destination information, and when a response to the access request is received from the access target, Editing means for adding the identification information extracted by the extraction means;
An information processing apparatus comprising: 前記編集手段は、前記アクセス先情報により特定された前記アクセス対象から受信した前記応答に対して前記抽出手段により抽出された第1の識別情報と同一のまたは異なる第2の識別情報が付加されている場合に、当該第2の識別情報を当該第1の識別情報に書き換え、当該応答に対して当該第2の識別情報が付加されていない場合に、当該第1の識別情報を付加しない、請求項1に記載の情報処理装置。   The editing unit adds second identification information that is the same as or different from the first identification information extracted by the extraction unit to the response received from the access target specified by the access destination information. If the second identification information is rewritten to the first identification information and the second identification information is not added to the response, the first identification information is not added. Item 4. The information processing apparatus according to Item 1. ネットワークに接続された情報処理装置であって、
ネットワーク上のアクセス先に対して通信を行う通信手段と、
ネットワーク上のアクセス対象を特定するアクセス先情報を保持する情報保持手段と、
前記アクセス先情報により特定された前記アクセス対象にアクセスするアクセス制御手段と、
前記アクセス制御手段がアクセスした前記アクセス対象から受信した特定のソフトウェアに付加された、当該アクセス対象が当該特定のソフトウェアを送信した送信先を識別するために用いる識別情報を抽出する抽出手段と、
前記通信手段によりネットワークにアクセスする場合におけるアクセス要求のアクセス先が前記アクセス先情報により特定された前記アクセス対象である場合に、当該アクセス要求に、前記抽出手段により抽出された前記識別情報を付加する編集手段と、
を備える、情報処理装置。 An information processing apparatus connected to a network,
A communication means for communicating with an access destination on the network;
Information holding means for holding access destination information for specifying an access target on the network;
Access control means for accessing the access target specified by the access destination information;
Extraction means for extracting identification information added to the specific software received from the access target accessed by the access control means and used to identify the transmission destination to which the access target has transmitted the specific software;
When the access destination of the access request when accessing the network by the communication means is the access target specified by the access destination information, the identification information extracted by the extraction means is added to the access request Editing means,
An information processing apparatus comprising: 前記編集手段は、前記アクセス要求に対して前記抽出手段により抽出された第1の識別情報と同一のまたは異なる第2の識別情報が付加されている場合に、当該第2の識別情報を当該第1の識別情報に書き換え、当該アクセス要求に対して当該第2の識別情報が付加されていない場合に、当該第1の識別情報を付加しない、請求項3に記載の情報処理装置。   The editing means adds the second identification information to the access request when the second identification information that is the same as or different from the first identification information extracted by the extraction means is added to the access request. 4. The information processing apparatus according to claim 3, wherein the first identification information is not added when the first identification information is rewritten and the second identification information is not added to the access request. 5. ネットワークに接続された情報処理装置であって、
ネットワーク上のアクセス先に対して通信を行う通信手段と、
アクセス要求を受け付けて当該アクセス要求の送信元へ特定のソフトウェアを送信するアクセス対象を特定するアクセス先情報を保持する第1の情報保持手段と、
前記アクセス先情報により特定された前記アクセス対象が前記特定のソフトウェアを送信した送信先を識別するために用いる識別情報を保持する第2の情報保持手段と、
前記通信手段によりネットワークにアクセスする場合におけるアクセス要求のアクセス先が前記アクセス先情報により特定された前記アクセス対象であり、当該アクセス対象から当該アクセス要求に対する応答を受信した場合に、当該応答に、前記第2の情報保持手段に保持された前記識別情報を付加する編集手段と、
を備える、情報処理装置。 An information processing apparatus connected to a network,
A communication means for communicating with an access destination on the network;
First information holding means for holding access destination information for specifying an access target for receiving an access request and transmitting specific software to a transmission source of the access request;
Second information holding means for holding identification information used for identifying a transmission destination to which the access target specified by the access destination information has transmitted the specific software;
The access destination of the access request when accessing the network by the communication means is the access target specified by the access destination information, and when a response to the access request is received from the access target, Editing means for adding the identification information held in the second information holding means;
An information processing apparatus comprising: ネットワークに接続された情報処理装置であって、
ネットワーク上のアクセス先に対して通信を行う通信手段と、
アクセス要求を受け付けて当該アクセス要求の送信元へ特定のソフトウェアを送信するアクセス対象を特定するアクセス先情報を保持する第1の情報保持手段と、
前記アクセス先情報により特定された前記アクセス対象が前記特定のソフトウェアを送信した送信先を識別するために用いる識別情報を保持する第2の情報保持手段と、
前記通信手段によりネットワークにアクセスする場合におけるアクセス要求のアクセス先が前記アクセス先情報により特定された前記アクセス対象である場合に、当該アクセス要求に、前記第2の情報保持手段に保持された前記識別情報を付加する編集手段と、
を備える、情報処理装置。 An information processing apparatus connected to a network,
A communication means for communicating with an access destination on the network;
First information holding means for holding access destination information for specifying an access target for receiving an access request and transmitting specific software to a transmission source of the access request;
Second information holding means for holding identification information used for identifying a transmission destination to which the access target specified by the access destination information has transmitted the specific software;
When the access destination of the access request when accessing the network by the communication means is the access target specified by the access destination information, the identification held in the second information holding means in the access request Editing means for adding information;
An information processing apparatus comprising: ネットワークに接続された情報処理装置によるネットワーク通信の処理方法であって、
アクセス先を特定するアクセス先情報に基づき、当該アクセス先情報により特定されたアクセス対象にアクセスするステップと、
前記アクセス先情報により特定された前記アクセス対象にアクセスし、当該アクセス対象から特定のソフトウェアを受信し、当該特定のソフトウェアに付加された、当該アクセス対象が当該特定のソフトウェアを送信した送信先を識別するために用いる識別情報を抽出するステップと、
ネットワークにアクセスする場合におけるアクセス要求のアクセス先が前記アクセス先情報により特定された前記アクセス対象であり、当該アクセス対象から当該アクセス要求に対する応答を受信した場合に、当該応答に、抽出された前記識別情報を付加するステップと、
を含む、処理方法。 A method of processing network communication by an information processing apparatus connected to a network,
Accessing the access target specified by the access destination information based on the access destination information specifying the access destination;
Access the access target specified by the access destination information, receive specific software from the access target, and identify the transmission destination added to the specific software to which the access target has transmitted the specific software Extracting identification information to be used for
When the access destination of the access request when accessing the network is the access target specified by the access destination information, and when a response to the access request is received from the access target, the identification extracted in the response Adding information, and
Including a processing method. ネットワークに接続された情報処理装置によるネットワーク通信の処理方法であって、
アクセス先を特定するアクセス先情報に基づき、当該アクセス先情報により特定されたアクセス対象にアクセスするステップと、
前記アクセス先情報により特定された前記アクセス対象にアクセスし、当該アクセス対象から特定のソフトウェアを受信し、当該特定のソフトウェアに付加された、当該アクセス対象が当該特定のソフトウェアを送信した送信先を識別するために用いる識別情報を抽出するステップと、
ネットワークにアクセスする場合におけるアクセス要求のアクセス先が前記アクセス先情報により特定された前記アクセス対象である場合に、当該アクセス要求に、抽出された前記識別情報を付加するステップと、
を含む、処理方法。 A method of processing network communication by an information processing apparatus connected to a network,
Accessing the access target specified by the access destination information based on the access destination information specifying the access destination;
Access the access target specified by the access destination information, receive specific software from the access target, and identify the transmission destination added to the specific software to which the access target has transmitted the specific software Extracting identification information to be used for
When the access destination of the access request when accessing the network is the access target specified by the access destination information, adding the extracted identification information to the access request;
Including a processing method. ネットワークに接続された情報処理装置によるネットワーク通信の処理方法であって、
ネットワーク上のアクセス先にアクセス要求を送信するステップと、
前記アクセス要求のアクセス先から当該アクセス要求に対する応答を受信するステップと、
前記アクセス要求のアクセス先が、アクセス要求を受け付けて当該アクセス要求の送信元へ特定のソフトウェアを送信する特別なアクセス対象を特定するアクセス先情報により特定された当該特別なアクセス対象である場合に、受信した当該応答に、前記特別なアクセス対象が前記特定のソフトウェアを送信した送信先を識別するために用いる識別情報を付加するステップと、
を含む、処理方法。 A method of processing network communication by an information processing apparatus connected to a network,
Sending an access request to an access point on the network;
Receiving a response to the access request from the access destination of the access request;
When the access destination of the access request is the special access target specified by the access destination information specifying the special access target that receives the access request and transmits the specific software to the transmission source of the access request, Adding identification information used to identify a destination to which the special access target has transmitted the specific software to the received response;
Including a processing method. ネットワークに接続されたコンピュータを制御するプログラムにおいて、
ネットワーク上のアクセス先に対して通信を行う通信手段と、
アクセス先を特定するアクセス先情報により特定されたアクセス対象にアクセスするアクセス制御手段と、
前記アクセス制御手段がアクセスした前記アクセス対象から受信した特定のソフトウェアに付加された、当該アクセス対象が当該特定のソフトウェアを送信した送信先を識別するために用いる識別情報を抽出する抽出手段と、
前記通信手段によりネットワークにアクセスする場合におけるアクセス要求のアクセス先が前記アクセス先情報により特定された前記アクセス対象であり、当該アクセス対象から当該アクセス要求に対する応答を受信した場合に、当該応答に、前記抽出手段により抽出された前記識別情報を付加する編集手段として、
前記コンピュータを機能させる、プログラム。 In a program for controlling a computer connected to a network,
A communication means for communicating with an access destination on the network;
Access control means for accessing the access target specified by the access destination information for specifying the access destination;
Extraction means for extracting identification information added to the specific software received from the access target accessed by the access control means and used to identify the transmission destination to which the access target has transmitted the specific software;
The access destination of the access request when accessing the network by the communication means is the access target specified by the access destination information, and when a response to the access request is received from the access target, As editing means for adding the identification information extracted by the extracting means,
A program for causing the computer to function. ネットワークに接続されたコンピュータを制御するプログラムにおいて、
ネットワーク上のアクセス先に対して通信を行う通信手段と、
アクセス先を特定するアクセス先情報により特定されたアクセス対象にアクセスするアクセス制御手段と、
前記アクセス制御手段がアクセスした前記アクセス対象から受信した特定のソフトウェアに付加された、当該アクセス対象が当該特定のソフトウェアを送信した送信先を識別するために用いる識別情報を抽出する抽出手段と、
前記通信手段によりネットワークにアクセスする場合におけるアクセス要求のアクセス先が前記アクセス先情報により特定された前記アクセス対象である場合に、当該アクセス要求に、前記抽出手段により抽出された前記識別情報を付加する編集手段として、
前記コンピュータを機能させる、プログラム。 In a program for controlling a computer connected to a network,
A communication means for communicating with an access destination on the network;
Access control means for accessing the access target specified by the access destination information for specifying the access destination;
Extraction means for extracting identification information added to the specific software received from the access target accessed by the access control means and used to identify the transmission destination to which the access target has transmitted the specific software;
When the access destination of the access request when accessing the network by the communication means is the access target specified by the access destination information, the identification information extracted by the extraction means is added to the access request As an editing tool,
A program for causing the computer to function. ネットワークに接続されたコンピュータを制御するプログラムにおいて、
ネットワーク上のアクセス先に対して通信を行う通信手段と、
アクセス要求を受け付けて当該アクセス要求の送信元へ特定のソフトウェアを送信するアクセス対象を特定するアクセス先情報を保持する第1の情報保持手段と、
前記アクセス先情報により特定された前記アクセス対象が前記特定のソフトウェアを送信した送信先を識別するために用いる識別情報を保持する第2の情報保持手段と、
前記通信手段によりネットワークにアクセスする場合におけるアクセス要求のアクセス先が前記アクセス先情報により特定された前記アクセス対象であり、当該アクセス対象から当該アクセス要求に対する応答を受信した場合に、当該応答に、前記第2の情報保持手段に保持された前記識別情報を付加する編集手段として、
前記コンピュータを機能させる、プログラム。 In a program for controlling a computer connected to a network,
A communication means for communicating with an access destination on the network;
First information holding means for holding access destination information for specifying an access target for receiving an access request and transmitting specific software to a transmission source of the access request;
Second information holding means for holding identification information used for identifying a transmission destination to which the access target specified by the access destination information has transmitted the specific software;
The access destination of the access request when accessing the network by the communication means is the access target specified by the access destination information, and when a response to the access request is received from the access target, As an editing means for adding the identification information held in the second information holding means,
A program for causing the computer to function. ネットワークに接続されたコンピュータを制御するプログラムにおいて、
ネットワーク上のアクセス先に対して通信を行う通信手段と、
アクセス要求を受け付けて当該アクセス要求の送信元へ特定のソフトウェアを送信するアクセス対象を特定するアクセス先情報を保持する第1の情報保持手段と、
前記アクセス先情報により特定された前記アクセス対象が前記特定のソフトウェアを送信した送信先を識別するために用いる識別情報を保持する第2の情報保持手段と、
前記通信手段によりネットワークにアクセスする場合におけるアクセス要求のアクセス先が前記アクセス先情報により特定された前記アクセス対象である場合に、当該アクセス要求に、前記第2の情報保持手段に保持された前記識別情報を付加する編集手段として、
前記コンピュータを機能させる、プログラム。 In a program for controlling a computer connected to a network,
A communication means for communicating with an access destination on the network;
First information holding means for holding access destination information for specifying an access target for receiving an access request and transmitting specific software to a transmission source of the access request;
Second information holding means for holding identification information used for identifying a transmission destination to which the access target specified by the access destination information has transmitted the specific software;
When the access destination of the access request when accessing the network by the communication means is the access target specified by the access destination information, the identification held in the second information holding means in the access request As an editing means to add information,
A program for causing the computer to function.
JP2015086445A 2015-04-21 2015-04-21 Information processing apparatus, processing method, and program Active JP5893787B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015086445A JP5893787B2 (en) 2015-04-21 2015-04-21 Information processing apparatus, processing method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015086445A JP5893787B2 (en) 2015-04-21 2015-04-21 Information processing apparatus, processing method, and program

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2011078436A Division JP5738042B2 (en) 2011-03-31 2011-03-31 Gateway device, information processing device, processing method, and program

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2016032737A Division JP5986695B2 (en) 2016-02-24 2016-02-24 Information processing apparatus, processing method, and program

Publications (2)

Publication Number Publication Date
JP2015149781A JP2015149781A (en) 2015-08-20
JP5893787B2 true JP5893787B2 (en) 2016-03-23

Family

ID=53892757

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015086445A Active JP5893787B2 (en) 2015-04-21 2015-04-21 Information processing apparatus, processing method, and program

Country Status (1)

Country Link
JP (1) JP5893787B2 (en)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001222425A (en) * 2000-02-10 2001-08-17 Nec Software Kobe Ltd Virus eradication system and method, and recording medium
WO2002086717A1 (en) * 2001-04-16 2002-10-31 Xaxon R & D Corporation Computer virus check device and method
US20020161904A1 (en) * 2001-04-30 2002-10-31 Xerox Corporation External access to protected device on private network
JP5397071B2 (en) * 2009-07-31 2014-01-22 富士通株式会社 Relay device, relay method, and relay program
JP5302149B2 (en) * 2009-09-18 2013-10-02 株式会社日立システムズ WEB access log confirmation system, method and program

Also Published As

Publication number Publication date
JP2015149781A (en) 2015-08-20

Similar Documents

Publication Publication Date Title
US10666686B1 (en) Virtualized exploit detection system
US9654494B2 (en) Detecting and marking client devices
EP3871392B1 (en) Network security system with enhanced traffic analysis based on feedback loop
US20190173904A1 (en) Entity Group Behavior Profiling
US10395031B2 (en) Systems and methods for malware detection and scanning
EP2659416B1 (en) Systems and methods for malware detection and scanning
AU2015409179B2 (en) Machine-driven crowd-disambiguation of data resources
US11861008B2 (en) Using browser context in evasive web-based malware detection
CN105635073B (en) Access control method and device and network access equipment
JP5980968B2 (en) Information processing apparatus, information processing method, and program
RU2738337C1 (en) Intelligent bots detection and protection system and method
CN112491836B (en) Communication system, method, device and electronic equipment
CN104811507A (en) IP address acquiring method and IP address acquiring device
Miller et al. Detection of anonymising proxies using machine learning
US20170177866A1 (en) Method and apparatus for detecting exploits
JP5738042B2 (en) Gateway device, information processing device, processing method, and program
JP5986695B2 (en) Information processing apparatus, processing method, and program
JP5893787B2 (en) Information processing apparatus, processing method, and program
JP6635029B2 (en) Information processing apparatus, information processing system, and communication history analysis method
JP6563872B2 (en) Communication system and communication method
KR102156600B1 (en) System and method for creating association between packets collected in network and processes in endpoint computing device
KR101511474B1 (en) Method for blocking internet access using agent program
JP6286314B2 (en) Malware communication control device
CN103947158A (en) Packet data extraction device, control method for packet data extraction device, control program, and computer-readable recording medium
JP5456636B2 (en) File collection monitoring method, file collection monitoring apparatus, and file collection monitoring program

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160122

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160126

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160224

R150 Certificate of patent or registration of utility model

Ref document number: 5893787

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250